Wszyscy korzystamy z haseł do różnych systemów, ale często traktujemy jako zło konieczne i utrudnienie w codziennej pracy. Nikogo jednak nie dziwi, że wychodząc z pomieszczeń, które nie są publicznie dostępne, zamykamy za sobą drzwi na klucz. Powszechnie wiemy też, że zamki w drzwiach są lepsze i gorsze, bardziej i mniej odporne na sforsowanie (wytrych, rozwiercenie, itp.) i dobieramy je stosownie wartości jaką chronią.
W informatyce rolę takich kluczy pełnią między innymi hasła do systemów. Za pomocą pary danych (login i hasło) system sprawdza jaka osoba się próbuje do niego dostać oraz jakie ma uprawnienia (czyli co faktycznie może w nim zrobić). Jeżeli ktoś posługuje się nie swoimi danymi do logowania (np. je wykradł lub zgadł) to system tego nie rozpozna i staje się bezbronny. Ta ścieżka jest powszechnie wykorzystywana przez cyberprzestępców i niestety bardzo skuteczna.
Jest kilka podstawowych błędów jakie nagminnie robią użytkownicy w kontekście haseł do systemów, z których skrupulatnie korzystają przestępcy. Niestety, wydawałoby się banalne zaniedbania w tym zakresie, mogą prowadzić do opłakanych konsekwencji, np. wykradzenie danych, zaszyfrowanie komputerów, kary RODO, przestoje.
Poniżej 4 najważniejsze zasady stosowania haseł:
Nie zostawiaj haseł domyślnych.
Producenci urządzeń i oprogramowania muszą, na ogół, zdefiniować przynajmniej jednego użytkownika i domyślne hasło, dostępne w dokumentacji, żeby przy pierwszym uruchomieniu można było cokolwiek zrobić. Rozpoczęcie korzystania z takiego urządzenia (systemu) należy zacząć od zmiany tego domyślnego hasła. Pozostawienie hasła domyślnego, to jak wyjście z domu i zamknięcie za sobą tylko drzwi na klamkę. Każdy kto chwyci za klamkę będzie bez problemu mógł wejść do środka. Osoba nawet z niewielką wiedzą informatyczną jest w stanie szybko ustalić z jakim urządzeniem (systemem) ma do czynienia i w dokumentacji producenta (wszystko przecież jest dostępne w Internecie) sprawdzić hasło domyślne. Cała operacja może trwać mniej niż 10 min.
Nie stosuj tych samych haseł do różnych systemów.
Wykradanie naszych danych, które pozostawiliśmy w innych instytucjach i firmach to, niestety, już powszechna praktyka. Praktycznie codziennie pojawiają się informacje o różnych wyciekach danych w tym danych do logowania. Takie dane dostępne są potem w tzw. darknecie („internecie dla cybeprzestepców”) i masowo wykorzystywane do logowania we wszystkich możliwych miejscach. W takim przypadku wyciek jednej pary login + hasło powoduje, że zagrożone są wszystkie miejsca, gdzie były wykorzystywane.
W przypadku, kiedy atakujący dostanie się do naszej wewnętrznej sieci (np. klikniemy w fałszywy link w mailu) to stara się wykradać wszystkie hasła do których tylko odnajdzie. Jeżeli stosujemy takie samo hasło w różnych miejscach w naszych systemach, to już bardziej intruzowi pomóc nie mogliśmy.
Unikaj krótkich i prostych haseł.
Korzystamy z wielu systemów, więc najłatwiej nam ustalić krótkie i proste (łatwe do zapamiętania) hasła, żeby potem szybko i wygodnie z nich korzystać. Jak się okazuje, większość osób w bardzo podobny sposób ustala takie „łatwe dla siebie” hasła, więc są one powtarzalne i bardzo łatwo przewidywalne. Powszechnie dostępne są w Internecie bazy „typowych” haseł (dla języka polskiego również) za pomocą których można bardzo łatwo, metodą kolejnych prób przypasować hasło ze słownika. Jeżeli masz hasło typu „trudnehaslo11”, „jola123”, „fiolek87”, „qwerty” lub inne stworzone wg znanych i popularnych schematów to odgadnięcie (dopasowanie) go zajmie automatowi poniżej 1 sekundy. Czas łamania hasła zależy od jego długości i złożoności:
- Hasło 8 znakowe, występujące w słowniku do łamania haseł – czas łamania do 1 sek.
- Hasło 8 znakowe, losowe (małe i duże litery, cyfry) – czas łamania do 1 godz.
- Hasło 12 znakowe, losowe (małe i duże litery, cyfry, znaki specjalne) – czas łamania liczony w latach.
Rozwój mocy obliczeniowej komputerów z roku na rok się podnosi, algorytmy są coraz wydajniejsze i powyższe czasy łamania haseł też się skracają, więc nie warto oszczędzać na długości hasła, a te które kiedyś były uważane za bezpieczne (np. 8 znakowe) należy koniecznie dostosować do dzisiejszych wymogów.
Wszędzie, gdzie to możliwe korzystaj z 2FA (MFA)
2FA to skrót z angielskiego, oznaczający uwierzytelnianie dwuskładnikowe, czyli konieczność dodatkowego potwierdzenia innym kanałem, że ja to ja. Np. przy logowaniu będziemy poproszeniu o podanie dodatkowego kodu, który przyjdzie do nas mailem, SMS-em lub w specjalnej aplikacji. Takie rozwiązanie bardzo podnosi bezpieczeństwo, ponieważ nawet wykradnięcie hasła nic przestępcy nie daje. Musiałby jednocześnie uzyskać dostęp do naszego maila lub telefonu co jest już znacznie trudniejsze. Nie wszystkie konta oferują 2FA, ale wszędzie tam, gdzie jest to możliwe zdecydowanie rekomendujemy uruchomienie.
Jakie hasła są bezpieczne?
Hasła, żeby spełniały swoja podstawową rolę muszą być:
- Długie – min. 12 znaków, zalecamy więcej
- Skomplikowane – zawierać małe i duże litery, cyfry i znaki specjalne; zalecamy hasła losowe
- Unikalne – w każdym miejscu inne hasło
Jak sobie poradzić z zapamiętaniem wielu długich i skomplikowanych haseł?
Najprościej wcale ich nie zapamiętywać tylko skorzystać z oprogramowania typu manager haseł (dostępne również bezpłatnie), gdzie w sposób bezpieczny (mocne szyfrowanie) możemy przechowywać wszystkie nasze hasła, które w prosty sposób taki system będzie nam podpowiadał przy logowaniu. W takim przypadku trzeba zapamiętać tylko jedno hasło do managera haseł. Oczywiście hasło do managera haseł (hasło do wszystkich haseł) musi być bezpieczne!
