Dobre hasło to podstawa bezpieczeństwa w internecie. Słabe hasło to proszenie się o kłopoty. I najnowszy ranking NordPass pokazuje, że wciąż miliony użytkowników się o nie proszą.
Używanie słabego, łatwego do odgadnięcia hasła, można przyrównać do zamykania mieszkania na zasuwkę zamiast korzystania z zamka na klucz. Niby jest zamknięte, ale sforsowanie takiego zabezpieczenia jest niezwykle proste, a liczenie na to, że złodziejowi nie będzie się chciało sprawdzać, jest w najlepszym wypadku naiwne. Tymczasem okazuje się, że nic się nie zmienia i wciąż nierzadko korzystamy z bardzo słabych haseł.
Najgorsze hasła 2023. Nie zmienia się nic
Firma NordPass co roku przedstawia ranking najgorszych haseł. To zestawienie najczęściej powtarzających się haseł spośród tych, które trafiły w niepowołane ręce. Pierwszą dziesiątkę w 2023 r. tworzą:
- 123456
- admin
- 12345678
- 123456789
- 1234
- 12345
- password
- 123
- Aa123456
- 1234567890
Ranking jest globalny i w Polsce pewnie hasło „password” nie należy do szczególnie popularnych. Nawet ważniejsza niż same ciągi znaków jest tutaj jednak pewna tendencja. Wprowadzanie logicznie następujących po sobie znaków (na przykład kolejnych cyfr albo liter tworzących prawdziwe słowa) jest proszeniem się o kłopoty, a widać, że to właśnie takie hasła dominują.
Jakie powinno być dobre hasło? Jak je stworzyć?
A zatem jakie powinno być dobre hasło? Oto siedem ważnych zasad:
- Po pierwsze: unikalne (nie stosuj tego samego hasła w dwóch różnych miejscach)
- Po drugie: długie (najlepiej, gdy hasło ma min. 15 znaków – im dłuższe, tym trudniejsze do złamania)
- Po trzecie: oryginalne (dobrze, gdy hasło nie jest pojedynczym wyrazem słownikowym)
- Po czwarte: zróżnicowane (warto stosować małe i duże litery oraz cyfry i znaki specjalne)
- Po piąte: nieosobiste (hasło nie powinno zawierać osobistych informacji, takich jak imiona czy daty)
- Po szóste: łatwe do zapamiętania, ale też…
- Po siódme: trudne do odgadnięcia
Ile czasu potrzeba, by złamać hasło?
Ciekawostką jest to, że NordPass podaje, ile czasu potrzeba na złamanie poszczególnych haseł z rankingu. Na wszystkie te, które znajdują się w pierwszej dziesiątce, nie potrzeba nawet jednej sekundy. Warto przy tym zaznaczyć, że na jedenastym miejscu znalazło się hasło UNKNOWN, które może i nie jest szczególnie wyszukane, ale i tak wydłuża czas łamania do 17 minut.
Aby złamać Eliska81 (miejsce 40.) potrzeba 3 godz., a na admintelecom (54. miejsce) – już 23 dni. W tym drugim przykładzie wyraźnie widać większą liczbę znaków oraz brak pojedynczego wyrazu słownikowego. Jeszcze bardziej wydłużając to hasło i dodając inne znaki można by wydłużyć ten czas na tyle, by stało się ono praktycznie niemożliwe do złamania.
Nie tylko hasło. Nie bądź jak Donald Tusk i zadbaj też o bezpieczny kod PIN
Na telefonach – i nie tylko na nich – rolę haseł często przejmują kody PIN. Te także powinny reprezentować odpowiednio wysoki poziom. Podczas listopadowych obrad sejmu RP dużym echem odbiło się nagranie z Donaldem Tuskiem w roli głównej. Widzimy na nim jak lider Koalicji Obywatelskiej odblokowuje telefon kodem „555555”. Może i jest to szybka metoda, ale na pewno nie jest bezpieczna. Kiepskie hasło Tuska opisywane było w serwisie dobreprogramy.pl.
Kod PIN powinien być bardziej skomplikowany. Najlepiej zaś w ogóle zastąpić go inną metodę weryfikacji. Telefony coraz częściej umożliwiają potwierdzanie tożsamości poprzez odcisk palca lub skan twarzy – tego typu zabezpieczenia są zdecydowanie mocniejsze.
Uwierzytelnianie dwuskładnikowe – jeszcze lepszy pomysł
Wracając zaś do haseł – bardzo dobrym pomysłem jest stosowanie weryfikacji dwuetapowej. Polega ona na tym, że po wpisaniu hasła trzeba jeszcze uwierzytelnić się w inny sposób. To może być przepisanie jednorazowego kodu przesłanego SMS-em lub e-mailem albo skorzystanie z fizycznego klucza U2F – urządzenia przypominającego pendrive, a znacząco poprawiającego prywatność.
Źródło: TechSpot, NordPass, inf. własna
Komentarze
12Nie wierzę w to że takie korporacje jak Google MS i inni o tym nie wiedzą. Dla nich po prostu jest na rękę wciskanie ciemnocie takich teoriiwzamian za zbieranie dodatkowych danych o osobie jak numery telefonów dodatkowe adresy e-mail dane osobiste i wszystkiego co się da ciemnocie wcisnąć pod pretekstem że to dla waszego dobra.
A benchmark grzecznie propaguje dalej tą religie.
Pizdancja i cyfry znaki
Może być kaszanka bo się dobrze kojarzy
Aj ludzie a potem ofiara bo ukradli.
Za nieodpowiednie zabezpieczenie wartości materialnych też jest paragraf
Tak tak, lata mijają a religia haseł pozostaje niezmienna. Dalej wszyscy wierzą że winne są hasła a nie źle zaprojektowane mechanizmy logowania. Z matematycznego punktu widzenia i dla mnie też hasło 123 jest tak samo trudne do odgadnięcia jak $;'?_7!3hdyJdu()83-&_$. Pod warunkiem że usługa logowania nie ogranicza i nie wymusza długości hasła, używania danych znaków i innych reguł. To ustalone z góry reguły ułatwiają odgadnięcie hasła a nie hasło samo w sobie. Następnym stosowanym powszechnie ułatwieniem jest nie blokowanie ilości błędnych prób w czasie co powinno to być automatycznie uzależnione od złożoności hasła. Dla hasła 123 ilość błędnych prób można pn. ograniczyć do 1 w ciągu kwartału a dla mocniejszych haseł odpowiednio mniej np. 10 prób na 10min.
Poziom restrykcji można matematycznie ustalić aby osiągnąć żądany poziom trudności.
Czy na prawdę wszyscy jesteśmy tacy naiwni aby powtarzać te brednie że to hasła są złe a nie ludzie programujący usługi wymagające ograniczenia dostępu?
Nie wierzę w to że takie korporacje jak Google, MS i inni o tym nie wiedzą. Dla nich jest na rękę utrzymywanie przy życiu takich teorii bo w zamian mogą zabierać dodatkowe dane takie jak numery telefonów dodatkowe adresy e-mail dodatkowe dane osobiste i wszystko co się da wcisnąć lemingom pod pretekstem że to dla waszego dobra i bezpieczeństwa.
Dlatego 4-cyfrowy pin na karcie kredytowej jest wystarczający.
Zdecydowane NIE dla długich idiotycznych haseł. Niech firma zabezpieczy swoją bazę danych a nie utrudnia życie użytkownikom.