3 maja – Światowy Dzień Hasła

Flaga Turcji i zdjęcie tureckiego prezydenta Recepa Erdoğana na prywatnym koncie na Twitterze? To z pewnością mogłyby wprawić niektórych w konsternację. Właśnie to przydarzyło się w styczniu tego roku redaktorowi naczelnemu niemieckiego „Spiegla” Klausowi Brinkbäumerowi. Na swoim profilu na Twitterze miał rzekomo zamieścić tweet

Chcieliśmy przeprosić za nieprzychylne informacje publikowane przez nas pod adresem Turcji i Recepa Erdoğana.

Okazało się jednak, że jego konto zostało wykorzystane w nieuprawniony sposób przez osoby trzecie. Dlaczego? Jednym z powodów tej sytuacji mogło być właśnie niedostatecznie bezpieczne hasło.

Hasła używane w mediach społecznościowych, czy też w sklepach internetowych stanowią i zawsze będą stanowić ważny element ochrony osobistych kont internetowych przed dostępem nieuprawnionych osób trzecich. Przez lata eksperci w zakresie zabezpieczeń IT analizowali, jakie elementy powinno zawierać hasło, by skutecznie zapobiegać przejmowaniu kont przez niepowołane osoby. Dawniej badacze zgodnie twierdzili, że bezpieczne hasło powinno zawierać co najmniej osiem znaków oraz że nie powinno się używać pospolitych i łatwych do odgadnięcia wyrazów. Wytyczne te do dziś zawierane są we wskazówkach odnośnie tworzenia haseł takich gigantów, jak Google. Amerykański zespół ds. działania w sytuacjach kryzysowych z zakresu IT United States Computer Emergency Readiness Team (US-CERT) dodaje, że użytkownicy powinni posługiwać się na swoich kontach hasłami generowanymi na różne sposoby. Muszą one spełniać szereg kryteriów odwołujących się do stopnia ich złożoności, m.in. zawierać znaki specjalne i cyfry oraz litery. Publikacja pt. „Let’s go in for a closer look: Observing passwords in their natural habitat” (Przyjrzyjmy się z bliska hasłom i ich zachowaniu w środowisku naturalnym) pokazuje, że użytkownicy posługują się hasłami średnio na 26,3 różnych stronach internetowych! W 80% przypadków na każdej ze stron używają tego samego lub nieznacznie zmodyfikowanego hasła. Sytuacja ta pokazuje, że użytkownicy podchodzą niechętnie do korzystania z różnych haseł na różnych stronach internetowych, bo przecież kto by zapamiętał tak dużą ilość złożonych kombinacji? Rozwiązaniem problemu jest korzystanie z managera haseł, na przykład zawartego w pakiecie G DATA Total Security.

Hasła przypisane do poszczególnych stron są przechowywane na komputerze w bazie danych offline z wykorzystaniem plug-inów dla przeglądarki. Do ochrony przed dostępem niepowołanych osób trzecich do haseł wystarczy użyć ustalonego hasła głównego. Następnie mamy możliwość wyświetlenia i zarządzania spersonalizowanymi hasłami. Gdy potrzebujemy bezpiecznego hasła, oprogramowanie może wygenerować dla nas zaszyfrowane hasło za jednym kliknięciem. Najlepiej jest, jednak gdy użytkownicy tworzą oddzielne hasła sami. Firma G DATA przedstawia przydatne wskazówki z okazji Światowego Dnia Hasła:

Siedem wskazówek zwiększających bezpieczeństwo Twojego konta:

• Zainstaluj manager haseł: Łatwo jest zagubić się w gąszczu oddzielnych haseł, kiedy korzysta się z kilkunastu portali. Dzięki managerowi haseł pozbędziemy się tego rodzaju problemu. Po zainstalowaniu manager pojawia się jako ikona przeglądarki i zapamiętuje wszystkie dane logowania do stron wymagających podania hasła.
• Długość hasła jest kluczem do sukcesu: Spośród dotychczasowych rekomendacji wyłania się nowe podejście: długie hasła są bardziej skuteczne niż te skomplikowane. Hasło nadal może zawierać kombinację znaków interpunkcyjnych, cyfr oraz małych i wielkich liter jednak im jest ono dłuższe, tym więcej możliwości będzie musiał wziąć pod uwagę potencjalny haker.

Przykład: Na hasło składające się z sześciu znaków, z których wszystkie to małe litery, przypada prawie 309 milionów kombinacji. Na początku wydaje się to dużo, jednak dla komputera nowej generacji odgadnięcie takiego hasła to kwestia około... siedmiu sekund! Jednak gdy z sześciu znaków wydłużymy je do dwunastu, znalezienie poprawnej kombinacji zajmie hakerowi już aż 66 lat!

• Wykorzystuj tekst szyfrujący: Korzystanie z hasła w postaci pojedynczego słowa jest niewystarczające z punktu widzenia bezpieczeństwa. Takie hasła, jak na przykład „football1234” albo „hasło+” są zbyt łatwe do odgadnięcia. Można zatem wykorzystać tekst szyfrujący, którego nie znajdziemy w słowniku, a który będzie łatwy do zapamiętania. Jest to bardzo ważne, ponieważ cyberprzestępcy wykorzystują w swojej działalności statystycznie prawdopodobne kombinacje, które szybko prowadzą do odkrycia sekwencji wyrazów i w ten sposób sprawiają, że hasło znów staje się niewystarczające.

Przykład: Tekst szyfrujący można łatwo utworzyć na przykład z angielskiego zdania „I am a good password for security purposes” (Jestem skutecznym i bezpiecznym hasłem). Wiele osób nie wie, że w hasłach można również stosować spację. I oto otrzymujemy następujący tekst szyfrujący: “!@m@g00dp@ssw0rdfors3cur!typurp0s3s.”

• Zmieniaj hasła w odpowiedni sposób: Przy zmianie hasła nie należy tworzyć nowego hasła na podstawie poprzedniego, z którego korzystaliśmy. Wielu użytkowników dodaje do hasła liczbę oznaczającą miesiąc lub rok bądź następną liczbę w kolejności. Inni internauci zmieniają skuteczne hasło na prostsze dla wygody. Ogólnie rzecz biorąc, warto zmienić hasło tylko wtedy, gdy wymaga tego dana strona, gdy osoba niepowołana bacznie przyglądała się wpisywanemu przez nas hasłu oraz gdy dowiemy się, że baza danych portalu internetowego została zaatakowana przez hakerów. Informacji na ten temat możemy zasięgnąć na przykład na stronie “Have I Been Pwned”.

• Niezwłocznie przeprowadzaj aktualizacje: Aktualizacje zabezpieczeń to konieczność w epoce złośliwego oprogramowania i tylko w ten sposób możemy zapewnić bezpieczeństwo swojemu komputerowi lub urządzeniu mobilnemu. Ogólna zasada mówi, by zawsze korzystać z aktualnej wersji systemu operacyjnego i zainstalowanego oprogramowania oraz by wszelkie aktualizacje instalować niezwłocznie.

• Dwuetapowa autoryzacja: Użytkownicy powinni tam, gdzie to możliwe korzystać z dwuetapowej autoryzacji. Opcja ta jest także nazywana „logowaniem dwustopniowym”, „potwierdzeniem logowania” itp. Facebook, LinkedIn, Dropbox, Google, PayPal oraz kilku innych najpopularniejszych dostawców oferuje taką możliwość.
• Zaktualizowana ochrona antywirusowa: Komputery stacjonarne i laptopy, a także smartphone’y i tablety powinny zawsze posiadać zaktualizowaną ochronę antywirusową. Użytkownicy często zakładają, że kwestia zagrożeń bezpieczeństwa nie dotyczy urządzeń przenośnych, co wynika z błędnego założenia, że nie ma możliwości, by zostały wykorzystane do celów przestępczych. Należy najszybciej, jak to możliwe wyeliminować taki sposób myślenia.