Nasze codzienne życie coraz większej mierze toczy się w Internecie. Stwarza to potrzebę tworzenia i utrzymywania dziesiątek, jeśli nie setek kont internetowych, z których każde ma loginy i hasła. Jednocześnie regularnie słyszymy o naruszeniach danych i niestety wykazują one jak bardzo, bagatelizujemy sprawy naszego bezpieczeństwa w sieci.
Ja sam jestem świetnym przykładem osoby, która straciła dostęp do swojej ówcześnie głównej skrzynki email… Na całe szczęście szybko się zorientowałem w sytuacji i zapobiegłem dalszym szkodom. Nie mniej ta sytuacja pokazał mi, że pomimo długiego hasła (miało ono 11 cyfr) było ono za słabe… W tym momencie przeszedłem na poziom wyżej i postanowiłem poszukać dobrego menadżera haseł (oczywiście open source) i taki właśnie znalazłem, ale o tym trochę później 😉
Jak powinny wyglądać silne hasła?
Narodowy Instytut Standardów i Technologii (NIST), założony w 1901 roku, jest obecnie częścią Departamentu Handlu Stanów Zjednoczonych. NIST zapewnia szereg zaleceń i ram dla różnych branż, ale w szczególności ma doskonałe zasoby dotyczące cyberbezpieczeństwa.
W specjalnej publikacji NIST 800-63B – Wytyczne dotyczące tożsamości cyfrowej — Uwierzytelnianie i zarządzanie cyklem życia, widzimy zestaw zaleceń informacyjnych dotyczących bezpieczeństwa hasła.
„Dodatek A – Siła zapamiętanych tajemnic” zawiera trzy proste zalecenia, odnoszące się zarówno do PIN-ów jak i haseł. NIST opisuje reguły kompozycji, takie jak wymaganie cyfry lub symbolu. Jednak ostatecznie decyduje się skupić na długości, w połączeniu ze złożonością i losowością.
Silne hasło = wiele znaków
Jednym ze sposobów utworzenia silnego hasła jest użycie kilku znaków. A im więcej użytych znaków, tym trudniejsze do złamania jest nasze hasło.
Cztery zestawy znaków to:
- Znaki numeryczne, takie jak: 12345
- Małe litery, takie jak: abcde
- Wielkie litery, takie jak: ABCDE
- Znaki specjalne, takie jak: !$% &?
Hasło składające się wyłącznie ze znaków numerycznych ma tylko dziesięć możliwych opcji dla każdego znaku (0 – 9). Jeśli hasło składa się z sześciu znaków numerycznych, haker może spróbować jednego miliona możliwych kombinacji (10 x 10 x 10 x 10 x 10 x 10).
Jednak sześcioznakowe hasło składające się z cyfr i małych liter ma trzydzieści sześć opcji dla każdego znaku (0 – 9 plus a – z). Obecnie zamiast miliona możliwych kombinacji istnieje 2 176 782 336 możliwych kombinacji dla sześcioznakowego hasła.
Losowość pomaga zwiększyć bezpieczeństwo
Ogólna losowość hasła również przyczynia się do lepszego bezpieczeństwa hasła. Dzieje się tak, ponieważ haker, mając Cię na celowniku, może zbierać o Tobie różne dane, dzięki którym będzie mógł dojść siłą dedukcji do Twoich haseł.
Jednak tworzenie „losowego” hasła wcale nie jest takie proste, jak by się mogło wydawać a oto przykład:
Hasło 1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/
, które pomimo długości trzydziestu czterech znaków znalazłoby się wśród pierwszych kilku tysięcy prób hakera brutalnej siły (jeśli spojrzysz na klawiaturę, zobaczysz dlaczego).
Dlatego świetnym sposobem tworzenia silnych, długich i losowych haseł są dedykowane do tego generatory haseł.
Każde konto = osobne hasła
Ataki siłowe to nie jedyny sposób łamania haseł (tutaj możesz sprawdzić siłę swojego dotychczasowego hasła). Skuteczne są również ataki phishingowe, które są częstą przyczyną wycieku wielu danych. A im łatwiej jest nam zapamiętać hasło, tym łatwiej jest je ujawnić nieuprawnionej stronie. Zagrożenie to dodatkowo pogarsza sytuację, gdy to samo hasło jest używane do wielu kont (niestety większość osób właśnie tak postępuje).
Ok, ale jak zapamiętać tyle różnych haseł do tylu różnych kont w sieci!?
Odpowiedź wydaje się dosyć prosta, a mianowicie zaczynamy korzystać z menadżera haseł. Będzie on nam pomagać generować i przechowywać unikalne i złożone hasła dla każdego konta. Zaletą przechowywania haseł w menadżerze haseł jest to, że są one szyfrowane i haszowane, aby zapobiec nieautoryzowanemu dostępowi. Jest to znacznie bezpieczniejszą opcją niż przechowywanie haseł w formacie zwykłego tekstu w dokumentach Worda lub arkuszach kalkulacyjnych Excela!
Co powinien posiadać dobry menadżer haseł?
Dobry menadżer haseł powinien działać na wszystkich Twoich urządzeniach i platformach. Wszędzie tam, gdzie uzyskujesz dostęp do witryn internetowych lub aplikacji, które wymagają haseł do logowania, Twój menadżer haseł musi być dostępny, aby je podać.
Menadżery haseł pomagają generować, przechowywać i używać silnych oraz unikalnych haseł. Posiadanie ich łatwo dostępnych na każdym używanym urządzeniu lub platformie jest ważne, aby zapewnić spójne i bezpieczne podejście.
Kompleksowa strategia międzyplatformowa powinna obejmować dostęp do menedżera haseł w następujących środowiskach:
- Aplikacja internetowa dostępna z dowolnej przeglądarki
- Rozszerzenia dla najpopularniejszych przeglądarek: Chrome, Safari, Firefox, Edge, Brave, Opera i nie tylko
- Aplikacja komputerowa dla systemów Windows, MacOS i Linux
- Aplikacja mobilna na iOS i Android
- Interfejs wiersza poleceń i API
Tak wiele menadżerów, który więc wybrać?
Na rynku mamy naprawdę wiele tego typu oprogramowań więc nie jest niczym dziwnym, że ludzie mają problem przy ich wyborze. Ja po swoich własnych badaniach postawiłem swoje bezpieczeństwo na menadżerze Bitwarden. Choć wybór nie był tak prosty i oczywisty (co z jednej strony cieszy).
Jednak to, co przeważyło szalę na rzecz Bitwarden’a była rekomendacja ze strony PrivacyTools, której bardzo zawierzam w sprawach bezpieczeństwa w sieci. Dlatego w następnym wpisie opiszę charakterystykę tego właśnie menażera haseł, a gdy już opanujesz podstawy aplikacji klienckich Bitwarden, z łatwością będziesz cieszyć się bezpiecznymi, wieloplatformowymi operacjami.