Artykuł pochodzi ze strony NASK. Pełna jego treść jest dostępna na stronie "Hasła i bezpieczeństwo Danych" Akademii NASK.

Początki haseł komputerowych sięgają roku 1961, gdy po raz pierwszy opracowano je w‍ Massachusetts Institute of Technology (MIT). Od tego czasu bardzo wiele się zmieniło, internet stał się powszechnie wykorzystywanym medium i jednocześnie wzrosła potrzeba stosowania dobrych haseł wraz ze wzrostem ilości usług, kont i przechowywanych w nich wrażliwych informacji.

W tym artykule postaram się przybliżyć ważne porady, jak uchronić swoje dane, jak budować dobre hasła i jak ich bezpiecznie używać. Nie zapomnij podzielić się tą wiedzą ze swoją rodziną, dziećmi i znajomymi!

Tworzenie bezpiecznego hasła

Haseł używasz każdego dnia - odblokowując smartfon, logując się do poczty czy bankowości elektronicznej. Bezpieczne hasła są kluczowe, gdy mówimy o ochronie naszej prywatności. Pamiętaj o tym, że dane kont pocztowych, dane osobiste i zasoby, które chronisz, będą bezpieczne tylko wtedy, kiedy używasz silnych haseł.

Wymagania a zalecenia

Większość stron i serwisów wprowadza wymagania, zmuszając użytkownika do umieszczania w haśle następujących rodzajów znaków:

• wielkie litery
• małe litery
• cyfry
• znaki specjalne 

Najnowsze badania wskazują jednak, że o wiele istotniejszym czynnikiem z punktu widzenia bezpieczeństwa (znacznie bardziej zwiększającym trudność odgadnięcia hasła) jest jego długość. CERT Polska zaleca, aby tworzyć możliwie długie hasła, zawierające minimum kilkanaście znaków. Mogą one składać się z całych zdań (jeśli tylko system pozwala na stworzenie tak długiego hasła).

Popularne hasła

Pomimo propagowania przez ekspertów ds. bezpieczeństwa cybernetycznego wiedzy dotyczącej zabezpieczania kont, informacji o atakach hakerskich i ich konsekwencjach udostępnianych przez środki masowego przekazu, wciąż najchętniej wybierane są najprostsze ciągi znaków.

W‍ kwietniu 2022 najpopularniejsze 10 haseł to:

• 123456
• 123456789
• qwerty
• password
• 12345
• qwerty123
• 1q2w3e
• 12345678
• 111111
• 1234567890

W‍ tym przypadku popularność zdecydowanie nie jest dobra. Jeśli rozpoznajesz jakiekolwiek z powyższych haseł, koniecznie jak najszybciej zmień je na bezpieczniejsze. Konta, które je wykorzystują w praktyce w ogóle nie są zabezpieczone, ponieważ te hasła jako pierwsze są wypróbowywane podczas prób włamań.  Czy wiesz, że w przypadku tak prostych ciągów znaków, potencjalnemu hakerowi złamanie hasła zajmie mniej niż sekundę!

Tworząc hasło…

• nie używaj tylko jednego słowa,
• nie stosuj słów, które są obecne w‍ słownikach (można za to wykorzystać istniejące słowo, ale z błędem w pisowni, lub zamienionymi niektórymi literami na podobne do nich wizualnie symbole specjalne),
• nie wykorzystuj do jego budowy informacji na twój temat, które mogą być znane innym osobom – jak np.: ważna data, imiona członków rodziny czy zwierząt domowych, adres zamieszkania bądź numer telefonu.

Hasło będzie dobre, gdy…

(jednocześnie)

• uda Ci się je zapamiętać
• nikt inny się go nie domyśli.

Co za tym idzie, długie ciągi przypadkowych znaków nie są dobrym materiałem na hasło, które mamy powierzyć swojej pamięci – w praktyce nie będzie się nam chciało ich zapamiętać.

W celu zbudowania dobrego hasła, które Ty odtworzysz z pamięci bez pomyłki, a inne osoby „nie wpadną” na ich brzmienie, możesz posłużyć się następującą metodą. Wybierz mało popularną piosenkę, wiersz lub cytat, którą lubisz i znasz na pamięć (wystarczy jedno zdanie), po czym użyj pierwszą literę lub pierwsze dwie litery z każdego wyrazu i połącz wszystko w jeden ciąg znaków. Jeśli uzyskany w ten sposób „wyraz” będzie miał kilkanaście liter i znajdą się w nim także cyfry i znaki specjalne – gratulacje, stworzyłeś właśnie bardzo dobre hasło!

Ze względu na to, że dla każdego hasła powyższy proces trzeba przeprowadzić od nowa, aby się nie pogubić, dobrym pomysłem będzie sporządzenie listy stron internetowych (czy aplikacji) wymagających logowania. Przy każdej z nich można dodać krótką podpowiedź, która nie będzie zawierała hasła, ale przypomni Ci, czym kierowałeś się wymyślając je. Mogą wystarczyć choćby1-2 wyrazy, które będą się Tobie kojarzyć z określonym cytatem, ale nie będą w oczywisty sposób wskazywać na jego źródło. Tak przygotowaną podpowiedź możesz przechowywać czy to na kartce trzymanej w portfelu, czy w aplikacji z notatkami w naszym (zabezpieczonym przed dostępem osób postronnych) telefonie.

Uwierzytelnianie dwuskładnikowe

Choć uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), jako technologia zaczęło działać już w‍ 1986 roku, dopiero ostatnia dekada doprowadziła do istotnej popularyzacji tego narzędzia. Nazywane jest także uwierzytelnianiem dwuetapowym lub logowaniem dwuetapowym. Obecnie taka forma zabezpieczenia jest uniwersalnie wymagana dla kont dających dostęp do bankowości elektronicznej, a coraz częściej spotyka się także możliwość włączenia go dla poczty elektronicznej, magazynów danych w chmurze, gier wideo i innych usług sieciowych.

Ideą dwuskładnikowego uwierzytelnienia jest konieczność weryfikacji nie tylko za pomocą hasła, ale też informacji innego typu, która przekazywana jest np. w postaci kodu poprzez wiadomość SMS. W wielu bankach wciąż możliwe jest zamawianie specjalnych kart z wydrukowanymi kodami. To ostatnie rozwiązanie może nie być praktyczne, jeśli często musimy potwierdzać w ten sposób swoją tożsamość.

Wiele instytucji i firm wprowadziło z kolei uwierzytelnianie dwuskładnikowe jako wymagane przy logowaniu do swoich systemów i często wykorzystuje specjalne urządzenia lub specjalne aplikacje dla smartfonów, generujące jednorazowe kody. Alternatywnie, niektóre usługi umożliwiają włączenie innego typu potwierdzenia tożsamości np. wprowadzenie poprzez panel dotykowy (ustalonego wcześniej) kształtu, odcisku palca czy sczytanie obrazu twarzy właściciela konta za pomocą trójwymiarowej kamery w smartfonie. Taka autoryzacja może również zostać używa jako etap weryfikacji dwuskładnikowej. Warto korzystać z takich rozwiązań, aby podnieść poziom naszego cyfrowego bezpieczeństwa.

Dobre praktyki bezpieczeństwa danych

Nie loguj się przez link

Jeśli otrzymujesz prośbę o podanie hasła w miejscu innym niż oficjalna strona usługi, dla której zostało to hasło utworzone, najprawdopodobniej masz do czynienia z próbą oszustwa.

Unikaj też otwierania wymagających logowania stron poprzez link. Nawet jeśli wiadomość brzmi wiarygodnie, wcale taka być nie musi. Łącze mogło zostać spreparowane i otwierana nim strona będzie prowadziła do serwera zarządzanego przez oszustów. Nawet jeśli wygląd strony będzie identyczny z prawdziwą witryną, gdy tylko wprowadzisz swoje dane, zostaną one przekazane przestępcom.

Zamiast otwierać stronę logowania z linku, używaj sprawdzonego adresu strony, którą chcesz odwiedzić. Jeśli nie pamiętasz właściwego adresu, a pasek przeglądarki go nie podpowiada - użyj wyszukiwarki takiej jak Google, aby odnaleźć potrzebną stronę. Jedynym wyjątkiem, kiedy bezpiecznie jest otwierać stronę logowania z linku jest sytuacja, gdy sami poprosimy o taki link (np. użyjemy opcji przypominania hasła).

Stosuj różne hasła

Nie używaj tego samego hasła do różnych stron, usług, aplikacji czy urządzeń, jeśli znajdują się w‍ nich Twoje dane (choćby używany regularnie adres e-mail). Jeśli korzystasz z wielu stron i wymyślanie innego hasła dla każdej z nich jest kłopotliwe, możesz użyć opcji logowania za pomocą już istniejącego profilu (np. konta Google, Facebook itp.) lub użyć menedżera haseł do wygenerowania bezpiecznego, unikalnego hasła dla każdej witryny.

Pilnuj swoich haseł

Nigdy nie pozwalaj na zapamiętanie haseł w przeglądarce, jeśli używasz konta (pulpitu) niezabezpieczonego hasłem lub jeśli więcej osób z niego korzysta. Wiele serwisów umożliwia dostęp do wspólnego konta za pomocą różnych loginów i przypisanych do nich haseł – utworzenie różnych profili z osobnymi hasłami dla każdej osoby jest bezpieczniejszym rozwiązaniem niż dzielenie się tymi samymi danymi logowania.

Nawet jeśli używasz sprzętu wspólnie z godnymi zaufania osobami, może się zdarzyć np. że ktoś przyjdzie do nich w odwiedziny i wykorzysta chwilę nieuwagi, aby wejść na waszą historię przeglądarki oraz sprawdzi zapisane hasła. Jeśli już musisz udostępnić swoje hasło komuś innemu, upewnij się, że żadne inne Twoje konto nie korzysta z tego samego hasła, a najlepiej zmień je, gdy tylko druga osoba przestanie z niego korzystać.

Używaj osobnego adresu e-mail do rejestracji

Dobrze jest zachować swój prywatny adres e-mail w tajemnicy przed internetem – nie używać go do rejestracji na żadnych stronach i podawać go wyłącznie osobom, z którymi naprawdę chcemy utrzymywać kontakt.

Wielu operatorów poczty elektronicznej umożliwia stworzenie tzw. aliasów, czyli dodatkowych adresów e-mail, których możesz użyć właśnie w celu rejestracji swoich kont w różnych serwisach. Jednocześnie, jeśli uznasz, że otrzymujesz zbyt dużo niechcianej poczty lub gdy Twój adres zostanie upubliczniony, możesz wówczas utworzyć nowy alias, zmienić swój adres e-mail we wszystkich serwisach i usunąć ten alias, który został upubliczniony.

Nie należy nigdy umieszczać swojego adresu email w miejscach łatwo dostępnych w internecie, takich jak treść wpisów w mediach społecznościowych lub ogłoszenia publikowane w grupach czy forach internetowych. Twój adres może zostać automatycznie „sczytany” przez oprogramowanie stworzone właśnie w celu „łowienia danych”, a następnie użyty do rozsyłania spamu (niechcianych wiadomości). Dzięki tym działaniom zmniejszysz szansę włamania na Twoje konto e-mail i jednocześnie zminimalizujesz ilość otrzymywanej niepotrzebnej korespondencji.

Śledź duże wycieki haseł

Największym firmom informatycznym zdarzają się wpadki, które mogą skutkować wyciekiem danych. Później lista wszystkich odkrytych w ten sposób haseł może zostać upubliczniona. 
 

Obecnie da się dość łatwo sprawdzić, czy konkretne hasło nie „wyciekło”, tzn. czy nie zostało upublicznione jako skompromitowane. Taką weryfikację można przeprowadzić na stronie Avast Hack Check. Wprowadzenie Twojego adresu email na tej stronie pozwoli Ci sprawdzić, czy ten adres został upubliczniony, czy wraz z nim upublicznione zostało hasło użyte do utworzonego z jego pomocą konta oraz pozwoli Avast wysłać powiadomienie, jeśli w przyszłości odnotowany zostanie wyciek zawierający Twoje dane. Jeśli okaże się, że Twoje dane zostały upublicznione, powinieneś jak najszybciej je zmienić ­- dla każdego konta, które je stosowało, trzeba wymyślić inne, nowe, bezpieczne hasło. Jeśli wyciekł Twój adres e-mail, lepiej jest zaprzestać korzystania z niego i stworzyć nowe konto lub nowy alias wyłącznie na potrzeby rejestracji internetowych.

Korzystaj z menedżera haseł

Jeśli posiadasz wiele kont, korzystasz ze znacznej ilości usług i‍ wymyślanie nowych haseł sprawia Ci kłopot, możesz skorzystać z‍ aplikacji typu menedżer haseł. Taka aplikacja sama generuje bardzo dobre hasła dla każdej z usług, kont i witryn z jakich korzystasz. Wystarczy, jeśli wymyślisz jedno dobre hasło główne, którym będziesz autoryzować każde logowanie, realizowane z pomocą menedżera.

Oto przykłady dobrych, darmowych menedżerów haseł:

• LastPass
• KeePass
• Keeper
• Password Safe
• Dashlane 

Poprawianie bezpieczeństwa swoich haseł

Jeśli posiadasz wiele kont i myśl o stworzeniu całkiem innego hasła do każdego z nich budzi w Tobie dyskomfort, pamiętaj, że nie ma konieczności wymyślania haseł od nowa! Hasła, do których się przyzwyczailiśmy, można ulepszyć, dokonując w nich niewielkich zmian. Wystarczy np. dodać spacje między wyrazami, zmienić wielkość niektórych liter i dodać gdzieś nietypowy symbol, aby uzyskać o wiele bezpieczniejszą kombinację.

Dziecko i bezpieczne hasło

Najmłodszym użytkownikom sieci loginy i hasła dostępu nadajemy My – rodzice lub opiekunowie. Większość serwisów pozwala na założenie konta internetowego osobom od 13. roku życia. Ponadto według obowiązującego w Polsce prawa, po ukończeniu tego wieku, dziecko osiąga tak zwaną ograniczoną zdolność do czynności prawnych. Pozwala to na założenie dla nastolatka rachunku osobistego w banku wraz z kartą płatniczą. Dbając o bezpieczeństwo ich prywatności, zachęcamy Cię do rozmowy z nastolatkiem na temat tworzenia silnych haseł, ich przechowywania czy dwuetapowego uwierzytelniania. Posłuż się podanym przez nas przykładem i za pomocą ulubionej piosenki czy cytatu, utwórzcie wspólnie silne hasło. Powodzenia!