Zaawansowane metody tworzenia, stosowania i przechowywania bezpiecznych haseł
Dodatkowe porady dla bardziej zaawansowanych (Maj 2020 r.)
Zaawansowane porady dotyczących tworzenia, stosowania i przechowywania silnego hasła.
Użyj generatora haseł
Użyj generatora haseł, aby tworzyć bezpieczne hasła, które są trudne do odgadnięcia lub złamania. Po prostu wybierz kryteria dla haseł, których potrzebujesz i kliknij przycisk Generuj hasło(a). Im więcej opcji wybierzesz, tym bardziej bezpieczne będą hasła.
Możesz też hasło wygenerować w inny sposób, na przykład:
- Wybierz jakiś większy fragment tekstu (z książki, strony portalu informacyjnego itd.);
- Znajdź w sieci darmowy generator funkcji skrótu (np. sha2-512) i oblicz wartość funkcji dla tego tekstu. W rezultacie otrzymasz 128 znakowy tekst składający się z cyfr 0 – 9 oraz liter a – f lub A – F (zależnie od generatora). Mimo, że hasło ma dość ubogi zestaw znaków to pozostaje trudne do złamania. Dodatkowo, jeżeli zapamiętasz jaki tekst wziąłeś do wytworzenia hasła, możesz ten proces powtórzyć np. w przypadku awarii menadżera haseł;
- Możesz niektóre litery zmienić z małych na wielkie lub odwrotnie, a niektóre cyfry zastąpić odpowiadającymi im znakami specjalnymi.
- Niestety, takiego hasła nie jesteś w stanie zapamiętać, więc musisz użyć programowego menadżera haseł lub jeśli masz taką możliwość, menadżera haseł wspomaganego sprzętowo.
Użyj menadżera haseł
Program Password Manager umożliwia przechowywanie informacji poufnych, takich jak dane logowania, informacje osobiste i finansowe oraz zarządzanie nimi. Program Password Manager szyfruje i przechowuje wszystkie poufne dane w przestrzeni chronionej kryptograficznie. Dostęp do przestrzeni można uzyskać za pomocą hasła z komputera stacjonarnego, przenośnego, tabletu, smartfona oraz witryny programu Password Manager.
Menedżer haseł to bardzo użyteczne narzędzie, które przechowuje wszystkie Twoje hasła do różnych witryn oraz dane osobowe potrzebne do wypełniania internetowych formularzy. Aplikacja tego typu posługuje się mocnymi, szyfrowanymi hasłami i nie zezwala na ustalanie słabych haseł.
W praktyce wystarczy więc, że zapamiętasz tylko jedno hasło – to które jest potrzebne do uruchomienia menedżera haseł i za każdym razem, gdy będziesz się logował na któreś ze swoich kont zabezpieczonych hasłem, menedżer haseł automatycznie wypełni okno logowania za Ciebie.
Menedżer haseł przechowuje Twoje hasła w postaci zaszyfrowanej oraz jednocześnie umożliwia tworzenie nowych, mocnych haseł. Korzystanie z tego narzędzia jest nie tylko wygodne, ale przede wszystkim bezpieczne. Oczywiście pod warunkiem, że Twoje hasło główne będzie naprawdę mocne.
Nie używaj opcji „Zapamiętaj hasło" w przeglądarce bez konfiguracji hasła głównego
Nie używaj funkcji przeglądarki pozwalającej zapisać nazwę użytkownika i hasło bez włączenia opcji „Hasło główne". Jeśli nie ustawisz hasła głównego w przeglądarce Firefox (lub innej), każda osoba korzystająca z niej na danym komputerze może zobaczyć wszystkie przechowane tam hasła. Zachowaj także ostrożność przy korzystaniu z tej funkcji i wybierz w wyskakującym okienku opcję „Nie teraz", jeśli używany system nie należy do Ciebie.
Zmieniaj hasła do wszystkich kont administracyjnych co 3 miesiące
Ponieważ długość haseł jest ograniczona, odgadnięcie hasła przez atakującego jest tylko kwestią dostępnego czasu i mocy przetwarzania używanego oprogramowania. Dlatego zawsze zaleca się częstą zmianę haseł. Zapisz w kalendarzu cykliczne przypomnienie o zmianie haseł co 3 miesiące.
Zaawansowany sposób ataku na konto użytkownika
Po wybraniu hasła, jeśli strona jest wystarczająco starannie zaprojektowana, nie będzie przechowywać tego hasła w formie, którą można odczytać bezpośrednio. Zostanie przetworzony przez sprytną funkcję matematyczną o nazwie hash - funkcja skrótu.
Ta funkcja zamienia czytelne hasło w coś, co wydaje się być bełkotem. To jest skrót hasła i to on jest przechowywany w witrynie. Sprytną rzeczą w haszowaniu jest to, że jest to operacja nieodwracalna. Jako użytkownik, po powrocie na stronę internetową i wpisaniu hasła, skrót jest obliczany i porównywany z już zapisanym. Jeśli się zgadzają, jesteś w środku.
Jeśli cyberprzestępca w jakiś sposób zdobędzie listę skrótów haseł, istnieją metody, których mogą użyć, aby spróbować odzyskać hasła. Po pierwsze, mogą wypróbować „atak słownikowy” - wpisując listy znanych słów (w tym popularne podstawienia, takie jak „1” zamiast „i”), przez tę samą funkcję i sprawdzając, czy skutkują tym samym hashem - funkcją skrótu. Jeśli tak, mają hasło.
Może Ci się wydawać, że takie ataki zajmują dużo pracy. Nieprawda! W nowoczesnym środowisku komputerowym zajmuje to tylko kilka sekund. Jeśli to nie zadziała, cyberprzestępca może spróbować metody prób i błedów tzw. “brute force” by złamać hasło. Oznacza to wypróbowanie każdej możliwej kombinacji znaków do momentu znalezienia hasła.
Dodatkowe rozwiązania utrudniające atakującemu odgadnięcie hasła.
- Długie losowe hasła i włączenie znaków specjalnych stanowi duże utrudnienie w przypadku przeprowadzenia ataku typu “brute force”.
- Ciąg zaburzający - w rzeczywistości, gdy witryna przetwarza hasło, wprowadza również dodatkowe informacje, takie jak nazwa użytkownika i losowy ciąg znaków (z ang. salt) wykorzystując specjalny algorytm. W połączeniu z trzema losowymi słowami zapewnia to rozsądną ochronę przed atakiem.
- Oddzielne hasła do ważnych kont - gdy cyberprzestępcy, zdobędą już pliki zawierające wszystkie hashowane hasła, a strona internetowa jest dobrze zaprojektowana, cyberprzestępca powinien mieć naprawdę duże trudności. Dlatego też zaleca się osobne hasła do stron, które są dla Ciebie ważne (np. e-mail), i osobne np. do forów internetowych, które mogą być mniej ważne. W przypadku gdy strona internetowa nie zabezpiecza prawidłowo hashowanych haseł, nie powinno to być powodem łatwego - dla atakującego - dostępu do stron, które są dla Ciebie ważne.