Hasła wyciekają – i to nie zawsze z winy użytkownika. Wycieki haseł zdarzają się regularnie, m.in.:

• 31 października doszło do wycieku danych z serwisu supergrosz.pl – przestępcy mogli zdobyć dane 10 tysięcy polskich użytkowników,
• 22 sierpnia sklep internetowy Botland.com.pl poinformował o możliwości wycieku haseł nieokreślonej liczby swoich użytkowników.

Na szczęście firmy nie przechowują naszych haseł tak, jak je zapisaliśmy (np. „Andrzej123”).  W bazie danych mają one postaci ciągu znaków, nazywanego hashem (np. $2y$10$HNDF7xK3EEy48kXQJFxTkOLwmul1P5y.kT4/KSR1iXRP3YZkm849e). Dzięki temu nawet po wykradzenia nie można go wprost użyć do zalogowania.

Proste hasła mogą jednak zostać złamane. Przykładowo, osoba, która chce włamać się na czyjeś konto, może generować hashe odpowiadające różnym popularnym hasłom. Jeśli uda jej się wygenerować w ten sposób taki sam hash, jaki wykradła, to wie, jakie hasło musi wpisać. Dlatego podczas tworzenia hasła warto pamiętać o dwóch zasadach.

#1 Hasło musi być długie

Długość hasła ma decydujący wpływ na tempo jego złamania metodą brute-force. Polega ona na wpisywaniu wszystkich możliwych kombinacji znaków aż do znalezienia właściwej. CERT Polska rekomenduje tworzenie haseł składających się przynajmniej z 14 znaków. 

Jednym ze sposobów tworzenia długiego i silnego hasła jest stosowanie tzw. haseł-zwrotów, czyli kombinacji słów i liczb łatwych do zapamiętania. Im bardziej losowa i nielogiczna będzie ta kombinacja, tym lepiej. Przykład: PiesUchoPrzezroczystaModryKwiat.

Czy wiedzieliście, że udostępniamy plakaty ilustrujące jak prosto tworzyć bezpieczne hasła? Teraz dostępne również w formacie A2! Zachęcamy do użycia jako materiały edukacyjne w firmie, drukowane bądź w waszym intranecie. Macie swój ulubiony? 😉 https://t.co/Bqj2hnF0Ej https://t.co/nG5fkjzYeW pic.twitter.com/RGUoZupkB6

— CERT Polska (@CERT_Polska) January 18, 2022

Tak stworzone hasło można dodatkowo wzmocnić dzięki zastosowaniu znaków specjalnych (!, @, #,  $). Co jednak ważne, trzeba je umieszczać w sposób całkowicie losowy. Zamiana liter na symbole (np. a → @) lub dodanie znaku specjalnego końcu (np. Demagog!) nie podnosi w znaczący sposób poziomu bezpieczeństwa hasła. Obecnie w rekomendacjach CERT nie ma zalecenia stosowania znaków specjalnych.

#2 Hasło musi być unikalne

Szczególnie należy unikać prostych, często powtarzanych haseł, takich jak imiona, nazwiska, imiona zwierząt, proste kombinacje liczb. Czyni to hasło podatne na ataki metodą słownikową, w ramach której cyberprzestępcy korzystają z list popularnych słów i haseł.

Lista pół miliona najczęściej używanych haseł Polaków, które wyciekły, jest prowadzona przez CERT Polska. W pierwszej dziesiątce znajdują się następujące kombinacje:

1. 123456
2. qwerty
3. 12345
4. 123456789
5. zaq12wsx
6. 1234
7. 12345678
8. polska
9. 111111
10. misiek

Dodatkowo hasło powinno być unikatowe dla każdej usługi, do której się logujemy. Gwarantuje to, że nawet gdy włamywacz zdobędzie login i hasło do jednej usługi, dostęp do innych pozostanie bezpieczny.

Jak zapamiętać hasło? O menedżerach haseł

W praktyce trudno zapamiętać kilka unikalnych haseł. Odpowiedzią na ten problem są menedżery haseł. To usługi pozwalające na zapisanie haseł w osobnym programie. Wtedy wystarczy zapamiętanie jednego hasła, umożliwiającego dostęp do wszystkich innych. 

Najlepszym rozwiązaniem są wersje w postaci wtyczek do przeglądarki, programów i aplikacji na telefon. Wersje wbudowane domyślnie w przeglądarkę zapewniają mniej skuteczną ochronę. 

Dodatkowo trzeba uważać na programy udające menedżery haseł, a w rzeczywistości służące do ich wykradania. Przed wyborem menedżera warto więc sprawdzić, co piszą o nim inne źródła, którym ufamy (np. 1, 2, 3).

Jak sprawdzić, czy twoje hasło wyciekło?

Istnieje wiele stron internetowych umożliwiających sprawdzenie, czy dane personalne, w tym hasła i maile, znalazły się wśród danych, które wyciekły. Zalecamy regularne sprawdzanie swoich danych na tego typu stronach, aby w porę zareagować na ewentualny wyciek zmianą hasła. 

Stroną najczęściej rekomendowaną (np. 1, 2, 3) jest haveibeenpwned.com, która bez opłaty oferuje sprawdzenie haseł oraz maili w bazie wycieków.

Tak wygląda strona główna serwisu „Have I Been Pwned”. Wystarczy wpisać swój adres e-mail, by sprawdzić, czy nie pojawił się on w którymś ze znanych wycieków danych. Źródło: haveibeenpwned.com.

Ministerstwo Cyfryzacji w 2023 roku uruchomiło stronę bezpiecznedane.gov.pl  która również umożliwia sprawdzenie, czy dane logowania zostały skompromitowane. Zawiera ona tylko wybrane wycieki – z tego powodu nie powinna być używana jako jedyne narzędzie służące sprawdzaniu swoich danych.

Projekt dofinansowany ze środków Korpusu Solidarności – Rządowego Programu Wspierania i Rozwoju Wolontariatu Systematycznego na lata 2018–2030.

Kontroluj polityków!

Patrz władzy na ręce i wspieraj niezależność.

Wpłacam