Hasło to podstawowe zabezpieczenie w przypadku współczesnego systemu teleinformatycznego. W dziejach historii było często stosowanym sposobem uwierzytelnienia osób. Ten tajny kod w postaci wybranych słów lub zdań zachował swoją moc zabezpieczającą do dzisiejszych czasów. Jednak w odróżnieniu od starożytnych systemów rozpoznawania „swój-obcy”, obecnie ludzie rzadko kiedy poświęcają szczególną uwagę procesowi wymyślania silnego hasła.
Pod koniec roku po raz kolejny ukazała się lista 25 najpopularniejszych haseł sporządzona przez firmę SplashData. Zawiera ona rezultaty analizy 5 mln wyciekłych w ciągu 12 miesięcy haseł. W tym roku nie obeszło się bez zmian w tym smutnym rankingu. Chociaż czołówka jest z roku na rok stała, obecna lista została wzbogacona o kilka nowych kombinacji spowodowanych między innymi zaostrzeniem polityki bezpieczeństwa przez różne serwisy i administratorów.
Cała lista w porównaniu do rankingu z 2017 roku wygląda następująco:
- 123456 (bez zmian)
- password (bez zmian)
- 123456789 (w górę o 3 pozycje)
- 12345678 (w górę o 1 pozycję)
- 12345 (bez zmian)
- 111111 (nowe)
- 1234567 (w górę o 1 pozycję)
- sunshine (nowe)
- qwerty (w dół o 5 pozycji)
- iloveyou (bez zmian)
- princess (nowe)
- admin (w dół o 1 pozycję)
- welcome (w dół o 1 pozycję)
- 666666 (nowe)
- abc123 (bez zmian)
- football (w dół o 7 pozycji)
- 123123 (bez zmian)
- monkey (w dół o 5 pozycji)
- 654321 (nowe)
- !@#$%^&* (nowe)
- charlie (nowe)
- aa123456 (nowe)
- donald (nowe)
- password1 (nowe)
- qwerty123 (nowe)
Jak widzimy, pierwsze dwa miejsca przez kolejne 12 miesięcy pozostały bez zmian. Ciekawa sytuacja widnieje na trzeciej pozycji, to proste dziewięciocyfrowe hasło znacząco awansowało w danym rankingu. Może to być skutkiem zaostrzonych wymogów niektórych serwisów co do długości hasła. Jednak, jak widzimy, długość w żaden sposób nie przekłada się na bezpieczeństwo. Z kolei jedno z najbardziej standardowych haseł – qwerty – odnotowało znaczący spadek. Jest to prawdopodobnie kolejna oznaka polityki długich passwordów. W porównaniu do poprzedniego rankingu ponownie pojawiło się hasło sunshine, natomiast zniknęło popularne letmein. Nie cieszy się już tak dużą popularnością również hasło football. Jak można zauważyć, również sytuacja polityczna na świecie otworzyła drogę kolejnym „trendom” w bezpieczeństwie – na liście popularnych haseł niespodziewanie pojawiło się słowo donald.
Wiemy zatem, jakimi kombinacjami nie warto się posługiwać, zabezpieczając swoje dane w Internecie. Jak jednak utworzyć unikalne hasło, które do tego będziemy w stanie łatwo zapamiętać? Wszędzie słyszymy tylko ogólne polecenia: password musi zawierać małe i duże litery, liczby, symbole, a do tego odradzane jest używanie zdań i słów.
Powyższe porady zmuszają nas do wygenerowania w naszej głowie następującego hasła: 5ilN3Ha51o1969!. Z pozoru jest to silne hasło, które, w pewnym sensie, można łatwo zapamiętać. Ale tak naprawdę password karabin krówka austriacki miedź rabarbar jest o wiele silniejsze, niż 5ilN3Ha51o1969!. Jest to rodzaj hasła zwany frazowym, czyli składający się z ciągu przypadkowych wyrazów. Wbrew pozorom jest ono również łatwiejsze w zapamiętywaniu i nie wymaga dużego wysiłku do stworzenia.
Jak stworzyć hasło frazowe?
Utworzenie takiego hasła będzie niesamowicie proste. Nie warto jednak wybierać wyrazów samodzielnie. Człowiek często posługuje się utartymi schematami, bazując na znanych wzorach i skojarzeniach, dlatego wybrane wyrazy nie będą w pełni przypadkowe.
Tu z pomocą przychodzi metoda Diceware, która pozwala wygenerować silne hasło frazowe. Metoda została opracowana przez Arnolda Reinholda i polega na wykorzystaniu listy 7776 wyrazów – z których każdy ma swój 5-cyfrowy numer – do generowania hasła. A skoro każdy wyraz ma swój unikalny numer, to możemy go łatwo wylosować, na przykład za pomocą koski:
- Wybieramy istniejącą już listę słów (może być w polskiej wersji językowej).
- Następnie rzucamy kostką 5 razy albo raz pięcioma kostkami i zapisujemy numer.
- Dalej musimy odszukać słowo, które odpowiada wylosowanym cyfrom i odpowiednio go zapisujemy lub zapamiętujemy.
- Wymienione wyżej czynności trzeba powtórzyć 6-7 razy, aby nasze hasło składało się odpowiednio z 6 lub 7 wyrazów.
W ten sposób zostaniemy posiadaczem silnego i unikalnego hasła. Dla przykładu, rzucamy kostką i wylosowujemy numer 34451, który na zaznaczonej wyżej liście odpowiada słowu krzyk. Zatem ono będzie pierwszym wyrazem w naszych przyszłym haśle.
Oczywiście hasło niekoniecznie musi się składać z samych wyrazów. Do słów można dodać także cyfry lub symbole, co dodatkowo umocni nasz password. Aktualnie niektóre serwisy wręcz wymagają dodawania symboli specjalnych. Przy tej metodzie generowania hasła warto również pamiętać o takich wyjątkowych przypadkach, jak wylosowanie zbyt krótkich wyrazów, których połączenie stanowi mniej niż 17 znaków lub też układanie się wyrazów w logiczne zdanie. W obydwu sytuacjach należy wylosować nowe wyrazy dla naszego hasła.
W metodzie Diceware najważniejsza jest losowość wyrazów i to właśnie od liczb na kostce zależy finalny wynik. Nie warto zatem manipulować wylosowanymi słowami, bo może nam się wydawać, że będą lepiej pasować do hasła lub łatwiej będzie zapamiętać ciąg wyrazów. Takie hasło zostanie utworzone według znanych hackerom schematów, a zatem będzie o wiele łatwiejsze do złamania. Natomiast dla osób bardziej wymagających dodatkowym trickiem będzie skorzystanie z list wyrazów w różnych językach.
Powstałe hasło można zapisać na kartce do momentu, aż go zapamiętamy (jednak stanowczo odradzamy tego typu praktykę). Po zapamiętaniu passwordu kartkę trzeba niezwłocznie zniszczyć. A jeśli będziemy mieli większy problem z utrwaleniem hasła w pamięci, można skorzystać z pomocy mnemotechniki, tworząc z wyrazów krótkie zdanie lub historyjkę.
Alternatywne rozwiązania
Nie każdy, niestety, lubi rzucać kostką i dla takich osób znajdzie się świetne alternatywne rozwiązanie w postaci generatorów haseł frazowych. Takie narzędzia pozwolą utworzyć naprawdę unikalne hasło, które jednak nie będzie aż tak silne, jak to, które sami sobie „wygenerujemy” za pomocą kostek do gry.
Również dużym błędem będzie wykorzystywanie jednego silnego hasła frazowego w różnych serwisach internetowych. W przypadku, gdy hackerzy jednak uzyskają dostęp do jednego z naszych kont, cała reszta również zostanie narażona na atak.
W związku z tym idealnym rozwiązaniem będzie użycie stworzonego wcześniej hasła frazowego jako metodę autoryzacji do menedżera haseł. Taki program następnie wygeneruje silne passwordy do każdego z używanych serwisów i w bezpieczny sposób będzie je przechowywał dla szybkiego dostępu.
W sytuacji, kiedy menedżer haseł nie jest dla nas odpowiednim rozwiązaniem, można też zastosować tego typu wskazówki, żeby nieco ułatwić sobie życie, nadal trzymając konta w bezpieczeństwie:
Na podstawie utworzonych haseł frazowych do najważniejszych kont można stworzyć dodatkowe, służące do logowania do innych serwisów. Na przykład, może to być hasło karabin krówka austriacki miedź rabarbar FaCeboOk!@1. Dodatkowo, dla tzw. jednorazowych kont zawsze trzeba mieć oddzielne hasło frazowe, które w żaden sposób nie będzie się pokrywać z innymi naszymi hasłami.
Tego typu rozwiązanie jest jedynie alternatywą, do tego nie zawsze w stu procentach bezpieczną i skuteczną, dlatego też to właśnie wspomniane menedżery haseł ułatwią proces zabezpieczania się passwordami w sieci.
Skoro już opowiedzieliśmy o tym, jak utworzyć silne hasło, warto też wspomnieć, dlaczego inne, tradycyjne formy tworzenia passwordów nie są już tak skuteczne.
Wszystkie wskazówki dotyczące tworzenia haseł, które można znaleźć w Internecie, jak najbardziej mogą się sprawdzić w rzeczywistości. Jednak do utworzenia naprawdę silnego hasła wystarczą dwa proste czynniki – powinno ono być długie (od 17 znaków) i wygenerowane całkowicie losowo (w przeciwnym przypadku hackerzy znajdą odpowiedni algorytm do odszyfrowywania).
Oczywiście połączenie małych i dużych liter oraz dodanie różnych symboli i cyfr pomoże w umacnianiu hasła, nawet tego krótkiego – hackerzy wówczas będą mieli większą ilość kombinacji do sprawdzenia – jednak to właśnie długie hasło zdecydowanie utrudni proces „zgadywania”.
Wspomniane już symbole dodatkowe mają w sobie jeszcze jedno niebezpieczeństwo – są tworzone według pewnych schematów. Nawet jeśli myślimy, że utworzyliśmy całkowicie losowe połączenie symboli, ich użycie nadal nie będzie przypadkowe, co znacznie uprości pracę dla algorytmów włamywaczy. Tak więc z pozoru silne hasło 5ilN3Ha51o1969! tak naprawdę jest stworzone według prostego schematu – dwa słowa, data i prosty symbol.
Zamiana liter na cyfry jest bardzo znaną metodą, która osłabia nasze hasło. Jeśli stosujemy liczby, to zazwyczaj są one na końcu passwordów i będą odnosić się do naszej daty urodzenia. Z kolei wspomniane połączenia słów, na przykład popularne masterpassword mają ciąg logiczny, więc nie stanowią trudu do złamania. Ponownie, hackerzy znają wszystkie tricki użytkowników i opierają się właśnie na tych schematach.
Podsumowanie – dlaczego hasła frazowe rządzą?
Są długie, więc ciężko jest je zhackować, a do tego naprawdę łatwe do zapamiętywania, bo są oparte na znanych wszystkim wyrazach. Nie są tworzone na podstawie dodawania różnych dziwnych symboli i cyfr, co wbrew pozorom podwyższa ich unikalność i znowuż prostotę w zapamiętywaniu.
Jest też jedno duże „ale”, poradniki do tworzenia silnych haseł odradzają stosowanie „prostych zdań”. Jest w tym trochę prawdy, słowa połączone w logiczny ciąg wyrazów są złym rozwiązaniem. Natomiast im mniej przewidywalne jest połączenie wyrazów w haśle, tym więcej kłopotów będą mieli hackerzy przy jego łamaniu.
Hasło typu przystojniak ze słonecznego krakowa równie dobrze można zamienić na krótsze qwerty, będzie ono tak samo łatwe do zhackowania. Hasła frazowe są skuteczne tylko wtedy, kiedy nie mają w sobie żadnych ciągów logicznych, dlatego też zwykła kostka do gry będzie najlepszym na świecie generatorem passwordów. Przejdź https://www.infoback.pl
