Hasło - jak dobry zamek w kasie

- Hasła mają naprawdę duże znaczenie dla zabezpieczenia naszych danych i pieniędzy. Różnorodność haseł i ich zmiany chronią przed przejęciem naszych kont przez hakerów, przestępców. Dlaczego? Jest duże prawdopodobieństwo, że na przestrzeni lat nasze dane, łącznie z hasłami, wyciekną i dostaną się  w niepowołane ręce. Co prawda hasła w serwisach nie powinny być przechowywane w formie jawnej (upraszczając, można powiedzieć, że powinny być zaszyfrowane), ale i tak możliwe jest ich przejęcie. W sytuacji gdy hasło się powtarza (a w wielu serwisach loginem jest nasz adres mailowy) ułatwiamy internetowym złodziejom czynienie nam szkód. 

- Jak zatem postępować, by ustrzec się przed oszustwem i kradzieżą? Do każdego serwisu ustawiać inny login i inne hasło? Zapisywać to potem na długiej liście?

- Sposoby są liczne, w zależności od użytkownika Internetu i jego  potrzeb. Każdy z nas jednak powinien szczególnie mocno strzec swojej skrzynki pocztowej i dostępu do niej. Tu trzeba starannie dbać o hasło i co jakiś czas je aktualizować. Do skrzynki napływają maile ze wszystkich serwisów. Tu trafiają też informacje o zmianie haseł i inne ważne dane. 

Papierowa lista haseł jest mało praktyczna i sama w sobie stanowi pewne zagrożenie, np. w przypadku jej zagubienia, czy po prostu podejrzenia przez niepowołaną osobę. Jej zadania jednakże dobrze wypełniają menadżery haseł. To  zabezpieczone programy komputerowe przeznaczone do przechowywania i zarządzania hasłami. Przykładowe pomocne programy to: KeePass, LastPass, Dashlane, Bitwarden. Oprócz przechowywania haseł w bezpiecznej formie, niektóre z nich udostępniają także inne funkcjonalności, np.weryfikację "prawdziwości" serwisu, do którego się logujemy, czy automatyczne logowanie.

- Faktycznie, zaawansowani użytkownicy internetowej rzeczywistości wchodzą na wiele stron wymagających logowania i hasła. Ale nie wszystkie przecież mają jednakową ważność i mogą być źródłem kłopotów.

- Dlatego warto zdefiniować kilka poziomów ważności serwisów, którym podajemy nasze dane. Dla każdego poziomu można przyjąć inną tzw. politykę haseł. 

Pierwszy, najważniejszy poziom, to konto bankowe, konto poczty e-mail, profil zaufany. Tutaj nasze hasła powinny być wyjątkowe silne i najlepiej aby były unikalne dla każdego serwisu. 

Drugi, to serwisy, którym podajemy różne nasze dane, np. sklepy internetowe. Możemy tu stosować podobną politykę, jak w przypadku pierwszej grupy, ale odrobinę mniej restrykcyjną.

Trzeci, to wszystkie te, którym nie udostępniamy żadnych danych lub bez obaw możemy podać dane zmyślone, ale musimy się do nich logować. W ich przypadku można rozważyć  zabezpieczenie ich tym samym hasłem, licząc się z tym, że hackerzy mogą zdobyć dostęp do wszystkich tych serwisów.

- Jakie jest prawidłowo ułożone, mocne hasło?

- Żeby zrozumieć siłę hasła trzeba wiedzieć, że atakujący je człowiek, za pomocą specjalnego programu, próbuje odtworzyć nasze hasło. Z pomocą słownika - spośród wszystkich używanych słów, lub używając tzw. metody siłowej – generując wszystkie kombinacje znaków używanych w hasłach w danym serwisie. Dlatego im bardziej skomplikowane mamy hasło, tym trudniej  je rozszyfrować. 

Powinno mieć powyżej 8 znaków (a najlepiej powyżej 12). Dobrze, gdy zawiera duże i małe litery, cyfry i znaki specjalne. Dobrze, jeśli dobrane będą losowo. I wcale nie musi być łatwe do zapamiętania. Jeśli używamy menadżera haseł, to program wygeneruje zupełnie unikalne, mocne hasło, które nie będzie przypominać żadnego słowa z jakiegokolwiek języka. 

Inna, prosta metoda, to wykorzystanie jakiegoś znanego sobie zdania, czy wierszyka i wybranie z niego co któregoś znaku, co którychś liter. Okraszona jakąś cyfrą, czy znakiem, zbitka liter, da dobre hasło. 

- Czy hasła są naszym jedynym zabezpieczeniem przed niepowołanym dostępem do serwisów internetowych?

- To zależy od konkretnego serwisu, ale w coraz większej liczbie przypadków odpowiedź brzmi na szczęście: nie. Możemy korzystać z tzw. uwierzytelnienia wielopoziomowego, gdzie oprócz hasła musimy także wykorzystać inny "czynnik" logowania, np. podać kod utworzony przez aplikację uruchomioną na naszym telefonie, otrzymany SMSem, czy wygenerowany z użyciem innych urządzeń albo wykorzystać klucz sprzętowy. Warto zwrócić uwagę, że logując się do banku, czy zlecając przelew, właściwie zawsze korzystamy z uwierzytelnienia wielopoziomowego. Nic nie stoi na przeszkodzie, żeby w przypadku innych serwisów, także je wykorzystywać. Dzięki temu nawet w przypadku gdy nasze hasło wpadnie w niepowołane ręce, to i tak atakujący nie będzie w stanie uzyskać dostępu do naszego konta.

    Rozmawiał Jarosław Babicki