Hasło to podstawa!

Cenimy sobie własną prywatność i staramy się chronić ją na co dzień. Dostęp do naszego telefonu strzeże kod PIN lub zabezpieczenie biometryczne. Nasze karty SIM także posiadają odrębny kod PIN i PUK. Hasłami zabezpieczamy nasze skrzynki pocztowe, aplikacje bankowe i zakupowe. Niemal każdy serwis wymaga od nas założenia konta, co wiąże się z wpisaniem loginu oraz wspomnianego hasła. Co więcej, w naszych smartfonach mamy możliwość zabezpieczenia dostępu do każdej aplikacji z osobna przy próbie jej uruchomienia, niezależnie od tego czy wymaga ona dodatkowego logowania, czy też nie. Nasze telefony stały się twierdzami, w których trzymamy olbrzymią ilość prywatnych danych i chcemy ochronić je na różne sposoby. Jak zrobić to dobrze?

Pierwsze, co przychodzi nam do głowy do zastosowanie odpowiedniego i silnego hasła. Czym jest hasło? To łatwy i powszechny sposób na ochronę dostępu do naszych danych i usług, stosowany od dziesięcioleci. Czy są one skuteczne? W to nie powinnyśmy wątpić – w innym przypadku, nie byłyby one wykorzystywane. Z biegiem lat mamy dostęp do coraz to nowszych osiągnięć technologicznych. Moce obliczeniowe urządzeń z jakich korzystamy dziś, są wielokrotnie większe niż kilka, a co dopiero kilkanaście lat temu!

W związku z tym, ewolucji musiały także ulec hasła. Stało się tak z prostych przyczyn – im większa moc obliczeniowa, tym więcej możemy jej przeznaczyć na łamanie naszych zabezpieczeń. Czym charakteryzują się nowoczesne zabezpieczenia służące do ochrony naszej prywatności? Co możemy zrobić, aby nasze dane były bardziej bezpieczne?

Przede wszystkim nie powinniśmy używać jednego hasła lub jego wariacji do zabezpieczenia dostępu do wielu kont. W przypadku jego ujawnienia, osoba nieupoważniona dostanie dostęp do wszystkich naszych informacji. Powinniśmy stosować wiele haseł i dbać o to, aby różniły się one między sobą. W jakim celu nadajemy loginy i hasła?

Uwierzytelnianie

Jest to nic innego jak proces udowadniania tożsamości, czyli słowem, nic innego jak potwierdzenie, że my to my:) Najczęściej wymaga przekazania i weryfikacji tak zwanego sekretu – może nim być np. hasło lub kod PIN. Najważniejsze, aby ten sekret pozostał tajny, czyli był znany jedynie uprawnionym do tego osobom. Jest to najprostszy sposób na zabezpieczenie swoich danych lub dostępu do kont, czy portali. Potrzebujemy do tego wyłącznie hasła i najważniejsze, aby było ono silne. Jak takie zbudować?

Tworzenie silnego hasła

Silne hasło możemy stworzyć na wiele sposobów. Pierwsze, co nam przychodzi do głowy to stworzenie go z bardzo długiego ciągu znaków, zawierających między innymi znaki specjalne. Takie hasło może być jednak trudne do zapamiętania. Zapisanie go w formie fizycznej lub cyfrowej i noszenie ze sobą nie jest dobrym pomysłem…

Silne hasło powinno być łatwe do zapamiętania! W tym celu możemy posłużyć się zasadą pełnych zdań. Pamiętajmy, żeby nie wykorzystywać znanych cytatów lub powiedzenia, ponieważ z racji swojej popularności nie będą one stanowiły odpowiedniej ochrony. Nic nie stoi na przeszkodzie, aby stały się one inspiracją dla naszego silnego hasła. Powinno ono składać się z przynajmniej pięciu słów:

  • CzerwonyJakCegłaRozgrzanyJakPatelnia – był to (przed opublikowaniem) przykład silnego hasła, które nie powinno być trudne do zapamiętania

Do tworzenia silnego hasła możemy wykorzystać opis jakiejś sceny – najlepiej posiadającej surrealistyczny lub abstrakcyjny element. Jest to ważne, ponieważ często podczas wymyślania hasła korzystamy z nazewnictwa przedmiotów, z jakimi mieliśmy styczność niedawno lub widzimy je w danej chwili. Słownik słów jest zatem powiązany ze sobą, przez co łatwiej je złamać. Wplatając element abstrakcyjny, znacznie utrudniamy złamanie stworzonego przez nas hasła:

  • WysokogórskaPodwodnaMisjaRatunkowa3Zebr

Innym rozwiązaniem jest zastosowanie w haśle dwóch lub więcej języków. Próby łamania naszych zabezpieczeń często oparte są na metodach słownikowych, a te zawierają słowa lub zwroty z jednego języka. Lekko zmodyfikowaliśmy przykład hasła przedstawionego powyżej:

  • WysokogórskaUnderwaterMisjaRettung3Zebr

Im bardziej abstrakcyjne i fantazyjne połączenia słów i języków tym lepiej. Pamiętajmy o tym, że takie hasło musimy zapamiętać 🙂

Hasła pozornie silne

Jeszcze kilka lat temu zalecało się tworzyć hasła zawierające np. znaki specjalne, a za przykłady niech posłużą nam:

  • Zaq123qwe#@!
  • Perystaltyka123$
  • admin.1admin.2admin.3admin

Rozwój technologii i znaczne zwiększenie mocy obliczeniowej spowodowały, że takie hasła nie są już dostatecznie silne. Tworzone są za pomocą schematów, zgodnie z przewidywalnymi regułami, co sprawia, że stają się łatwe do złamania. Koszt i czas potrzeby na ich odkrycie jest niewielki.

Z danych CERT Polska (zespól powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci) wynika, że złamanie haseł przedstawionych jako pozornie za pomocą wiekowego algorytmu SHA1 zajęło poniżej 5 minut.

Natomiast w przypadku haseł stworzonych zgodnie z przedstawionymi radami, przy zastosowaniu tego samego przestarzałego algorytmu SHA1 czas złamania liczony jest w setkach lat. Aby pokonać zabezpieczenia szybciej należy przeznaczyć większą moc obliczeniową, dlatego koszt takiego ataku rośnie wielokrotnie. Oczywiście przedstawione przykłady silnych haseł, nie powinny być stosowane, ponieważ opublikowaliśmy je na blogu.

Manager haseł

Co w przypadku, gdy musimy stworzyć i zapamiętać dziesiątki haseł do różnego rodzaju kont i serwisów? Z pomocą przyjdą nam programy do zarządzania hasłami. Mogą być one bezpośrednio wbudowane w przeglądarkę, działać bezpośrednio na naszym urządzeniu, a dane trzymać lokalnie lub w chmurze. Najczęściej mamy do czynienia z tym pierwszym rodzajem managera i pozwala nam on na zapamiętanie i stosowanie haseł łatwo i wygodnie. Manager haseł pozwala także na generowanie silnego hasła (oraz automatyczne zapisanie go) w momencie tworzenia konta np. na stronie internetowej. Słowem, wszędzie tam gdzie potrzebne jest nasze uwierzytelnienie. Musimy pamiętać, że takie rozwiązanie ma również swoje minusy – możemy stracić dostęp do swoich haseł w przypadku awarii urządzenia, na którym je trzymamy. Należy zatem pamiętać o przygotowaniu kopii zapasowej, do której będziemy mieli dostęp. Jeśli zdecydujemy się na rozwiązanie przechowywania haseł w chmurze, będziemy z nich w każdej chwili skorzystać za pomocą różnych urządzeń, pod warunkiem przebywania w zasięgu sieci.

Uwierzytelnianie dwuskładnikowe

Nazywane inaczej: uwierzytelnianiem dwuetapowym, wielopoziomowym i często skracane do 2FA (ang. Two Factor Authenticaton). Jego wprowadzenie ma za zadanie dodatkowe zabezpieczenie polegające na „podwójnym” sprawdzeniu, czy jesteśmy tą osobą, za jaką się podajemy. Możemy się z nim spotkać np. w usługach bankowych – bankowość internetowa ma obowiązek korzystania z 2FA, w celu zmniejszenia ryzyka nieuprawnionego dostępu do kont klienckich.

Uwierzytelnienie dwuskładnikowe użytkowników dzieli się na 3 grupy:

  • Coś, co znasz – np. hasło lub kod PIN
  • Coś, co posiadasz – np. telefon, token, karta
  • Coś, czym jesteś – np. odcisk palca, skan twarzy lub tęczówki oka

2FA polega na weryfikacji dwóch z trzech przedstawionych powyżej elementów. Z czym możemy spotkać się najczęściej? To hasło (coś, co znasz) oraz jeden z czynników z pozostałych grup. Bardzo popularnym rozwiązaniem jest stosowanie wiadomości SMS lub kodu stworzony przez aplikację zainstalowaną np. na telefonie. Może być to także wygenerowana wcześniej lista kodów jaką dostajemy i trzymamy w bezpiecznym miejscu. Skonfigurowanie konta tak, aby korzystało z 2FA (nie zawsze są one włączone od razu, a część z nich może nie posiadać takiej funkcji) uniemożliwia osobie atakującej nasze konto na uwierzytelnienie, nawet jeśli jest on w posiadaniu naszego loginu i hasła. Bez drugiego składnika zalogowanie się będzie niemożliwe. Specjaliści od bezpieczeństwa zalecają stosowanie 2FA dla najważniejszych dla nas kont, które zawierają istotne dla nas informacje. Warto także skorzystać z tej funkcji do poczty e-mail, ponieważ właśnie za pomocą naszych skrzynek pocztowych resetujemy i zmieniamy hasła na innych kontach. Aby uniknąć konieczności każdorazowego wykorzystywania drugiego składnika uwierzytelniania, możemy „zapamiętać” urządzenie lub przeglądarkę w ustawieniach.

Biometria

Sposób znany i rozpowszechniony przez smartfony wyposażone w czytniki linii papilarnych – dziś niemal nie spotkamy urządzenia bez tego rozwiązania. „Skaner” umieszczony jest z tyłu, z boku lub pod wyświetlaczem – to nie ma najmniejszego znaczenia dla naszego bezpieczeństwa (dla wygody owszem). Nowsze urządzenia pozwalają nam na skan twarzy, a w przypadku najnowszych rozwiązań wspomina się o możliwości skanu tęczówki oka. Metody z grupy „to czym jesteś” doskonale nadają się do weryfikacji – nie potrzebujemy niczego więcej prócz własnej osoby. Pamiętajmy, że nie wszystkie systemy, aplikacje i urządzenia pozwalają na uwierzytelnianie za pomocą biometrii i nie zawsze jest to optymalne rozwiązanie.

Dostawcy tożsamości

Kolejną metodą, która odciąża nas jako użytkowników wielu portali jest wykorzystanie tak zwanych „dostawców tożsamości: (ang. Identity providers). Jest to mechanizm, który umożliwia stworzenie jednego miejsca zarządzającego naszą tożsamością i udostępniania jej innym usługom, w celu naszego uwierzytelnienia. Brzmi skomplikowanie? Praktyka jest znacznie łatwiejsza. Chodzi o popularne rozwiązanie logowania za pomocą konta Facebook, Google lub Apple. W ten sposób uzyskujemy dostęp do wielu usług wykorzystując jedno hasło, które potwierdza naszą tożsamość u konkretnego dostawcy. Jeśli z niego korzystamy, to pamiętajmy o zabezpieczeniu głównego konta metodą 2FA (uwierzytelnianie dwuskładnikowe).

Szybkie i krótkie podsumowanie

Dbanie o ochronę danych w sieci jest szczególnie ważne w dobie różnego rodzaju cyberataków i prób oszustw internetowych. Wiele możemy zrobić sami zawczasu stosując sprawdzone i polecane rozwiązania w kwestii bezpieczeństwa. Silne hasła, uwierzytelnianie dwuskładnikowe, zaufane urządzenia, biometria – to podstawa jeśli chodzi o najważniejsze dla nas konta. Nie otwierajmy i nie zapisujmy wszystkich wysłanych do nas linków i załączników – często mogą przekierowywać nas na „podstawione” strony, które do złudzenia przypominają ich prawdziwe wersje. Załączniki mogą zawierać szkodliwe oprogramowanie, które otworzy dostęp do naszego urządzenia oszustom. Nawet najlepsze zabezpieczenia nie uchronią nas przed „błędem ludzkim” popełnianym najczęściej przez nieuwagę lub pośpiech, czy roztargnienie. W takich wypadkach to ludzie są przysłowiowym „najsłabszym ogniwem” systemu.

Jeśli będziecie uważni i zastosujecie sprawdzone metody zabezpieczeń dla Waszych cennych danych, to nie powinno się Wam przytrafić nic złego.:)