Tworzenie bezpiecznych haseł dostępu

27 września 2021

laptop being charged

Parametry mocnego hasła

Bezpieczne hasło powinno być przede wszystkim długie (czyli im więcej znaków zawiera hasło tym lepiej). Dobrze, jeśli będzie zawierać dodatkowo wielkie i małe litery, cyfry oraz znaki specjalne.

Opinie ekspertów pozwoliły zdefiniować wytyczne co do parametrów hasła, których spełnienie pozwala uzyskać zwiększenie mocy hasła, a co za tym idzie – hasło będzie trudniejsze do odgadnięcia dla przypadkowej osoby trzeciej.

Bezpieczne hasło powinno:

  •   składać się w miarę możliwości z jak największej liczby znaków, na przykład z kilkudziesięciu znaków (im więcej znaków, tym poziom bezpieczeństwa wyższy),
  •   zawierać małe i wielkie litery,
  •   zawierać znaki specjalne (*&^%$#@!),
  •   zawierać cyfry.

Jak stworzyć dobre hasło?

Hasła krótkie i trudne do zapamiętania

Jeszcze kilka lat temu popularyzowane były opinie, że dobre hasło powinno zawierać co najmniej 8 znaków, w tym minimum: 1 wielką literę, 1 małą literę, 1 cyfrę oraz 1 znak specjalny. Takie wytyczne stały się bardzo powszechne i większość użytkowników w firmach mogła zetknąć się z polityką haseł uwzględniającą podane zalecenia.

Hasła tworzone zgodnie z obowiązującymi wówczas wytycznymi uznawano za spełniające kryterium trudności złamania (szczególnie w systemach, w których maksymalna długość hasła była ograniczona do kilkunastu znaków). Co ciekawe, najczęściej hasła tworzone przy użyciu takich wytycznych były niestety dosyć trudne do zapamiętania dla użytkowników.

Dziś wiemy, że mocne hasło musi być przede wszystkim długie, a jednocześnie istnieje możliwość, by było relatywnie łatwe do zapamiętania przez użytkownika.

Hasło długie i proste do zapamiętania

W dzisiejszych czasach łamanie hasła jest realizowane najczęściej przy wykorzystaniu mocy obliczeniowej komputera, który będzie miał za zadanie sprawdzić wszystkie kombinacje liter, cyfr i znaków specjalnych znajdujących się na kolejnych miejscach sekwencji hasła. Korzystanie z maszyny do złamania hasła powoduje, że jednym z najważniejszych kryteriów siły hasła jest jego długość.

Siła hasła zwiększa się zatem wraz ze wzrostem łącznej liczby znaków współtworzących hasło (przy czym znaki specjalne i cyfry są wskazane). Innymi słowy przykładowe hasło “informatykzalecil!stosowaniedlugich3Hasel” będzie silniejsze od przykładowego hasła “gj^Rwa9nX$tq”.

Hasło może być zatem łatwe do zapamiętania dla użytkownika, a jednocześnie mocne. Tworząc hasło samodzielnie, osoba powinna wykorzystać takie słowa, które kojarząc się z czymś konkretnym i znanym użytkownikowi jednocześnie nie będą łatwe do odgadnięcia.

Pomysły na sekwencje słów tworzących mocne hasła można więc czerpać zewsząd, np. z otoczenia w miejscu pracy. Jeśli dodatkowo w długim haśle znajdą się znaki specjalne i cyfry, to siła tak przygotowanego hasła będzie jeszcze większa.

typing on a laptop

Czego unikać tworząc hasło samodzielnie?

Użytkownicy powinni przyjąć zasadę, że dane jedno hasło wykorzystywane będzie do jednego konta. Innymi słowy nie zaleca się wykorzystywania takiego samego zestawu poświadczeń dla różnych kont użytkownika służących do logowania się do różnych usług.

Rzadko, ale jednak zdarzają się wycieki haseł w serwisach lub usługach. W przypadku wycieku hasła w jakimś jednym miejscu, posiadając różne hasła do innych serwisów lub usług, nasze wszystkie konta nie będą narażone na pojawiające się niebezpieczeństwo.

Tworząc samodzielnie hasło warto również stosować się do zaleceń, które uchronią hasło przed zmniejszeniem siły.

  •   nie używajmy pojedynczych prostych i popularnych słów,
  •   nie korzystajmy jedynie z cyfr lub liter,
  •   unikajmy używania ciągów znaków, które występują obok siebie na klawiaturze (np. qwerty, #$%678, lkjhgfdsa, zxcvbnm),
  •   unikajmy wykorzystywania swojego imienia lub nazwiska (również osób bliskich),
  •   unikajmy wykorzystywania informacji, które można uzyskać na nasz temat (np. dane adresowe, daty, telefony, zainteresowania),
  •   nie zapisujmy haseł w zeszytach, na luźnych kartkach lub w niezabezpieczonych plikach tekstowych na komputerze.

Generator haseł

Pewnym rozwiązaniem dla użytkowników, którzy nie chcą samodzielnie tworzyć haseł, jest korzystanie z generatorów haseł dostępnych w sieci (np. w przeglądarkach internetowych) lub w aplikacjach antywirusowych.

Generator haseł stworzy unikalne hasło, które użytkownik może wykorzystać do obsługi określonego konta. Pewną wadą rozwiązania jest to, że hasła tworzone przez generator haseł są bardzo trudne do zapamiętania.

Wsparcie dla zarządzania hasłami

Menadżer haseł to narzędzie do zarządzania hasłami, szczególnie w przypadku wykorzystywania haseł tworzonych przez generatory haseł.

Menager haseł to odpowiednio zabezpieczona (zaszyfrowana) aplikacja, która pozwala na przechowywanie haseł użytkownika. Dostęp do menadżera haseł wymaga ustalenia jednego głównego hasła.

Exanet working together blog

Zmiana hasła – czy jest potrzebna?

Aktualnie uznaje się, że częsta zmiana hasła nie jest wskazana w przypadku korzystania z mocnego hasła. Obserwacje potwierdziły, że częste zmiany haseł w przeszłości, powodowały u użytkowników stosowanie kolejnych haseł, które różniły się od wcześniejszych tylko wybranym fragmentem, co powodowało obniżenie poziomu bezpieczeństwa.

Hasło należy jednak zmienić w przypadku prośby sformułowanej przez administratora infrastruktury IT w firmie, jak również w przypadku uzyskania informacji o wycieku haseł w konkretnych serwisach lub usługach w Internecie.

Jeśli użytkownik stosuje identyczne hasło dla różnych kont lub usług, w przypadku informacji o wycieku haseł, powinny zostać zmienione hasła we wszystkich miejscach, które narażone zostały na niepowołany dostęp. Działanie jest pracochłonne, ale konieczne z punktu widzenia bezpieczeństwa IT.

Hasło do poczty

Hasła do wszystkich kont powinny być odpowiednio mocne, ale na szczególną uwagę zasługuje usługa e-mail. Usługa poczty jest wyjątkowo istotna z tego względu, że hacker posiadający dostęp do poczty użytkownika jest często w stanie zainicjować zmianę hasła do innych kont lub usług (link pozwalający na zmianę hasła przychodzi w formie wiadomości e-mail). Mocne hasło dla usługi poczty elektronicznej podnosi bezpieczeństwo.

Podniesienie ochrony dzięki MFA

Wdrożenie odpowiedniej polityki dotyczącej stosowanych przez użytkowników haseł jest jednym z działań, które może realizować administrator IT w firmie. Szkolenie oraz uświadamianie w zakresie zagrożeń związanych z phishingiem jest również bardzo ważne.

Jednym z najbardziej skutecznych rozwiązań, które skokowo podnoszą bezpieczeństwo kont użytkowników w firmie, jest wdrożenie MFA (multi factor authentication). Włączenie uwierzytelniania wieloskładnikowego zapewnia warstwę ochrony, która jest bardzo trudna do pokonania dla hackerów starających się przejąć konto użytkownika.

MFA pozwala na dostęp do konta lub usługi po realizacji określonych czynności będących metodą potwierdzenia tożsamości użytkownika. Wymagane może być zatem hasło znane użytkownikowi oraz dane przekazywane podczas logowania, np. kod przekazywany na zarejestrowany numer telefonu lub monit push generowany na dodanym i zweryfikowany drugim urządzeniu mobilnym użytkownika w sieci (najczęściej smartfon). W zależności od wdrożenia MFA, warstwy ochrony mogą również uwzględniać dane biometryczne (np. odcisk palca na telefonie) przy logowaniu na konto.

Popularny Microsoft 365 posiada wbudowaną funkcjonalność MFA, która jest automatycznie włączona dla nowych użytkowników usług chmurowych.

sending an e-mail Exanet

Passwordless sign-in

Niektóre usługi (np. chmura Microsoft) pozwalają na logowanie bez użycia hasła (passwordless sign-in). W trakcie logowania do usług chmurowych za pomocą zweryfikowanego urządzenia, po wpisaniu nazwy użytkownika wykorzystywany jest np. znany użytkownikowi PIN, odcisk palca lub funkcja rozpoznawania twarzy na służbowym smartfonie do potwierdzenia tożsamości. Taka metoda logowania nie wymaga zatem stosowania hasła.

Uwierzytelnianie bez użycia hasła to wzrost ergonomii oraz komfortu dla użytkownika, jak również duże utrudnienie dla cyberprzestępców, którzy próbują realizować ataki na konta w celu przejęcia tożsamości użytkownika.