Cyberprofilaktyka NASK
a a a a
Serwisy społecznościowe
Serwisy społecznościowe

Hasła i bezpieczeństwo danych

Dziś Światowy Dzień Hasła – to relatywnie nowe święto, obchodzone w pierwszy czwartek maja, przypomina nam o dbaniu o bezpieczeństwo naszych danych przechowywanych w postaci elektronicznej. Jak uchronić swoje dane, jak budować dobre hasła
Początki haseł komputerowych sięgają roku 1961, gdy po raz pierwszy opracowano je w‍ Massachusetts Institute of Technology (MIT). Od tego czasu bardzo wiele się zmieniło, internet stał się powszechnie wykorzystywanym medium i jednocześnie wzrosła potrzeba stosowania dobrych haseł wraz ze wzrostem ilości usług, kont i przechowywanych w nich wrażliwych informacji.
W tym artykule postaram się przybliżyć ważne porady, jak uchronić swoje danejak budować dobre hasła i jak ich bezpiecznie używać. Nie zapomnij podzielić się tą wiedzą ze swoją rodziną, dziećmi i znajomymi!

Tworzenie bezpiecznego hasła

Haseł używasz każdego dnia - odblokowując smartfon, logując się do poczty czy bankowości elektronicznej. Bezpieczne hasła są kluczowe, gdy mówimy o ochronie naszej prywatności. Pamiętaj o tym, że dane kont pocztowych, dane osobiste i zasoby, które chronisz, będą bezpieczne tylko wtedy, kiedy używasz silnych haseł.

Wymagania a zalecenia

Większość stron i serwisów wprowadza wymagania, zmuszając użytkownika do umieszczania w haśle następujących rodzajów znaków:

  • wielkie litery
  • małe litery
  • cyfry
  • znaki specjalne 
Najnowsze badania wskazują jednak, że o wiele istotniejszym czynnikiem z punktu widzenia bezpieczeństwa (znacznie bardziej zwiększającym trudność odgadnięcia hasła) jest jego długość. CERT Polska zaleca, aby tworzyć możliwie długie hasła, zawierające minimum kilkanaście znaków. Mogą one składać się z całych zdań (jeśli tylko system pozwala na stworzenie tak długiego hasła).

Popularne hasła

Pomimo propagowania przez ekspertów ds. bezpieczeństwa cybernetycznego wiedzy dotyczącej zabezpieczania kont, informacji o atakach hakerskich i ich konsekwencjach udostępnianych przez środki masowego przekazu, wciąż najchętniej wybierane są najprostsze ciągi znaków.

W‍ kwietniu 2022 najpopularniejsze 10 haseł to:
  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678
  • 111111
  • 1234567890
W‍ tym przypadku popularność zdecydowanie nie jest dobra. Jeśli rozpoznajesz jakiekolwiek z powyższych haseł, koniecznie jak najszybciej zmień je na bezpieczniejsze. Konta, które je wykorzystują w praktyce w ogóle nie są zabezpieczone, ponieważ te hasła jako pierwsze są wypróbowywane podczas prób włamań.  Czy wiesz, że w przypadku tak prostych ciągów znaków, potencjalnemu hakerowi złamanie hasła zajmie mniej niż sekundę!

Tworząc hasło…

  • nie używaj tylko jednego słowa,
  • nie stosuj słów, które są obecne w‍ słownikach (można za to wykorzystać istniejące słowo, ale z błędem w pisowni, lub zamienionymi niektórymi literami na podobne do nich wizualnie symbole specjalne),
  • nie wykorzystuj do jego budowy informacji na twój temat, które mogą być znane innym osobom – jak np.: ważna data, imiona członków rodziny czy zwierząt domowych, adres zamieszkania bądź numer telefonu.

Hasło będzie dobre, gdy…

(jednocześnie)
  • uda Ci się je zapamiętać
  • nikt inny się go nie domyśli.
Co za tym idzie, długie ciągi przypadkowych znaków nie są dobrym materiałem na hasło, które mamy powierzyć swojej pamięci – w praktyce nie będzie się nam chciało ich zapamiętać.

W celu zbudowania dobrego hasła, które Ty odtworzysz z pamięci bez pomyłki, a inne osoby „nie wpadną” na ich brzmienie, możesz posłużyć się następującą metodą. Wybierz mało popularną piosenkę, wiersz lub cytat, którą lubisz i znasz na pamięć (wystarczy jedno zdanie), po czym użyj pierwszą literę lub pierwsze dwie litery z każdego wyrazu i połącz wszystko w jeden ciąg znaków. Jeśli uzyskany w ten sposób „wyraz” będzie miał kilkanaście liter i znajdą się w nim także cyfry i znaki specjalne – gratulacje, stworzyłeś właśnie bardzo dobre hasło!

Ze względu na to, że dla każdego hasła powyższy proces trzeba przeprowadzić od nowa, aby się nie pogubić, dobrym pomysłem będzie sporządzenie listy stron internetowych (czy aplikacji) wymagających logowania. Przy każdej z nich można dodać krótką podpowiedź, która nie będzie zawierała hasła, ale przypomni Ci, czym kierowałeś się wymyślając je. Mogą wystarczyć choćby1-2 wyrazy, które będą się Tobie kojarzyć z określonym cytatem, ale nie będą w oczywisty sposób wskazywać na jego źródło. Tak przygotowaną podpowiedź możesz przechowywać czy to na kartce trzymanej w portfelu, czy w aplikacji z notatkami w naszym (zabezpieczonym przed dostępem osób postronnych) telefonie.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikoweChoć uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), jako technologia zaczęło działać już w‍ 1986 roku, dopiero ostatnia dekada doprowadziła do istotnej popularyzacji tego narzędzia. Nazywane jest także uwierzytelnianiem dwuetapowym lub logowaniem dwuetapowym. Obecnie taka forma zabezpieczenia jest uniwersalnie wymagana dla kont dających dostęp do bankowości elektronicznej, a coraz częściej spotyka się także możliwość włączenia go dla poczty elektronicznej, magazynów danych w chmurze, gier wideo i innych usług sieciowych.

Ideą dwuskładnikowego uwierzytelnienia jest konieczność weryfikacji nie tylko za pomocą hasła, ale też informacji innego typu, która przekazywana jest np. w postaci kodu poprzez wiadomość SMS. W wielu bankach wciąż możliwe jest zamawianie specjalnych kart z wydrukowanymi kodami. To ostatnie rozwiązanie może nie być praktyczne, jeśli często musimy potwierdzać w ten sposób swoją tożsamość.

Wiele instytucji i firm wprowadziło z kolei uwierzytelnianie dwuskładnikowe jako wymagane przy logowaniu do swoich systemów i często wykorzystuje specjalne urządzenia lub specjalne aplikacje dla smartfonów, generujące jednorazowe kody. Alternatywnie, niektóre usługi umożliwiają włączenie innego typu potwierdzenia tożsamości np. wprowadzenie poprzez panel dotykowy (ustalonego wcześniej) kształtu, odcisku palca czy sczytanie obrazu twarzy właściciela konta za pomocą trójwymiarowej kamery w smartfonie. Taka autoryzacja może również zostać używa jako etap weryfikacji dwuskładnikowej. Warto korzystać z takich rozwiązań, aby podnieść poziom naszego cyfrowego bezpieczeństwa.

Dobre praktyki bezpieczeństwa danych

1. Nie loguj się przez link

Jeśli otrzymujesz prośbę o podanie hasła w miejscu innym niż oficjalna strona usługi, dla której zostało to hasło utworzone, najprawdopodobniej masz do czynienia z próbą oszustwa.

Unikaj też otwierania wymagających logowania stron poprzez link. Nawet jeśli wiadomość brzmi wiarygodnie, wcale taka być nie musi. Łącze mogło zostać spreparowane i otwierana nim strona będzie prowadziła do serwera zarządzanego przez oszustów. Nawet jeśli wygląd strony będzie identyczny z prawdziwą witryną, gdy tylko wprowadzisz swoje dane, zostaną one przekazane przestępcom.

Zamiast otwierać stronę logowania z linku, używaj sprawdzonego adresu strony, którą chcesz odwiedzić. Jeśli nie pamiętasz właściwego adresu, a pasek przeglądarki go nie podpowiada - użyj wyszukiwarki takiej jak Google, aby odnaleźć potrzebną stronę. Jedynym wyjątkiem, kiedy bezpiecznie jest otwierać stronę logowania z linku jest sytuacja, gdy sami poprosimy o taki link (np. użyjemy opcji przypominania hasła).

2. Stosuj różne hasła

Nie używaj tego samego hasła do różnych stron, usług, aplikacji czy urządzeń, jeśli znajdują się w‍ nich Twoje dane (choćby używany regularnie adres e-mail). Jeśli korzystasz z wielu stron i wymyślanie innego hasła dla każdej z nich jest kłopotliwe, możesz użyć opcji logowania za pomocą już istniejącego profilu (np. konta Google, Facebook itp.) lub użyć menedżera haseł do wygenerowania bezpiecznego, unikalnego hasła dla każdej witryny.

3. Pilnuj swoich haseł

Nigdy nie pozwalaj na zapamiętanie haseł w przeglądarce, jeśli używasz konta (pulpitu) niezabezpieczonego hasłem lub jeśli więcej osób z niego korzysta. Wiele serwisów umożliwia dostęp do wspólnego konta za pomocą różnych loginów i przypisanych do nich haseł – utworzenie różnych profili z osobnymi hasłami dla każdej osoby jest bezpieczniejszym rozwiązaniem niż dzielenie się tymi samymi danymi logowania.

Nawet jeśli używasz sprzętu wspólnie z godnymi zaufania osobami, może się zdarzyć np. że ktoś przyjdzie do nich w odwiedziny i wykorzysta chwilę nieuwagi, aby wejść na waszą historię przeglądarki oraz sprawdzi zapisane hasła. Jeśli już musisz udostępnić swoje hasło komuś innemu, upewnij się, że żadne inne Twoje konto nie korzysta z tego samego hasła, a najlepiej zmień je, gdy tylko druga osoba przestanie z niego korzystać.

4. Używaj osobnego adresu e-mail do rejestracji

Dobrze jest zachować swój prywatny adres e-mail w tajemnicy przed internetem – nie używać go do rejestracji na żadnych stronach i podawać go wyłącznie osobom, z którymi naprawdę chcemy utrzymywać kontakt.

Wielu operatorów poczty elektronicznej umożliwia stworzenie tzw. aliasów, czyli dodatkowych adresów e-mail, których możesz użyć właśnie w celu rejestracji swoich kont w różnych serwisach. Jednocześnie, jeśli uznasz, że otrzymujesz zbyt dużo niechcianej poczty lub gdy Twój adres zostanie upubliczniony, możesz wówczas utworzyć nowy alias, zmienić swój adres e-mail we wszystkich serwisach i usunąć ten alias, który został upubliczniony.

Nie należy nigdy umieszczać swojego adresu email w miejscach łatwo dostępnych w internecie, takich jak treść wpisów w mediach społecznościowych lub ogłoszenia publikowane w grupach czy forach internetowych. Twój adres może zostać automatycznie „sczytany” przez oprogramowanie stworzone właśnie w celu „łowienia danych”, a następnie użyty do rozsyłania spamu (niechcianych wiadomości). Dzięki tym działaniom zmniejszysz szansę włamania na Twoje konto e-mail i jednocześnie zminimalizujesz ilość otrzymywanej niepotrzebnej korespondencji.

5. Śledź duże wycieki haseł

Największym firmom informatycznym zdarzają się wpadki, które mogą skutkować wyciekiem danych. Później lista wszystkich odkrytych w ten sposób haseł może zostać upubliczniona. 
 
Śledź duże wycieki hasełObecnie da się dość łatwo sprawdzić, czy konkretne hasło nie „wyciekło”, tzn. czy nie zostało upublicznione jako skompromitowane. Taką weryfikację można przeprowadzić na stronie https://www.avast.com/hackcheck/result-no-leaks. Wprowadzenie Twojego adresu email na tej stronie pozwoli Ci sprawdzić, czy ten adres został upubliczniony, czy wraz z nim upublicznione zostało hasło użyte do utworzonego z jego pomocą konta oraz pozwoli Avast wysłać powiadomienie, jeśli w przyszłości odnotowany zostanie wyciek zawierający Twoje dane. Jeśli okaże się, że Twoje dane zostały upublicznione, powinieneś jak najszybciej je zmienić ­- dla każdego konta, które je stosowało, trzeba wymyślić inne, nowe, bezpieczne hasło. Jeśli wyciekł Twój adres e-mail, lepiej jest zaprzestać korzystania z niego i stworzyć nowe konto lub nowy alias wyłącznie na potrzeby rejestracji internetowych.

6. Korzystaj z menedżera haseł

Jeśli posiadasz wiele kont, korzystasz ze znacznej ilości usług i‍ wymyślanie nowych haseł sprawia Ci kłopot, możesz skorzystać z‍ aplikacji typu menedżer haseł. Taka aplikacja sama generuje bardzo dobre hasła dla każdej z usług, kont i witryn z jakich korzystasz. Wystarczy, jeśli wymyślisz jedno dobre hasło główne, którym będziesz autoryzować każde logowanie, realizowane z pomocą menedżera.

Oto przykłady dobrych, darmowych menedżerów haseł:
  • LastPass: lastpass.com
  • KeePass: keepass.info
  • Keeper: keepersecurity.com
  • Password Safe: pwsafe.org
  • Dashlane: dashlane.com  

7. Poprawianie bezpieczeństwa swoich haseł

Jeśli posiadasz wiele kont i myśl o stworzeniu całkiem innego hasła do każdego z nich budzi w Tobie dyskomfort, pamiętaj, że nie ma konieczności wymyślania haseł od nowa! Hasła, do których się przyzwyczailiśmy, można ulepszyć, dokonując w nich niewielkich zmian. Wystarczy np. dodać spacje między wyrazami, zmienić wielkość niektórych liter i dodać gdzieś nietypowy symbol, aby uzyskać o wiele bezpieczniejszą kombinację.

Dziecko i bezpieczne hasło

Dziecko i bezpieczne hasłoNajmłodszym użytkownikom sieci loginy i hasła dostępu nadajemy My – rodzice lub opiekunowie. Większość serwisów pozwala na założenie konta internetowego osobom od 13. roku życia. Ponadto według obowiązującego w Polsce prawa, po ukończeniu tego wieku, dziecko osiąga tak zwaną ograniczoną zdolność do czynności prawnych. Pozwala to na założenie dla nastolatka rachunku osobistego w banku wraz z kartą płatniczą. Dbając o bezpieczeństwo ich prywatności, zachęcamy Cię do rozmowy z nastolatkiem na temat tworzenia silnych haseł, ich przechowywania czy dwuetapowego uwierzytelniania. Posłuż się podanym przez nas przykładem i za pomocą ulubionej piosenki czy cytatu, utwórzcie wspólnie silne hasło. Powodzenia!
 
 
Źródła:
  • CERT Polska - Kompleksowo o hasłach
  • Metody tworzenia bardzo bezpiecznych haseł: Strong Password Ideas For Greater Protection (With Examples)  
  • Dobre praktyki tworzenia haseł: Password Best Practices - UC Santa Barbara Information Technology  
  • Co warto robić a czego unikać stosując hasła: Password Do’s and Don’ts – Krebs on Security
 

Andrzej Rylski NASK
Andrzej Rylski
NASK
 
Od 2016 r. pracuje w NASK, w w Dziale Profilaktyki Cyberzagrożeń. Specjalizuje się w zagadnieniach prywatności w sieci, gier wideo oraz fabularnych gier narracyjnych. W ramach Polskiego Centrum Programu Safer Internet (PCPSI) współorganizuje konferencje i inne wydarzenia poświęcone tematyce bezpieczeństwa dzieci w internecie. Od 2017 r. koordynuje działający przy NASK młodzieżowy panel doradczy działający przy PCPSI. Jest absolwentem pedagogiki ogólnej na Uniwersytecie Warszawskim, posiada dyplom wychowawcy kolonii oraz doświadczenie w organizowaniu i prowadzeniu rekreacyjno-szkoleniowych wyjazdów dla młodzieży a także wydarzeń online.
wszystkie posty
do góry Menu Strony

Ustawienia plików Cookie

Na naszych stronach używamy różnych technologii, by zoptymalizować Państwa doświadczenia online. Obok wymaganych plików cookie, które zapewniają funkcjonalność stron, należą do nich także technologie służące np. do anonimizacji analizy stron lub do wyświetlania ukierunkowanej reklamy. Korzystanie z nich jest dobrowolne i wymaga zgody. Zgodę można w każdej chwili wycofać ze skutkiem na przyszłość.
Zobacz szczegółową Politykę Prywatności



Wymagane
Sesyjne pliki Cookies wymagane do działania strony, przechowywane podczas wizyty na stronie, np zapamiętany wybór języka strony

Statystyczne
Anonimowe statystyki odwiedzin strony oraz zachowania użytkownika

Zewnętrzne
Pliki Cookies od zewnętrznych dostawców usług takich jak filmy Youtube