Bezpieczne hasła


Czy potrafisz odpowiedzieć na poniższe pytania?

  • Czy hasło Kotek2020 jest bezpieczne? 
  • Czy hasło mojesilnehaslo jest bezpieczne? 
  • Mam córkę Alę, która urodziła się 12 kwietnia 2006 roku. Czy hasło Ala12042006 jest bezpieczne? 
  • Czy hasło rotkudnok7 (słowo konduktor zapisane wspak i dopisana cyfra 7) jest bezpieczne?  
  • Czy hasło Łąka@312;#/.54ŚĆ jest bezpieczne i możemy go użyć? 
  • Co to jest fraza hasłowa? Jakie są zalety i wady frazy hasłowej? 
  • Opracowaliśmy swój system tworzenia haseł, który polega na tym, że rdzeń hasła jest jednakowy we wszystkich serwisach/witrynach/systemach, ale na końcu dodajemy cyfrę, np. jeśli dodamy 0, to jest to hasło do poczty, 1 do klepu internetowego ABC, 2 do sklepu internetowego XYZ, 3 do banku. Załóżmy, że rdzeń jest skomplikowany @aWXXst69;_2A. Czy taki system tworzenia haseł jest bezpieczny? 
  • Dostałeś maila od administratora poczty z prośbą o kliknięcie w link i zalogowanie się w celu weryfikacji danych. Czy jest to bezpieczne? 
  • Dostałeś maila od administratora poczty z prośbą o przesłanie hasła w celu odnowienia konta pocztowego. Czy jest to bezpieczne? 
  • Zadzwonił do Ciebie nowy pracownik z wielką prośbą o przekazanie na chwilę hasła do ważnego systemu, ponieważ swoje zgubił i boi się reprymendy od administratora. Co należy zrobić? 
  • Zadzwoniła osoba przedstawiająca się jako administrator i zdenerwowanym głosem zażądała natychmiastowego przekazania hasła, ponieważ w czasie ostatniej aktywności w systemie zepsuliśmy coś i teraz administrator musi natychmiast to naprawić. Co w takiej sytuacji zrobić? 
  • Co to jest menedżer haseł? 
  • Co to są sprzętowe klucze bezpieczeństwa? Kto powinien ich używać? 

Zachęcamy do lektury poniższego tekstu!


Jednym z najważniejszych, czasem niedocenianych zagadnień związanych z bezpieczeństwem w świecie nowoczesnych technologii jest używanie bezpiecznych haseł przy dostępnie do różnych systemów, serwisów internetowych, szczególnie do poczty elektronicznej. Poprzez pocztę elektroniczną można resetować hasła swoich różnych kont, na przykład w sklepach internetowych a nawet na stronach banków. 

Użycie bezpiecznych haseł i bezpieczne reguły korzystania z haseł to jedne z podstawowych zasad bezpiecznego korzystania z Internetu 

Jeśli poważnie o tym nie pomyślimy i o to nie zadbamy, to możemy w bardzo istotny sposób narazić nasze sieciowe bezpieczeństwo.


Co oznacza określenie „bezpieczne hasło”? Jak je tworzyć i zapamiętywać?

Bezpieczne hasło to hasło, które trudno odgadnąć („złamać)”. Nie chodzi tu oczywiście o odgadywanie przez ludzi, tylko przez specjalne programy komputerowe, które potrafią „łamać” hasła.

Obecnie przyjmuje się, że hasło powinno składać się z co najmniej 8 znaków, przy czym zaleca się stosowanie haseł 12-15 znakowych.

Im hasło jest dłuższe, tym jest bezpieczniejsze, co nie oznacza, że hasło składające się na przykład z piętnastu liter ‚a’ może być uznane za bezpieczne. Oprócz długości ważne jest zróżnicowanie zestawu znaków użytych w haśle. Najlepiej używać zarówno dużych jaki i małych liter alfabetu łacińskiego oraz cyfr i znaków specjalnych (np. # $ % ! ; , . / * ? & @ £ § itp.).

Uwaga na stosowanie tzw. „polskich liter” w hasłach (czyli dziewięciu liter diakrytycznych ą, ć, ę, ł, ń, ó, ś, ź, ż).  

Nie poleca się wykorzystania liter diakrytycznych w hasłach. Może się to wiązać z różnymi kłopotami. Na przykład znane są przypadki, kiedy po aktualizacji systemu Windows nie można się było zalogować, bo w haśle były litery diakrytyczne a klawiatura została przestawiona tak, że uniemożliwiała wpisywanie takich liter. Z kolei brak możliwości zalogowania skutkował brakiem możliwości wykonania zmian w ustawieniach klawiatury. Problem może być też z wprowadzaniem polskich liter na jakimś komputerze – „polskie litery” mogą być w ogóle niedostępne lub klawiatura może generować inne kody dla tych liter.


Zasady tworzenia i używania bezpiecznych haseł, czyli czego unikać przy tworzeniu haseł
  • Hasło nie powinno być słowem ze słownika (w dowolnym języku). 
  • Hasło nie powinno być słowem ze słownika zapisanym wspak. 
  • Hasło nie powinno być słowem ze słownika (również zapisanym wspak) z dodaną na początku lub na końcu liczbą (np. numerem roku). 
  • Hasło nie powinno być złączeniem kilku prostych słów (np. mojehaslo). 
  • Hasło nie powinno zawierać danych osobowych rodziny, np. imienia, adresu, imienia domowego zwierzęcia, daty urodzenia, roku, numeru rejestracyjnego samochodu. Te informacje zwykle można stosunkowo łatwo zdobyć. Nie powinno być też prostym połączeniem takich danych, np. Pusia2020, gdzie Pusia to imię domowego psa.  
  • Hasło nie powinno zawierać ciągu lub ciągów kilku jednakowych znaków umieszczonych obok siebie, np. aaa5bbb. 
  • Hasło nie powinno zawierać ciągu lub ciągów kolejnych znaków z klawiatury komputera (np. qwerty). 
  • Hasła powinny być unikatowe, nie stosujmy tego samego hasła w wielu miejscach.  

Bezwzględnie musimy używać innych haseł (i odpowiednio skomplikowanych) do: 

  • naszej domowej sieci bezprzewodowej (WiFi), 
  • poczty elektronicznej, 
  • serwisu internetowego naszego banku, 
  • serwisów społecznościowych. 

Gdybyśmy stosowali to samo hasło do poczty elektronicznej i jednocześnie w jakimś sklepie internetowym, to mogłoby się zdarzyć, że włamanie na serwer sklepu spowoduje, że atakujący (hakerzy) zdobędą nasze hasło i będą mogli próbować wykorzystać je do dostępu do naszej poczty. Dostęp do poczty da im potem możliwość resetowania hasła w kolejnych, innych serwisach i/lub witrynach, a nawet mogą być podejmowane próby zresetowania i zmiany hasła do naszego konta na stronie banku. Wprawdzie w przypadku witryn banków na szczęście stosowane są jeszcze dodatkowe zabezpieczenia – na przykład należy wprowadzić jednorazowy kod przesłany przez bank na nasz telefon komórkowy, ale zdarzały się już udane próby nakłonienia użytkownika do przekazania takiego kodu poprzez odpowiednio spreparowaną stronę www atakującego lub nawet mailem.  

  • Warto opracować własny system tworzenia i zapamiętywania haseł. Często takie systemy opierają się na przykład na zamianie liter na inne znaki. Przykładowo zamiast litery A można stosować 4 (kształt jest podobny), zamiast litery a można wpisywać @, zamiast ś można wpisać $ itp. Można zamieniać pierwsze użycie litery na konkretny znak, drugie na inny znak. Przykładowo wymyślamy hasło obrazy na ścianie, i dokonując zamian otrzymamy tekst bezpiecznego hasła o6R@2yn4$(1aNi3. Litera b została zamieniona na 6, nieparzyste użycie spółgłoski (tzn. pierwsze, trzecie, piąte użycie jakiejkolwiek spółgłoski w haśle) jest zapisywane dużą literą (tu R), litera a jest zamieniona na znak @, z na cyfrę 2, drugie użycie a zamienione na 4, ś na @, c na (, i na 1 itd. 
  • Własny system tworzenia hasła nie może być oparty na utworzeniu jednego wspólnego, skomplikowanego rdzenia, do którego dodajemy na przykład cyfry (0, 1, 2, 3 itd.). Złamanie hasła w jednym z miejsc (np. po włamaniu do sklepu internetowego) może narazić nas na złamanie hasła w innym. 
  • Nie należy zapisywać haseł w łatwo dostępnych miejscach (np. na kartce przyklejonej do ekranu) a najlepiej w ogóle nie zapisywać nigdzie. 
  • Nie powinno się wysyłać haseł w mailach (zawartość maila może być przechwycona i odczytana). 
  • Nie należy przekazywać hasła komukolwiek (na przykład rzekomemu administratorowi) w jakiejkolwiek formie – mailem, smsem, ustnie przez telefon. Nie należy dać się nakłonić do przekazania hasła np. metodami inżynierii społecznej. Takie nakłanianie znane jest pod nazwą phishing. Jak pisze firma Google „Phishing to dość popularna technika oszukiwania użytkowników w celu skłonienia ich do podania nazwy użytkownika, hasła, kodu weryfikacji dwuetapowej lub innych poufnych informacji. Phishing może być przeprowadzany różnymi kanałami komunikacji, takimi jak e-mail, telefon, SMS czy aplikacje.” (https://landing.google.com/advancedprotection/). 
  • Nie powinno się wpisywać hasła, jeśli ktoś obserwuje co wpisujemy na klawiaturze. 
  • Nie powinno się wpisywać hasła na nieznanym komputerze. Nawet jeśli używamy komputera dobrego znajomego/znajomej, możemy nie wiedzieć, czy komputer ten jest dobrze zabezpieczony i czy nie ma na nim zainstalowanego programu śledzącego. Taki program może zapamiętywać to, co wpisywane jest na klawiaturze i może to wysyłać do atakującego. Właściciel komputera może nie wiedzieć, że jego komputer padł ofiarą ataku i ma zainstalowane złośliwe oprogramowanie. 
  • Warto korzystać z zabezpieczeń biometrycznych, czyli skanowania linii papilarnych (odcisk palca), rozpoznania twarzy albo tęczówki oka (zwłaszcza jeśli jest składnikiem uwierzytelnienia dwuetapowego). 
  • Zaleca się stosowanie uwierzytelnienia dwuetapowego (dwuskładnikowego) tam, gdzie jest to możliwie. Uwierzytelnienie dwuetapowe oznacza, że oprócz wpisania hasła należy użyć jeszcze jednej metody weryfikacji, na przykład wpisać jednorazowy kod przesłany na telefon komórkowy, użyć zabezpieczenia biometrycznego, ewentualnie użyć specjalnego urządzenia, tzw. sprzętowego klucza bezpieczeństwa (nieco więcej informacji na ten temat podano w jednym z punktów poniżej). Użycie klucza bezpieczeństwa jest jedną z najlepszych metod uchronienia się m.in. przed phishingiem.  
  • Warto korzystać z menadżerów haseł (najlepiej z wykorzystaniem dodatkowych zabezpieczeń – biometrycznych). 
  • W przypadku podejrzenia, że hasło zostało złamane, należy je jak najszybciej zmienić! Są strony, na których można sprawdzić, czy nasze konto i hasło do poczty nie zostało złamane. (na przykład tu: https://haveibeenpwned.com). Strony te zawierają dane tylko z wybranych, znanych ataków a więc nie dają pełnej gwarancji, że ktoś nie przechwycił danych konta. Firma Google udostępnia możliwość analizy bezpieczeństwa naszego konta Google (https://myaccount.google.com/security-checkup). 

Uwaga! Niektóre serwisy internetowe umożliwiają logowanie poprzez konto na Facebooku lub poprzez konto Gmail. Jeśli korzystamy z takiej opcji (np. w sklepie internetowym), to złamanie hasła z tych kont spowoduje, że ktoś będzie miał dostęp do wszystkich serwisów, w których logujemy się poprzez Facebook lub Gmail (pomijając inne problemy związane z tym, że ktoś ma dostęp do naszych kont w serwisach społecznościowych). 

Dokładniejsze informacje na temat uwierzytelnianie dwuetapowego (dwuskładnikowego) – 2FA (Two Factor Authentication) można znaleźć na stronach rządowych. Są tam również odnośniki do opisów jak ustawić 2FA na koncie w Google, Na Facebook’u, dla AppleID, dla konta Microsoft oraz Twitter.

Hasła vs. frazy hasłowe (passwords vs. passphrases)

Wiele systemów umożliwia wpisywanie fraz hasłowych zamiast haseł. Fraza hasłowa to ciąg wyrazów oddzielonych spacjami (lub innymi znakami). Jest zwykle dużo dłuższa od hasła, dużo łatwiejsza do zapamiętania i może być równie bezpieczna jak skomplikowane hasło. Fraza hasłowa może być na przykład takim zdaniem (nie używamy liter diakrytycznych, na końcu dodany jest wykrzyknik): W drodze do pracy przejezdzam 2 razy kolo Stadionu!. 

Nie używajmy jednak jako frazy hasłowej jakiegoś powszechnie znanego tekstu (np. lepiej nie używać tekstu Litwo, Ojczyzno moja! ty jesteś jak zdrowie;

Pewną wadą fraz hasłowych jest konieczność wpisywania stosunkowo długiego (w porównaniu ze „zwykłymi” hasłami) tekstu, co może się wydawać dla niektórych uciążliwe. Zaletą jest duże bezpieczeństwo i zwykle łatwość zapamiętania.

Zabezpieczenia biometryczne

W ostatnich latach coraz bardziej popularne stają się różne systemy uwierzytelniania biometrycznego. Systemy te opierają się na ogół na skanowaniu odciska palca lub rozpoznaniu twarzy. Są też systemy analizujące tęczówkę oka lub układ naczyć krwionośnych w palcu (ręce). Systemy rozpoznawania twarzy opierają się na zaawansowanych metodach wykorzystujących sztuczną inteligencję i mogą „uczyć się” zmian naszej twarzy w czasie.  

Już teraz wiele programów, zwłaszcza na telefonach komórkowych, umożliwia wykorzystanie zabezpieczeń biometrycznych (np. programy bankowe). Wykonanie płatności telefonem może być również zabezpieczone biometrycznie.  

Zabezpieczenia tego typu działają płynniej i są oceniane jako bezpieczniejsze od haseł. W szczególnie wrażliwych systemach może być połączonych kilka różnych zabezpieczeń biometrycznych, wspieranych przez użycie haseł dostępu. 

Wydaje się, że zabezpieczenia biometryczne stanowią przyszłość systemów bezpieczeństwa. 

Menedżery (menadżery) haseł

Zapamiętanie wielu skomplikowanych haseł jest trudne. Jak sobie z tym poradzić? Najlepiej wykorzystać tzw. menedżery (menadżery) haseł. Są to niezależne programy lub wbudowane w przeglądarki funkcjonalne moduły, których celem jest zapamiętywanie danych logowania oraz  proponowanie (i zapamiętywanie) bezpiecznych haseł do witryn internetowych. Niektóre menedżery działają tylko w jednej przeglądarce, inne umożliwiają pracę w wielu różnych przeglądarkach a nawet poza przeglądarkami (w programach, które wymagają logowania). Menedżery mogą wspierać dwuetapowe (dwuskładnikowe) uwierzytelnianie (np. przez hasło i kod przesłany jako SMS) a także uwierzytelnianie biometryczne – przy użyciu odcisku palca lub funkcji rozpoznawania twarzy. Możliwość uwierzytelnienia przy pomocy odcisku palca lub rozpoznania twarzy stała się popularna w wielu telefonach komórkowych oraz komputerach.  

Poniżej zamieszczone są linki do dokumentacji opisującej jak korzystać z wbudowanych menedżerów haseł w popularnych przeglądarkach. 

  • Opis menedżera haseł w przeglądarce Firefox.
    Koniecznie należy przeczytać również informacje jak stworzyć hasło główne.
  • Opis menedżera haseł w przeglądarce Google Chrome.
  • Opis menedżera haseł w przeglądarce Microsoft Edge.
  • W systemie macOS (na komputerach Apple) zastosowano specjalny bezpieczny magazyn przechowujący różne sekretne dane, w tym dane do logowania do stron internetowych, numery kart płatniczych (używane w przeglądarce Safari do automatycznego wypełniania formularzy), a także hasła do sieci Wi‑Fi. Magazyn ten nazywa się pękiem kluczy (key chain). Pęk kluczy może być bezpiecznie przechowywany w chmurze Apple iCloud (określa się to terminem pęk kluczy iCloud). Przechowywanie pęku kluczy w chmurze powoduje automatyczną synchronizację wszystkich danych logowania i innych poufnych informacji we wszystkich urządzeniach Apple (komputery, iPhony, iPady) związanych z jednym kontem w iCloud. To konto nazywa się Apple ID i może być utworzone za darmo przez każdego użytkownika urządzenia firmy Apple. Opis pęku kluczy iCloud można znaleźć TUTAJ. Dostęp do pęku kluczy może być zabezpieczony przez uwierzytelnienie biometryczne (w zależności od urządzenia) – może to być skanowanie linni papilarnych lub rozpoznanie twarzy.
Menedżery, które działają na wielu przeglądarkach i w wielu systemach (uniwersalne menedżery)

Zastosowanie standardowego menedżera haseł w przeglądarce (np. w przeglądarce Firefox albo Google Chrome) ogranicza nas tylko do tej przeglądarki. Hasła nie będą synchronizowane między różnymi przeglądarkami.  

Z kolei na przykład wykorzystanie pęku kluczy iCloud ograniczy nas tylko do urządzeń firmy Apple (komputerów, iPhonów, AirPadów).

Jeśli chcemy korzystać z jednego menedżera na różnych komputerach (w systemach macOS, Windows, Linux), różnych telefonach lub tabletach (w systemach Google Android, Apple iOS), to możemy użyć jednego z wielu dostępnych uniwersalnych menedżerów. 

Przegląd takich programów (artykuł z maja 2020) można znaleźć np. TUTAJ.

Informacje o popularnym uniwersalnym menedżerze KeePassXC można znaleźć TU (skrócony opis w języku polskim) oraz TUTAJ (pełna dokumentacja w języku angielskim).

Sprzętowe klucze bezpieczeństwa, czyli rzecz dla bardziej wymagających

Sprzętowe klucze bezpieczeństwa są to specjalne urządzenia, przypominające podręczne pamięci USB (pendrive). Klucz taki należy kupić (można kupić więcej niż jeden) i w odpowiedni sposób zarejestrować i skonfigurować. Następnie przy logowaniu do różnych systemów i serwisów należy włożyć klucz do gniazda USB lub (w zależności od wersji klucza) zbliżyć go do komputera/telefonu/tabletu. Klucze mogą wykorzystywać łącza USB lub technologię NFC, ewentualnie Bluetooth. Użycie klucza może również wymagać (w zależności od wersji) naciśnięcia na klucz lub na przykład zeskanowania odcisku palca (taki klucz ma odpowiednie miejsce, do którego należy przyłożyć palec). 

Firma Google poleca użycie kluczy bezpieczeństwa przez dziennikarzy, aktywistów i generalnie osoby zagrożone atakami online.

Firma Google nazywa to Programem Ochrony zaawansowanej. Opis programu można znaleźć TU. Opis weryfikacji dwuetapowej z użyciem klucza bezpieczeństwa można znaleźć TUTAJ.

Istnieje też możliwość wykorzystania telefonu komórkowego lub tabletu z systemem Android lub iOS (iPhone, iPad) jako klucza sprzętowego. Opis konfiguracji i sposobu użycia można znaleźć TU (dla urządzeń z systemem Android) lub TUTAJ (iPhone i iPad).


Poprzednia strona                                                                                  Przejdź dalej