Prawie każdy osoba korzystająca z Internetu posiada personalne konto (choćby na naszej klasie czy Facebooku), które jest zabezpieczone hasłem. Niestety niewielu użytkowników wie, jakie powinno wyglądać bezpieczne hasło. Ponadto wielu używa jednego na kilkunastu witrynach lub po prostu tego samego wszędzie. Używając tylko jednego hasła (nawet najlepszego) jesteśmy narażeni na jego wyciek. Zdobyte przez przestępce może posłużyć do przejęcia naszych pozostałych kont (np. bankowych, poczty elektronicznej czy w serwisie aukcyjnym). Co kilka tygodni słyszymy o wycieku haseł z dużych portali (niedawno filmweb.pl, wcześniej wykop.pl- w wersji testowej czy choćby lista haseł e-mailowych polskich internautów, która krąży po sieci). Co prawda takich tekstów powstało już wiele, ten jest kolejnym i traktuje o sposobach na stworzenie dobrego hasła oraz zasadach jego odpowiedniego użycia.

Idealnego hasła nie ma, każde można złamać. Oczywiście można o tym podyskutować, ale to nie jest tematem tekstu. Podstawowym błędem przy tworzeniu hasła jest używanie wyłącznie małych liter. Żeby hasło było dość bezpieczne powinno spełnić kilka warunków:

• składać się z wielkich i małych liter, cyfr oraz znaków specjalnych
• być odpowiednio długie (zakładając, że mamy do dyspozycji około 100 znaków to każdy kolejny znak to 100 razy więcej kombinacji do sprawdzenia w celu złamania hasła- zakładając atak typu brute force). Hasło nie powinno mieć mniej niż 8 znaków, a najlepiej około 15 lub więcej.

Nasze idealne hasło powinno mieć jeszcze jedną cechę, być łatwe do zapamiętania (zakładam, że hasła tworzyć będą osoby, którym zależy na jego zapamiętaniu, reszta może je wygenerować za pomocą dostępnych programów). Mamy kilka możliwości przy tworzeniu takich haseł. Opisze kilka sposobów, oczywiście każdy może wymyślić swój.

Załóżmy, że przeczytanie tego tekstu zmotywowało kogoś do zmiany swoich haseł, a jego starym hasłem było qwerty. Jak można je dodatkowo „ozdobić”, aby było trudniejsze do złamania. Przede wszystkim jest krótkie, ale ten problem sam się rozwiąże. Pierwszy zabieg jakiemu możemy podać hasło to „pisanie falą”. Nasze nowe hasło może wyglądać tak: QwErTy, qWeRtY, QWerTY, qwERty itp. Wybieramy wersje, którą najbardziej nam odpowiada. Na razie wykorzystaliśmy jedynie tylko litery, czas na znaki specjalne i cyfry. Mamy tutaj pełną dowolność, możemy dodać cyfry oraz znaki specjalne na początku, końcu lub rozdzielić litery. Jedynym ograniczeniem jest nasza fantazja, ale należy dobrać taki zapis, aby wprowadzanie hasła było wygodne. Napisze kilka przykładów: qwERty91; , 19;qwERty;91, qw;ER;ty098, 123.qw-ER-ty.098, itp. Myślę, że rozumiecie o co mi chodzi ;)

W ten sposób z hasła składającego się z 6 znaków, otrzymaliśmy hasło składające się od 9-16 znaków.

Oto kilka innych sposobów:

• używamy cyfr zamiast liter ( np. „0” zamiast „o”, „1” zamiast „i” lub „l”, „2” zamiast „z”)
• hasło stanowią pierwsze (i/lub ostatnie) litery cytatu, sentencji, tytułu czy jakiegokolwiek zdania
• oddzielamy znakami specjalnymi litery i cyfry
• dodajemy znaki specjalne na początku i/lub końcu
• oddzielamy sylaby (o ile to możliwe) znakami specjalnymi lub cyframi (np. biu1ro2wa)

Oczywiście sposoby można łączyć.

Idealnym rozwiązaniem byłoby używanie wielu haseł, niestety nasze możliwości zapamiętania są dość ograniczone. Można je jednak przechowywać w sekretnym miejscu ;-). Są programy, których zadaniem jest przechowywanie naszych haseł. Jednym z nich jest darmowy KeePass Password Safe. Polecam przenośna wersje portable, którą możemy mieć zawsze przy sobie na pendrive. Dostęp do programu jest zabezpieczony hasłem, więc osoby niepowołane nie mają dostępu do naszych haseł. Dzięki takim programom możemy używać unikalnych haseł i nie musimy się martwić o ich zapamiętanie. Dodatkowo program jest wyposażony w generator haseł, hasła możemy grupować i łatwo blokować obszar roboczy programu. Niestety program nie jest dostępny dla użytkowników Linuksa. Nie jest to jedyny program tego typu wiec, użytkownicy systemu z pod znaku pingwina znajdą alternatywę.

Okno programu

Jeżeli nie chcemy przechowywać haseł i zależy żeby mieć je „w głowie” to pozostaje nam zmniejszenie ilości używanych haseł do liczby, która będziemy w stanie zapamiętać. Osobiście proponuje podzielić hasła (myślę o portalach, forach i innych miejscach w sieci, gdzie mamy konto) pod kątem szkód jakie mogą powstać wskutek przejęcia naszego konta. Oczywiste jest, że hasło do kont bankowych muszą być unikalne, ale hasła do for tematycznych na których szczególnie się nie udzielamy mogą być takie same. W ten sposób możemy pogrupować nasze hasła (stworzyć grupę portali/for do których użyjemy tego samego hasła) i mając nawet 200 kont możemy używać 20-30 haseł. Jest to mniej bezpieczne niż unikalne hasło dla każdej witryny, ale zdecydowanie bezpieczniejszy niż używanie jednego hasła. Jeżeli zdecydujemy się używać tego sposobu musimy pamiętać o kilku zasadach:

• dla bankowości internetowej używamy zawsze unikalnych haseł (mówiąc prościej: inne hasło dla każdego konta bankowego)
• hasło do poczty elektronicznej jest unikalne (jeżeli posiadamy kilkanaście adresów e-mail możemy je pogrupować podobnie jak w przypadku portali/for, zalecam jednak unikalne hasła do skrzynek pocztowych, z którymi mamy powiązane bank czy miejsce pracy). Hasła do poczty elektronicznej nie mogą być używane na jakichkolwiek portalach/forach, szczególnie niebezpieczną sytuacją jest użycie „hasła pocztowego” do portalu, gdzie naszym loginem jest adres e-mailowy o tym samym haśle lub podajemy go jako adresu do korespondencji.
• hasła do portali gdzie podajemy nasze dane personalne powinny być również unikalne (np. Allegro, nk, facebook)

Dzięki tym radą unikniemy sytuacji, gdzie wyciek haseł z portalu zagrozi naszym kontom bankowym czy e-mailowym.

Podsumowując, dobre hasło wcale nie musi być generowane komputerowo, ani trudne do zapamiętania. Można stworzyć hasło łatwe do zapamiętania (dla nas), przypominające te generowane komputerowo i tak jak one trudne do złamania. Możemy również korzystać z obu sposobów jednocześnie, tak naprawdę „uzależnieni” jesteśmy tylko od kilku portali (i o zapamiętanie tych haseł zależy nam najbardziej). Oczywiście należy pamiętać o tym, aby nasze hasło nie dostało się w niepowołane ręce. Należy unikać korzystania z publicznych komputerów (w pracy, szkole, uczelni), a jeżeli to robimy to zawsze pamiętajmy o wylogowaniu się oraz (jeżeli to możliwe) usunięciu historii przeglądanych stron, ciasteczek i danych podawanych w formularzach. Jeżeli to możliwe korzystaj z trybu prywatnego, oferuje go większość przeglądarek. Warto również zabezpieczyć domowy komputer odpowiednimi programami oraz zwracać uwagę, gdzie się logujemy (czy ktoś nie podszywa się pod nasz ulubiony portal).

Górne zdjęcie dodane przez redakcję, autor: Stephen J. Burke