Światowy Dzień Hasła. Zobacz, jak zadbać o bezpieczeństwo

Światowy Dzień Hasła. Zobacz, jak zadbać o bezpieczeństwo05.05.2022 11:40
Światowy Dzień Hasła
Źródło zdjęć: © Getty Images | Andrew Brookes

Światowy Dzień Hasła to idealna okazja, by zreflektować się nad swoimi nawykami dotyczącymi bezpiecznego korzystania z komputera i internetu. Regularne zmienianie haseł, stosowanie długich kombinacji i aktywacja uwierzytelniania dwuetapowego to dziś podstawy.

Czasy, w których do wygodnego korzystania z internetu konieczne było zapamiętanie jedynie hasła do poczty e-mail i ulubionego forum bezpowrotnie minęły. Od lat logujemy się "do wszystkiego", w tym do smartfonów, bankowości elektronicznej, pakietu biurowego, sklepów, serwisów streamingowych z filmami i muzyką, czy samej przeglądarki internetowej i szeregu komunikatorów.

Wszystkie te usługi to pole do popisu dla atakujących, którzy chcą przejąć dane logowania. Zwykle otwiera im to drogę nie tylko do kradzieży danych, ale także do realizacji kolejnych ataków, podszywania się pod inne osoby i przede wszystkim - kradzieży pieniędzy z kont bankowych. Aby nie stracić danych i pieniędzy, wypada poświęcić chociaż chwilę na poznanie podstawowych zasad tworzenia dobrych haseł, a Światowy Dzień Hasła jest do tego idealną okazją.

"123456" i "password" to nie hasła

Podstawą jest tworzenie takich haseł, które po prostu trudno jest odgadnąć. W świecie komputerów oznacza to przede wszystkim długie kombinacje, które są zlepkami wielu liter, cyfr i symboli. Dzięki temu hasła będą bardziej odporne na taki typu bruteforce. Chodzi o sytuacje, w których atakujący wykorzystuje słownik, by maszynowo wypełniać formularz logowania i jako hasło wprowadzać popularne wyrazy lub powszechnie (i nieodpowiedzialnie) stosowane kombinacje.

Oto najgorsze hasła do logowania. Można je złamać w sekundę

Jak bowiem wykazują raporty bezpieczeństwa, takich przypadków jest zaskakująco dużo. Pod koniec ubiegłego roku jedno z badań wykazało, że w Polsce najpopularniejsze hasło w sieci to kombinacja "123456". Inne opcje na liście to m.in. "qwerty", "password" czy "123qwe". Skoro na pomysł ich zastosowania wpada masa osób, przestają być unikalne i z definicji tracą sens. Nie należy ich używać.

Co więcej, hakerzy mają w zakresie ich stosowania dokładnie taką samą (jak nie większą) wiedzę, co sami badacze. Stworzenie narzędzia, które automatycznie włamie się do kont losowych osób, stosując tylko wymienione wyżej kombinacje, to kilka chwil. Rozwiązanie - stosowanie skomplikowanych kombinacji, które nie są oczywiste.

Za dobre hasło uznaje się najczęściej kombinację, która ma przynajmniej kilkanaście znaków, w tym litery (zarówno małe, jak i duże), cyfry i znaki specjalnie. Skrajny przypadek to po prostu losowa kombinacja, której raczej nie da się zapamiętać w głowie. Wygodniejsze (i w praktyce równie skuteczne) będzie samodzielne stworzenie ciągu słów, cyfr i symboli, które będą proste do zapamiętania. Metoda słownikowa w przypadku ataku i tak niewiele tu pomoże. Generalnie im dłuższe hasło - tym lepsze.

Uwierzytelnianie dwuetapowe - włączaj, gdzie się da

Istotny element bezpieczeństwa w sieci to także uwierzytelnianie dwuetapowe, w skrócie znane jako 2FA. Chodzi o wykorzystanie dodatkowego elementu weryfikacji, który pozwala uwierzytelnić użytkownika i w praktyce uodpornić konto na ataki, nawet jeśli ktoś pozna autentyczny login i hasło.

Weryfikacja dwuetapowa – bezpieczne logowanie do Facebooka, Gmaila i nie tylko

Najczęściej spotykane opcje to dodatkowe hasło jednorazowe (wysyłane np. SMS-em), kod odczytywany z aplikacji generującej odpowiednie ciągi czy elementy biometrii, takie jak wizerunek twarzy i odcisk palca. W praktyce użytkownik podaje login i hasło, a następnie proszony jest np. o kod z wiadomości SMS. Tego z kolei nie da się zdobyć, nie mając fizycznie w ręku smartfonu użytkownika. Włamanie na konto bez wcześniejszej kradzieży telefonu jest więc niemożliwe - nawet, jeśli atakujący zna login i hasło.

Sposób dla zapominalskich: menedżer haseł

W kontekście haseł warto pamiętać o istnieniu menedżerów. To aplikacje, które pozwalają zapamiętać hasła do szeregu serwisów i usług, a wymagają pamiętania tylko jednego, głównego hasła, by nimi zarządzać. W czasach, kiedy użytkownicy niestroniący od elektronicznych usług mają do zapamiętania kilkadziesiąt (jak nie więcej) haseł do różnych serwisów, menedżery haseł wydają się w zasadzie koniecznością.

Jaki jest najlepszy menedżer haseł?

Argument o dyskusyjnym bezpieczeństwie menedżerów haseł (teoretycznie przez błąd w programie lub wyciek hasła głównego, ktoś mógłby zdobyć dostęp do wszystkich pozostałych) nie jest do końca trafny. Niektóre menedżery mają otwarte źródła i co do zasady są programami tworzonymi z poszanowaniem wszelkich zasad bezpieczeństwa. Przykładem może być KeePass, który przechowuje dane w zaszyfrowanym pliku.

Pamiętaj o phishingu

Nawet najdłuższe, skomplikowane i dobrze zapisane hasła okażą się nieskuteczne, jeśli użytkownik zdecyduje się wprowadzić je do spreparowanego formularza. Dbając o bezpieczeństwo w sieci należy więc uważać przede wszystkim na phishing - szereg metod podszywania się pod wiarygodnych nadawców i wyłudzanie danych logowania.

Takie ataki popularne są szczególnie w zawodowych skrzynkach e-mail, ale także w zwykłych SMS-ach. Powszechne są bowiem ataki, w których ktoś deklaruje na przykład niedopłatę do rachunku, a później zachęca do jej uregulowania pod podanym linkiem.

SMS o wyłączeniu prądu: tak wygląda fałszywy serwis płatności

Jeśli odbiorca wiadomości nie zorientuje się, że trafił na fałszywy formularz bankowy, w praktyce przekaże dane logowania wprost w ręce atakujących. Świetne hasło w tym przypadku w niczym nie pomoże. Warto więc zachować rozsądek i pamiętać, że w sieci można szczególnie łatwo dać się na coś nabrać.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na