Znowu musisz zmienić hasło komputerowe i brakuje ci już pomysłów? Podpowiadamy, jak to zrobić

Jak mawiał Clifford Stoll, amerykański astronom, administrator sieciowy oraz pisarz: "Traktuj swoje hasło jak szczoteczkę do zębów: nie pozwól nikomu go używać i wymieniaj na nowe co sześć miesięcy". I, tak szczerze mówiąc, dziś zalecamy to robić nawet częściej. W obu wypadkach.

Z jak szybkiego internetu korzystamy? Co w nim robimy? Ile za niego płacimy? Choć na ten temat przeprowadzono już badania, chcemy sprawdzić to sami. W artykule poniżej znajdziecie nasz Narodowy Test Internetu. Zachęcamy do wzięcia w nim udziału.

To oczywiste: posługujemy się coraz większą liczbą haseł. Logujemy się do komputera, do poczty elektronicznej, na konto bankowe, do portalu społecznościowego… A do tego musimy pamiętać jeszcze PIN-y do karty bankomatowej, telefonu komórkowego itd., itd.

Na szczęście czasy, kiedy PIN do karty bankomatowej zapisywaliśmy na jej odwrocie, już dawno minęły (oby!). W przypadku haseł ciągle jednak jesteśmy niereformowalni. Od wielu lat korzystamy z tych samych i to ewidentnie najprostszych. Takie wnioski wynikają z ostatniego corocznego raportu firmy SplashData, która zbiera takie dane.

Nie jest dobrze. Ok. 10 proc. internautów na całym świecie używa tych samych 25 najczęściej stosowanych haseł. I tak, od dawna najpopularniejszym hasłem jest "123456", którego używa ok. 3 proc. wszystkich internautów. Ciekawe, że takich kombinacji cyfr od 1 do 9 jest w pierwszej dziesiątce całkiem sporo (np. "12345", "12345678"). Drugie miejsce, również od wielu lat, zajmuje hasło… "password". Wiele też pochodzi od układu klawiszy, np. "qwerty", "1qaz2wsx" itp. Niektóre pewnie w zamyśle ich twórców mają być przewrotne, np. "login", "welcome", "letmein". Jedyną nowością ostatnich lat jest "starwars", zajmujące ostatnie, 25. miejsce w zestawieniu.

Co gorsza, jesteśmy leniuchami. Często tym samym hasłem posługujemy się w różnych miejscach. Wszystko to sprawia, że stanowimy łatwy cel dla hakerów.

Zdaniem ekspertów najczęściej popełniamy 5 błędów: hasła są za krótkie, za proste, nie zmieniamy ich przez długi czas, w różnych miejscach posługujemy się tym samym hasłem, a także gdzieś je zapisujemy.

Warto też pamiętać, nawiązując do tego ostatniego błędu, że nawet jeśli haseł nie zapisujemy celowo, zwykle taką funkcję mają przeglądarki internetowe. Dla nas to wygoda, ale jeśli priorytetem jest bezpieczeństwo, lepiej z tej opcji nie korzystać (zawsze jesteśmy pytani, czy chcemy zapisać hasło, więc wybierajmy: "nie"). Tym bardziej, że zapisane hasła są przechowywane w systemie i nie ma żadnej gwarancji, że haker ich stamtąd nie wykradnie.

Twórcy serwisów, które wymagają logowania (a także cyklicznej zmiany hasła), zdają sobie sprawę z kłopotów. I starają się w tym pomóc. Zazwyczaj serwis podpowiada nam, czy hasło jest słabe, czy mocne. Inna sprawa, że według badań firm, które zajmują się bezpieczeństwem w sieci, raczej się tym specjalnie nie przejmujemy. Problem leży też w tym, że takie komunikaty ograniczają się do stwierdzenia, że hasło jest kiepskie. I nie wskazuje się nam, jaki błąd popełniliśmy. Ani, tym bardziej, jak go poprawić.

Jakie są zatem dobre hasła internetowe i jak je tworzyć? Właściwie można by określić to jednym słowem – nieprzewidywalne. Takie, którego potencjalny haker nie jest w stanie odgadnąć. Unikajmy więc wszelkich banalnych ciągów znaków, nazw własnych, które w jakikolwiek sposób mogą się z nami kojarzyć, czy innych ciągów znaków (data urodzenia, zawarcia małżeństwa, numer PESEL) itp. Jakie są zasady tworzenia dobrego hasła internetowego?

Wbrew pozorom to bardzo istotne. Absolutne minimum to obecnie 8 znaków, ale im więcej, tym lepiej. Zdarzają się takie zalecenia, że hasło powinno mieć aż 14 znaków. W ten sposób wzrasta liczba możliwych kombinacji, a zatem również potencjalnemu cyberprzestępcy trudniej będzie takie hasło sforsować. Na pewno zabierze mu to znacznie więcej czasu i może go zniechęcić.

...w haśle powinny być maksymalnie zróżnicowane i nie tworzyć żadnego logicznego ciągu. Krótko mówiąc, najlepszy jest chaos. Powinniśmy stosować zarówno litery wielkie i małe, cyfry, a także znaki specjalne. Jeśli nie będą one w żadnej sposób uporządkowane, małe są szanse, że ktoś je odgadnie. Przykłady takich haseł to "3Y]REi}3JG{Y0I", ".rSNAH9s5t[kwq" czy "3J4P8:frDVQ?_I". Zależność między puntem 1 i 2 jest taka, że im prostsze hasło, tym powinno być dłuższe.

Oczywistą wadą podanych przykładów jest trudność w ich zapamiętaniu. Zapisywanie jeszcze raz stanowczo odradzamy. Można spróbować zaradzić temu na dwa sposoby: albo zapisując powszechnie znane wyrazy z jakimś charakterystycznym błędem, albo – lepiej! – tworząc ciągi pierwszych liter kolejnych wyrazów łatwego do zapamiętania zdania. Np. "Tomek jedzie na hulajnodze po ulicy, a dwa kółka kręcą się cały czas" to: "Tjnhpua2kkscc". Jeśli koniecznie chcemy użyć pospolitego słowa, to zróbmy to np. tak: "rurza" czy "óżont".

Żeby hasło łatwo zapamiętać i trudno odgadnąć, można zamiast liter używać podobnie wyglądających cyfr: np. E – 3, I – 1 albo B – 8. Mogłoby to wyglądać następująco: "3dw4r0K0w4L$K1" ("Edward Kowalski"). Tylko pamiętajmy, że to jedynie przykład i nie wykorzystujmy swoich nazwisk czy innych prostych do odgadnięcia słów!

Wszystkie powyższe rady należy stosować, w miarę możliwości, łącznie. Jeśli jednak nadal sprawia nam to trudność, możemy skorzystać z gotowców. W Internecie można z łatwością znaleźć generatory haseł, które za pomocą wybranych parametrów (długość, użycie dozwolonych znaków itp.) stworzą takie hasło.

Jeśli jesteśmy już przy narzędziach, to warto wspomnieć o innych programach i aplikacjach, które pomagają nam zarządzać naszymi hasłami, używanymi w różnych miejscach. Najczęściej taki program to miejsce zabezpieczone jednym hasłem – jeśli je podamy, mamy dostęp do wszystkich pozostałych. Do najpopularniejszych programów tego typu należą: Last Pass, Keepass Password Safe czy Sticky Password.

Na koniec naszych porad uwaga tyleż oczywista, co często przez nas zapominana: nasze hasła trzeba chronić. Nigdy i pod żadnym pozorem nie podawać ich osobom trzecim, również jeśli dostaniemy taką prośbę mejlowo z nieznanego źródła, ale także takiego, które pozornie wygląda na wiarygodne i zaufane. Po prostu nigdy i nigdzie nie podajemy swoich haseł. Koniec, kropka.

Alternatywne metody potwierdzania tożsamości

Problem jest tu zasadniczy i częściowo o nim powiedzieliśmy. Mamy tu do czynienia z dwoma sprzecznymi tendencjami: z jednej strony zabezpieczenie powinno być trudne, żeby uniemożliwić dostęp osobom niepowołanym, ale z drugiej strony na tyle łatwe, żebyśmy mogli wygodnie z tego korzystać. Z różnym skutkiem próbuje się to łączyć.

W zasadzie trudno tu mówić o jakimś przełomie. Cały czas dominują tekstowe (rzadziej obrazkowe) metody potwierdzania tożsamości. Zazwyczaj tak czy owak, wcześniej lub później musimy wprowadzić kombinację znanych nam tylko znaków.

Oprócz klasycznego wprowadzania haseł popularne są (np. w bankowości internetowej) tzw. hasła maskowane. W zasadzie są to klasyczne hasła, tyle tylko, że logując się do określonego systemu nie podajmy ich w całości, a jedynie wybrane znaki (np. z całego hasła musimy podać pierwszy, drugi, siódmy i ósmy znak). Unika się w ten sposób niebezpieczeństwa przechwycenia całego hasła, bo po prostu nigdy nie podajemy go w całości.

Pewną zmianą jakościową jest uwierzytelnianie swojej tożsamości za pomocą odcisku palca (Touch ID). Na szerszą skalę zastosowano go po raz pierwszy w Iphonie 5s, a z takiego systemu logowania mogą skorzystać np. klienci banku Citi Handlowego czy aplikacji do rozliczeń BeamUP. Oczywiście, żeby z tego skorzystać, musimy mieć urządzenie, które to umożliwia. Jest to coraz popularniejsze, ale trudno powiedzieć, żeby było powszechne.

Microsoft w kolei wprowadził usługę pod nazwą Windows Hello, która opiera się na dotknięciu, rozpoznawaniu twarzy lub tęczówki. Polega to w zasadzie na zrobieniu sobie selfie lub spojrzeniu, ale niezbędna jest to tego specjalna kamera Intel RealSense. Wyposażone są w nią niektóre urządzania. Pojawiają się też systemy wykorzystujące możliwość rozpoznania głosu.

Znane są systemy uwierzytelniana za pomocą innego urządzenia tzw. zaufanego, np. smarfona, które jest powiązane z systemem wymagającym logowania. W momencie kiedy chcemy to zrobić, na nasz telefon wysyłane jest powiadomienie typu push. Nam pozostaje tylko to potwierdzić za pomocą kliknięcia (dotknięcia) i gotowe.

Jednym z najczęściej cytowanych w Internecie autorów piszących na ten temat jest Mauricio Estrella, który w jednym z artykułów opisuje, jak – korzystając z haseł – zmienił swoje życie. Stosował bowiem stwierdzenia motywacyjne np. "Quit@smoking4ever", dzięki któremu rzucił palenie, lub "no@drinking2months" czy "Sleep@before12". Nie namawiamy do aż tak radykalnych rozwiązań, ale dobre, mocne hasło to gwarancja spokojnego snu – w dzisiejszych czasach cyberataki zdarzają się w zasadzie co chwilę. Warto o tym pamiętać.

Partnerem materiału jest Orange