Na przeczytanie potrzebujesz 5 minut(y).
Wydawać by się mogło, że skoro żyjemy w XXI wieku, to tradycyjne hasła do systemów informatycznych powinny odejść dawno do lamusa. Ustąpić one powinny miejsca nowoczesnym, znanym z nagłówków portali technologicznych rozwiązaniom takim jak np. biometria, czyli mechanizmom potrafiącym rozpoznawać nasze odciski palców, nasz głos, czy weryfikować tęczówkę oka. Tak, taka technologia pojawia się powoli na rynku, ale okazuje się, że większość aplikacji, z których korzystamy wymaga od nas mimo wszystko podania starego i sprawdzonego loginu oraz hasła.
Hasła z lat 90’
Zapewne część z naszych czytelników pamięta początki internetu w Polsce, kiedy służył on głównie do poszukiwania informacji na interesujące nas tematy. Nie było powszechnym tak jak dziś, aby prawie w każdym z serwisów, z których korzystamy zakładać osobne konta. Nieliczni posiadali konto na serwerze pocztowym, które było tym jedynym wymagającym loginu i hasła aby się zalogować. Dlatego też, w tamtych czasach nie było dużym zagrożeniem posiadanie trywialnego hasła w postaci imienia naszego psa lub pierwszej miłości z dzieciństwa. Komputery również były przez nas współdzielone i często cała rodzina korzystała z tego samego „pulpitu”, a nikt nie czuł potrzeby, aby zakładać osobne profile.
Sytuacja zmieniła się wraz z rozwojem sieci. Pojawienie się tzw. Web2.0 rozpoczęło erę stron internetowych personalizowanych pod nasze potrzeby i zainteresowania, dające nam dostęp do naszych prywatnych danych z dowolnego miejsca na świecie czy pozwalające nam się skontaktować ze znajomymi w zasadzie bez żadnych ograniczeń sprawiło, że coraz więcej serwisów zaczęło wymagać od nas identyfikowania naszej tożsamości.
Zmieniaj hasło co 30 dni
Jeszcze do niedawna uważało się, że dobrą praktyką w zakresie zarządzania swoim hasłem jest to, aby miało ono:
- Co najmniej 8 znaków,
- Składało się z co najmniej jednego znaku specjalnego, dużej lub małej litery oraz cyfry (spełnienie 3 z 4 warunków),
- Nie było słownikowe (czyli było losowym ciągiem znaków),
- Było cyklicznie zmieniane co 30 dni.
Te zasady jak mantra są powtarzane w wielu organizacjach i co do zasady nie są one złe. Ich stosowanie w praktyce powoduje, że posiadamy rozsądne hasło, które jest stosunkowo trudne do złamania, jeżeli wydłużymy jego długość do 10 znaków. Największą jego wadą natomiast jest to, że nikt tych haseł nie potrafi zapamiętać i w rezultacie są one albo zapisywane na przeróżnych karteczkach, notesach czy zeszytach albo powielają pewny schemat tworzenia haseł i wyglądają tak:
- Wiosna2019,
- Wrzesien2019,
- Firma.123,
- Haslo.09.
Co więcej, aby spełnić wymóg cyklicznej zmiany hasła, przeciętny użytkownik zmienia się w nim nazwę miesiąca na kolejny lub na końcu dodaje jeden znak który się zmienia. Nie popełniaj tego błędu!
Wiele serwisów internetowych nie wymusza na nas użycia żadnych wzorców w zakresie haseł i w konsekwencji stosowane są jak najprostsze i najłatwiejsze do zapamiętania. Bazując na danych z wycieków z serwisów internetowych, najpopularniejsze hasła w 2018 roku w Polsce to:
- 123456,
- haslo,
- 123455789,
- 12345678,
- 12345,
- 111111.
Czy znajduje się tam także Twoje hasło? Wnioski odnośnie powyższego rankingu pozostawiam do Twojej refleksji.
Jak przestępcy mogą uzyskać Twoje hasło?
Sposobów na uzyskanie hasła dostępu do Twoich kont w różnych serwisach i aplikacjach jest bardzo dużo, a możliwość ich zastosowania zależy od wielu czynników. Do najpopularniejszych należą:
- Instalacja złośliwego oprogramowania na Twoim komputerze i podsłuchiwanie wciskanych klawiszy, a następnie wysyłanie ich przestępcy.
- Nakłonienie Cię (np. za pomocą przesłanego linka w wiadomości e-mail) do odwiedzenia strony internetowej łudząco podobnej do innej, która jest Ci znana i wpisaniu przez Ciebie na niej loginu i hasła do prawdziwego serwisu.
- Uzyskanie hasła w wyniku wycieku bazy danych z innej strony internetowej na której miałeś konto.
- Atak siłowy lub słownikowy polegający na tym, że przestępca próbuje uzyskać dostęp do naszego konta poprzez próby wpisywania generowanych losowo ciągów znaków lub korzystając z list popularnych haseł. O tym dlaczego nie warto korzystać z popularnych haseł pisał Wiktor w artykule "Dlaczego nie warto używać popularnych haseł do serwisów internetowych"
W przypadku dwóch pierwszych scenariuszy, przed uzyskaniem dostępu do Twojego konta nie uchroni Cię nawet najbardziej złożone i skomplikowane hasło, ponieważ zostanie ono w jawnej formie wysłane do przestępcy. To, co warto w takich sytuacjach robić, to wykorzystanie dwuskładnikowego uwierzytelniania, o którym pisaliśmy w poprzednich artykułach.
Natomiast w przypadku wszystkich zagrożeń związanych z próbami zgadywania naszego hasła lub próbą łamania jego formy zaszyfrowanej, która została upubliczniona w wyniku wycieku może uchronić nas znajomość dobrych praktyk w zakresie ich tworzenia i przechowywania.
Jak bezpieczne i łatwe do zapamiętania hasło?
Nowe wytyczne międzynarodowych organizacji związanych z bezpieczeństwem mówią o tym, że w dzisiejszych czasach kluczowe jest, aby hasło było jak najdłuższe i to w zasadzie jego długość jest ważniejsza niż poziom skomplikowania. Jak stworzyć takie hasło? Poniżej przykład do inspiracji:
- Wymyśl sobie jakieś zdanie, które będzie dla Ciebie łatwe do zapamiętania - np. “Zawsze na kolację jem dwa jajka”
- Usuń spacje, zamień słowo “dwa” na cyfrę i dodaj kropkę na końcu zdania. Otrzymujemy: “Zawszenakolacjejem2jajka.”. W tym momencie mamy 25-znakowe hasło, które zawiera w sobie duże i małe litery, cyfry i znak specjalny w postaci kropki.
Pamiętajmy jednak, że bardzo złą praktyką jest to, aby do każdego serwisu mieć to samo hasło, ponieważ w przypadku wycieku haseł przestępcy otrzymują dostęp do wszystkich naszych kont. Jak? Przestępcy będą próbowali dostać się przy pomocy wykradzionych danych na popularne serwisy i w końcu trafią na taki, na którym mamy konto. Jeżeli mamy dobrą pamięć, możemy generować za pomocą podobnej metody różne hasła do każdej aplikacji, a możemy wykorzystać specjalny program nazywany “manager haseł”.
Co to jest manager haseł?
Manager haseł jest to oprogramowanie komputerowe, które pozwala Ci wygenerować bezpieczne (czyli długie, losowe i skomplikowane) hasło, a następnie zapisać je w bezpiecznym miejscu w pamięci komputera, telefonu lub nawet chmurze. Hasła utworzone w ten sposób są zaszyfrowane z wykorzystaniem silnych i sprawdzonych mechanizmów kryptograficznych i aby uzyskać do nich dostęp musisz znać tylko jedno hasło główne.
Dlaczego manager haseł jest dobry? Z kilku powodów:
- Tworzy za ciebie unikatowe hasła do każdej witryny lub aplikacji.
- Sprawia, że nawet jeżeli w wyniku wycieku Twoje hasło do jednego systemu zostanie upublicznione, to nikt nadal nie będzie znał Twoich pozostałych haseł.
- Przechowuje hasła bezpiecznie na Twoim komputerze, telefonie lub w chmurze. Wszystkie są zaszyfrowane i zabezpieczone przed dostępem innej, niepowołanej osoby.
- Potrafi integrować się z przeglądarką internetową, umożliwiając tym samym wpisywanie haseł z użyciem jednego, wygodnego przycisku.
Jaki manager haseł warto wybrać?
To zależy :). Zależy od tego z jakich systemów operacyjnych korzystasz na swoim komputerze (Windows/macOS/Linux) oraz na swoim urządzeniu mobilnym (iPhone z iOS lub Android).
Ja osobiście z uwagi na to, że korzystam tylko z iPhone oraz macOS, korzystam z mechanizmu przechowywania haseł dostarczanego przez firmę Apple o nazwie Pęk Kluczy iCloud. Pozwala mi on na dostęp do moich haseł za pomocą dowolnego z moich urządzeń oraz jednocześnie pozwala mi na wygodny dostęp do nich za pomocą TouchID (odcisk palca) lub FaceID (skanowanie twarzy). To, w jaki sposób zacząć korzystać z tego rozwiązania znajdziecie bardzo dobrze opisane na stronie Apple.
Innym rozwiązaniem, które warto polecić i pozwala na dostęp do naszych haseł zarówno z poziomu urządzeń Apple, urządzeń Android oraz Windows jest 1password, którego dokładny opis znajdziesz tutaj. Niestety największa wadą tego rozwiązania jest jego (niemała) cena. Na pytanie czy warto zapłacić każdy z Was musi sobie odpowiedzieć sam po skorzystaniu z darmowego okresu próbnego.
Ostatnim godnym polecenia managerem haseł jest aplikacja KeePassX. Jest to darmowa aplikacja, którą każdy z Was może zainstalować na swoim komputerze i przechowywać lokalnie i w bezpieczny sposób swoje hasła. Wadą tego rozwiązania jest fakt, że nie integruje się ono łatwo z chmura i wykorzystywanie go z urządzeniami mobilnymi jest mocno utrudnione.
Oczywiście na rynku istnieje jeszcze cała masa innych rozwiązań. Poza powyższymi pozycjami, do najbardziej znanych należą:
Warto zadbać o to, aby stosowane przez nas hasła były jak najlepszej jakości. Mam nadzieję, że powyższe wskazówki nieco Wam w tym pomogą. Podzielcie się w komentarzach swoimi sposobami na zwiększenie bezpieczeństwa swoich haseł.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.
IMHO bardzo pożyteczny artykuł.
Drobna uwaga: Nie "dashline" lecz "dashlane" (w linku też jest ten błąd).
Dzięki za tą uwagę. Poprawione 🙂
Dodałbym tu jeszcze Firefox Lockwise: https://lockwise.firefox.com
AES-256-GCM encryption, onepw protocol, PBKDF2 and HKDF with SHA-256
"biometria, czyli mechanizmom potrafiącym rozpoznawać nasze odciski palców, nasz głos, czy weryfikować tęczówkę oka. " - a co zrobicie jak wyciekną wasze dane biometryczne? Utniecie sobie język i wydłubiecie oczy? Z odciskami palców jest łatwiej, bo praktycznie każdy ma 20 prób. I jak to się ma do zasady niestosowania jednego hasła do wszystkiego?
Dla przypomnienia, to CEO Facebooka miał hasło do konta: dadada i o dziwo nikt go nigdy nie złamał, ale używał go w wielu miejscach czyli tak jak z tęczówką.
John, poruszyłeś bardzo ciekawy wątek. Dzięki. Przede wszystkim warto się zastanowić czym są dane biometryczne. To nie jest tak, że w przypadku odcisku palca system przechowuje zdjęcie twojego kciuka. On przechowuje jego unikalne przekształcenie matematyczne w formie wektora. Teraz pytanie, czy nawet jeżeli taki ciąg znaków wycieknie, ktoś będzie znał algorytm który na tej podstawie pozwoli na wygenerowanie odcisku i użycie go w innym systemie. Co więcej, warto zwrócić uwagę na to, że biometria stosowana w urządzeniach mobilnych przechowuje te dane lokalnie na urządzeniu a nie na serwerach jakiejś firmy. Więc w takim przypadku nie możemy mówić o globalnym wycieku danych biometrycznych.
Warto dodać że bitwarden jest darmowy i dostępny na zasadzie open-source. Dzieki temu "możemy" sprawdzić sobie poziom zabezpieczeń. Kolejną zaletą jest to że jeśli nie chcemy przechowywać haseł w chmurze dostawcy, to możemy to zrobić na własną rękę.
No to mnie uspokoiłeś, że danych biometrycznych nie da się wyciągnąć ze smartfona lub PC oraz, że jesteś w 10000% pewny, że nie są one nigdzie wysyłane. Dzięki. Cieszy też fakt, że czytasz wszystkie licencje przed zainstalowaniem oprogramowania, oraz czytasz licencje podczas ich aktualizacji.
Cieszy też fakt, że w dzisiejszych czasach nie da się ściągnąć obrazu źrenicy z selfie zrobionej aparatem 8 Mpx oraz, że nie da się wyciągnąć odcisków palców z fotek zrobionych współczesnymi smartfonami.
PS.
Radzą uczyć się języka migowego oraz chodzenia o białej lasce jak macie jeszcze oczy, palce i język.
KeePassX nie jest rozwijany od 2016. Pozostaje KeePass albo KeepassXC