Silne hasło to podstawa bezpieczeństwa w sieci

05.09.2019

Stosując się do kilku prostych zasad przy tworzeniu haseł jesteśmy w stanie minimalizować ryzyko ich złamania i zapewnić sobie spokojne korzystanie z usług i kont z nimi powiązanych. Można jednak zadać sobie pytanie, czy na pewno wiemy, jak wygląda silne hasło i jak je przechowywać?

Jak stworzyć silne hasło

Oczywiście większość użytkowników wszelakich usług internetowych deklaruje, że hasło w postaci „haslo123”, czy „qwerty12345” nie gwarantuje ochrony naszych danych. Właściwie gwarantuje jej brak. Jednak w całym procesie bezpieczeństwa najsłabszym ogniwem wciąż jest człowiek, dlatego też, nadal możemy spotkać się ze stosowaniem powyżej wspomnianych haseł, czy komputerami i monitorami oklejonymi żółtymi karteczkami z zapisanym hasłem, czy innymi istotnymi informacjami, które nie powinny być na widoku. Przyczyną zazwyczaj jest po prostu wygoda. Należy jednak wziąć na siebie odpowiedzialność i dostosować nasze zabezpieczenia do podstawowych standardów ich tworzenia i przechowywania.

Najpierw ustalmy jakie powinno być hasło. Na początek z pewnością odrzucamy opisane już powyżej formy najprostszych „password”, czy nawet „pa$$word” – są zbyt oczywiste i nie trzeba wykwalifikowanego hakera, żeby je odgadnąć. Drugą istotną kwestią jest ilość znaków. Zakłada się, że minimum to 8 znaków powinno być wystarczające, ale może się zdarzyć tak, że dostawca usługi, w której chcemy utworzyć konto wymaga ich 10, czy nawet 12 i nie powinno nas to dziwić. Dobrym przykładem może być konto SIP z numerem stacjonarnym w naszej sieci easyCALL.pl dla biznesu. Aktualnie wymagamy minimum 8 znaków przy tworzeniu hasła do takiego konta. Ponadto zaleca się stosowanie małych i DUŻYCH liter, cyfr oraz znaków specjalnych (choć nie każdy portal/usługa pozwala na stosowanie tych ostatnich).

Po zastosowaniu tych zasad możemy jednak przesadzić i utworzyć hasła całkowicie nieczytelne, co oczywiście poprawia bezpieczeństwo, ale przestaje być dla nas łatwe do zapamiętania, zwłaszcza w większej ilości. Prościej będzie zastosować się do zasady tworzenia sensownych zdań lub grup wyrazów.

Przykład takiego hasła:

N4jsiln!3j$ze_M0je_H@$l0

Wystarczy zwykłe litery zamieniać na cyfry i znaki specjalne, które się z nimi kojarzą: np. litery „s” na znak dolara „$”, literę „a” na znak małpy „@”lub na cyfrę „4” , spacje pomiędzy słowami na „_” i tak dalej. Dzięki temu jesteśmy w stanie je zapamiętać i zachowujemy zasady opisane wyżej. Pamiętajmy jednak, aby użytymi słowami nie nawiązywać do nazwy, czy rodzaju usługi, do której będziemy chronić dostępu. Stanowczo nie zalecamy też stosowania jednego, czy nawet podobnego hasła do wszystkich kont. Muszą się one znacząco różnić, najlepiej, aby w ogóle nie posiadały wspólnych tego typu „słów”, czy „zdań”.

Przechowywanie haseł

Skoro te podstawy mamy już za sobą, przejdźmy do przechowywania haseł. Posiadanie ich w większej ilości skłania nas do zapisywania w wygodnych dla nas miejscach. Na początek na pewno odrzucamy wspomniane już karteczki, czy nawet plik tekstowy zapisany na dysku komputera. Z pomocą przychodzą nam oczywiście przeglądarki, które już od dawna pozwalają na zapamiętywanie nas i logowanie się jednym kliknięciem do większości portali. Nie zawsze musi być to złą praktyką, jednakże istnieje ryzyko, że osoba, która uzyska do niej dostęp otrzyma w gratisie nasze zabezpieczenia do wszystkich naszych kont. Dlatego też warto samodzielnie sprawdzić, na których kontach i usługach znajdują się nasze dane wrażliwe oraz informacje, których wyciek może nie być dla nas przyjemny w skutkach, i dla nich nie zaznaczać opcji w przeglądarce „Zapamiętaj hasło”, czy „Zapamiętaj mnie”.

Gdzie zatem przechowywać te najistotniejsze hasła? Istnieje wiele specjalnych rodzajów oprogramowania nazywanych menadżerami haseł. Programy te przetrzymują na dysku komputera zaszyfrowany plik z bazą zapisanych haseł. Plik ten jest zaszyfrowany hasłem, a często dodatkowo specjalnym kluczem lub innym plikiem. Stosując te rozwiązanie musimy zatem utworzyć (a później je pamiętać ) jedno lub dwa silne hasła, i używać ich do odczytywania i kopiowania w razie potrzeby wszystkich pozostałych. Dzięki temu możemy też zacząć stosować bardziej skomplikowane hasła, składające się np. z losowych ciągów znaków.

Warto pamiętać, aby posiadać kopię zapasową zaszyfrowanego pliku (np. na dysku przenośnym lub pendrive) i często ją aktualizować. Jeśli będziemy posiadać tylko jedną kopię, to jej utrata wymusi na nas resetowanie wszystkich zapisanych haseł.

Aktualnie znajdziemy mnóstwo propozycji takich programów, przykładami polecanych mogą być:

LastPass Premium, 1password, Password Menager Pro, KeePass.

Podwójna autoryzacja

Dodatkowym zabezpieczeniem podczas logowania pojawiającym się coraz częściej np. w bankowości elektronicznej, czy na portalach społecznościowych jest podwójna autoryzacja. Proponowane są różne sposoby jej realizacji, najpopularniejsze z nich to:

  1. Kod wysłany poprzez SMS na numer komórkowy podany w profilu użytkownika
  2. Skan biometryczny, np. linii papilarnych
  3. Kod autoryzacyjny w aplikacji np. Google Authenticator

Działanie pierwszych dwóch jest raczej jasne, więc nie będziemy się nad nimi rozwodzić. Skupimy się na ostatniej, czyli autoryzacji za pomocą kodu generowanego przez aplikację Google Authenticator, którą niedawno wprowadziliśmy do naszej platformy dla Resellerów. Po jej uruchomieniu użytkownik musi pobrać aplikację Google Authenticator na swój smartfon i zeskanować wyświetlony kod QR lub wprowadzić do aplikacji wyświetlony sekretny kod. Aplikacja sparuje urządzenie z naszą platformą i wygeneruje kod do logowania. Od tego momentu, każde nowe logowanie na Panel Resellera będzie wymagało potwierdzenia wprowadzeniem kodu z aplikacji Google Authenticator. Aby wygenerować nowy kod, wystarczy kliknąć na ten aktualnie wyświetlany w aplikacji.

Takie rozwiązanie pozwala skutecznie chronić nasze dane nawet w przypadku, gdy nasze hasło zostanie przejęte lub złamane.

Poczta e-mail

Dzisiaj prawie każdy posiada konto poczty elektronicznej. Jest ona niezbędna do rejestracji i tworzenia kont w znakomitej większości usług i portali. Poza samą rejestracją i aktywacją konta, nasze konto e-mail służy nierzadko do odzyskania hasła, którego np. zapomnieliśmy. Przejęcie dostępu do naszego konta e-mail może mieć dla nas bardzo niemiłe konsekwencje, bo może to posłużyć to wykradzenia danych ze wszystkich pozostałych usług i portali, na których rejestrowaliśmy się za pomocą właśnie tego adresu e-mail. Biorąc pod uwagę takie zagrożenie, kluczowe powinno być dla nas bezpieczeństwo naszej poczty. Pamiętajmy zatem, żeby hasło do niej było bardzo silne i miało uruchomioną podwójną autoryzację (jeśli jest możliwa).