Bezpieczne hasło, czyli jakie?

W dzisiejszych czasach nasze życie jest bardzo „cyfrowe” – korzystamy z wielu technologii i systemów informatycznych, a wiele spraw załatwiamy przez Internet. Różne kombinacje cyfr i liczb pojawiają się w naszym życiu praktycznie codziennie: PIN-y, kody, hasła czy  zabezpieczenia biometryczne. Wszystko to jest jednym z najbardziej podstawowych sposobów ochrony naszych danych. Jednak – jak się okazuje – nie zawsze skomplikowane hasło jest wystarczające, żeby odpowiednio skutecznie utrudnić cyberprzestępcom dostęp do treści, które chcemy chronić. Niestety nadal najsłabszym ogniwem zabezpieczeń jest sam człowiek. Co w takim razie powinniśmy wiedzieć, aby chronić się przed zagrożeniami w cyfrowym świecie?

Nie popełnij tego błędu

Codziennie korzystamy z dziesiątek „miejsc”, w których używamy haseł i różnego rodzaju zabezpieczeń. Rano odblokowujemy laptopa lub telefon, korzystając z PIN-u, logujemy się do serwisów społecznościowych, do pracy, sprawdzamy maila. W ciągu dnia logujemy się w serwisach streamingowych, robimy zakupy przez Internet... Wszędzie podajemy nasze dane, które zabezpiecza login (często email) i hasło – tajne i znane tylko przez nas – przynajmniej teoretycznie. Niestety nierzadko można się natknąć na laptopy z przyklejonymi do nich karteczkami z hasłami.

Powinniśmy mieć świadomość, że nasza data urodzenia, imię dziecka, ciągi kolejnych znaków z klawiatury to jeden z gorszych pomysłów na hasło. Jeśli ktokolwiek postanowi dostać się do naszych danych, to jest duża szansa, że uda mu się to bardzo szybko, jeśli zna najpopularniejsze hasła. Badacze z SafetyDetectives zebrali ponad 18 milionów haseł (pochodzących z różnego rodzaju wycieków) i stworzyli listę 20 najpopularniejszych haseł na świecie – najpopularniejszych hasłem był ciąg znaków „123456”, na drugim miejscu uplasowała się fraza „password”, a podium zamknęło „123456789”. Większość haseł z opracowanej listy stanowią ciągi znaków powstające poprzez kolejne wciśnięcie następujących po sobie znaków na klawiaturze – liter lub cyfr – wszelkiego rodzaju „qwerty”, „asdfgh” itd. W drugiej dziesiątce listy pojawiają się natomiast słowa i frazy, które mogą być złamane tzw. „metodą słownikową”, która polega na sprawdzeniu w roli hasła wszystkich słów występujących w danym języku – tu pojawiły się takie słowa jak „iloveyou”, „dragon”, „sunshine”¹. 

W podobnym wycieku danych, które zarejestrowane były w polskich domenach i zostały przeanalizowane przez serwis Zaufana Trzecia Strona, poza standardowymi ciągami typu qwerty najpopularniejszymi hasłami słownikowymi były frazy „polska”, „misiek”, „monika” i inne popularne imiona².

^{Rysunek 1 - Jedno z najpopularniejszych haseł wykorzystywanych w Internecie}

Serwisy internetowe często wymagają hasła o większej liczbie i złożoności znaków – często osiem lub więcej znaków, w tym duże litery i cyfry, niektóre serwisy wymagają dodatkowo znaków specjalnych – wykrzykników, hasztagów. Dlaczego? Oczywiście chodzi o ich odpowiednie skomplikowanie. 

Tworząc hasła do serwisów internetowych, musimy mieć na uwadze fakt, że moc obliczeniowa, z której korzysta się w atakach „brute force”, które polegają na sprawdzeniu wszystkich możliwych kombinacji, pozwala na sprawdzenie nawet kilku milionów haseł na sekundę, dlatego też hasła krótkie i o niskiej złożoności mogą zostać złamane bardzo szybko. Stosując litery polskie (wraz polskimi znakami, pomijając niewystępujące w polskim alfabecie „q”, „v” oraz „x”) oraz cyfry w krótkim haśle o długości 4 znaków, mamy zaledwie 42⁴ kombinacji – to nieco ponad 3 miliony możliwości, które przy odpowiedniej mocy obliczeniowej komputera i braku blokowania konta po kilkukrotnym, złym wpisaniu hasła można złamać w czasie poniżej jednej sekundy. Dodanie dużych liter pozwoli nam w takim przypadku zwiększyć ilość kombinacji do 74⁴, co da już liczbę możliwych kombinacji wynoszącą prawie 30 milionów. Nie jest ona jednak wystarczająco wysoka, żeby nie poradziły z nią sobie współczesne komputery atakujących generujące nawet kilka milionów kombinacji na sekundę! Dodanie kolejnych znaków – występujących na klawiaturze komputerowej tzw. znaków specjalnych – jak na przykład „#”, „$”, „%” – pozwala nam zwiększyć ilość potencjalnych kombinacji o kolejną wartość – 106⁴. Każde wydłużenie hasła o kolejny znak powoduje wykładniczy wzrost możliwych kombinacji (czyli wzrost potęgi o 1). 

Częstym zabezpieczeniem przed takim atakiem jest ograniczenie liczby prób. Nasze karty debetowe, kredytowe, SIM w telefonach są blokowane po trzech błędnych próbach podania kodu PIN. Kody te składają się zwykle z czterech  cyfr, co oznacza, że wszystkich możliwych kodów PIN dla większości kart na świecie jest „zaledwie” dziesięć tysięcy, bez zablokowania ilości prób rozwiązania te nie działałyby w bezpieczny sposób.

Hasło to nie wszystko

Nie zawsze używamy haseł – w przypadku smartfonów dostęp do nich jest często dodatkowo blokowany „wzorem” na ekranie, odciskiem palca, który skanujemy poprzez wbudowany czytnik linii papilarnych czy FaceID, czyli skanu twarzy poprzez przednią kamerę smartfona, często wspieranego dodatkową technologią (na przykład podczerwienią). Te dodatkowe sposoby dostępu do danych wydają się dobrym zabezpieczeniem – wzór możemy podać kilka razy nim na dłuższy czas zostanie zablokowany dostęp do telefonu, linie papilarne są niepowtarzalne w skali globu, natomiast odblokowywanie smartfona twarzą, jeśli smartfon wykorzystuje tylko obraz z kamery, może nie być do końca bezpieczne.

Odblokowywanie ekranu telefonu przy pomocy wzoru ma 9⁹ kombinacji, dlatego też mamy o kilka prób więcej zanim telefon zostanie zablokowany. Chociaż większość użytkowników telefonów korzysta z prostych kombinacji, które można złamać dość szybko – są to najczęściej nawiązania literowe – wzór przypominający literę „Z” lub proste wzory składające się z sześciu punktów na brzegach ekranu³.

^{Rysunek 2 - 20 najczęściej używanych wzorów według raportu "SysPal: System-guided Pattern Locks for Android"}

Zabezpieczenie urządzeń odciskiem palca jest w tej chwili jedną z najbezpieczniejszych technologii biometrycznych, którą warto wykorzystać. Trochę bardziej złożone zagadnienie to rozpoznawanie twarzy. Część telefonów korzysta z podczerwieni, aby stworzyć mapę naszej twarzy. Pozwala to na dokładniejszą jej analizę – system bada głębię, która jest nieuchwytna na przykład na zdjęciach. Natomiast, jeśli urządzenie korzysta jedynie z kamery, to technologia ta nie jest wystarczającym zabezpieczeniem – zwykle, aby oszukać takie zabezpieczenie w wielu przypadkach wystarczy drukarka i zdjęcie właściciela telefonu lub bardzo podobnej osoby, aby smartfona odblokować i uzyskać dostęp do danych.

Jak się zabezpieczyć? Sprawdź, co możesz zrobić

1. Wyśpiewaj sobie silne hasło

Wiemy już, jakie są najpopularniejsze hasła i że nie powinniśmy używać ciągów znaków na klawiaturze oraz haseł słownikowych. Jak tworzyć skuteczne hasła? Metod na tworzenie skomplikowanych haseł jest przynajmniej kilka. Każda z nich daje nam podobny efekt końcowy, czyli hasło o dużym stopniu skomplikowania, które jest dla nas proste do zapamiętania. Zaproponować można na przykład metodę „muzyczną”, która polega na wybraniu piosenki i przypomnieniu sobie  jej słów. Pokażmy to na przykładzie: 

To Twoja flaga, nasz młody przyjacielu

Nie musisz kochać jej barw…

(fragment tekstu piosenki zespołu Bajm, Biała Armia)

Pamiętając treść pierwszej zwrotki, wybieramy pierwsze litery każdego słowa i zapisujemy je na przemian – dużą i małą literą. Dla podanego przykładu stworzone hasło wyglądałoby tak TtFnMpNmKjB – powstaje hasło o długości 12 znaków, aby je jeszcze lepiej zabezpieczyć na końcu warto dodać cyfry i znak specjalny, na przykład TtFnMpNmKjB%1. W ten sposób powstaje hasło, którego złamanie – według serwisu „How secure is my password?” – zajęłoby 2 miliony lat. To chyba wystarczająco, żeby zniechęcić potencjalnego hakera.

2. Sprawdź siłę swojego hasła

Serwis „How secure is my password?” (https://howsecureismypassword.net/) jest miejscem, w którym możemy sprawdzić siłę naszych haseł. Nie zalecamy jednak wpisywania w nim swoich prawdziwych haseł (te podajemy tylko w miejscach, w których się logujemy), ale zamieniamy w hasłach znaki na inne z tej samej kategorii – czyli np. wielką literę „T” na „P”, cyfrę „5” na „0” itp.

^{Rysunek 3- Strona howsecureismypassword.netRysunek 3- Strona howsecureismypassword.net}

3. Zastosuj weryfikację dwuetapową

Jednym z bezpieczniejszych systemów dodatkowego zabezpieczania danych jest „weryfikacja dwuetapowa” (2FA – ang. two-factor authentication), która polega na skorzystaniu z dodatkowego kodu po podaniu danych do logowania. Kody mogą być przesyłane sms-em (np. bankowość internetowa), wysyłane na maila czy generowane za pomocą aplikacji na smartfonie. Jest to jeden z najefektywniejszych, najprostszych i najtańszych sposobów zwiększenia bezpieczeństwa danych, dlatego rekomendujemy jego włączenie za każdym razem, gdy jest dostępny. Weryfikacja dwuetapowa dostępna jest w większości największych serwisach czy usługach, z których korzystamy.

4. Zatrudnij menedżera… haseł 

Mamy już silne hasło, ale przestrzegamy przed używaniem go w wielu serwisach. Raczej nic poważnego się nie stanie, jeśli ktoś na przykład włamie się na forum fanów naszego hobby i skasuje posty. Gorzej, jeśli ktoś zdobędzie nasze hasło, na przykład poprzez wyciek danych i spróbuje się nim zalogować do ważnego dla nas serwisu, który ma znaczący wpływ na nasze życie, np. do banku czy pracy. Jeśli będziemy mieli to samo hasło i login, włamanie się do kolejnych takich miejsc będzie banalnie proste. Dlatego też dobrym pomysłem jest dodać do hasła kilka znaków, które pozwolą nam rozpoznać serwis, do którego się logujemy, na przykład wstawienie w hasło (na wymyślonym przez nas miejscu) litery będącej pierwszą z nazwy serwisu, do którego się logujemy. W ten sposób hasło będzie dla nas wciąż łatwe do zapamiętania, jednocześnie nie pozwoli nikomu dostać się do innych kont, ponieważ pojedyncza litera w treści hasła nie zwróci niczyjej uwagi.

Innym pomysłem jest korzystanie z menadżerów haseł, czyli programów, który zapamiętują nasze hasła i loginy, a niejednokrotnie też podpowiadają długie i skomplikowane, losowe ciągi znaków, które możemy zastosować jako nasze hasła. Zamiast zapamiętywać dane logowania do wszystkich serwisów musimy pamiętać tylko jedno – to do menadżera haseł, który często ma tę przewagę, że przechowywane w nim przez nas hasła są szyfrowane. Należy jednak zapamiętać hasło do menadżera, bo jego utrata wiąże się z utratą dostępu do serwisów, do których hasła przechowujemy (dostęp na szczęście można często uzyskać poprzez funkcję przypomnienia hasła w serwisach). Znacznie groźniejsze jest złamanie naszego hasła głównego do menadżera – wówczas wszystkie nasze hasła zostają przechwycone. 

Na rynku funkcjonuje kilka konkurencyjnych rozwiązań takich jak Dashlane, LastPass czy RoboForm– szczegółowe informacje o tych programach znajdziemy bez problemu w Internecie.

5. Wyciekły dane? Nie panikuj 

Regularnie w Internecie pojawiają się informacje o wycieku loginów i haseł, a czasem i danych osobowych gromadzonych przez różne serwisy internetowe. Bardzo ciekawe zestawienie (World's Biggest Data Breaches & Hacks) znajdziemy na stronie  informationisbeautiful.net⁴. Pokazuje ono za pomocą wykresu bąbelkowego wycieki danych z ostatnich lat. 

^{Rysunek 4 - World's Biggest Data Breaches & Hacks -  informationisbeautiful.net}

Jeśli staniemy się ofiarą takiego wycieków, to najważniejsza jest zmiana hasła do serwisu, w którym doszło do wycieku, a następnie przeanalizowanie, czy nie stosowaliśmy tego hasła w innych serwisach. Jeśli ten sam login i hasło podawaliśmy na innych stronach internetowych, to powinniśmy je jak najszybciej zmienić. Dlatego też korzystanie z różnych haseł w różnych serwisach jest jedną z kluczowych zasad chroniących nas przed wyciekami danych. 

Możemy też sprawdzić czy nasze dane nie wyciekły na takich serwisach jak na przykład serwis „Have i been pwned?” (https://haveibeenpwned.com/), w którym podając swój email, otrzymamy listę serwisów, w których mógł zostać narażony na wycieki (serwis zawiera ponad 10 miliardów kont, które mogły zostać wykradzione). Jeśli okaże się, że taki wyciek miał miejsce, to podejmujemy wymienione powyżej kroki.

^{Rysunek 5 - Pozytywy wynik sprawdzenia maila w serwisie haveibeenpwned.com}

Podsumowanie

Hasła są podstawowym sposobem zabezpieczenia naszych danych w Internecie, dlatego też powinny być traktowane przez nas ze szczególną troską. Zawsze też korzystajmy z dodatkowych systemów podnoszących poziom bezpieczeństwa, takich jak weryfikacja dwuetapowa czy klucze sprzętowe (małe urządzenie podłączane zwykle do portu USB w postaci pendrive’ów czy kart dostępu). Najsłabszym ogniwem zabezpieczeń zwykle jesteśmy my sami i nasze lenistwo – podajemy te same, proste kombinacje haseł w wielu serwisach i mamy złudne poczucie bezpieczeństwa. Tymczasem ochrona naszych danych jest w zasięgu ręki – aby mieć ją na dobrym poziomie, należy tylko wypracować własne standardy bezpieczeństwa. O tym, jak dodatkowo zabezpieczać dane w życiu zawodowym i prywatnym oraz jak zadbać o swój wizerunek w sieci, opowiemy w  kolejnych artykułach, które w związku z Dniem Bezpiecznego Internetu pojawią się na blogu projektu “My Digital Life” w lutym.

¹ Cały raport: https://pl.safetydetectives.com/blog/the-most-hacked-passwords-in-the-world-pl/ [dostęp 5.02.2021]

² Raport: https://zaufanatrzeciastrona.pl/post/hasla-ponad-10-milionow-polskich-kont-email-dostepne-do-pobrania-w-sieci/ [dostęp 5.02.2021]

³  https://www.ieee-security.org/TC/SP2017/papers/226.pdf 

⁴  https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Marcin Wolski – doświadczony edukator dzieci i dorosłych w tym nauczycieli i seniorów w zakresie TIK, przedsiębiorca działający w branży IT,. Ekspert w projektach finansowanych ze środków UE, współautor programów i materiałów edukacyjnych. Założyciel Centrum Kompetencji Cyfrowych EDUKACJA 3.0 oraz  Ośrodka Badawczo-Rozwojowego „Edukacja 3.0” który zajmuje się badaniami nowych technologii w edukacji. Wykładowca Uniwersytetu Dziecięcego UMCS, trener umiejętności cyfrowych w ramach projektu dla Przestrzeń from Facebook. Organizator gier terenowych i innych wydarzeń edukacyjno-rozrywkowych, wieloletni instruktor ZHP.