Flaga Turcji i zdjęcie
tureckiego prezydenta Recepa Erdoğana na prywatnym koncie na Twitterze? To z
pewnością mogłyby wprawić niektórych w konsternację. Właśnie to przydarzyło się
w styczniu tego roku redaktorowi naczelnemu niemieckiego „Spiegla” Klausowi
Brinkbäumerowi. Na swoim profilu na Twitterze miał rzekomo zamieścić tweet
Chcieliśmy przeprosić za nieprzychylne informacje publikowane przez nas pod
adresem Turcji i Recepa Erdoğana.
Okazało się jednak, że jego konto zostało
wykorzystane w nieuprawniony sposób przez osoby trzecie. Dlaczego? Jednym z
powodów tej sytuacji mogło być właśnie niedostatecznie bezpieczne hasło.
Hasła używane w
mediach społecznościowych, czy też w sklepach internetowych stanowią i zawsze
będą stanowić ważny element ochrony osobistych kont internetowych przed
dostępem nieuprawnionych osób trzecich. Przez lata eksperci w zakresie
zabezpieczeń IT analizowali, jakie elementy powinno zawierać hasło, by
skutecznie zapobiegać przejmowaniu kont przez niepowołane osoby. Dawniej
badacze zgodnie twierdzili, że bezpieczne hasło powinno zawierać co najmniej
osiem znaków oraz że nie powinno się używać pospolitych i łatwych do
odgadnięcia wyrazów. Wytyczne te do dziś zawierane są we wskazówkach odnośnie
tworzenia haseł takich gigantów, jak Google. Amerykański zespół ds. działania w
sytuacjach kryzysowych z zakresu IT United States Computer Emergency Readiness
Team (US-CERT) dodaje, że użytkownicy powinni posługiwać się na swoich kontach
hasłami generowanymi na różne sposoby. Muszą one spełniać szereg kryteriów
odwołujących się do stopnia ich złożoności, m.in. zawierać znaki specjalne i
cyfry oraz litery. Publikacja pt. „Let’s go in for a closer look: Observing
passwords in their natural habitat” (Przyjrzyjmy się z bliska hasłom i ich
zachowaniu w środowisku naturalnym) pokazuje, że użytkownicy posługują się
hasłami średnio na 26,3 różnych stronach internetowych! W 80% przypadków na
każdej ze stron używają tego samego lub nieznacznie zmodyfikowanego hasła.
Sytuacja ta pokazuje, że użytkownicy podchodzą niechętnie do korzystania z
różnych haseł na różnych stronach internetowych, bo przecież kto by zapamiętał
tak dużą ilość złożonych kombinacji? Rozwiązaniem problemu jest korzystanie z managera
haseł, na przykład zawartego w pakiecie G DATA Total Security.
Hasła przypisane do poszczególnych stron są przechowywane na komputerze w bazie
danych offline z wykorzystaniem plug-inów dla przeglądarki. Do ochrony przed
dostępem niepowołanych osób trzecich do haseł wystarczy użyć ustalonego hasła
głównego. Następnie mamy możliwość wyświetlenia i zarządzania
spersonalizowanymi hasłami. Gdy potrzebujemy bezpiecznego hasła, oprogramowanie
może wygenerować dla nas zaszyfrowane hasło za jednym kliknięciem. Najlepiej
jest, jednak gdy użytkownicy tworzą oddzielne hasła sami. Firma G DATA
przedstawia przydatne wskazówki z okazji Światowego Dnia Hasła:
Siedem wskazówek zwiększających bezpieczeństwo Twojego konta:
- Zainstaluj manager haseł: Łatwo
jest zagubić się w gąszczu oddzielnych haseł, kiedy korzysta się z kilkunastu
portali. Dzięki managerowi haseł pozbędziemy się tego rodzaju problemu. Po
zainstalowaniu manager pojawia się jako ikona przeglądarki i zapamiętuje
wszystkie dane logowania do stron wymagających podania hasła.
- Długość hasła jest kluczem do
sukcesu: Spośród dotychczasowych rekomendacji wyłania się nowe podejście:
długie hasła są bardziej skuteczne niż te skomplikowane. Hasło nadal może
zawierać kombinację znaków interpunkcyjnych, cyfr oraz małych i wielkich liter
jednak im jest ono dłuższe, tym więcej możliwości będzie musiał wziąć pod uwagę
potencjalny haker.
Przykład: Na hasło składające się z sześciu znaków, z których wszystkie to małe
litery, przypada prawie 309 milionów kombinacji. Na początku wydaje się to
dużo, jednak dla komputera nowej generacji odgadnięcie takiego hasła to kwestia
około... siedmiu sekund! Jednak gdy z sześciu znaków wydłużymy je do dwunastu,
znalezienie poprawnej kombinacji zajmie hakerowi już aż 66 lat!
- Wykorzystuj tekst szyfrujący:
Korzystanie z hasła w postaci pojedynczego słowa jest niewystarczające z punktu
widzenia bezpieczeństwa. Takie hasła, jak na przykład „football1234” albo
„hasło+” są zbyt łatwe do odgadnięcia. Można zatem wykorzystać tekst szyfrujący,
którego nie znajdziemy w słowniku, a który będzie łatwy do zapamiętania. Jest
to bardzo ważne, ponieważ cyberprzestępcy wykorzystują w swojej działalności
statystycznie prawdopodobne kombinacje, które szybko prowadzą do odkrycia
sekwencji wyrazów i w ten sposób sprawiają, że hasło znów staje się
niewystarczające.
Przykład: Tekst szyfrujący można łatwo utworzyć na przykład z angielskiego
zdania „I am a good password for security purposes” (Jestem skutecznym i
bezpiecznym hasłem). Wiele osób nie wie, że w hasłach można również stosować
spację. I oto otrzymujemy następujący tekst szyfrujący:
“!@m@g00dp@ssw0rdfors3cur!typurp0s3s.”
- Zmieniaj hasła w odpowiedni
sposób: Przy zmianie hasła nie należy tworzyć nowego hasła na podstawie
poprzedniego, z którego korzystaliśmy. Wielu użytkowników dodaje do hasła
liczbę oznaczającą miesiąc lub rok bądź następną liczbę w kolejności. Inni
internauci zmieniają skuteczne hasło na prostsze dla wygody. Ogólnie rzecz
biorąc, warto zmienić hasło tylko wtedy, gdy wymaga tego dana strona, gdy osoba
niepowołana bacznie przyglądała się wpisywanemu przez nas hasłu oraz gdy
dowiemy się, że baza danych portalu internetowego została zaatakowana przez
hakerów. Informacji na ten temat możemy zasięgnąć na przykład na stronie “Have I Been Pwned”.
- Niezwłocznie przeprowadzaj
aktualizacje: Aktualizacje zabezpieczeń to konieczność w epoce złośliwego
oprogramowania i tylko w ten sposób możemy zapewnić bezpieczeństwo swojemu
komputerowi lub urządzeniu mobilnemu. Ogólna zasada mówi, by zawsze korzystać z
aktualnej wersji systemu operacyjnego i zainstalowanego oprogramowania oraz by
wszelkie aktualizacje instalować niezwłocznie.
- Dwuetapowa autoryzacja:
Użytkownicy powinni tam, gdzie to możliwe korzystać z dwuetapowej autoryzacji.
Opcja ta jest także nazywana „logowaniem dwustopniowym”, „potwierdzeniem
logowania” itp. Facebook, LinkedIn, Dropbox, Google, PayPal oraz kilku innych
najpopularniejszych dostawców oferuje taką możliwość.
- Zaktualizowana ochrona
antywirusowa: Komputery stacjonarne i laptopy, a także smartphone’y i tablety
powinny zawsze posiadać zaktualizowaną ochronę antywirusową. Użytkownicy często
zakładają, że kwestia zagrożeń bezpieczeństwa nie dotyczy urządzeń przenośnych,
co wynika z błędnego założenia, że nie ma możliwości, by zostały wykorzystane
do celów przestępczych. Należy najszybciej, jak to możliwe wyeliminować taki
sposób myślenia.