W 1964 roku firma IBM stworzyła komputer wieloużytkownikowy, mainframe – komputer przeznaczony do jednoczesnej pracy kilku użytkowników. Komputer mainframe działał w trybie współdzielenia czasu, a żeby użytkownicy mogli z niego korzystać jednocześnie, dla każdego z nich utworzono osobne konta. Do zalogowania się na konto wymagane było podanie hasła.
Od tego czasu minęło ponad 50 lat, a my wciąż nie nauczyliśmy się tworzyć silnych haseł, prawidłowo je przechowywać i używać. Badania przeprowadzone przez brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) wykazały, że mniej niż połowa ankietowanych używa osobnego, trudnego do odgadnięcia hasła do głównego konta e-mail. Rozumiemy, jak stworzyć niezawodne hasło i nie stać się ofiarą internetowego oszustwa.
Czego należy unikać podczas tworzenia hasła?
Każde hasło można złamać, a dla przestępców to tylko kwestia czasu. Sam użytkownik może zarówno skomplikować, jak i ułatwić to zadanie. 10% wszystkich istniejących haseł hakerzy mogą złamać w 4 próbach.
Jakich haseł nie można używać:
- 123456, 123456789, qwerty, hasło i 1111111;
- jedno hasło do wszystkich usług;
- hasło zawierające ważne daty z życia użytkownika;
- hasło składające się ze znaczących słów i dobrze znanych zwrotów;
- hasło z niezweryfikowanych generatorów online.
Zwykli użytkownicy, a nawet administratorzy systemu tworzą hasła według przestarzałej zasady:
- hasło musi składać się z rosyjskich słów w układzie angielskim;
- zawierają formuły, nieistniejące adresy e-mail i rymy;
- minimalna długość hasła to 8-12 znaków;
- zawierają wszystkie dostępne symbole, wielkie litery i transliterację.
Takie metody zwiększają niezawodność hasła, ale są trudniejsze do zapamiętania. W rezultacie użytkownicy upraszczają hasła, co je kompromituje. Nowoczesne podejście do tworzenia niezawodnych haseł opiera się na metodzie odrzucania prostych haseł na podstawie słowników i baz przecieków, a także na monitorowaniu i zmianie haseł w przypadku ich kompromitacji.
Jak stworzyć silne hasło
Aby utworzyć hasło, którego hakerzy nie będą w stanie złamać lub przynajmniej będą musieli podjąć więcej niż cztery próby złamania, należy je zaszyfrować „solą”. „Sól” to stała część hasła, która jest do niej przypisana i zaszyfrowana. Ale warto zrozumieć, że jeśli użyjesz jednej soli dla wszystkich haseł, istnieje możliwość, że atakujący uzyskają dostęp do wszystkich twoich danych.
Dlatego warto mieć trzy opcje dla soli:
- super sól – w celu ochrony informacji o pracy;
- sól zapasowa – dla kont w sieciach społecznościowych, sklepów internetowych, witryn zakupu biletów online itp;
- sól osobista – w celu ochrony danych osobowych i finansowych.
W praktyce „solone” hasła wyglądają tak: Matros nasos kirpich rabota), Matros nasos kirpich viber), Matros nasos kirpich OSBBnashdvor).
Utworzenie silnego hasła jest bardzo łatwe. Bierzemy cztery losowe, niezwiązane ze sobą słowa, na przykład właściwy zszywek do baterii dla koni. Takie hasło jest łatwe do zapamiętania przez użytkownika, ale złożoność jego wyboru jest wysoka. Im dłuższe hasło, tym lepiej.
Jak poprawnie zapisywać hasła?
Nie zaleca się używania tego samego hasła do wszystkich witryn, ponieważ po zhakowaniu jednej strony użytkownika, na przykład w sieciach społecznościowych, hakerzy będą mogli łatwo uzyskać dostęp do pamięci masowej w chmurze, poczty i innych usług użytkownika, wprowadzając ten sam zestaw liter i liczby. Dlatego użytkownik potrzebuje dużej liczby różnych haseł.
Główne problemy z hasłami, które mają użytkownicy:
- Hasło jest trudne do wymyślenia. Są do tego specjalne programy – generatory haseł.
- Trudno jest zapamiętać dużą liczbę różnych haseł. Należy używać menedżerów haseł.
- Hasła są trudne do utrzymania w tajemnicy. Służy do tego narzędzie do szyfrowania plików.
Menedżer haseł to usługa przeznaczona do przechowywania poufnych informacji w postaci zaszyfrowanej na zdalnych serwerach lub w lokalnym bezpiecznym folderze. Przyjrzyjmy się bliżej chmurowym i lokalnym menedżerom haseł.
LastPass to usługa w chmurze, która działa w systemach Windows, Linux, Mac, IOS, Android i integruje się z Chrome, Firefox, Safari i Opera. Pozwala przechowywać całą bazę danych na swoich bezpiecznych serwerach. Jednocześnie tylko użytkownik ma dostęp do swoich danych. Przechowywanie w chmurze jest wygodne, ponieważ użytkownik ma dostęp do haseł i innych poufnych informacji z dowolnego miejsca na świecie.
KeePass to bezpłatna usługa z otwartym kodem źródłowym. Przechowuje wszystkie poufne informacje lokalnie na komputerze użytkownika. Istnieje możliwość skonfigurowania synchronizacji bazy danych przez Dropbox na wszystkich urządzeniach. Posiada wbudowany generator haseł. Baza danych haseł może zostać zarchiwizowana. Program jest dostępny na Windows, Mac OS, Linux, iOS, Android, Blackberry i integruje się z Chrome, Firefox, Opera, ale nie integruje się z Safari.