Hardware Tanie i polecane Porady PC Windows Konsole Telefony Technologie

Hardware

Hardware 16 sierpnia 2019, 10:28

autor: Barbarossa

Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane

W rankingu najpopularniejszych i tym samym najbardziej niebezpiecznych haseł ciągle dominują abcdef, qwerty i 1234567… Podpowiadamy, jak stworzyć dobre i mocne hasło oraz dbać o swoje dane w sieci.

Konto pocztowe i bankowe, media społecznościowe, kilka klientów gier, internetowe zakupy i wiele innych usług. Co łączy te wszystkie wirtualne miejsca? To że próbując z nich skorzystać, potrzebujemy nie tylko wymyślnego loginu (kto nigdy nie widział napisu „Użytkownik o takiej nazwie już istnieje” niech pierwszy rzuci kamieniem), ale też hasła. I chociaż żyjemy w świecie, w którym coraz większą rolę odgrywają usługi online, włącznie z możliwością załatwiania poprzez sieć spraw urzędowych, a nawet korzystanie z usług medycznych, to sprawa odpowiednio mocnego hasła jest przez nas często bagatelizowana do tego stopnia, że niekiedy w wielu miejscach posiadamy jeden i ten sam ciąg znaków. A żeby dodać nieco grozy do całego wywodu – często niezbyt wymyślny. Bo kto spamiętałby ich kilka albo nawet kilkanaście czy kilkadziesiąt?

Bezpieczeństwo przede wszystkim. - Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane - dokument - 2019-08-16
Bezpieczeństwo przede wszystkim.

Na szczęście coraz więcej stron internetowych oraz usług wymaga, aby hasło spełniało określone kryteria swojej „mocy”, to znaczy zawierania w sobie nie tylko jak największej liczby znaków (minimum 8, czasem nawet 12), ale też symboli określonego rodzaju. Niektórym serwisom wystarczają tylko małe i duże litery, inne wymagają dorzucenia jakiejś cyfry, a jeszcze inne oprócz znaków alfanumerycznych, żądają umieszczenia w haśle znaków specjalnych (np. [email protected]#$%^&{><*).

Warto wiedzieć, że silne hasła nie powinny zawierać naszych danych osobowych, na przykład imienia i nazwiska, daty urodzenia, imion dzieci, rodziców lub innych bliskich. Spotkałem się też z zaleceniami, aby nie wykorzystywać w tym celu imienia naszego czworonoga czy innego milusińskiego. A najsilniejsze hasła nie powinny zawierać pojedynczych słów w ogóle. Mało tego, nie powinno się stosować znanych i oczywistych ciągów znaków, takich jak: abcdef, qwerty lub 1234567. W skrócie – nic, co można łatwo zapamiętać... Im hasło bardziej chaotyczne – tym lepiej.

Hasło zapisane na kartce i przyklejone do monitora nie zawsze jest dobrym pomysłem. - Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane - dokument - 2019-08-16
Hasło zapisane na kartce i przyklejone do monitora nie zawsze jest dobrym pomysłem.

Jak więc stworzyć hasło bardzo ciężkie do złamania? Wystarczy skorzystać z jednego z poniższych rozwiązań.

Komentarze Czytelników (28)

Dodaj swój komentarz
Wszystkie Komentarze
16.08.2019 13:47
Cziczaki
Cziczaki
133
Renifer

Można sobie wygenerować losowe hasło bez pobierania jakichkolwiek programów, wystarczy w Notatniku naklikać losowe znaki na klawiaturze i włala-szek.

16.08.2019 13:53
4
odpowiedz
2 odpowiedzi
zanonimizowany453591
61
Senator
Image

Tyle w temacie skomplikowanych haseł.

16.08.2019 19:20
Wolfier
8
Legionista

Jeśliby łamali hasła tylko i wyłącznie brut forcem, znak po znaku, to byłaby to prawda. Natomiast ze słownikami to hasełko padnie błyskawicznie.

17.08.2019 01:54
1
zanonimizowany453591
61
Senator
Image

Nie, bo żaden słownik nie zawiera słowa "correcthorsebatterystaple", a bruteforcowanie wszystkich możliwych kombinacji znanych wyrazów nie ma sensu. Poza tym nic nie stoi na przeszkodzie żebyś oprócz pospolitych słów wstawił tam nazwę pokemona, aktorki porno czy postaci z warcrafta i tyle po słownikach.

A co do łamania haseł, jeśli komuś naprawdę będzie bardzo zależało to cóż ;) -->

16.08.2019 14:49
Sadistic Son
👍
odpowiedz
Sadistic Son
38
Pretorianin

Fajny artykuł, akurat trafiający w moje obecne potrzeby. Zainteresuję się SafeInCloud.

16.08.2019 14:58
odpowiedz
toyminator
20
Konsul

Sobie tak zmieniłem hasło na poczcie, że teraz wejść nie mogę XD I trzeba zadzwonić do biura obsługi...

16.08.2019 15:09
kiera2003
😈
odpowiedz
1 odpowiedź
kiera2003
60
Generał
Image

Najbezpieczniej jest używać aplikacji do zapamiętywania haseł, czasami może wypaść z głowy.

17.08.2019 10:01
SpoconaZofia
SpoconaZofia
29
Konsul

Dlatego używam programu H.a.d.e.s, po tym jak włamali mi się z mojej winy na Steam Origin Uplay i poczte wp.pl Coś jak google authorization code tyle że co 6 godzin zmienia hasło i nigdy nie jest te same. Do 200 haseł naraz możesz zmienić.

16.08.2019 15:11
odpowiedz
Jerry_D
2
Legionista

Sprawa jest w miarę prosta. Na komputerze KeePass (najlepiej z dodatkiem do przeglądarki Kee), na telefonie KeePass2Android (stosuje ten sam format bazy danych, więc wystarczy utworzyć bazę haseł tylko raz). Co prawda jest możliwość wrzucić bazę KeePassa na DropBoxa i w ten sposób udostępnić ją obu programom, ale polecam raczej traktować bazę na PC, jako główną i w razie potrzeby kopiować na telefon, żeby uaktualnić tę wersję. Tylko trzeba pamiętać o kopii zapasowej bazy haseł trzymanej na jakimś zewnętrznym dysku/pendrivie, odłączonym od komputera, bo jak coś się zepsuje, to nagle człowiek zostanie odcięty od wszystkiego. No i samo hasło do takiej bazy musi być naprawdę solidne. Do tego wszystkiego można sobie dodać Strong Passwords Need Entropy, który ładnie pokazuje siłę hasła i przypuszczalny czas jego łamania, oraz co jakiś czas sprawdzać na HaveIBeenPwned czy nasze adresy email nie pojawiły się w jakimś wycieku.
Od generatorów haseł na stronach raczej trzymałbym się z daleka, przynajmniej tych mniej znanych. Trzeba im wierzyć na słowo, że wygenerowane hasła nie trafiają na jakąś listę. Skoro przy używaniu menedżera haseł pamięć użytkownika nie gra roli, najlepiej tworzyć hasła przynajmniej 20 znakowe, złożone z wielkich, małych liter, cyfr i znaków specjalnych. Oczywiście jeśli strona na to pozwala. Często mamy ograniczenie do 16 znaków i niektóre znaki są zabronione. Miewałem już przypadki, gdy strona nie wyświetlała żadnych ograniczeń, co do tworzonego hasła, ale pozwalała użyć danego hasła, nie informując, co jest nie tak i musiałem ręcznie sprawdzać, który znak specjalny jej się nie podoba. A najgorszy przypadek miałem, gdy strona nowe, długie hasło po prostu obcięła, nie informując o tym użytkownika i próbując się zalogować całym, dostawałem tylko informację o złym haśle. Dopiero, gdy wpisałem tylko pierwsze 16 znaków hasła, udało mi się zalogować.

Biometrię zdecydowanie odradzam, jako hasło. Co jakiś czas słyszymy o obejściu kolejnego systemu opartego na biometrii, czasem w trywialny sposób. Ale nawet pomijając tę kwestię, "wycieknięte" hasło można łatwo zmienić. Po wycieku danych biometrycznych (przykładów nie trzeba szukać daleko, choćby niedawny wyciek bazy danych BioStar 2) odciski palców, twarz, czy skan tęczówki zmienić dużo trudniej.

Dziwi mnie tylko brak w artykule informacji i uwierzytelnianiu dwuskładnikowym (2FA), które powinno być standardem (najlepiej nie przez SMS, ale aplikację, np Authy). W ten sposób, nawet jeśli nasze hasło gdzieś wypłynie, potencjalny haker będzie miał jeszcze jedną przeszkodę do pokonania, zanim się zorientujemy i zmienimy hasło. Wiem, że niewygodne, że się nie chce itd, ale potrafi uratować tyłek.

16.08.2019 16:26
ajax34
odpowiedz
ajax34
55
Porucznik

Ktoś wie czy da się założyć konto Google czy tam Youtube bez podawania numeru telefonu? Kasowali mi konta (możliwe, że to sprawka wirusa), a swój numer już wykorzystałem.

16.08.2019 17:04
Dharxen
😁
odpowiedz
Dharxen
40
Generał

Kiedyś napisałem sobie na kartce bezsensowny ciąg znaków i jakimś cudem go zapamiętałem. Do dzisiaj jest to moje główne hasło do większości serwisów. Akurat GOL jest jednym z wyjątków, gdzie mam inne :D

16.08.2019 17:25
2
odpowiedz
Mazarian
22
Pretorianin

Pamiętajmy tylko że dowolne generatory haseł działają na zasadzie generacji liczb pseudolosowych. Jest to o tyle ważne, że znając zarodek ( ang: "seed" ) potrafimy teoretycznie zawęzić obszar poszukiwań w ramach łamania hasła. Zresztą sama teoria tworzenia liczb pseudolosowych mówi że istnieje pewien "klucz" pozwalający je odtworzyć i uzyskać ten sam wynik. Oczywiście raczej wątpliwa jest sytuacja w której grupa specjalistów użyje bardzo drogiego sprzętu wyposażonego w specjalistyczne oprogramowanie aby włamać się do naszego komputera.

17.08.2019 01:38
odpowiedz
4 odpowiedzi
yetiszon
14
Chorąży

powiem krótko:
10x zmiana hasła, maila, konta, hasła do maila, weryfikacja 2 stopniowa, weryfikacja 84 stopniowa, weryfikacja tylko za pośrednictwem bezpiecznej linii, weryfikacja tylko za poświadczeniem prezydenta USA
a i tak frajer z Kambodży jest w stanie zalogować mi się na konto Ubisoftu

"An unusual activity was recently registered on your Ubisoft account for the following email address"

co najmniej raz w tygodniu zmieniam wszystkie dane konta, co najmniej raz w tygodniu dostaje takiego maila
brawo Ubi

17.08.2019 14:40
1
otnok101
8
Legionista

A może po prostu masz wirusa z key loggerem, czy coś takiego?

17.08.2019 15:12
Dharxen
Dharxen
40
Generał

Na jakim portalu masz maila? U mnie włamali się na 2 konta na interii, przez co tymczasowo zostałem okradziony z origina i konta playstation. Mało brakowało, a ukradliby mi jeszcze konto battle net, gdzie ktoś przez dostęp do mojego maila notorycznie zmieniał hasło. Na szczęście wszystko oprócz jednego maila odzyskałem, ale po tych wydarzeniach bez wahania przeszedłem na gmaila, który ma dużo lepsze zabezpieczenia i jak dotąd nic podobnego mi się nie przydarzyło.

post wyedytowany przez Dharxen 2019-08-17 15:13:02
17.08.2019 23:03
yetiszon
14
Chorąży

tak jak napisałem, zmieniłem WSZYSTKIE dane konta, włącznie z mailem, który stworzyłem tylko i wyłącznie do tego celu
a jakbym miał keyloggera, to na początku podobnego maila dostałbym z banku

18.08.2019 00:56
Dharxen
Dharxen
40
Generał

To dziwny przypadek. Na na uplayu przez jakieś 6-7 lat miałem niezabezpieczone konto z nieaktywowanym mailem, do którego dawno nie miałem dostępu i nikt mi się nie włamał. Nawet hasło miałem bardzo słabe. Nie miałem też podanego numeru telefonu, no i oczywiście dwuetapowej weryfikacji. Dopiero niedawno napisałem do supportu i ustawiłem nowego maila wraz ze wszystkimi możliwymi zabezpieczeniami.

17.08.2019 15:06
Herr Pietrus
odpowiedz
3 odpowiedzi
Herr Pietrus
177
Ubecka Wdowa

No dobra, to ja zwróciłbym uwagę na jeszcze inny aspekt:

Da się łamać hasła do popularnych serwisów metodą bruteforce? Mogę poodejmować 1000 prób/sekundę logowania do banku/na Steam/Origin/Epic Games, aż zgadnę hasło do czyjegoś konta?

Jaki sens ma dzisiaj w ogóle siła hasła (sam się na to nabrałem i podobne hasła poustawiałem), jeśli włam jest możliwy tylko po wycieku bazy danych z serwera (kompletnie poza moją kontrolą) albo przechwycenia hasła z naszego komputera (spyware) - niezależnie od tego, jak silne by nie było?

No OK, mamy jeszcze łamanie hasha posolonych haseł - chyba tylko wtedy trudne hasło ma sens, ale tutaj patrz obrazek z posta meelosha...

Czy hasła nie powinny być dzisiaj jakiekolwiek, równie dobrze proste, ale ewentualnie długie?

post wyedytowany przez Herr Pietrus 2019-08-17 15:09:09
17.08.2019 15:21
Dharxen
Dharxen
40
Generał

Konto w PKO BP po kilkukrotnym podaniu złego hasła jest blokowane i trzeba do nich dzwonić, żeby odblokować konto (sam miałem taki problem). Nie wiem, czy na dłuższą metę jest to skuteczne rozwiązanie, ale na pewno w pewien sposób utrudnia włamania na konto. Na Uplayu również blokują konto, ale tylko tymczasowo. Nie wiem, jak jest na innych platformach.

post wyedytowany przez Dharxen 2019-08-17 15:21:44
17.08.2019 16:00
Mazarian
22
Pretorianin

Istnieje pewna zasada uczenia maszynowego sformułowana według schematu rzeczy trudne dla maszyn są proste dla ludzi i odwrotnie. Hasła o teoretycznie przypadkowej strukturze posiadają jak zaprezentował to meelosh niską entropię i w pewnym sensie są proste do złamania. Metoda siłowa nie działa zazwyczaj na dobrze zabezpieczonych stronach ( np. banki - sam miałem taki przypadek gdy nie pamiętałem czy w haśle było "u" czy "a" i zablokowałem hasło ). Pozostałe są na nią podatne ale niestety same metody tworzenia haseł zawierają w sobie pewien nazwijmy to grzech pierworodny - otóż musza one posiadać małe / duże litery i znaki specjalne co w pewnym stopniu niestety ułatwia ich łamanie ( wiele algorytmów nie umieszcza takich symboli obok siebie niektóre zaś nadają im nawet określoną separację np. min 3 odstępy ). Ogólnie jeżeli weźmiesz np. cytat z "Boskiej Komedii" Dantego i usuniesz "spacje" oraz znaki interpunkcyjne to komputer będzie miał spory problem z metoda słownikową zaś w metodzie siłowej czas diametralnie się wydłuży ( zawsze najlepiej stosować maksymalną długość hasła ).

18.08.2019 00:59
Dharxen
Dharxen
40
Generał

Mnie zawsze dziwi to, że często hasła są ograniczane do jedynie 16 znaków. Nawet na stronach banku. Wydaje mi się, że gdyby na większości portali można było stworzyć dłuższe hasła, to byłoby zdecydowanie mniej włamań.

17.08.2019 15:13
odpowiedz
Lutz
173
Legend

w kwestii hasel opierajacych sie na kilku losowych slowach polecam pamietac, ze nawet jezeli mielibysmy do czynienia z atakiem slownikowym to z reguly slowniki uwzgledniaja jeden jezyk i bardzo rzadko archaizmy i im podobne.

17.08.2019 21:14
odpowiedz
Hashlog
5
Legionista

Ja używam open source-owego menager-a wraz z generatorem haseł BitWarden. Polecam, wg. mnie jedna z najlepszych aplikacji tego typu. Jest wersja desktop, jak i dodatek do przeglądarki.

18.08.2019 15:02
PanSmok
😉
odpowiedz
PanSmok
192
Senator

stary dobry admin admin i 1234 jeszcze nigdy mnie nie zawiodly takze...

18.08.2019 15:58
odpowiedz
1 odpowiedź
Sendil
11
Legionista

Losowe hasła to głupota. Zapomni się masterhasła do programu/sejfu i dupa.
Kiedyś w książce Lifehacker był podany ciekawy sposób na bezpieczne hasło.
Dzielicie hasło na dwie części - jedna stała, która się nie zmienia, a druga związana ze stroną. Ta zmienna część, to mogą być dwie pierwsze samogłoski w adresie/nazwie strony, albo spółgłoski, itd. Przykład poniżej dla gry online:

$SpRyC14rz$YO

Łatwo zapamiętać i trudne do złamania :-)

18.08.2019 21:30
WolfDale
WolfDale
23
Poszukiwacz Małego Wansy

Też uważam, że losowe hasło jest łatwe do zapomnienia. Ja mam ściśle zaprojektowane przez siebie hasło, które mogę sobie łatwo przypomnieć. Natomiast patent z końcówkami jest dość dobry, bo można zastosować do każdego serwisu inne hasło które jest naprawdę takie samo lecz nie daje furtki do innych usług.

post wyedytowany przez WolfDale 2019-08-18 21:30:59
22.08.2019 18:20
hubert43
odpowiedz
1 odpowiedź
hubert43
23
Pretorianin

Najlepiej "walnąć" w klawiaturę. :)

22.08.2019 21:30
WolfDale
😉
WolfDale
23
Poszukiwacz Małego Wansy

Lub puścić na chwilę chomika, aby po niej połaził.

Dodaj swój komentarz
Wszystkie Komentarze