Jak tworzyć bezpieczne hasła i chronić się przed cyberatakami?

7 minut czytania

Mam na imię Olga i jestem związana z pisaniem na milion sposobów. Prowadzę papierowe pamiętniki – i to już od przedszkola! – tworzę opowiadania, recenzuję książki i publikuję na blogu. Krótko mówiąc: dzięki pisaniu czuję się sobą. W wolnym czasie biorę udział w sesjach zdjęciowych i wychowuję śliczną małą cziłałkę imieniem Rubi.

    Ty lub Twoja bliska osoba macie hasła typu ania123? A może używacie tego samego hasła do wszystkich serwisów, w których jesteście zarejestrowani, bo zapamiętanie kilkunastu bądź kilkudziesięciu skomplikowanych kombinacji liter, cyfr i znaków specjalnych jest zbyt trudne? Choć pozornie wszyscy wiedzą, że silne hasło stanowi jeden z najważniejszych elementów profilaktyki cyberbezpieczeństwa, nadal wielu ludzi korzysta z zabezpieczeń, które da się złamać w przeciągu kilku sekund. Aby nie dołączyć do grona użytkowników internetu okradzionych z danych lub pieniędzy – oraz zabezpieczyć bliskie osoby, np. rodziców – przeczytaj artykuł.

    Osoba wpisująca hasło na telefonie, koncepcja cyberbezpieczeństwa

    Nieprawidłowe, niebezpieczne hasło – złe praktyki

    Zanim odetchniesz z ulgą, ciesząc się, że problem niebezpiecznych haseł lub ryzykownych zachowań związanych z przetrzymywaniem haseł Cię nie dotyczy, zapoznaj się z listą popularnych aspektów zwiększających niebezpieczeństwo Twoich danych i pieniędzy w internecie:

    • posiadanie haseł typu ania123 – kombinacja liter i cyfr to dobra decyzja, jednak niektóre hasła są po prostu zbyt proste, za krótkie, a dodatkowo oczywiste,
    • posiadanie haseł typu burek, fafik, baltyk – i wszystkich innych, których osoba znająca Cię bądź śledząca Twoje social media i wiedząca, że masz ulubionego psa Fafika lub kochasz spędzać czas nad Bałtykiem, jest w stanie się domyślić,
    • posiadanie haseł krótszych niż 8 znaków – takie hasła są bardzo łatwe do złamania metodą brute force. Jak wynika z najnowszego raportu Hive Systems, w zależności od skomplikowania hasła liczące 7 znaków można złamać w… od kilku sekund do miesiąca. Dołożenie zaledwie jednego znaku zwiększa górną granicę do siedmiu lat,
    • używanie jednego hasła do wielu lub nawet wszystkich serwisów – wystarczy, że hacker złamie jedno, a będzie znał je wszystkie. Może też złamać zabezpieczenia jednego z portali, na których masz konto, i włamać się na ów portal, wówczas otrzyma dostęp do bazy loginów, haseł i innych danych wszystkich użytkowników,
    • używanie bardzo podobnych haseł do wielu lub nawet wszystkich serwisów – różnice między hasłami typu ania123, ania321 i ania567 są tak nieistotne w perspektywie łatwości złamania, że ich poziom bezpieczeństwa jest porównywalny do poziomu bezpieczeństwa korzystania z tego samego hasła w wielu serwisach,
    • kontynuowanie posiadania haseł, które były używane w momencie wycieku danych – nawet jeśli zmienisz hasło w serwisie, do którego włamali się hackerzy, ale to samo hasło pozostawisz na innych portalach, wystawisz się na ogromne niebezpieczeństwo, ponieważ Twoje hasło będzie krążyło w internecie na liście haseł, które wypłynęły,
    • trzymanie pliku z hasłami na komputerze – zwłaszcza z nazwą Hasła lub podobną. Jeżeli hacker włamie się na Twój komputer, będzie miał wszystko podane jak na tacy,
    • trzymanie notatnika z hasłami w łatwo dostępnym miejscu – co prawda hackerzy nie będą mieli dostępu do fizycznej kartki z hasłami, jednak każda osoba odwiedzająca Twój dom – owszem. Ponadto nosząc kartkę przy sobie, np. w portfelu, możesz ją zgubić lub stracić w wyniku kradzieży,
    • trzymanie zapamiętanych haseł w przeglądarce – zwłaszcza jeśli do komputera mają dostęp osoby postronne, nie masz dostatecznej wiedzy o cyberbezpieczeństwie bądź konto w przeglądarce, na które jesteś zalogowany, ma słabe hasło,
    • brak weryfikacji dwuetapowej – to szczególnie ważne w przypadku serwisów takich jak banki internetowe czy strony rządowe (np. ePUAP, Pacjent.gov.pl). Weryfikacja dwuetapowa pozwala zalogować się na konto dopiero po wykonaniu dwóch kroków potwierdzających tożsamość, np. wpisaniu hasła oraz przepisaniu jednorazowego kodu otrzymanego w SMS-ie w momencie próby podjęcia logowania lub zastosowaniu klucza zabezpieczeń USB.

    Firma NordPass rokrocznie publikuje ranking 200 najgorszych haseł, ustawiając je w kolejności od najpopularniejszego. W 2023 roku lista top 10 najgorszych haseł prezentowała się następująco: 123456, admin, 12345678, 123456789, 1234, 12345, password, 123, Aa123456 i 1234567890. Z kolei w latach poprzedzających do czołowych dziesiątek nieudanych zabezpieczeń trafiły także: guest, qwerty, 111111, 12345, 123123, picture1, asdf.

    Lista najpopularnieszych haseł

    Jak utworzyć bezpieczne hasło?

    W związku z powyższą listą bezpieczne hasło to takie, które używane jest wyłącznie do jednego konta. Nie zawiera łatwych do rozpoznania słów ani kombinacji cyfrowych, np. imienia dziecka czy roku urodzenia posiadacza konta. Najlepiej, aby nie było zapamiętane w przeglądarce, chyba że jest to hasło do mało ważnego konta, np. na forum wędkarskim, na które zagląda się raz na rok, a dane przy rejestracji podało się fikcyjne.

    Bezpieczne hasło:

    • zawiera co najmniej 8 znaków (absolutne minimum), a najlepiej powyżej 15,
    • składa się z co najmniej jednego znaku z każdej z tych grup: małe litery, duże litery, cyfry, znaki specjalne,
    • nie jest sekwencją następujących po sobie liter (abc, qwerty) ani cyfr (123),
    • nie jest pojedynczym słowem ani pojedynczym słowem z cyfrą lub znakiem specjalnym na początku bądź końcu (wiewiorka, wiewiorka1, !wiewiorka),
    • w całości ani nawet w części nie stanowi powtórzenia loginu ani nazwy serwisu,
    • w całości ani nawet w części nie stanowi imienia bliskiej osoby ani zwierzęcia, daty urodzenia, numeru telefonu ani PESEL, nie jest żadnym innym związanym z użytkownikiem słowem ani liczbą.

    Stworzenie bezpiecznego hasła to połowa sukcesu. W dalszej kolejności trzeba zadbać o bezpieczne korzystanie z haseł oraz właściwe przechowywanie haseł (nigdy w pliku na komputerze, kartce noszonej w portfelu ani notatniku leżącym obok komputera!).

    Bezpieczne korzystanie z haseł

    Bezpieczne używanie haseł można przedstawić jako kolejną listę złotych zasad, których należy się trzymać bez wyjątków. Ważne, aby:

    1. Nigdy nie zapisywać haseł w przeglądarce. Owszem, to kuszące z uwagi na wygodę korzystania z loginów i haseł, jednak dalekie od bezpieczeństwa.
    2. Nigdy nie zapisywać haseł w pliku na komputerze. O tym już było, jednak dla utrwalenia wiedzy przypominam. Równie dobrze można byłoby zostawić klucz do domu na wycieraczce.
    3. Nigdy nie zapisywać haseł w notatniku ani na kartce. Od tego będzie pewien wyjątek, co wytłumaczę w dalszej części artykułu. Jako ogólną zasadę trzeba jednak zapamiętać, by nie zapisywać haseł nigdy.
    4. Nigdy nie wysyłać nikomu haseł e-mailem, komunikatorem ani w inny nieszyfrowany sposób. Wysyłanie hasła SMS-em także nie jest dobrym pomysłem.
    5. Korzystać z weryfikacji dwuetapowej wszędzie tam, gdzie się da. Zwłaszcza w serwisach, w których trzyma się najważniejsze dane osobowe (numer PESEL, numer dowodu etc.) i pieniądze. Można kupić klucz zabezpieczeń USB lub przeprowadzać dodatkową weryfikację za pośrednictwem telefonu.
    6. Natychmiast zmienić hasło w serwisie, do którego było włamanie. Nawet jeśli w informacji prasowej napisano, że hasła nie wyciekły. Nawet jeśli Twoje hasło było zgodne z zasadami bezpieczeństwa i trudne do złamania. Kiedy usłyszysz o włamaniu, bezzwłocznie zmień hasło.
    7. Natychmiast zmienić hasło w przypadku choćby cienia podejrzenia, że ktoś je odgadł.
    8. Nigdy nie używać haseł stosowanych w przeszłości. Nawet jeśli nigdy nie wyciekły lub korzystało się z nich tylko przez parę minut.
    9. Nigdy nie wpisywać hasła przy osobach trzecich. Człowiek stojący za Tobą lub obok Ciebie z łatwością prześledzi wciskane klawisze.
    10. Nigdy nie wpisywać hasła na urządzeniach innych niż Twoje. Tyczy się to zarówno komputerów, jak i urządzeń mobilnych. Jeżeli z jakiegoś powodu musiałeś to zrobić, po uzyskaniu dostępu do swojego urządzenia natychmiast zmień hasło.
    11. Nigdy nie korzystać z publicznych sieci wi-fi. Jeżeli musisz użyć internetu poza domem, skorzystaj z pakietu mobilnego od swojego operatora komórkowego.

    Pamiętaj także o ochronie komputera i smartfona poprzez aktualizowanie oprogramowania i sterowników, korzystanie z wiarygodnego programu antywirusowego, a także zaniechanie pobierania nieoryginalnych programów i klikania podejrzanych linków.

    Tabelka - czas potrzebny na złamanie hasła
    To cię zainteresuje

    Jak zapamiętać bezpieczne hasła lub jak bezpiecznie przechowywać hasła?

    Istnieje kilka sposobów na bezpieczne przechowywanie haseł. Możesz skorzystać z jednego z nich lub zachęcić do używania go bliską osobę.

    1 – Zapamiętywanie prostych bezpiecznych haseł

    To metoda trudna, przede wszystkim w przypadku posiadania kont w kilkunastu bądź kilkudziesięciu serwisach, ponadto nie jest idealna. Jednakże jak napisano na polskiej stronie rządowej, stanowi „dobry kompromis między ochroną a użytecznością”. Polega na konstruowaniu haseł z trzech losowych słów. Uwaga jednak: koniecznie muszą to być słowa losowe, niezwiązane z użytkownikiem. Przykładowo jeśli lubisz morze, nie możesz wykorzystać słowa morze. Gov.pl podaje następujące przykłady: kawatramwajryba, ścianacienkikoszula.

    Jak już wiesz, nie są to najlepsze hasła, bo nie zawierają dużych liter, cyfr ani znaków specjalnych. Są jednak długie i niezwiązane z ich posiadaczem, dlatego specjaliści określają je jako kompromis. Do tej metody można stosunkowo łatwo przekonać osoby starsze, które rzadko korzystają z internetu, toteż mają niewiele kont, a które myśl o stosowaniu menedżerów haseł przeraża.

    2 – Zapamiętywanie dobrych bezpiecznych haseł

    Drugi sposób jest wariacją pierwszego. Tym razem stosuje się wszystkie reguły tworzenia bezpiecznego hasła, a więc sięga zarówno po litery, jak i po cyfry oraz znaki specjalne. Wystarczy znaleźć łatwą do zapamiętania sekwencję słów, np. fragment ulubionej piosenki lub wiersza, tytuł książki bądź serialu, a następnie zastąpić część liter przypominającymi je wizualnie cyframi i znakami specjalnymi. Przykładowo literę i można zastąpić cyfrą 1 lub znakiem !, a literę a znakiem @. Na stronie rządowej podano przykład M@m2dzie$ciAl4T jako bezpieczny zapis fragmentu piosenki – lub po prostu opisu siebie – „Mam dwadzieścia lat”.

    Litery można zastąpić w następujący sposób:

    • zamiast a: @
    • zamiast s: $
    • zamiast o: 0
    • zamiast i: !
    • zamiast spacji: %

    Minus jest taki, że każde hasło trzeba zapamiętać. Obejmuje to odmienne hasła m.in. do poczty e-mail, konta bankowego, Facebooka, pozostałych portali społecznościowych, wszystkich innych kont w serwisach.

    3 – Korzystanie z menedżerów haseł

    Używanie menedżerów haseł stanowi najłatwiejszą i najlepszą metodę tworzenia – w tym przypadku generowania – bezpiecznych haseł, a następnie bezpiecznego ich przechowywania. Dane znajdujące się w menedżerach haseł są szyfrowane, co oznacza, że nie ma ich w żadnej bazie, którą dałoby się wykraść, ani nie da się ich odczytać z poziomu innego niż konto użytkownika.

    Hasła generowane w menedżerach są bardzo długie (mogą liczyć kilkadziesiąt znaków), złożone z liter małych i dużych, cyfr oraz znaków specjalnych, a także unikalne. Złamanie ich metodą brute force zajęłoby lata. Dużo lat. (Wróć na moment do tabeli przedstawiającej czas łamania haseł, stworzonej przez Hive Systems. Zobaczysz w niej, że złamanie bezpiecznego hasła zajmuje czterysta siedemdziesiąt dziewięć lat, gdy owo hasło liczy 9 znaków, a już trzydzieści trzy tysiące lat, kiedy składa się z 10 znaków. Musiałbyś trafić na dosłownie wiekowego hackera, żeby paść jego ofiarą).

    Aby dostać się na swoje konto w menedżerze, trzeba wpisać hasło albo zweryfikować się np. poprzez odcisk palca lub rozpoznawanie twarzy, o ile włączy się funkcję biometryczną. I to jest w zasadzie jedyne hasło, które trzeba zapamiętać. Jeżeli zapomnisz je bądź zgubisz klucz (skomplikowany ciąg znaków przypisany do Twojego konta), nie będziesz w stanie uzyskać dostępu do haseł trzymanych w menedżerze. Nie pomogą Ci również twórcy menedżera – nie mają dostępu do Twoich haseł ani klucza. Właśnie dlatego zaleca się wydrukowanie klucza i hasła do menedżera, a następnie schowanie w bezpiecznym miejscu, np. domowym segregatorze z dokumentami osobistymi. W żadnym wypadku nie należy trzymać wydruku obok komputera ani na widoku.

    W internecie znajdziesz zarówno płatne, jak i darmowe menedżery haseł. Najpopularniejsze to: 1Password, NordPass, LastPass, Keeper, RoboForm, Dashlane, PureKeep, BitWarden, KeePassXC, Norton Password Manager, Sticky Password, Proton Pass.

    4 – Stosowanie weryfikacji dwuetapowej (2FA)

    Co prawda nie jest to stricte metoda zapamiętywania ani przechowywania silnych haseł, jednak stanowi doskonałą dodatkową ochronę posiadanych haseł. Warto ją połączyć z jedną z trzech metod zaprezentowanych wyżej. Two Factor Authentication (2FA) polega na konieczności zatwierdzenia logowania m.in. poprzez przepisanie jednorazowego kodu otrzymanego w SMS-ie bądź wiadomości e-mail, wygenerowanie kodu w specjalnej aplikacji, potwierdzenie próby logowania w aplikacji danego serwisu na telefonie bądź zastosowanie fizycznego klucza 2FA, który podłącza się do slotu USB.

    Weryfikacja dwuetapowa sprawia, że nawet jeśli ktoś pozna Twoje hasło i będzie próbował go użyć, by zalogować się w danym serwisie, nie będzie mógł tego zrobić. Potrzebowałby dostępu do Twojego telefonu – w niektórych przypadkach e-maila, dlatego utwórz szczególnie silne hasło do konta pocztowego – lub fizycznego klucza zabezpieczeń USB.

    Napisz komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Czytaj dalej poniżej

      Chcesz wypromować swoją firmę?