W sieci haseł

Jak tworzyć bezpieczne hasła, przechowywać je i zapamiętywać? Które programy mogą w tym pomóc? Eksperci od cyberbezpieczeństwa zdradzają swoje sposoby zabezpieczania się przed atakami cyberprzestępców

Człowiek nie jest w stanie zapamiętać wszystkich haseł czy kodów, których musi używać wiele razy dziennie – do telefonu, banku, poczty czy serwisów. Aby nie zgubić się w sieci haseł, korzystamy często z popularnej kombinacji znaków. Na stronie Cert.pl, stworzonej przez NASK, można znaleźć listę najczęściej stosowanych haseł, sporządzoną na podstawie danych z wycieków. Są na niej m.in.: 123456, 12345, 123456789, polska, 111111, misiek i monika.

– Jesteśmy superkiepscy w wymyślaniu dobrych haseł, a jeszcze gorsi w zapamiętywaniu kilkuset różnych haseł. A właśnie tyle kont posiada dziś aktywny internauta – ocenia Piotr Konieczny, założyciel serwisu Niebezpiecznik.pl.

ZATRUDNIJ MENEDŻERA

Rozmówcy proponują korzystanie z menedżera haseł, czyli programu lub aplikacji przechowujących ciągi znaków. – Dzięki temu rozwiązaniu nie trzeba zapamiętywać poszczególnych unikatowych haseł, lecz tylko jedno silne główne: do samego menedżera – tłumaczy Nikola Bochyńska, redaktorka naczelna CyberDefence24.pl.

Jakimi programami można się posłużyć?

– Jeżeli ktoś korzysta tylko ze sprzętu Apple, to menedżer haseł jest już wbudowany w system, to Pęk Kluczy. A jeśli ktoś szuka rozwiązania do zastosowania w różnych systemach, zarówno w komputerach, jak i smartfonach, to idealnym wyborem będzie darmowy KeePass XC – mówi Piotr Konieczny z serwisu Niebezpiecznik.pl.

Łukasz Blot, system administrator w Dagma Bezpieczeństwo IT, rekomenduje KeePass XC lub Bitwarden. – Oba rozwiązania to open-source, co sprawia, że każdy może zobaczyć, jak wygląda kod źródłowy aplikacji. Bitwarden jest rozwiązaniem chmurowym, co ułatwia nam synchronizację haseł pomiędzy różnymi urządzeniami – uzasadnia. Oba narzędzia są bezpłatne, choć to drugie ma też płatne plany z dodatkowymi funkcjami, np. raportami bezpieczeństwa (za mniej niż dolara miesięcznie).

Zaglądam do rankingu takich programów, przygotowanego przez Technostrefa.com. W czołówce są: 1Password (z 256-bitowym szyfrowaniem AES, które wykorzystują np. banki), LastPass (z takim samym szyfrowaniem), Dashlane i Enpass. W większości te programy są płatne. Ceny w 1Password zaczynają się od 2,99 dol. miesięcznie. LastPass ma opcję bezpłatną z częścią funkcji, plany płatne zaczynają się od 2,90 euro miesięcznie. Dashlane też ma wersję darmową, a płatna kosztuje od 4,99 dol. miesięcznie. Enpass posiada darmową wersję na komputery, a na inne urządzenia – za 95,49 zł rocznie.

Piotr Konieczny z Niebezpiecznik.pl mówi, że różnice między KeePass XC, Bitwarden i 1Password są kosmetyczne. – Każdy z nich kluczową część robi tak samo dobrze. Różnice są w wyglądzie, łatwości obsługi, sposobie integracji z różnymi przeglądarkami i systemami – stwierdza.

– Trzeba pamiętać, że dostęp do zapisanych w przeglądarce haseł zawsze należy chronić dodatkowym hasłem bądź innym poświadczeniem, jak odcisk palca. Nadal jednak mamy do czynienia jedynie z hasłem, które w przypadku infekcji urządzenia może odczytać również złośliwe oprogramowanie – zaznacza Robert Grabowski, szef CERT Orange Polska. Według niego menedżer haseł ma wiele zalet, np. tę, że każde nasze hasło będzie unikalne i praktycznie niemożliwe do odgadnięcia. Co istotne, nie zostanie podstawione do strony phishingowej, bo jest powiązane z prawdziwą witryną i zostaniemy powiadomieni o możliwym wycieku hasła w zewnętrznym serwisie oraz o potrzebie jego zmiany.

Iwona Prószyńska, ekspertka NASK ds. komunikacji w obszarze cyberbezpieczeństwa, wskazuje różne rozwiązania: – Możemy używać oddzielnego programu lub menedżera zintegrowanego z przeglądarką internetową, do której się logujemy. Niezależnie od tego, które rozwiązanie wybierzemy, wystarczy, że zapamiętamy tylko jedno hasło: do menedżera lub konta, na które logujemy się w przeglądarce. Tym bardziej należy więc zadbać o to, aby hasło było odpowiednio długie i trudne do złamania.

– Przestępcy często podszywają się pod różne popularne aplikacje (nie tylko menedżer haseł, lecz również gry, programy graficzne, portfele kryptowalutowe itp.). Dlatego aplikacje najlepiej pobierać wprost z oficjalnego sklepu z aplikacjami Apple lub Google, weryfikując, czy dokładnie do tej aplikacji prowadzi link ze strony producenta – mówi Piotr Konieczny z Niebezpiecznik.pl.

DŁUGOŚĆ MA ZNACZENIE

Co jest ważniejsze: długość czy skomplikowanie? Zdecydowanie to pierwsze.

Piotr Konieczny z Niebezpiecznik.pl podkreśla, że zarówno hasło do naszego komputera lub smartfona, jak i do samego menedżera haseł powinno być jak najdłuższe – dzięki temu przetestowanie wszystkich możliwości zajmie cyberprzestępcom więcej czasu.

– Absolutnie długość jest ważniejsza niż stopień skomplikowania – potwierdza Michał Rosiak, ekspert zabezpieczeń systemów teleinformatycznych w Orange Polska. – Złamanie hasła o treści KiedyPrzeczytalemRosiakaWPressToWymyslilemHasloZeHoHo! jest sporym wyzwaniem – zapewnia Rosiak.

Jeśli ktoś chce samodzielnie wymyślać hasła, to powinien stosować takie, które posiadają co najmniej pięć słów – taką radę znajdziemy na stronie Cert.pl. A z czego je zbudować?

– Nie mogą to być powszechnie znane frazy (np. wlazlkoteknaplotekimruga) ani długie hasła, stworzone z wykorzystaniem łatwych do rozszyfrowania metod, np. z układem przycisków na klawiaturze (np. qwertyuiopasdfghjkl) lub powtarzaniem prostych słów (np. admin1admin1admin1admin1admin1) – radzi Iwona Prószyńska z NASK.

ABSURDALNE ZDANIA

– Silne hasła powinny zawierać wielkie i małe litery, cyfry i znaki specjalne – mówi Nikola Bochyńska z CyberDefence24.pl.

Na stronie Cert.pl czytamy, że silne hasła można budować, używając pełnych zdań, ale należy unikać cytatów bez wprowadzenia w nich znaczącej modyfikacji. Dlatego wymyślanie bezpiecznych haseł i mylenie tropów przestępcom wiąże się czasem z zabawą w trawestację utartych zwrotów, bo takie hasło trudniej zapomnieć.

– Silnym, ale łatwym do zapamiętania hasłem może być wymyślone przez nas zdanie albo przeróbka jakiegoś znanego powiedzenia lub przysłowia: NaPochylyGiewont4KozySkacza! – podpowiada Iwona Prószyńska z NASK.

Zdanie będące hasłem może być nieco absurdalne – będzie trudniejsze do odgadnięcia.

– Jeśli ktoś w wymyślaniu haseł chce polegać jedynie na sobie, to może skorzystać ze znajomości łańcuchów Markowa, dzięki czemu zbuduje hasło trudne do złamania, a łatwiejsze do zapamiętania – radzi Łukasz Blot z Dagma Bezpieczeństwo IT. Blot tłumaczy, że łańcuchy Markowa służą do przewidywania wystąpienia kolejnego zdarzenia na podstawie poprzednich zdarzeń. – W naszym przypadku takim kolejnym zdarzeniem będzie wyraz lub wyrazy logicznie ze sobą powiązane. Dla zobrazowania działania tego mechanizmu przyjmijmy, że nasze hasło brzmi: Wczorajjadlemsniadanie. Przestępca chcący je złamać będzie musiał odgadnąć, czy wczoraj jedliśmy śniadanie, obiad czy kolację. Jednak znając zasadę łańcuchów Markowa, możemy podejść do tworzenia hasła irracjonalnie: Wczorajjadlemmlotek. Taka konstrukcja utrudni przestępcom jego złamanie – wyjaśnia Blot.

GRZECHY INTERNAUTÓW

Nawet dobra teoria może jednak prowadzić do złych praktyk. Robert Grabowski z Orange Polska zwraca uwagę, że do niedawna w firmach i serwisach stosowano zasadę, iż hasło musi mieć co najmniej osiem znaków, zawierać wielkie i małe litery, cyfry i znaki specjalne. – Na pierwszy rzut oka wszystko wydaje się w porządku, bo przecież właśnie tak tworzone są losowe hasła (obecnie wprawdzie zazwyczaj dłuższe), ale jakie hasło układa internauta? Robert2000!, Katarzyna85@, Orange2014!. Firma każe zmieniać je co 30 dni? No to może Styczen2024!, Kwiecien2024! – wylicza Grabowski.

Popełniamy też inne błędy, które mogą nas słono kosztować.

Nikola Bochyńska z CyberDefence24.pl jako jeden z najczęstszych grzechów Polaków wymienia tworzenie prostych haseł typu admin1234. A takie proste i zbyt krótkie hasła łatwo złamać.

– Nieraz zajmuje to zaledwie kilka sekund lub minut, nawet jeśli do ataku wykorzystywany jest zwykły sprzęt komputerowy – mówi Iwona Prószyńska z NASK.

Piotr Zielaskiewicz, senior product manager w firmie Stormshield, zajmującej się ochroną sieci, uważa, że jednym z najczęstszych grzechów jest uniwersalność. – Dla własnej wygody spora część z nas decyduje się na ponowne użycie swojego hasła w innych serwisach. W takiej sytuacji atakujący, pozyskując tylko jedną kombinację login/hasło, uzyska dostęp do wielu, a w najgorszym przypadku wszystkich naszych kont w różnych serwisach – przestrzega. Jak dodaje, hasła, które wymyślamy, często są dla cyberprzestępców bardzo proste do złamania, zwłaszcza jeśli mogą korzystać z dostępnych publicznie informacji o nas lub gdy hasła te znajdują się już w różnorakich bazach danych.

Nikola Bochyńska zwraca uwagę na błąd polegający na zapisywaniu loginów i haseł do systemów w jednym pliku tekstowym. – To często wychodzi w momencie publikacji danych w ramach wycieków z firm, których zabezpieczenia systemów przełamano – stwierdza. Wspomina także o innych grzechach użytkowników, takich jak zapisywanie haseł w miejscu widocznym dla wszystkich, np. na karteczkach w biurze, czy o pozostawianiu laptopa bez blokady hasłem. Niebezpieczne jest również logowanie się do systemów bez sprawdzania ich autentyczności i podawanie danych po kliknięciu w link, który przekierowuje na fałszywą stronę logowania (phishing).

Piotr Konieczny z Niebezpiecznik.pl jako jeden z grzechów internautów wymienia również niewłączanie dodatkowych opcji bezpieczeństwa, takich jak uwierzytelnienie dwuskładnikowe, choć wiele serwisów oferuje taką możliwość.

Z kolei Łukasz Blot z Dagma Bezpieczeństwo IT zwraca uwagę, że cyberprzestępcy przeprowadzają skuteczne ataki, w ramach których potrafią już pozyskać jednorazowe kody z drugiego składnika uwierzytelniania. Najczęściej odbywa się to z wykorzystaniem strony logowania imitującej aplikację internetową, np. banku.

– Niestety naszą zgubą, a wodą na młyn przestępców, jest zaznaczanie opcji „zapamiętaj mnie” lub „nigdy nie wylogowuj”. Ten pozornie niewinny ptaszek otwiera kolejny wektor ataku dla cyberprzestępcy w postaci ciasteczek sesji. Dzięki nim nie jest potrzebna znajomość hasła ofiary ataku, a ciasteczko sesji można wykorzystać do zalogowania się do serwisu. Oczywiście pozyskanie go wymaga nieco więcej pracy, ale ataki pass-the-cookie są skutecznie realizowane – ostrzega Blot.

CO DWA UWIERZYTELNIENIA, TO NIE JEDNO

Na czym polega uwierzytelnianie dwuskładnikowe, o którym wspominają eksperci? Na stronie Cert.pl można przeczytać, że to sprawdzenie nas na podstawie czegoś, co znamy (hasło lub PIN), czegoś, co posiadamy (token sprzętowy, telefon, np. poprzez SMS, karta Smart Card) i czegoś, co jest naszą cechą (np. odcisk palca). Metoda uwierzytelnienia dwuskładnikowego to weryfikacja dwóch z trzech powyższych elementów.

– Dzięki dwuskładnikowemu uwierzytelnieniu możemy ochronić nasze konto nawet w przypadku, kiedy ktoś pozna nasze hasło w wyniku ataku phishingowego lub kradzieży bazy haseł z serwisu – podkreśla Piotr Konieczny z Niebezpiecznik.pl.

– Bez względu na to, czy zapisujemy hasła w telefonie czy komputerze, zawsze, gdzie to możliwe, korzystajmy z dodatkowego składnika uwierzytelniania – zaleca Robert Grabowski z Orange Polska.

Jak włączyć uwierzytelnianie w różnych serwisach, szczegółowo opisano na stronie Cert.pl.

DOBRE PRAKTYK

Iwona Prószyńska z NASK radzi przestrzegać prostej reguły: – Jedna usługa, jedno hasło, a hasło do danej usługi zmieniajmy tylko w przypadku podejrzenia, że mogło zostać ujawnione, np. podczas wycieku. Dodatkową nadrzędną regułą jest stosowanie weryfikacji dwuetapowej, szczególnie w przypadku najważniejszych usług czy serwisów, takich jak główna skrzynka poczty elektronicznej czy profile w mediach społecznościowych – podpowiada Prószyńska.

Również Michał Rosiak z Orange Polska doradza bezwzględnie uruchamiać uwierzytelnianie dwuskładnikowe, nawet jeśli wydaje się to kłopotliwe. – 2FA w formie SMS nie jest może idealne, ale bezdyskusyjnie lepsze niż brak uwierzytelniania dwuskładnikowego. Do najważniejszych serwisów używam klucza fizycznego, do pozostałych potwierdzania logowania na urządzeniu mobilnym lub w aplikacji generującej pseudolosowe kody, zmieniające się co 30 sekund, np. Authy.

Nikola Bochyńska z CyberDefence24.pl jako dobre praktyki wymienia też aktualizowanie oprogramowania, kiedy tylko pojawia się taka możliwość, a także korzystanie z oprogramowania antywirusowego.

– Warto również śledzić wycieki danych, bo może się okazać, że mimo iż byliśmy ostrożni, to nasze imię, nazwisko, numer telefonu czy mail pojawiły się w darknecie, w związku ze zhakowaniem firmy, z której usług online korzystaliśmy. Warto wtedy zmienić hasło, upewnić się, że stosujemy wszystkie możliwe zabezpieczenia i monitorować aktywność konta, czy nie doszło do podejrzanych działań, np. logowania z nieznanych urządzeń – radzi Bochyńska.

HASŁA BEZ HASEŁ

Czy w czasach tak wielu haseł przyszłością jest passwordless, czyli uwierzytelnianie bezskładnikowe?

Zdaniem Piotra Koniecznego z Niebezpiecznik.pl na razie nie zanosi się na to, abyśmy mogli całkiem zapomnieć o hasłach. – Branża próbuje wdrażać rozwiązania takie jak biometria twarzy, kciuka lub passkeys, ale zaletą zwykłych haseł jest to, że każdy rozumie zasadę ich działania, a ich obsługa wciąż jest najprostsza z punktu widzenia usługodawców – uważa Konieczny.

Iwona Prószyńska z NASK także uważa, że hasła pozostaną z nami jeszcze przez pewien czas. – Hasła to wciąż najpopularniejszy sposób zabezpieczenia swoich zasobów, ale wiele wskazuje na to, że epoka usług cyfrowych, których bezpieczeństwo bazuje na hasłach, stopniowo będzie przemijać. Nad rozwiązaniami bezhasłowymi pracują zarówno duże serwisy internetowe, jak i firmy oferujące programowe lub sprzętowe usługi, ułatwiające logowanie lub potwierdzające tożsamość użytkownika. Już obecnie rośnie też popularność kluczy U2F – rozwiązania, które jest bezpieczne zwłaszcza jako jeden ze składników weryfikacji dwuetapowej i nie wymaga tworzenia ani zapamiętywania haseł – mówi Prószyńska. Klucz wpina się do portu USB i dzięki niemu potwierdza się swoją tożsamość. Rozpoznaje on też strony podszywające się pod prawdziwe serwisy.

– Metoda logowania bez hasła jest bezpieczniejsza, ale trzeba jednocześnie pamiętać, że mechanizmy passwordless nie chronią nas w 100 proc. przed phishingiem – zauważa Łukasz Blot z Dagma Bezpieczeństwo IT. – Poza tym, zanim to rozwiązanie zostanie wdrożone na szerszą skalę, mogą pojawić się inne, lepsze metody – zaznacza.

Również Robert Grabowski z Orange Polska przyznaje, że świat bez haseł nie byłby wcale idealny. Wymagałby bowiem posiadania i pilnowania tokenów oraz ich duplikatu bezpieczeństwa.

TAK SIĘ CHRONIĄ EKSPERCI

Do co najmniej kilku usług mam własne wymyślone hasła, których nigdzie nie zapisuję. Przykładami takich haseł są te do bankowości elektronicznej, głównego konta pocztowego, służbowe hasło do Active Directory czy hasło do menedżera haseł. Lubię hasła typu passphrase, z jednej strony abstrakcyjne, z drugiej związane z czymś, co jest nam znane i pozwoli na jakieś skojarzenie. Przykład hasła tego typu: SiwyBocianZjadl2Dziki.

Korzystam z menedżera haseł, dzięki czemu muszę pamiętać tylko jedno skomplikowane hasło, które go odblokowuje. Dodatkowo dostęp do niego jest chroniony kluczem sprzętowym U2F, który mam przy sobie. Nawet w przypadku pozyskania mojej bazy przez osoby postronne jest ona dla nich bezużyteczna. Menedżer haseł to obecnie rozwiązanie najlepiej chroniące nas przed zagrożeniami w tym obszarze.

Do topowych serwisów mam indywidualne hasła, gromadzone w głowie. W większości przypadków jest trzon hasła, który znam tylko ja, obudowany elementem charakterystycznym dla danego serwisu. Tam, gdzie się da, stosuję passwordless, a w pozostałych przypadkach uwierzytelnianie dwuskładnikowe.

Postępujemy zgodnie z tym, co rekomendujemy innym użytkownikom usług cyfrowych. Eksperci NASK korzystają z menedżerów haseł i weryfikacji dwuetapowej, a także stosują hasła, które są unikatowe i odpowiednio skomplikowane. Być może częściej niż inne grupy społeczne używamy kluczy U2F – to bezpieczne i wygodne rozwiązanie, do którego zachęcamy każdego.

Korzystam z menedżera haseł, więc musiałem wymyślić tylko trzy hasła: do mojego konta użytkownika na smartfonie i laptopie oraz do menedżera haseł. O utratę dostępu do menedżera haseł się nie boję, bo wykonuję regularne kopie bezpieczeństwa swoich danych.

Używam menedżera haseł, dodatkowo każdemu rekomenduję uwierzytelnienie dwuskładnikowe – w każdym systemie, w którym to jest możliwe. Korzystam też z klucza bezpieczeństwa.

Michał Niedbalski