Jak zarządzać hasłami?

W poprzednim wpisie wspomniałem, iż zarządzanie hasłami jest krytyczne z punktu widzenia naszego bezpieczeństwa w sieci. Dzisiaj trochę sobie temat rozwiniemy.

Pierwszym i najważniejszym elementem każdej polityki haseł, czy to firmowej, czy domowej, jest absolutny zakaz wykorzystywania tych samych haseł wielokrotnie. Do zilustrowania problemu posłużę się chyba najgłośniejszym przykładem w polskim internecie ostatnich lat. W roku 2019 sklep Morele[.]net przyznał, że z ich baz wyciekły dane około 2,5 miliona klientów, w tym dane osobowe, teleadresowe i hasze haseł. Co to oznaczało w praktyce? A no to, że przestępcy mieli dostęp do wszystkich adresów rozliczeniowych i adresów dostaw, numerów telefonów, adresów mailowych i mogli przy pomocy analizy porównawczej „rozkodować” hasła. Można to zrobić za darmo w internecie, bez wiedzy specjalistycznej – kiedyś jeszcze się na ten temat rozwinę. Niewesoło, co? Ale to jeszcze nie koniec. Jak podał portal Have I Been Pwned, 42% tych danych już wcześniej pojawiło się w ich bazie. Oznacza to, że już co najmniej raz musiały skądś wyciec.

Wyobraźmy sobie scenariusz, w którym mamy to samo hasło do logowania w rzeczonym sklepie internetowym, banku i na komputerze. W takiej sytuacji utrata oszczędności, chociaż dotkliwa, nie jest największym problemem. Jeśli przestępca ma dostęp do wszystkich naszych danych identyfikacyjnych, włącznie z informacjami bankowymi, to kto go powstrzyma przed wzięciem na nas kilku kredytów w instytucjach parabankowych?

No dobrze, to jak zarządzać hasłami, żeby tak się nie stało?

To, co napisałem na początku. Jedno konto – jedno hasło. Ale pamiętajmy też, że hasło musi spełniać swoje zadanie. Trzeba mieć świadomość, że w sieci dostępne są bazy danych najpopularniejszych haseł i programy, które te bazy przeczesują w trakcie włamań do systemów. Niektóre systemy operacyjne mają takie „udogodnienia” preinstalowane od samego początku. Więc posługiwanie się hasłami typu „hasło123” czy „qwerty123” to w zasadzie to samo, co wyłączenie hasła w ogóle.

Jak stworzyć silne hasło? Są dwie szkoły – łowicka i otwocka. Jedną z nich są rekomendacje NASK odnośnie tworzenia własnych haseł.

Drugą, moim zdaniem nieco mniej wymagającą od użytkownika jest właśnie korzystanie z menedżera haseł. Wybór należy do Was – czy zdecydujecie się na taki wbudowany w przeglądarkę, czy działający jako oddzielny program, płatny czy bezpłatny. To są kwestie drugorzędne. Najważniejsze jest to, aby był w stanie wygenerować silne, niepowtarzalne, losowe (no, pseudolosowe, o tym też kiedyś opowiem) hasło.

Przy wykorzystaniu takiego rozwiązania musicie pamiętać tylko jedno hasło – właśnie to do menedżera, albo zgoła żadnego. Menedżery wbudowane w przeglądarki internetowe przecież automatycznie zaczytują Wam dane logowania, kiedy znajdziecie się na odpowiedniej stronie. Co jest moim zdaniem olbrzymią zaletą – jeśli znajdziecie się na stronie podszywającej się pod jakąś inną, hasło Wam się po prostu nie wczyta. To od razu powinno zwrócić Waszą uwagę! Według mnie jest to najprostsze do wdrożenia rozwiązanie, a przede wszystkim jest bezpłatne. Potencjalnie być może najmniej bezpieczne, ponieważ Wasze hasła nie są chronione żadnym dodatkowym zabezpieczeniem. Ale umówmy się, że jeśli ktoś uzyska nieautoryzowany dostęp do Waszego komputera, to mleko i tak się już rozlało.

Zarządzanie hasłami – o czym jeszcze warto pamiętać?

Nie zostawiajcie danych logowania na widoku – nieważne, czy to kartka na biurku, czy plik tekstowy na komputerze. Jeśli dane nie są zaszyfrowane, to prędzej czy później ktoś je sobie weźmie.

Pamiętajcie o wylogowywaniu się z urządzeń lub co najmniej blokowaniu ich, kiedy odchodzicie od komputera. Szczególnie w miejscu pracy! Osobie, która chce przejąć Wasze dane, czasem wystarczy Wasza przerwa na papierosa. Więcej czasu nie trzeba.

Zadbajcie nie tylko o hasła do kont, ale i do urządzeń w Waszych sieciach domowych i firmowych – routerów, drukarek, kamer przemysłowych, lodówek, mikrofalówek. Serio, AGD też. Na pewno jeszcze będę szerzej o tym opowiadał, ale zwykle producenci sprzętu IoT (Internetu Rzeczy) nadają standardowe hasła swoim urządzeniom. Hasła te są powszechnie znane, a przejęcie jednego słabo zabezpieczonego urządzenia w sieci jest bardzo często dla przestępców wytrychem do przejęcia całej sieci.

Zarządzanie hasłami nie jest trudne. Wystarczy pamiętać o kilku podstawowych regułach, a znacznie zminimalizujemy ryzyko utraty danych.