Sposób na silne i bezpieczne hasło

16 Października 2013

Sposób na silne i bezpieczne hasło maxkabakov - Fotolia

1

Każdego dnia logujemy się do różnych serwisów: społecznościowych, aukcyjnych, sklepów oraz banków. Istnieje wiele technologii uwierzytelniania, jednak najprostszym i najtańszym rozwiązaniem jest silne hasło.

Używanie silnych haseł jest niezbędne do tego, aby chronić swoją tożsamość i swoje informacje. Niestety użytkownicy wciaż używają zbyt prostych wyrazów i ciągów liczb, a przede wszystkim stosują to samo hasło w przypadku różnych kont.

Zagrożenia

Najprostszymi i najpowszechniej stosowanymi sposobami przełamywania haseł są:

  • Atak słownikowy (dictionary attack) – zautomatyzowany atak skierowany przeciwko systemowi uwierzytelniania, który polega na sprawdzeniu kolejnych, gotowych haseł znajdujących się w bazie danych (tzw. słowniku).
  • Atak siłowy (brute-force password attack) – polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła:
    • zwyczajne ataki siłowe (normal brute force attacks) – atakujący używa nazwy użytkownika i dopasowuje do niego hasła;
    • odwrócone ataki siłowe (reverse brute force attacks) – atakujący używa jednego hasła i dopasowuje do nich nazwy użytkowników. W systemach z dużą ilością kont, prawdopodobieństwo posiadania tego samego hasła przez wielu użytkowników jest wysokie.

Ataki tego typu są nieustannie rozwijane. Za pomocą ataku słownikowego można złamać większość haseł wykorzystywanych przez użytkowników indywidualnych. W Internecie publikowane są słowniki haseł najczęściej używanych. Nie brakuje też programów do łamania haseł. Przykładowym narzędziem do przeprowadzenia ataku łamania hasła metodą brute force jest THC-HYDRA (http://freeworld.thc.org/thc-hydra).

Zasady bezpieczeństwa

Kluczową rolę odgrywa stopień skomplikowania haseł przechowywanych w systemie. Dlatego też jednym ze sposóbów ochrony jest wymuszanie na użytkownikach wybierania haseł trudnych do odgadnięcia. Hasła, aby uznać je za bezpieczne, powinny przestrzegać następujących wymogów:

  • hasło nie powinno składać się z imienia, nazwiska, adresu, daty urodzenia, nazwy użytkownika lub jego znajomego albo członka rodziny,
  • hasło nie powinno być wyrazem jakiegokolwiek języka (zwiększa to podatność na atak słownikowy),
  • hasło powinno mieć odpowiednią długość oraz być przynajmniej 8-12 znakowe – mniejsza długość może powodować podatność na atak brute force.
  • hasło powinno być kombinacją różnych znaków, tj. wielkich i małych liter alfabetu, cyfr oraz znaków specjalnych.

Aby wygenerować silne hasło, można posłużyć się jednym z wielu programów do ich generowania. Można skorzystać na przykład z programów Wireless Key Generator, Password Generator, Advanced Password Generator czy generatora zawartego w KeePass.

Pamiętaj:

  • Używaj różnych haseł do różnych kont. Nigdy nie używaj tych samych haseł do usług w pracy czy do konta w bank co do haseł do kont osobistych, takich jak Facebook, YouTube czy Twitter. W ten sposób, jeśli jedno z haseł zostanie skompromitowane, pozostałe konta pozostaną nadal bezpieczne. Jeśli masz zbyt wiele haseł do zapamiętania, rozważ użycie menedżera haseł.
  • Nigdy nie udostępniaj swojego hasła innym osobom, także współpracownikom. Pamiętaj, że hasło jest tajemnicą, a jeśli ktoś je pozna, nie jest już bezpieczne.
  • Nie należy korzystać z publicznych komputerów, takich jak te w hotelach lub w bibliotekach, aby logować się na konto do pracy lub do banku. Ponieważ każdy może korzystać z tych komputerów, mogą one być zainfekowane złośliwym oprogramowaniem, które przechwytuje wszystkie naciśnięcia klawiszy. Do kont w swojej pracy lub rachunków bankowych loguj się tylko z zaufanych komputerów lub urządzeń mobilnych, nad którymi masz kontrolę.
  • Uważaj na strony internetowe, które wymagają odpowiedzi na osobiste pytania. Pytania te są używane, jeśli zapomnisz hasła i trzeba będzie je zresetować. Sęk w tym, że odpowiedzi na te pytania można często znaleźć w Internecie czy nawet na Facebooku. Upewnij się, że jeśli odpowiadasz na osobiste pytania używasz tylko informacji, które nie są dostępne publicznie lub są to fikcyjne dane, celowo przez Ciebie zmyślone.
  • Wiele kont internetowych oferuje coś, co jest nazywane „dwuskładnikowym uwierzytelnianiem” lub „dwuetapową weryfikacją”. Jest to stosowane kiedy do logowania potrzebne jest więcej niż tylko jedno hasło, np. dodatkowo żądany jest kod przesyłany na smartfon. Użycie tej metody jest o wiele bardziej bezpieczne niż użycie samego hasła. Jeśli tylko jest to możliwe, należy zawsze korzystać z tych silniejszych metod uwierzytelniania.
  • Urządzenia mobilne często wymagają podania kodu PIN w celu ochrony dostępu do nich. Pamiętaj, że PIN jest niczym innym tylko kolejnym hasłem. Im Twój PIN jest dłuższy, tym jest bardziej bezpieczny. Niektóre urządzenia mobilne (np. iPhone) pozwolą Ci zmienić numer PIN na zwykłe literowe hasło.

Podobne artykuły: