Bezpieczeństwo / Usługi IT

Zaczniemy z grubej rury – gdzie masz zapisane swoje hasła? Masz pewność że tylko Ty masz dostęp do tego miejsca? Że tylko Ty znasz swoje hasła? Ja bym nie był taki pewien. Przeczytaj dalej, a dowiesz się dlaczego Twoje hasła nie są bezpieczne.

W tym artykule:
Najczęstsze błędy popełniane podczas przechowywania haseł
Wycieki danych są coraz bardziej powszechne
Wymagania odnośnie haseł
Jakie są najpopularniejsze menedżery haseł?
Dlaczego menedżer haseł jest lepszy od innych sposobów?

Najczęstsze błędy popełniane podczas przechowywania haseł

Czy wiesz ile masz haseł? Czy wiesz ile powinno ich być? Hasła trzeba gdzieś przechowywać, najlepiej gdyby było to bezpieczne miejsce do którego jedynie Ty masz dostęp. Oczywiście także zaufane osoby, w razie nieszczęśliwych sytuacji. Po przeczytaniu zastanów się, którą z poniższych metod stosujesz w swoim przypadku i szybko napraw te błędy.

Zbyt proste hasła

Problem zbyt prostych haseł był skutecznie nagłośniony przez aferę rządową w 2012 roku, kiedy okazało się że dane dostępowe do panelu administracyjnego strony premier.gov.pl to użytkownik Admin a hasło ADMIN1. Inne bardzo popularne hasło to potoczne czteroliterowe określenie części ciała na której siadamy. W kwestii kodów PIN także spotykane są „kwiatki” rodzaju 1111 czy 1234.

Zbyt proste hasła najczęściej okupują pierwsze miejsca w rankingach najczęściej łamanych przez hakerów haseł. Nietrudno znaleźć takie listy, chociaż należy zachować ostrożność podczas ich przeglądania – człowiek najczęściej widzi tam bardzo długą listę haseł i zastanawia się: „Czy moje hasło tam jest?”. Co wtedy najczęściej robi? Uruchamia funkcję wyszukiwania i wpisuje interesujący go ciąg znaków. Wiecie, że te strony najczęściej są tak przygotowane, że potrafią czytać ciągu znaków wpisywane w polu wyszukiwania? Brawo, właśnie podaliście komuś swoje hasło. A może nawet kilka haseł.

Zdecydowana większość usług z których korzystamy wymaga od nas użycia haseł, które spełniają określone kryteria: minimalna długość hasła, użycie zarówno wielkich jak i małych liter, cyfr a także dodawanie znaków specjalnych. Najczęściej wyświetlana jest wtedy ocena naszego hasła i dzięki temu wiemy czy jest ono odpowiednio silne. Skala ocen oczywiście dobierana jest w odniesieniu do wymagań, więc może wydarzyć się, że hasło uznawana w jednym miejscu za silne, będzie uznane za słabe w innym.

Zapamiętujemy hasła

Najmniej skuteczna metoda przechowywania haseł. Po pierwsze – nawet najmniej zaawansowany cyfrowo czy technologicznie człowiek potrzebuje podawać hasło w prawie 10 miejscach, które tego wymagają: konto Google/Apple w smartfonie, konto bankowe, PIN do karty płatniczej, PIN do odblokowania telefonu, hasło do odblokowania komputera, hasło do profilu zaufanego, logowanie do konta e-mail, kod do domofonu. Czy jesteście w stanie zapamiętać i bezbłędnie używać haseł do wszystkich swoich systemów lub usług? A co w przypadku kiedy jednym z wymagań jest okresowa zmiana hasła na nowe, które oczywiście ma różnić się od poprzedniego?

Po drugie – jeżeli udało nam się zapamiętać wszystkie nasze hasła, to bardzo prawdopodobne że:

  1. wszystkie są takie same (lub bardzo zbliżone), lub
  2. poznając jedno z tych haseł, przy minimalnym nakładzie pracy wydedukujemy jak brzmią pozostałe.

Nawet jeżeli mamy super sposób na tworzenie skomplikowanych haseł i ich zapamiętywanie – zawsze może być ktoś kto ten sposób zna i wykorzysta.

Zapisujemy hasła w notesie lub w kalendarzu na papierze

Jeżeli jesteś tradycjonalistą to zapewne zapisujesz swoje hasło w kalendarzu. Nie ma oczywiście w tym nic złego, dopóki przechowujesz swój notes w sejfie lub innym bezpiecznym zamknięciu. Gdzie są słabe strony takiego rozwiązania? Po pierwsze – musisz mieć zawsze przy sobie taki notes lub kalendarz, co nie zawsze jest możliwe. Po drugie – zapisywanie haseł w jednym miejscu powoduje, że otwarcie strony na której zapisane jest to konkretne, potrzebne w danej chwili, daje dostęp do wszystkich pozostałych na tej kartce. Niekiedy może zdarzyć się za naszymi plecami niepożądany „widz”, który w ten sposób ma wgląd w nasze hasła.

Problemem także może być aktualizacja haseł, wymuszona przez różne systemy cyklicznie co określoną ilość czasu. Wykreślamy stare hasło, dopisujemy nowe i po jakimś czasie mamy bałagan lub brak miejsca na kolejne notatki. Co wtedy? Doklejamy karteczki, zapisujemy hasła na nich, one się odklejają, wypadają…

Notes lub kalendarz papierowy możemy też łatwo zgubić i potencjalny znalazca nie ma żadnych przeszkód w dostaniu się do naszych zapisków.

Hasła mamy zapisane w pliku tekstowym w naszym komputerze

To jest ewolucja powyższego podejścia do przechowywania haseł. Rolę notatnika pełni tutaj plik w komputerze. Hasła zapisane zostają w formie tekstu lub tabelki w Excelu. Podejście jest to bezpieczniejsze tylko wtedy, kiedy mamy w systemie operacyjnym komputera skonfigurowane hasło dostępowe. Chociaż w systemach Windows, jak pokazuje historia, nie było to zabezpieczeniem szczególnie trudnym do przejścia. Nie znając hasła użytkownika, nawet mało doświadczony spec informatyczny potrafi uzyskać dostęp do jego danych.

Innym zagrożeniem dla tego sposobu przechowywania haseł są nagminne zagrożenia typu rootkit lub ransomware, cryptoware itp. Albo utracisz taki plik wraz z całym systemem, albo dostęp do niego z powodu zaszyfrowania. Pliki tekstowe, dokumenty i arkusze kalkulacyjne są na szczycie listy atakowanych przez hakerów plików. W nich zawsze znajdują się najciekawsze informacje.

Nasza przeglądarka internetowa posiada zapisane nasze hasła

To jest w tej chwili chyba najpopularniejszy sposób nieświadomego gromadzenia swoich haseł przez użytkowników. Każda przeglądarka internetowa posiada wbudowaną funkcję zapamiętywania haseł. W początkach istnienia tej funkcji, hasła zapisywane były lokalnie na danym komputerze, z czasem zbiory haseł zostały umieszczone w chmurze dzięki temu mamy możliwość korzystania z nich na pozostałych naszych urządzeniach – smartfonach i tabletach.

Rozwiązanie jest bardzo wygodne, ale musimy zwrócić szczególna uwagę na jego bezpieczeństwo. Po pierwsze, każde urządzenie na którym mamy dostęp do haseł zapisanych w ten sposób powinno być zabezpieczone kodem PIN lub hasłem. Po drugie, nie może być możliwości odczytania zapisanych danych bez przejścia dodatkowej weryfikacji. Oznacza to, że jeżeli chcemy odczytać hasło z takiego systemu, powinniśmy zweryfikować swoją tożsamość podając specjalne hasło, kod PIN lub biometrycznie za pomocą skanera linii papilarnych lub twarzy. Dopiero po takiej weryfikacji system może podać nam hasło.

Wycieki danych są coraz bardziej powszechne

Jest bardzo duże prawdopodobieństwo, że jeżeli posiadacie konto w jednym z podstawowych serwisów lub usług wymienionych przeze mnie w początkowych akapitach tego artykułu, Wasze hasło zostało wykradzione. A jeżeli nie zostało, to zapewne będzie. Bardzo łatwo się o tym przekonać używając strony Have I Been Pwned?. Mój były już prywatny adres email pojawił się aż 10 razy na różnych listach danych wykradzionych przez hakerów, razem z hasłem którego uzywałem do niego.

Czy możemy się obronić przed wyciekiem naszych danych z takiego czy innego serwisu? Nie. Możemy jedynie zminimalizować do minimum ryzyko które się z tym wiąże.

Po pierwsze – nie rejestrujemy się tam gdzie nie musimy. Sklepy internetowe w których zakupy robimy okazjonalnie posiadają w większości możliwość dokonania zakupu bez zakładania konta. Zapisów do list mailingowych dokonujmy rozważnie, tylko wtedy kiedy naprawdę tego potrzebujemy. Menedżer haseł znakomicie pomoże nam w zorientowaniu się gdzie mamy utworzone konto.

Po drugie – zmieniamy co jakiś czas hasło. Do poczty i banku zmieniamy najczęściej. Do innych kluczowych dla nas usług także dość często. Jeżeli jakaś usługa jest dla nas mniej ważna i nie odwiedzamy jej tak często jak pozostałych, może warto zmienić hasło przy każdych odwiedzinach? Nawet jeżeli nasze dane wyciekną, po czasie będą już nieaktualne. Warto zadbać o to żeby ten czas był jak najkrótszy.

Wymagania odnośnie haseł

Jakie powinno być bezpieczne hasło? Nie ma jednoznacznej odpowiedzi. Najczęściej spotykane wymagania to 8 znaków, użycie wielkich i małych liter, cyfr i znaków specjalnych. Czy takie hasło gwarantuje bezpieczeństwo? Niekoniecznie – jeżeli część z tego hasła to nasze imię, np. Marcin67* to mimo spełnienia wymagań technicznych, to hasło wcale nie należy do skomplikowanych.

Niektóre systemy weryfikują czy w haśle nie zostały użyte imiona, nazwy miejscowości czy nawet popularne słowa. Są od tego specjalne słowniki w tych miejscach, które nawet potrafią poradzić sobie z Leet Speak.

Są także różne teorie mówiące o najlepszej długości hasła. Ten parametr zależy od mocy szyfrowania tego hasła w systemie do którego je wprowadzamy. Najczęściej spotykane jest MD5 i technicznie rzecz biorąc – nie jest to szyfrowanie, tylko hashowanie. Każdy ciąg znaków, dowolnej długości przekształcany jest na 128-bitowy hash, który był uznawany że niemożliwy do odkodowania. Jednak w ostatnich latach moc komputerów wzrosła na tyle, że jest możliwe jego odkodowanie w skończonym okresie czasu. Jeżeli jednak skorzystamy z odpowiednio długiego hasła i 256-bitowego hashowania – powinniśmy uniknąć odkodowania go przez hakerów.

Jakie są najpopularniejsze menedżery haseł?

Menedżer haseł jest najwygodniejszym i jednocześnie najbezpieczniejszym sposobem zarządzania naszymi hasłami. Posiada nie tylko funkcje przechowywania, ale także generowania czy weryfikacji czy nasze zabezpieczenia są odpowiednie. Według mnie istotnym czynnikiem jest także współpraca z używanymi przez nas urządzeniami czy oprogramowaniem.

Menedżer Haseł Google – Google Password Manager

Usługa dostępna pod adresem: passwords.google.com

Jest to rozwiązanie które ewoluowało z możliwości przechowywania haseł w pamięci przeglądarki Chrome do w pełni chmurowej usługi. Hasła zapisywane są w ramach konta Google i dostęp do nich jest możliwy tylko po podaniu danych do logowania do własnego konta. Najczęstszym sposobem zapisywania i korzystania z haseł przy użyciu tego menedżera jest przeglądarka Google Chrome. Natomiast dzięki synchronizacji z kontem Google można korzystać z haseł także na urządzeniach z Androidem. W przypadku sprzętu firmy Apple, także można używać haseł zapisanych w tym menedżerze, ale jedynie używając przeglądarki Internetu od Google.

Apple Key Chain – Pęk Kluczy Apple

Tak jak w przypadku Androida mamy niejako natywną usługę do zarządzania hasłami, tak w przypadku Apple taka usługa również istnieje. Natomiast są między nimi dość istotne różnice, które powodują że będą one odpowiednie dla innych grup użytkowników. Zaczynając od urządzeń – Pęku Kluczy możemy używać wyłącznie na urządzeniach Apple. Na pocieszenie jednak działa fakt, że jest on dużo bardziej zintegrowany z systemem niż propozycja od Google. Praktycznie w każdym miejscu w którym potrzebujemy podać hasło, możemy wywołać funkcję podpowiadania go z bazy Pęku Kluczy. To nie tylko przeglądarka i logowanie się w witrynach internetowych, ale także dostęp do aplikacji na komputerze czy tablecie Apple.

1Password

Usługa dostępna pod adresem: 1password.com

Oprogramowanie które nie jest zależne od platformy. Co to oznacza? Że można go używać zarówno na Androidzie, urządzeniach Apple jak i komputerach z systemem Windows. Co więcej, jeden użytkownik może posiadać sprzęt z każdej z tych grup i 1Password będzie „dostarczał” hasła wszędzie z taką samą skutecznością. Ważną funkcją która jest aktywna w tym menedżerze jest możliwość przekazywania haseł innym użytkownikom. Nie przesyłamy wtedy otwartym tekstem za pomocą maili lub wiadomości w komunikatorze naszych cennych informacji. Minusem jest fakt, że udostępniamy tylko całe zbiory haseł, a nie pojedyncze wpisy.

LastPass

Usługa dostępna pod adresem: lastpass.com

Konkurencyjne do 1Password, reklamowana kiedyś hasłem „Last Pass you need to remember” – ostatnie hasło które musisz pamiętać. Hasło odwołuje się do głównej funkcjonalności menedżera, polegającej na tym, że musimy pamiętać tylko jedno hasło do naszego sejfu w którym przechowujemy pozostałem dane. Mogą tam znajdować się nie tylko hasła, ale także numery kart kredytowych, dane dostępowe do WiFi a także baz danych czy serwerów.

Za pomocą LastPass można w prosty i bezpieczny sposób przekazywać hasła innym osobom. Możliwe jest wybranie pojedynczych pozycji z naszego sejfu i udostępnienie ich w taki sposób żeby odbiorca mógł to hasło zobaczyć lub żeby jego treść była ukryta, a jednak aplikacja pozwala na użycie w odpowiednim miejscu.

Dlaczego menedżer haseł jest lepszy od innych sposobów?

Przejdźmy do sedna. Technologia nie pozwala nam jeszcze stosować w pełnym zakresie zabezpieczeń innych niż hasła czy kody PIN. Nawet tam, gdzie dostęp jest możliwy po zastosowaniu metod biometrycznych (skanowanie linii papilarnych czy kształtu twarzy) i tak alternatywą jest podanie ciągu znaków identyfikującego nasze uprawnienia. Kontrola dostępu do informacji zmierza w kierunku ograniczenia stosowania haseł lub ich wyeliminowania. Do wielu miejsc możemy zalogować się wykorzystując konto Google, Facebooka czy Apple a także wiele innych. Część z tych operatorów faktycznie dba o nasze bezpieczeństwo, część ma jeszcze wiele do nadrobienia w tych tematach.

Wynika z tego, że menedżer haseł jest niezbędny. Nie tylko pozwoli nam przechowywać hasła i wpisze je za nas w odpowiednie pola podczas logowania. Pozwoli także stworzyć nowe hasło do danego serwisu czy usługi wg podanych przez nas wytycznych. Menedżer następnie to hasło zachowa i w odpowiednim momencie wypełni nim pole podczas procesu logowania. Łącząc to powstaje nam ekosystem w którym faktycznie musimy znać tylko jedno hasło – do naszego sejfu.

Oprócz tego menedżer haseł posiada możliwość analizowania naszych dotychczasowych haseł pod katem ich skomplikowania oraz podobieństw. Jeżeli wykryje że używamy tego samego hasła w kilku miejscach, otrzymamy taką informację.

Na koniec funkcja która będzie wynikiem naszej rzetelności w stosowaniu menedżera haseł. Jeżeli będziemy wpisywać tam każde hasło, po pewnym czasie z łatwością przeprowadzimy analizę w których miejscach mamy konta niepotrzebnie i będziemy mogli je usunąć. Tak, aby wyeliminować potencjalne szkody spowodowane wyciekiem danych.

Jeżeli potrzebne będą dodatkowe wyjaśnienia w powyższym temacie, zapraszam do kontaktu.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.