Silne hasło – po co je mieć i jak je stworzyć

Ta historia nie jest prawdziwa. A jednocześnie jest do bólu prawdziwa. Niejedna osoba w Twoim kręgu znajomych miała już taką lub podobną sytuację, której można byłoby zapobiec, świadomie zarządzając swoimi danymi dostępowymi. Pokażemy Ci, jak robić to z głową, a jednocześnie nie obawiać się milionów dziwnych znaków do zapamiętania w milionach różnych miejsc.

Opowieść o dramacie, który może Ci się przytrafić

Wyobraź sobie taki scenariusz: masz konto na Facebooku, z którego prowadzisz popularną grupę facebookową i stronę facebookową z wypracowanym przez lata gronem fanów; podobnie jest na Instagramie, gdzie także masz szeroki krąg obserwatorów. Wszystkie Twoje działania zawodowe są związane z Internetem. Jesteś znaną postacią blogosfery. Tworzysz unikalne treści. Nawiązujesz intratne współprace. Na koncie bankowym masz również całkiem pokaźną obrotową kwotę.

Dostajesz mailem informację, że ktoś z miejsca na świecie, w którym nigdy nie byłaś/-łeś, próbował zmienić Twoje hasło. W mailu jest prośba o to, by się zalogować i sprawdzić swoją aktywność. Logujesz się, wylogowujesz się ze wszystkich sesji – tak jak zaleca „Facebook”. Idziesz spać spokojnie…

Następnego dnia okazuje się, że nie możesz już zalogować się na swoje konto na Facebooku. Prosisz o pomoc znajomego, który stwierdza, że wprawdzie Twoja grupa istnieje, ale nie widniejesz już w gronie administratorów, a Twój fan page zmienił się nie do poznania: podstawione zdjęcie profilowe i zdjęcie w tle, brakuje Twoich postów, a zamiast nich są zupełnie inne treści. Widzisz masowy odpływ fanów. Wszystko dlatego, że przez kilkanaście godzin zamieszczono kilkadziesiąt postów, które przy najgorszych horrorach, są jak kolejne odcinki Troskliwych Misiów, a Ludzka Stonoga jest jak reklama pluszowych serduszek. Instagram wygląda podobnie…

W dodatku Twój telefon nie łączy się z siecią.

Prawnik, który chce Ci pomóc, prosi o zapłacenie zaliczki. Kwota duża, ale też masz ogromne pieniądze do stracenia. Wchodzisz do panelu bankowości internetowej i zamiast swoich oszczędności, widzisz tam gołe 0 zł. Z E R O.

Oblewa Cię zimny pot…

Inna historia? Będąc z dala od komputera, dostajesz telefon od dobrej znajomej. Pyta, czy faktycznie chcesz ten przelew do sklepu internetowego z modnymi butami? Robisz wielkie oczy, bo nie wiesz, o czym ona mówi. Po chwili rozmowy wiesz już, że – rzekomo – napisałaś na Messengerze prośbę o zapłacenie online za Twoje zakupy, bo coś Ci nie działa z płatnościami online, a Ty zaraz wyślesz zwrot tradycyjnym przelewem. Zdumiona logujesz się na Facebooku i odkrywasz, że z Twojego konta prośba ta została wysłana do kilkudziesięciu Twoich znajomych, którzy teraz bombardują Cię pytaniami. Kilkoro z nich napisało, że jasne, nie ma sprawy, i… opłaciło „Twoje” zakupy. Tylko że… żadnych zakupów nie było. Link był podstawiony przez osobę, która włamała się na Twoje konto na Facebooku i podszyła pod Ciebie.

Oczywiście, sprawę zgłosisz na policji, ale szanse na złapanie złodzieja i zwrot przelanych przez znajomych pieniędzy są raczej znikome.

W dodatku masz świadomość, że Twoje konto na Facebooku nadal jest niezabezpieczone. Jesteś w panice, bo ten złodziej wciąż ma do niego dostęp, a Ty nie wiesz, co dalej zrobić.

Jak do tego wszystkiego doszło?

O tym, jak rozwiązać sytuację z drugiego scenariusza, pisaliśmy niedawno – z artykułu dowiesz się nie tylko, jak zabezpieczyć swoje konto facebookowe, aby nigdy do takiej sytuacji nie doszło, ale też, co zrobić, jeśli mimo wszystko się w takiej sytuacji znajdziesz. Natomiast jednym z punktów takiego dziurawego dostępu jest kwestia odpowiedniego hasła. I tym zajmiemy się w dzisiejszym artykule.

Pierwszy scenariusz od kuchni wyglądał tak, że dostałaś mail i zalogowałaś się na „Facebooku”, ale nie było to logowanie na prawdziwym Facebooku – padłaś/-eś ofiarą tzw. phishingu. Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, na przykład danych logowania. Jest to rodzaj ataku opartego na tzw. socjotechnice. Możesz więcej przeczytać o niej m. in. na Wikipedii.

Strona logowania do „Facebooka”, spreparowana tak, aby niczym nie różniła się od prawdziwego serwisu, miała na celu jedną rzecz – pozyskać Twoje dane dostępowe do Facebooka. W ten sposób, mając Twój login i hasło, ktoś zalogował się na nie, zmienił hasło, adres mailowy przypisany do tego konta. Przejął de facto Twoją tożsamość.

Mając Twój adres e-mail, podjął próby zalogowania się na niego. Nie było to dla niego problemem, bo ustawiłaś to samo hasło do zarówno do maila, jak i do Facebooka. Podobnie z Instagramem.

Kilka minut po tym, jak przestępca otrzymał już Twoje dane do logowania na Facebooku, posługując się sfałszowanym dowodem osobistym, wyrobił duplikat Twojej karty SIM i sprawił, że Twój telefon przestał działać.

Następnie spróbował szczęścia i postanowił zalogować się do Twojej bankowości elektronicznej. Kombinacja adresu e-mail i hasła zadziałały. Wykonał więc kilka przelewów na podstawione słupy. Mógł to zrobić, bo od momentu wyrobienia duplikatu karty SIM, SMS-y autoryzacyjne przychodziły na jego numer telefonu.

Zostałaś z niczym. A to nie koniec! Kilka tygodni później zaczęły przychodzić na Twój adres monity o niezapłaconych ratach chwilówek i kredytów, których nigdy nie zaciągałaś.

Wszystko to tylko dlatego, że we wszystkich istotnych serwisach wykorzystywałaś tę samą kombinację adresu e-mail i hasła, które podałaś na spreparowanej stronie do logowania.

Hasła to podstawa Twojego bezpieczeństwa w Internecie

Wiemy już, co może się stać, jeśli nie będziesz miał(-a) wystarczająco dobrych haseł. Ale co to znaczy „wystarczająco dobrych”? Tego dowiesz się z kolejnych akapitów.

Jakie są popularne metody łamania haseł?

Dwie najpopularniejsze metody łamania haseł to brute-force i ataki słownikowe. Metoda brute-force polega na zautomatyzowanym zgadywaniu haseł. Kombinacja po kombinacji, wykorzystując litery i cyfry. Atak słownikowy jest podobny, z tym, że wykorzystywane są słowniki – popularne wyrazy, hasła dostępne na skutek wycieków z innych portali. Obydwie te metody są bardzo nieskuteczne, gdy masz silne hasło. Warto wspomnieć, że istnieją jeszcze inne metody, które mogą znacząco skrócić czas potrzebny na jego złamanie. Natomiast w przypadku silnego hasła, potrzeba co najmniej setek lat aby je odgadnąć.

Co to znaczy, że hasło jest silne?

Tablica znaków, które są dostępne „z klawiatury” (tzw. tablica ASCII), to oprócz znaków specjalnych, wykorzystywanych w komunikacji sieciowej, to 94 różne znaki.

Przykładowo:

  • Hasło czteroznakowe, to 964 kombinacji różnych haseł, czyli 84 934 656 różnych dostępnych haseł.
  • Hasło ośmioznakowe, to 968, czyli 7,21389579 × 1015 ≈ 7 biliardów różnych kombinacji.
  • Hasło szesnastoznakowe daje z kolei ponad 5 kwintylionów kombinacji.

Współczesne komputery wykorzystują do operacji również procesory kart graficznych.

  • Złamanie hasła czteroznakowego zajmie około 200 mikrosekund.
  • Hasło ośmioznakowe zajmie około 16-stu godzin.
  • Sprawdzenie wszystkich pięciu kwintylionów kombinacji przy 16-sto znakowym haśle, zajmie około 41 trylionów lat.

Nawet gdyby wykorzystać super szybkie komputery wykorzystywane przez naukowców, co z pewnością byłoby odnotowane, zajęłoby wciąż wieczność.

Jak widzisz, silne hasło, to podstawa.

Ale jak stworzyć silne hasło i je zapamiętać?

Podzielę się z Tobą naszą metodą stworzenia silnego hasła. Weź jakiś ulubiony cytat, albo łatwy do zapamiętania, z jakiegoś filmu lub książki. Pokażę Ci swoją metodę na trzech przykładach. Czas łamania hasła będę podawał za każdym razem według strony howsecureismypassword.net (którą Ci, swoją drogą, gorąco polecamy).

Przykład pierwszy

ulubiona cyfra to 7 – ta fraza ma 19 znaków. Jej złamanie zajmie 924 trylionów lat. Praktycznie niełamliwe metodami brute-force i słownikowymi. To 9619 kombinacji, czyli 4,6 × 1037. Hasło jest proste do zapamiętania i już wystarczająco trudne do złamania.

Teraz zamień pierwsze litery na wielkie litery. Powstanie fraza: Ulubiona Cyfra to 7. Jeden kwintylion lat na złamanie.

Teraz zamień litery a na znak @: Ulubion@ Cyfr@ to 7. Czas na złamanie – 36 kwintylionów lat.

Przykład drugi

bram stoker’s dracula – fraza ma 21 znaków i jej złamanie zajmie 41 kwadrylionów lat. Nie zmieniajmy jej dodatkowo.

Przykład trzeci

1234567890 – to hasło jest trywialne do złamania, dodatkowo jest jednym z 1160 najczęściej używanych haseł (tak, istnieją takie listy, gdzie można się tego dowiedzieć). Znacznie trudniejsze hasło powstanie, gdy weźmiemy pierwsze litery poszczególnych cyfr: jeden-dwa-trzy-cztery-pięć-sześć-siedem-osiem-dziewięć-zero Z takiego zapisu powstanie hasło: jdtcpssodz. Złamanie takiego hasła zajmie 59 minut, więc wciąż bardzo krótko. 

Teraz rozdzielmy poszczególne litery spacjami i każdą nieparzystą literę zamieńmy na wielką literę: J d T c P s S o D z. Złamanie tego hasła to już 118 kwadrylionów lat. 

Dodajmy jeszcze jedno ulepszenie. Dużą literę S zamieńmy na znak dolara, a małą literę o na zero: J d T c P s $ 0 D z. Złamanie tego hasła zajmie 36 kwintylionów lat.

Najważniejszy jest algorytm. Wymyśl swój własny lub skorzystaj z któregoś wariantu powyżej. Nawet tak trywialne hasło jak 1234567890 da się zamienić na znacznie trudniejsze.

Jak pamiętać te wszystkie hasła?

Jeśli będziesz używać takiego samego hasła we wszystkich serwisach, to w przypadku wycieku haseł i loginów z jakiegoś portalu, możesz uznać je za skompromitowane. Dlatego tak ważne jest używanie różnych haseł do różnych portali.

Bardzo ważna zasada mówi o tym, żeby do każdego portalu używać innego hasła. Jest mnóstwo różnych miejsc, do których logujemy się za pomocą loginu i hasła. Login bardzo często się nie zmienia, jest to na przykład Twój e-mail. Hasło możesz zmieniać dowolnie. Tylko jak to wszystko spamiętać?

Są dwa sposoby.

Tworzenie wariantów

Pierwszy, to tworzenie różnych wariantów na podstawie jednego hasła. Jeśli chcesz używać nazw ulubionych książek, to używaj kilkunastu tytułów różnych książek. Takie niezmienione frazy mogą być łatwe do odgadnięcia, więc warto je trochę urozmaicić. Sposoby na urozmaicenie haseł już znasz.

Menadżery haseł

Drugi sposób to używanie menadżerów haseł. Znamy i sprawdziliśmy trzy najpopularniejsze: 1Password, KeePass i LastPass.

Wszystkie trzy menadżery haseł pozwalają na generowanie unikalnych haseł do każdego loginu oraz główna baza zabezpieczona jest tzw. master password, czyli hasłem do sejfu. Dzięki temu musisz pamiętać tylko jedno hasło do głównego sejfu, które będziesz podawać za każdym razem, gdy będzie potrzeba skopiowania jakiegoś hasła do konkretnego portalu.

Menadżery haseł mają również jedną bardzo przydatną funkcję – autouzupełnianie na stronach logowania. Najczęściej za pomocą wtyczki do przeglądarki. Za każdym razem, gdy będziesz się logować do jakiegoś portalu, to wystarczy podać swoje główne hasło, a wtyczka do przeglądarki uzupełni login i hasło na podstawie danych z sejfu.

Inne przydatne funkcje takich menadżerów to na przykład wyświetlanie informacji o kompromitacji przy każdym haśle. Taka informacja pokaże Ci, czy takie hasło już gdzieś wyciekło. Jeśli chcesz, pokażą Ci również, którego hasła używasz więcej niż raz.

Jak jeszcze możesz się zabezpieczyć?

Wszędzie, gdzie się da, włącz dwuskładnikowe uwierzytelnianie, zwane również 2FA (od ang. two-factor-authentication). Polega ono na tym, że oprócz loginu i hasła, musisz dodatkowo podać jednorazowy kod. Wysyłany jest on na przykład SMS-em lub generowany w specjalnej aplikacji na telefonie (na przykład Google Authenticator).

Dzięki temu, nawet jeśli dojdzie do ujawnienia Twojego hasła, do zalogowania potrzebny jest jeszcze Twój telefon i odczytanie kodu jednorazowego. Jeśli przez przypadek zapiszesz hasło do logowania w kafejce internetowej na wakacjach albo na komputerze znajomego, to do ponownego zalogowania potrzebny będzie jeszcze Twój telefon. A ten zazwyczaj masz przy sobie.

Ważne jest, aby dostęp do telefonu był zabezpieczony hasłem, odciskiem palca, Face ID lub wzorkiem, który nie jest trywialny do odgadnięcia. To na wypadek, gdyby jednak dostał się w niepowołane ręce. Dodatkowo, wyłącz podgląd SMS-ów na ekranie powiadomień zablokowanego telefonu. I nie zostawiaj swojego telefonu bez opieki.

Jak mogę w bezpieczny sposób przekazać komuś hasło?

Zacznijmy od tego, że prawie nie ma sytuacji, w których byłoby to naprawdę niezbędne.

Czasami jednak jest to konieczne, np. potrzebujemy hasło do Twojego dotychczasowego hostingu, aby przenieść do nas Twoją stronę internetową. Warto wtedy zadziałać z głową, a nie wklejać hasło w miejscu, w którym może ono być przechwycone przez kogoś niepowołanego.

Po pierwsze zmień swoje standardowe hasło na jakieś losowe, najlepiej równie trudne do złamania. Zmienisz je ponownie, gdy prace zostaną wykonane. 

Zapytaj osobę, której przekażesz dane dostępowe, w jaki sposób będzie je przechowywać. Jeśli w menadżerze haseł – to dobrze. Jeśli w jakimś programie, na przykład kliencie FTP, który używany jest do połączenia się z Twoim hostingiem i modyfikowaniem plików, to zaprotestuj i poproś o wdrożenie wyższego stopnia zabezpieczeń. W końcu chodzi o Twoje bezpieczeństwo, które warto zachować na przynajmniej bardzo wysokim poziomie.

Wszystko to opiera się na zaufaniu. System jest tak bezpieczny, jak bezpieczne jest jego najsłabsze ogniwo. Przesyłanie danych dostępowych za pomocą wiadomości na Messengerze nie jest bezpieczne, jeśli druga osoba nie przykłada uwagi do zabezpieczeń. Jeśli masz numer telefonu tej osoby, to login, który potrzebujesz jej przekazać, napisz na przykład w wiadomości na Facebooku, a hasło wyślij za pomocą komunikatora Signal przez telefon. (Jest to komunikator wykorzystujący szyfrowane połączenia.)

Jak sprawdzić, czy moje dane dostępowe gdzieś wyciekły?

Czasami zdarza się, że ktoś włamie się do większego serwisu (tak było np. w przypadku polskiego sklepu Morele.net, lub serwisów Canva, LinkedIn i czy MyFitnessPal) i wykradnie z niego większe ilości danych naraz. Zazwyczaj hasła przechowywane są w formie zaszyfrowanej, jednak istnieje niebezpieczeństwo użycia takich danych.

Na anglojęzycznej stronie Have I Been Pwned (ang. czy zostałem pokonany?) możesz wpisać swój adres e-mail. Po przewinięciu strony zobaczysz albo informację, że nie znaleziono wycieku z takim adresem („Good news – no pwnage found!”) i strona podświetli się na zielono, albo napis „Oh no — pwned!” („O, nie! Pokonany!”) i czerwoną stronę, która kawałek niżej wyświetli listę serwisów, z których wyciekły Twoje hasła.

Drugim źródłem takiej informacji jest na przykład wspomniany wyżej Menadżer haseł 1Password.

Jeśli któryś z Twoich e-maili jest oznaczony jako dotknięty wyciekiem, zmień hasła do serwisów z niego korzystających jak najszybciej.

I na koniec pamiętaj o swoim własnym rozsądku i intuicji – nie podawaj żadnych danych dostępowych, jeśli czujesz, że coś może być nie tak. Lepiej dwa razy sprawdzić, niż potem żałować.

Ciekawe? Podaj dalej!

Leave a Comment

Twój adres e-mail nie zostanie opublikowany.

Przewiń do góry