Aktualizacja publikacji z 21 lutego 2021 r.
Hasło to powszechnie wykorzystywany sposób ochrony danych. Z badań przeprowadzonych przez ChronPESEL.pl oraz Krajowy Rejestr Długów w 2022 roku wynika, że tylko 21,9% Polaków podczas logowania korzysta z bezpiecznych haseł. Największą ostrożnością w tym zakresie wykazują się osoby w przedziale wiekowym 18-24 lata.
Kilka lat temu przeprowadzono badanie, którego przedmiotem były wykorzystywane przez użytkowników hasła służące do logowania się do różnych usług elektronicznych. Było to jedno z największych tego rodzaju badań jakie do tej pory przeprowadzono. Obejmowało ono ponad miliard skompromitowanych haseł!
Za realizacją badania stał student inżynierii komputerowej Ata Hakçıl, który poddał analizie loginy i hasła, które wyciekły z różnych organizacji. Badanie było przeprowadzone w oparciu o bazę danych, która była uzupełniana przez ponad 5 lat.
Do najbardziej interesujących wniosków wynikających z przeprowadzonego badania należą:
- mniej niż 17 % haseł było unikalnych,
- zbiór haseł zawierał więcej niż 7 milionów haseł o ciągu znaków „123456”,
- średnia długość ciągu znaków w haśle to 9,48 znaków,
- tylko 12% haseł zawierało specjalny znak np. @ lub &,
- aż 29 % haseł składało się tylko z liter, a 13 % tylko z liczb.
REKOMENDACJE CERT POLSKA
Wraz z rozwojem technologii rosną możliwości cyberprzestępców w zakresie pozyskiwania haseł potencjalnych ofiar. Dlatego należy śledzić najnowsze zalecenia dotyczące stosowania bezpiecznych haseł.
Zgodnie z najnowszymi rekomendacjami CERT Polska bezpieczne hasło powinno składać się z co najmniej 12 znaków. Zaleca się jednak budowanie haseł dłuższych. Chcąc stworzyć silne hasło, które będzie zarazem proste do zapamiętania można skorzystać z zasady pełnych zdań. Powinny być one stworzone z co najmniej pięciu słów, składających się z małych oraz dużych liter, a także cyfr i znaków specjalnych. Unikać należy znanych cytatów oraz tekstów piosenek.
Tworząc „hasła-zdania” warto skorzystać z wyrazów abstrakcyjnych. Wynika to z faktu, że ludzie podczas tworzenia hasła mają tendencję do używania rzeczy, z którymi mieli ostatnio styczność. Przykładowo, zamiast hasła „Ostry@NóżDoKrojeniaChleba9” lepiej użyć „Ostry@WidelecDoKrojeniaChleba9”.
Dodatkowo warto korzystać ze słów w kilku językach. Przykładowo, zamiast hasła „BiałyKot3LeżyNaKanapie&” lepiej użyć „WhiteCat3LeżyNaKanapie&”. Takie hasło siłę swą zawdzięcza temu, że podczas prób łamania haseł cyberprzestępcy najczęściej korzystają z metody słownikowej, w której wykorzystywana jest baza ze słowami z konkretnego języka.
JAKICH HASEŁ NALEŻY UNIKAĆ
Tworząc hasło należy zrezygnować z kombinacji prostych schematów klawiaturowych, najpopularniejszych imion, zwrotów oraz nazw własnych, które są łatwe od odgadnięcia oraz najczęściej używane. Unikać należy również haseł, które zostały ujawnione po różnych wyciekach. CERT Polska sporządziło polską wersję słownika haseł, które zostały upublicznione po wyciekach i często się powtarzają. Można znaleźć na niej prawie milion najczęściej występujących haseł.
DWUSKŁADNIKOWE UWIERZYTELNIANIE
Dwuskładnikowe uwierzytelnianie polega na wprowadzeniu dodatkowej warstwy uwierzytelniającej podczas logowania. Jednym z najbardziej popularnych mechanizmów dwuskładnikowego uwierzytelniania jest rozwiązanie oparte na haśle dostępu oraz tokenie (który przykładowo może być przesyłany na telefon komórkowy w postaci kodu SMS). Użytkownik jest wówczas proszony początkowo o podanie loginu oraz hasła. Jeżeli są one poprawne następnym krokiem jest podanie tokenu. Dopiero po jego poprawnym wpisaniu użytkownik może zalogować się do konta. Nawet jeśli cyberprzestępca zdobył hasło do logowania, dwuskładnikowe uwierzytelnianie uniemożliwi mu dostęp do konta ofiary.
MENEDŻER HASEŁ
Menedżer haseł to narzędzie, które odciąża użytkowników od zapamiętywania oraz wymyślania unikalnych haseł dla każdej ze stron www. Jego działanie polega na przechowywaniu, a także automatycznym generowaniu silnych i losowych haseł, zawierających kombinacje cyfr, wielkich i małych liter oraz znaków specjalnych.
Więcej informacji na temat menadżerów haseł będzie można znaleźć w następnym odcinku newsletteru, który poświęcony będzie właśnie narzędziu tej klasy.
BEZPIECZNE PRZEKAZYWANIE HASEŁ
Hasła służą również do zabezpieczania zaszyfrowanych plików. Nawet najbezpieczniejsze hasło może zostać przechwycone przez cyberprzestępców podczas próby przekazania go innej osobie. Często w organizacjach pierwsze hasło jest przekazywane pracownikom przez administratorów IT. Kluczowy w tym zakresie jest wybór kanału komunikacji. Najlepszym rozwiązaniem jest wprowadzenie pierwszego hasła przez użytkownika, ponieważ wtedy nie trzeba będzie go przekazywać. Nie zawsze jest to jednak możliwe.
Chcąc przekazać hasło „na odległość” należy pamiętać o kilku zasadach. Po pierwsze, nie należy przekazywać hasła tą samą drogą co zaszyfrowanej informacji lub loginu i informacji o serwisie, do którego służy. W takiej sytuacji nawet jeśli hasło zostanie przechwycone, cyberprzestępcy nie będą wiedzieli do czego ono służy. Po drugie, podczas przekazywania haseł najlepiej korzystać z szyfrowanych kanałów komunikacji (np. komunikator Signal oraz MS Teams). Dzięki temu te jedne z najbardziej poufnych informacji są zabezpieczone przed przechwyceniem przez osoby trzecie.