Bezpieczne hasło – PORADNIK

Mam wrażenie, że tworząc tego bloga za bardzo popłynąłem w stronę treści, które uważałem za „wysokie”, a pominąłem te zupełnie codzienne, które wcale nie są mniej ważne. Dlatego dzisiejszy poradnik będzie dotyczył tego, co większość z nas robi co najmniej parę razy dziennie – wpisywania hasła do komputera. Jakiś czas temu rozmawiałem ze znajomym informatykiem który był przerażony tym, jak ludzie nie dbają o bezpieczeństwo swoich danych logowania. Dlatego w tym wpisie znajdziesz opis kilku prostych kroków, które pozwolą Ci zabezpieczyć Twoje dane względnie silnym, a łatwym do zapamiętania hasłem.

Na początku kilka słów teorii. Najczęściej hasła są przechwytywane na jeden z czterech sposobów:

  • właściciel hasła po prostu je powiedział lub zapisał – o tym napiszę jeszcze później, ale nigdy tego nie rób,
  • przez złośliwe oprogramowanie – aby się przed tym zabezpieczyć, zainwestuj w dobry program antywirusowy i nie klikaj w podejrzane linki – szczególnie te, które obiecują Ci dużo za kliknięcie,
  • złamanie metodą słownikową – aby się przed tym zabezpieczyć unikaj haseł opartych o wyrazy występujące w słownikach (tak, tych książkach z listą słów),
  • złamanie metodą siłową – na tę metodę w praktyce nie ma rady, ale jeśli Twoje hasło jest odpowiednio długie, to więcej czasu potrzeba, aby je złamać.

Z powyższych faktów wynika, że najbezpieczniejsze jest hasło w stylu djg493fhaeldskj vndx/aer3r3#fase afjopdsfa]dfhu7847rweofksddfgSD32sdf\, którego nikomu nie powiesz ani nie pozwolisz na przechwycenie go za pomocą wirusów lub robaków. Problem jest z zapamiętaniem takiego hasła. Dlatego chciałem Ci podać metodę, która pozwoli Ci wygenerować hasło które Ty łatwo zapamiętasz, a które dla osoby postronnej (i z punktu widzenia programu do łamania haseł) będzie wyglądało jak losowy ciąg znaków. To jedziemy z przygotowaniem Twojego bezpiecznego haseł (a nawet ich zestawu).

1. Wybierz trzy wyrazy.

Na początek wybierz trzy dowolne wyrazy, które łatwo zapamiętasz. Z doświadczenia powiem, że zwykle bardzo dobrze wpisują się trzy pierwsze wyrazy, które przyjdą Ci do głowy albo które znajdziesz patrząc na tytuły książek stojących na Twojej półce. Dobrze, jeśli jeden z nich będzie w innym języku albo będzie jakimś skrótem. Te trzy wyrazy utworzą trzy bloki Twojego hasła, które dadzą mu odpowiednią długość. Po wyborze trzech słów, Twoje hasło powinno już liczyć co najmniej kilkanaście znaków.

2. Pozmieniaj niektóre litery na podobne cyfry.

Następnym krokiem w przygotowywaniu hasła jest zmiana niektórych liter na podobne do nich cyfry lub znaki specjalne. „Podobne” – czyli takie, które Tobie je przypominają. Mi na przykład „o” przypomina 0, „z” – 2, a „i” – !. Żeby uniknąć złamania hasła przez wykorzystanie słownika, zmień 3-5 liter w swoim haśle na cyfry.

3. Wybierz wielkie litery.

Kolejnym krokiem pozwalającym zwiększyć bezpieczeństwo Twojego hasła jest zmiana niektórych liter na wielkie. Wybierz je w zależności od swojego uznania. Przykładowe sposoby na łatwe zapamiętanie wprowadzonych zmian to:

  • wybór określonych liter alfabetu,
  • wybór co 5 znaku,
  • wybór 3 znaku od końca w każdym bloku.

4. Dodaj znaki specjalne.

Dla poprawy bezpieczeństwa przez dodanie niestandardowych znaków, jeden z bloków hasła – jedno z wybranych przez Ciebie słów – umieść pomiędzy wybranymi znakami specjalnymi, na przykład pomiędzy nawiasami określonego typu.

Jeśli przeszedłeś przez te cztery kroki, masz już przygotowane trzy bloki hasła, zawierające wielkie i małe litery, cyfry i znaki specjalne. Łącząc je ze sobą w różnych kombinacjach, uzyskasz już sześć względnie bezpiecznych haseł, które możesz wykorzystać do logowania na różnych stronach. Jeśli chcesz sobie ułatwić zapamiętanie, możesz przypisać dany układ bloków do danego typu stron – na przykład jeden do banków, drugi do poczty, trzeci do serwisów społecznościowych i tak dalej. To rozwiązanie samo w sobie jednak obniży Twoje bezpieczeństwo w sieci i ja go nie stosuję. Następny krok pozwoli Ci jeszcze zwiększyć liczbę haseł, którymi zabezpieczasz swoje dane, bez ich większego komplikowania.

5. Zwiększ liczbę haseł.

Jeśli chcesz uzyskać więcej kombinacji haseł, a więc większe bezpieczeństwo Twoich danych, możesz skorzystać z prostej zasady: umieszczaj w określonym miejscu hasła (na początku, końcu, pomiędzy którymiś blokami) nazwy lub kilkuliterowego skrótu nazwy strony, do której dane hasło się odnosi. Jeżeli korzystasz ze skrótów pamiętaj, żeby konsekwentnie trzymać się zasady, według której je tworzysz.

6. Regularnie aktualizuj hasło

Co parę miesięcy (tak 3-6, ale tutaj niech specjaliści się wypowiedzą) twórz swoje hasło od nowa i zmieniaj je na wszystkich stronach, z których regularnie korzystasz. Jeśli przestałeś używać jakiejś usługi – najlepiej usuń z niej konto.

7. Przykład z prawdziwego zdarzenia.

Żeby zilustrować powyższe zasady: jedno z moich haseł to…

No właśnie, niezależnie od tego, jak masz mocne hasło, zwykle to Ty jesteś osobą, która najbardziej je rozpowszechnia. Dlatego, gdy już opracujesz swój zestaw bezpiecznych haseł, NIGDY NIKOMU nie zdradzaj żadnego z nich ani dokładnych zasad, według których je tworzysz (jeżeli chcesz kogoś pouczyć, jak stworzyć bezpieczne hasło, podaj mu link do tego wpisu).

Na pewno nigdy nie przyklejaj hasła na karteczce do komputera. Jeśli boisz się, że zapomnisz hasła, które stworzyłeś przy użyciu tej metody – zapisz (albo zaznacz w książkach, z których je wziąłeś) trzy wyjściowe słowa, których użyłeś konstrukcji jego bloków. To powinno Ci wystarczyć – patrząc na nie przypomnisz sobie, które znaki zmieniałeś, jakie dodałeś i w jakiej kolejności użyłeś tych słów.

I teraz mogą pojawić się głosy, że przecież tak się nie da, bo czasem ktoś musi skorzystać z Twojego komputera. Ja sam w dwóch miejscach, w których pracowałem, musiałem rezygnować z bezpiecznego hasła żeby inni mogli dostać się do danych, kiedy akurat mnie nie było. Teraz mam na to proste rozwiązanie: na swoim komputerze tworzę dodatkowe konto z prostym hasłem, któremu udostępniam te moje foldery lub pliki, które mogą być potrzebne innym (w Windows 10 można to zrobić przez kliknięcie prawym przyciskiem na plik lub folder i wybranie opcji „Udostępnij”). Następnym krokiem, którego jeszcze nie zrobiłem, jest przygotowanie dla siebie zdalnego dostępu do komputera (tutaj uwaga, że nie w każdej sieci firmowej może być to możliwe), dzięki czemu na bieżąco będę mógł zmieniać udostępnione pliki nawet, jak mnie nie ma fizycznie przy komputerze.

A w ogóle to zachęcam do lobbowania za nabyciem do pracy wewnętrznego serwera plików, jeśli jeszcze takiego nie macie.

W domu sprawa jest prosta: każdy użytkownik powinien mieć swoje konto. A zasada udostępniania danych działa dokładnie tak samo.

wpisuj zawsze tylko bezpieczne hasła; zdjęcie: DamianZaleski@unsplash.com, CC-0

8. Teraz już na serio przykład.

No to teraz naprawdę przykład wymyślony w czasie pisania wpisu (i proszę, nie ustawiaj go jako swojego hasła…). Gdy piszę ten tekst, widzę radio, więc słowo „radio” będzie pierwszym blokiem mojego hasła. Drugim będzie „recenzja” (słowo, które widzę na pasku zadań Office). No i skrót… a, weźmy skrót od nazwy bloga: „o-p” (nawet będzie ze znakiem specjalnym). Tak więc poszczególne bloki mojego hasła to::

  • radio,
  • recenzja,
  • o-p.

Teraz czas na zmianę znaków. W „radio” zamienię literę „i” na 1″ oraz „o” na 0, a w „recenzja” – „z” na „2”. Do tego zmienię wszystkie litery „a” na wielkie. Żeby dodać znaki specjalne, umieszczę „o-p” w zwykłych nawiasach. Teraz trzy bloki mojego hasła to:

  • rAd10
  • recen2jA
  • (o-p).

Z tych trzech bloków mogę wygenerować sześć haseł takich, jak:

  1. rAd10recen2jA(o-p),
  2. rAd10(o-p)recen2jA,
  3. recen2jArAd10(o-p),
  4. recen2jA(o-p)rAd10,
  5. (o-p)recen2jArAd10,
  6. (o-p)rAd10recen2jA.

(spostrzegawczy pewnie już zauważyli, że łatwo można zwiększyć liczbę możliwych haseł przez zmianę rodzajów nawiasów)

Teraz mogę zdecydować, że dla poczty będę wykorzystywał hasło 3, do mediów społecznościowych hasło 4, do sklepów hasło 5, a do banków – hasło 2, dodając zawsze na początku i na końcu literę z inicjałów danego portalu. W ten sposób, moje przykładowe hasła mogą wyglądać następująco (dla ułatwienia – w nawiasie za nazwą pokazuję skrót od nazwy danej usługi):

  • Gmail (GM): grecen2jA(o-p)rAd10m,
  • Outlook (OL): orecen2jA(o-p)rAd10l,
  • Facebook (FB): f(o-p)recen2jArAd10b,
  • Twitter (TT): t(o-p)recen2jArAd10t,
  • Instagram (In): irecen2jA(o-p)rAd10n,
  • Allegro (Al): a(o-p)recen2jArAd10l,
  • Ebay (EB): e(o-p)recen2jArAd10b,

(treść komercyjna: klikając w nazwę banku zostaniesz przeniesiony na stronę z ofertą; jeżeli z niej skorzystasz, ja dostanę od banku prowizję)

  • Millenium Bank (MB): mrAd10(o-p)recen2jAb,
  • Raiffeisen (RF): crAd10(o-p)recen2jAa.

I na trzy miesiące mam spokój. Proste, prawda?

Jeśli masz jakieś swoje doświadczenia związane z bezpieczeństwem danych albo możesz pomóc mi ulepszyć ten algorytm tworzenia haseł – będę wdzięczny za komentarz.

  • Właśnie zacząłem testować LastPass. Jeśli ktoś też chciałby sprawdzić, jak to działa: https://lastpass.com/f?43253292 (rejestrując się przez ten link dasz mi dostęp do wersji premium na miesiąc).

  • Dzięki za obszerne wyjaśnienia.
    W sumie – jeśli ktoś zaczyna od tego miejsca, to wystarczy przeczytać komentarze Dawida i wtedy można już pominąć mój wpis:-).

  • Ad 1. Tutaj wszystko zależy od sposobu łamania hasła – jeśli ktoś próbuje nam się włamać na stronę przez internet, raczej nie przekroczy kilkunastu prób na sekundę. Natomiast jeśli ktoś wejdzie w posiadanie tzw. „skrótu hasła”, na przykład kiedy baza danych serwisu wycieknie do sieci to w zależności od tego jak dobrze swoją robotę wykonali programiści / specjaliści od zabezpieczeń, może to być od mniej niż 1 hasło / s do kilku milionów. Niektóre hasła da się prosto złamać, gdy użyty algorytm generowania skrótu posiada słabości (np. MD5).

    Ad 2. Co do tego pytania, to nie mogę powiedzieć czy tego typu programy są w 100% bezpieczne. Natomiast sam mechanizm w teorii zwiększa bezpieczeństwo – szczególnie, gdy cieżko nam dbac o bezpieczeństwo hasła.

    Używając menadżera haseł musimy zapamiętać jedno hasło, a cała reszta haseł może być generowanymi losowo długimi ciągami znaków. To jedno hasło powinniśmy stworzyć odpowiednio mocne. Wtedy cały mechanizm zapewnia spory poziom bezpieczeństwa.

    W przypadku nie używania takiego programu łatwo pójść na skróty – używając jednego hasła w wielu miejscach, tworząc hasła w stylu poczta_onet_012.

    Podsumowując, jeśli ktoś potrafi zapamiętać samodzielnie mocne hasła do serwisów, których używa to nie potrzebuje takiego programu. Jeśli natomiast sprawia mu to kłopoty i często pozwala sobie na tworzenie słabych haseł to taki program odpowiednio użyty zwiększy bezpieczeństwo jego danych / kont.
    ––––

    Chciałem jeszcze dopisać akapit na temat zmiany haseł. Ja wychodzę z założenia, że hasła powinno się zmieniać wtedy, kiedy mamy podejrzenia, że hasło już nie jest bezpieczne, np wtedy kiedy:
    – przeczytaliśmy gdzieś o wycieku danych z serwisu,
    – wpisywaliśmy hasło w miejscu gdzie ktoś mógł je podejrzeć (to dotyczy także monitoringu)
    – logowaliśmy się na niezaufanym komputerze

    Tutaj z pomocą również przychodzą menadżery haseł, z funkcją oznaczającą hasła do serwisów, które miały problemy z bezpieczeństwem.

  • Dzięki za dodatkowe informacje. Czyli, zgodnie z komiksem, znaki specjalne są tak naprawdę drugorzędne i nie zwiększają one bezpieczeństwa, jeżeli jest ono odpowiedniej długości i mój algorytm mógłbym do punktu 1 (rozbudowanego o dwa dodatkowe wyrazy) ograniczyć?
    Jeśli wiesz, będę wdzięczny za odpowiedź na dwa pytania, które mam po Twoim komentarzu:
    1. Czy 1000 prób odgadnięcia hasła na sekundę (szybkość podana w komiksie) to realna szybkość działania dzisiejszych programów do łamania haseł?
    2. Nigdy nie korzystałem z menadżera haseł, bo wydawało mi ryzykowne chronienie wszystkich haseł jednym. Jak jest z bezpieczeństwem takich programów?

  • Fajny artykuł, myśle że w dzisiejszym świecie, kiedy większość spraw załatwiamy przez internet warto poruszać takie kwestie. Włamanie na portal społecznościowy, czy maila może nas narazić na utratę dobrego imienia, a co dopiero gdy komuś uda się przejąć nasze konto bankowe. Temat bezpieczeństwa w sieci jest bardzo złożony, ale tak na szybko kilka przemyśleń.

    Z mojej strony polecam używanie managerów haseł np.
    https://www.1password.com
    http://keepass.info
    https://lastpass.com
    dzięki czemu będziemy musieli tak naprawdę pamiętać tylko jedno hasło :)

    Polecałbym też, używać całkowicie różnych haseł – szczególnie do serwisów, które są ze soba w jakiś sposób powiązane. Jeśli ktoś wejdzie w posiadanie hasła np. do facebooka „rAd10recen2jA(o-p)”, to jeśli hasłem do skrzynki pocztowej powiązanej z fb będzie: „rAd10(o-p)recen2jA”, to atakujący w kilku próbach będzie w stanie je odgadnąć.

    Dodatkowo większość słowników używanych do łamania haseł posiada również warianty z podmienionymi niektórymi znakami (A -> @, i -> 1, !, A -> 4 itp.), więc jeśli już chcemy stosować podmianki – to najlepiej jakieś nieoczywiste.

    Natknąłem się kiedyś na komiks, który w sposób humorystyczny pokazuje jak można tworzyć stosunkowo bezpieczne hasła, które w dodatku są bardzo łatwe do zapamiętania (obrazek po angielsku) http://imgs.xkcd.com/comics/password_strength.png
    Okazuje się, że 4 słowa występujące w słowniku zestawione w losowy sposób są trudniejsze do złamania (a o wiele łatwiejsze do zapamiętania), niż jedno słowo z pozamienianymi/dodanymi losowo znakami :)