Zasady tworzenia i bezpiecznego korzystania z hasła do konta bankowego

Justyna Kalicińska
Justyna Kalicińska
Analityk produktów finansowych
Justyna Kalicińska
Justyna Kalicińska
Analityk produktów finansowych

98 publikacji 761 komentarzy

W serwisie Moneteo zajmuje się ofertą oszczędnościową, dla przedsiębiorców oraz dla dzieci i młodzieży. Odpowiada za weryfikację i aktualność danych. Analizuje bankowe regulaminy, dokumenty oraz przepisy prawne związane z podatkami i sprawami finansowymi.


13 komentarzy
Zasady tworzenia i bezpiecznego korzystania z hasła do konta bankowego
Spis treści

Hasło powinno być maksymalnie "silne", aby należycie spełniać swoją funkcję. Im więcej wysiłku trzeba włożyć w jego złamanie, tym lepiej. Oczywiście nigdy nie osiągniemy pełni bezpieczeństwa: zdeterminowany haker i tak może osiągnąć swój cel i włamać się na nasze konta. Przestrzeganie przez nas podstawowych zasad bezpieczeństwa sprawi jednak, że cyberatak zajmie hakerowi bardzo dużo czasu i będzie dla niego bardziej ryzykowny – to zaś daje szansę na wykrycie w porę prób przestępstwa.

Niemniej w zdecydowanej większości przypadków cyberprzestępca nie musi się nawet starać – niektórzy z nas podają mu swoje dane na tacy. Jeżeli posiadasz hasło, którego złamanie jest nie tylko proste, ale które ze sporym prawdopodobieństwem posiada niemała część ludzkości – to tak naprawdę nie masz żadnego hasła. Zasada ta dotyczy nie tylko logowania do banku, ale także wszystkich innych serwisów internetowych, w których autoryzacja odbywa się przy użyciu hasła.

Nie korzystaj z popularnych haseł

Ponieważ najczęściej posiadamy kilka kont wymagających podawania kodu dostępu (rachunek bankowy, poczta internetowa, e-sklep, portale społecznościowe itp.), zazwyczaj wybieramy najprostszą drogę do wymyślenia co raz to nowego hasła. Spora część z nas przy tworzeniu hasła wybiera więc ciąg liter (lub cyfr), które łatwo będzie nam samym zapamiętać – a właściwie w ogóle nie trzeba ich pamiętać, gdyż wpisuje się je odruchowo. I z takich właśnie naszych nawyków korzystają cyberprzestępcy.

Statystycznie można przyjąć, że niemal połowa z nas korzysta gdzieś z hasła, które mieści się w stosunkowo niewielkiej grupie podobnych do siebie kodów. Do najpopularniejszych należą m.in.:

  • 123456 – I miejsce nie jest chyba dla nikogo zaskoczeniem. Ponieważ większość serwisów żąda wprowadzenia przynajmniej 6-cyfrowego hasła, niektórzy wpisują najprawdopodobniej nawet nie to, co pierwsze przyjdzie im do głowy, ale pierwsze, co zobaczą na swojej klawiaturze. Fakt, jest to wygodne, nawet jeżeli jakimś cudem zapomnimy hasła, łatwo możemy je „odkryć”, choćby przez przypadek. Wystarczy zastosować kilka prostych kombinacji (na zasadzie: „miało być 5, 6 czy 7 cyfr?”). Niestety, hakerowi to „odkrycie” przyjdzie równie łatwo;
  • password – czyli nasze polskie „hasło”. Od lat należy do liderów wśród kodów dostępu. Łatwe do wpisania, równie łatwe do złamania;
  • 12345678 – bardziej „zaawansowana”, bo 8-znakowa wersja hasła;
  • qwerty – brzmi choć trochę skomplikowanie? To teraz zerknijcie na klawiaturę;
  • 12345 – „uboższa” wersja kodu.

Wśród bardziej „zaawansowanych” kodów dostępu są m.in.:

  • abc123;
  • zaq12wsx (w różnych wersjach, wpisywane od dołu, od góry, czasami w trudniejszej wersji: zaq1xsw2).

Listę najpopularniejszych haseł znajdziesz m.in. tutaj.

W Polsce do najpopularniejszych haseł (poza wcześniej wspomnianymi) należą m.in.:

  • polska (pisana małą literą, jak wszystkie zresztą z wymienionych do tej pory);
  • matrix;
  • imiona, np. Damian;
  • i nieco przekleństw...

Pamiętaj: jeżeli posługujesz się którymś z popularnych haseł lub podobnym, zmień je jak najszybciej, ponieważ narażasz swoje pieniądze i dane na duże niebezpieczeństwo!

Nie używaj haseł, które łatwo jest złamać

Jeśli nie znajdujesz się w gronie wielbicieli czołówki najpopularniejszych kodów dostępu i nie używasz żadnego z powyższych, zastanów się dobrze, czy na pewno Twoje hasło do bankowości internetowej stanowi dużo większe wyzwanie dla cyberprzestępcy. Banki często wymuszają na nas wymyślenie bardziej skomplikowanego kodu dostępu, z dużymi literami, cyframi, znakami specjalnymi, jednak wielu z nas ułatwia sobie zadanie zapamiętania ich i tworzy kod według wzoru: Dużalitera11! - a więc duża litera na początku, wymagane cyfry i znaki specjalne na końcu. Z tej naszej słabostki zdają sobie sprawę hakerzy, a ta wiedza bardzo ułatwia im pracę.

Czasami też trudno rozstać się nam z hasłami, w których stworzenie włożyliśmy pewien wysiłek albo które mają dla nas jakiś wymiar emocjonalny, jak np. data urodzin, imiona dzieci itp. Unikaj ich - pamiętaj, hasło to nasz „ochroniarz”: ma on chronić Twój dobytek i nie należy się z nim wiązać emocjonalnie.

Pamiętaj: utrudnij dane przestępcom i nie korzystaj z prostych szablonów haseł. Nie używaj także kodów, które w dobie Internetu łatwo jest pozyskać - np. daty swoich urodzin, imion dzieci czy miejsca zamieszkania.

Nie udostępniaj swoich kodów dostępu

Pierwsza porada może wydawać się banalna, ale jest „z życia wzięta”: nigdy nie udostępniaj swoich haseł ani tym bardziej listy kodów jednorazowych osobom trzecim. Jeżeli musisz zapisać swoje hasło (a – nie ukrywajmy – bardziej skomplikowane hasła są w większości bardzo trudne do zapamiętania), trzymaj tę informację ukrytą. Wyjątkową nieprzezornością wykazał się np. pewien przedsiębiorca, które wszystkie niezbędne mu na co dzień hasła do bankowości elektronicznej umieścił na tablicy korkowej nad komputerem w swoim gabinecie. Odwiedzający go pracownicy czy kontrahenci mogli nie tylko podpatrzeć kody dostępu, ale równie dobrze szybko zrobić zdjęcie całej tablicy telefonem. Wbrew pozorom taka nierozważność nie jest szczególnie odosobnionym przypadkiem.

Uważaj na próby wyłudzenia

Żaden bank nigdy nie prosi o podanie hasła, loginu czy kodów jednorazowych w e-mailu lub przez telefon ani w jakiejkolwiek sytuacji awaryjnej, ani tym bardziej przy „promocji”, „okazji”, „nagrodzie” itp. Trudno sobie nawet wyobrazić taką sytuację, gdy rzekomo coś się dzieje w banku, a jego pracownicy nie mogą zareagować bez otrzymania od Ciebie hasła – podejrzane, prawda?

Nie odpowiadaj także na wszelkie wezwania do pilnego uregulowania rzekomego długu, debetu, wyjaśnienia niejasności na koncie i o wszystkich tego rodzaju informacjach powiadamiaj czym prędzej swój bank. Niech Cię nie zwiedzie pozorny „dramatyzm” takich alarmów; cyberprzestępcy wiedzą, że gdy działamy pod presją, mniej zwracamy uwagę na podejrzane szczegóły. Jedyne miejsce, gdzie możesz podać swoje hasło, to strona logowania do Twojego konta (z pewnością nie będzie to w żadnym wypadku infolinia banku). Twoje hasło jest Twoją własnością i tylko Ty powinieneś je znać.

Więcej o tego typu wyłudzeniach piszemy w pierwszej części cyklu, o zabezpieczaniu konta bankowego.

Ważne! Jeżeli przytrafi Ci się włamanie do domu, zawsze jak najszybciej, najlepiej zaraz po przyjeździe policji, zablokuj swoje konta i powiadom o zdarzeniu swój bank. Nigdy nie masz pewności, czy złodzieje nie skopiowali Twoich haseł i nie użyją ich do oczyszczenia Twojego konta – nawet jeżeli komputer wydaje się być nietknięty. Dlatego zawsze po takim wydarzeniu należy zmienić hasła.

Zasady tworzenia bezpiecznych haseł

Podstawowym kryterium tworzenia hasła powinna być jego „siła”. Wszystkie podane wcześniej przykłady były hasłami słabymi (a niektóre można wręcz nazwać otwartą furtką).

  1. Umieszczaj w haśle zarówno cyfry, litery, jak i znaki specjalne.
  2. Używaj i dużych, i małych liter (może niekoniecznie w układzie: duża litera zaczyna).
  3. Podmieniaj niektóre litery czy cyfry na znaki specjalne i ułóż znaki w haśle w taki sposób, aby nie było prosto je odczytać, np.: lU3l&n podane hasło to swobodny zapis nazwy pewnego polskiego miasta.
  4. Im więcej znaków w haśle zastosujesz, tym lepiej. Minimalna liczba powinna wynosić 8, ale zdecydowanie najlepiej jest, gdy hasło ma min. 14-15 znaków. Każde hasło można ostatecznie złamać metodą brute force. Metoda ta polega na sukcesywnej weryfikacji wszystkich możliwych kombinacji, z jakich składa się hasło, ale duża liczba znaków w kodzie dostępu może uczynić to zadanie praktycznie niewykonalnym. Dla porównania, czas potrzebny hakerowi na złamanie hasła składającego się z 6 znaków to najwyżej kilka minut; jeżeli jednak zwiększymy liczbę znaków do kilkudziesięciu, wtedy czas ten może liczyć się w życiu kilku pokoleń.
  5. Nie stosuj ciągów liter tworzących popularne nazwy oraz wyrazów, takich jak imiona, nazwy własne itp.: (mariola1989 nie jest kodem trudnym do odgadnięcia).
  6. Skorzystaj z przypadkowych słów, jakie przyjdą Ci do głowy. Wbrew pozorom coś zupełnie absurdalnego i niepowiązanego ze sobą łatwo jest zapamiętać.
  7. Zrezygnuj z cyfr dość „oczywistych”, czyli nawiązujących do daty urodzenia – taką informację haker może łatwo uzyskać choćby z Facebooka. Przy haśle opartym na dacie urodzenia dwie cyfry będą występować powszechnie: 1 i 9, de facto więc ich zastosowanie nie jest większą ochroną.
  8. Nie bój się używać jak najbardziej różnorodnych znaków. Duże litery są odczytywane przez system i stanowią dodatkowe utrudnienie dla kogoś, kto chce się włamać na Twoje konto. Warto się również upewnić, czy przy logowaniu możesz używać polskiego alfabetu – jeżeli tak, to dobrze jest sięgnąć po polskie ą, ę, ż, ź, ś itd.
  9. Pamiętaj, że do każdego konta, nie tylko bankowego, powinieneś mieć zupełnie inne hasło. Twoje konto na popularnym portalu nie jest chronione w takim samym stopniu, co konto bankowe, i jeżeli hakerowi uda się ustalić do niego kod dostępu, bez większego trudu odkryje także hasło do rachunku bankowego.

Jak zapamiętać trudne hasło?

Jeśli obawiasz się, że będziesz mieć problem z przypomnieniem sobie (kilku) skomplikowanych haseł, możesz skorzystać z technik ułatwiających zapamiętywanie. Jest ich sporo i są naprawdę przydatne.

  1. Lubisz szczególnie jakieś powiedzenie lub cytat? Weź pierwsze litery każdego ze słów, np. „Gdyby kózka nie skakała, to by nóżki nie złamała” można zapisać jako: gknstbnnz.
    • W takim haśle możesz również użyć dużych liter, np. wszystkie „z” (gkZstbnnZ).
  2. Sięgnij po jedną z ulubionych książek lub filmów i wykorzystaj ich tytuły – usuń z nich wszystkie samogłoski i dodaj rok wydania, ekranizacji lub premiery. Dla przykładu: Dom dzienny, dom nocny → dmdznndmncn1998, Przeminęło z wiatrem → przmnlzwtrm1936-1939 (data wydania powieści i ekranizacji – dodatkowe utrudnienie). Tutaj również możesz zastosować duże litery oraz znaki specjalne, np.: dMdznN,dMncn-1998 itp.
    • Staraj się jednak unikać „oczywistych oczywistości”: jeżeli jesteś zadeklarowanym fanem Gwiezdnych wojen i nawet w pracy na biurku trzymasz kubek z Darthem Vaderem, lepiej sięgnij po inne dzieła popkultury, które zapadły Ci w pamięć.
  3. Użyj krótszego słowa wielokrotnie: kubekwkubeknakubku3 (postaraj się jednak, aby ten wyraz zawierał więcej różnych znaków).
  4. Pozmieniaj litery na cyfry lub znaki specjalne, które te litery przypominają, np. kR0peLk@$kLe1.

Wskazówka: przy tworzeniu hasła należy zwrócić uwagę, aby nie było ono ani za krótkie, ani za długie. Niektóre banki mogą nie pozwalać na wpisywanie haseł dłuższych niż np. 30 znaków. Warto również zorientować się, czy system banku uwzględnia polskie znaki; jeżeli nie, trzeba z nich zrezygnować, choć niewątpliwie są one dodatkowym utrudnieniem dla przestępcy.

Zasady używania hasła do konta bankowego w Internecie

Skupmy się teraz na stronach logowania, na których musimy podać nasze hasło. Pierwsza i podstawowa zasada przy logowaniu do rachunku bankowego brzmi: zawsze sprawdzaj, czy przy adresie internetowym widnieje symbol kłódki, a adres internetowy banku poprzedza protokół https://. „S” oznacza w tym wypadku szyfrowanie.

Poniżej prezentujemy, gdzie i jak wyświetlane są te informacje w najpopularniejszych przeglądarkach na przykładzie logowania do serwisu transakcyjnego ING Banku Śląskiego.

Logowanie do bankowości internetowej w przeglądarce Chrome
Logowanie do bankowości internetowej w przeglądarce Chrome

Logowanie do bankowości internetowej w przeglądarce Firefox
Logowanie do bankowości internetowej w przeglądarce Firefox

Logowanie do bankowości internetowej w przeglądarce Edge
Logowanie do bankowości internetowej w przeglądarce Edge

Kłódka i https:// są warunkami koniecznymi przy bezpiecznym logowaniu i nie ma odstępstw od reguły: żadnej awarii systemu, chwilowej aktualizacji, „przebudowy strony” itp. Jeżeli cokolwiek wzbudzi Twoją wątpliwość, jak np.:

  • bardzo długi czas logowania,
  • brak kłódki oraz zapisu https://,
  • nieco zmieniona strona logowania,
  • niezgadzający się certyfikat na stronie banku,
  • prośby na stronie o podanie danych osobowych,
  • dodatkowe pola z żądaniem hasła do autoryzacji,
  • niecodzienny komunikat, prośba, ostrzeżenie, nowy wymóg (banki niestety same nieco utrudniają nam to zadanie, ponieważ niektóre z nich wyświetlają nam po zalogowaniu... reklamy, z których trzeba dopiero przejść do panelu własnego konta),
  • rzekomy błąd przy wpisywaniu hasła i polecenie wpisania innych znaków w okienkach, niż te, których właśnie użyłeś,

...przerwij logowanie, wyjdź z przeglądarki i jak najszybciej powiadom o tym zdarzeniu swój bank. Nawet jeżeli Twoje obawy okażą się na wyrost, lepiej wyjść na nieco przewrażliwionego niż stracić swoje pieniądze, które później będzie naprawdę trudno odzyskać.

Uwaga! Jedna z popularnych przeglądarek – Opera – nie wyświetla przy adresie protokołu https://. Można to zmienić w zaawansowanych ustawieniach przeglądarki, wybierając odpowiednią opcję. Natomiast bez tej zmiany dopiero po kliknięciu na kłódkę pojawia się komunikat, że połączenie jest potwierdzone i bezpieczne. Twórcy przeglądarki zrezygnowali z informowania o protokole ze względu na przejrzystość adresu w oknie przeglądarki. Brak tej informacji nie oznacza, że strona banku, na którą wchodzimy, nie jest szyfrowana (o szyfrowaniu świadczy również kłódka), niemniej, jeśli strona rzeczywiście NIE BĘDZIE szyfrowana, łatwiej to w Operze przeoczyć.

Programy do przechowywania haseł

Gdy posiadamy konta w różnych bankach, kilka kont poczty e-mail, konto na Facebooku, Twitterze i na Allegro, zapamiętanie loginów i haseł do nich wszystkich staje się w zasadzie niewykonalne. Mimo to nie ulegajmy pokusie korzystania z tych samych loginów i haseł w przypadku każdego konta – odkrycie jednego hasła naraża nas na utratę danych, pieniędzy, wprowadzenie treści, których byśmy sobie nie życzyli itp. na wszystkich kontach i profilach, z jakich korzystamy. 

Nie najlepszym rozwiązaniem jest również zapamiętywanie haseł przez przeglądarki. Po pierwsze, nie wiemy, jakiej jakości zabezpieczenia zostały w nich zastosowane i jak często są one aktualizowane. Po drugie, jeżeli ktoś uzyska dostęp do naszego komputera, będzie się mógł bez problemu zalogować na naszych kontach. Zdecydowanie odradzamy stosowanie takiego rozwiązania w pracy, w komputerze, który do nas nie należy (nawet u znajomych czy rodziny).

Z pomocą w tej sytuacji przychodzą nam programy komputerowe zwane menedżerami haseł. Do najpopularniejszych aplikacji tego rodzaju należą KeePass,  TeamPassword, Dashlane, Keeper, 1Password, Password Manager Pro czy LastPass. Zdecydowana większość z nich jest płatna, ale niektóre oferują także darmowe wersje podstawowe.

Działanie każdego menedżera haseł jest podobne: tworzymy w nim bazę naszych haseł, a dostęp do niej zabezpieczamy jednym, silnym kodem dostępu. Kod ten znamy wyłącznie my, nie jest on zapisywany ani w programie, ani przesyłany do chmury, więc jeżeli go zapomnimy, nigdy nie dostaniemy się do naszej bazy. Z drugiej strony, musimy pamiętać tylko jedno, główne hasło, co jest niewątpliwym ułatwieniem. Podane przez nas informacje są każdorazowo szyfrowane i zabezpieczone głównym hasłem jeszcze przed wysłaniem ich do sieci. Każdy menedżer haseł oferuje możliwość sprawdzenia siły naszego kodu.

Menedżer potrafi sam zapisać w bazie danych hasła, dzięki którym zalogowaliśmy się na naszych kontach bankowych, poczty czy na portalu społecznościowym; po umieszczeniu kodu dostępu w bazie integruje się z przeglądarką i automatycznie wypełnia hasło po podaniu przez nas hasła głównego do naszej bazy. Co ważne, nie ma limitu liczby zapisywanych haseł.

Interesującą funkcją menedżerów jest generowanie silnego hasła, które możemy później wybrać np. do logowania na koncie bankowym. Taki maksymalnie skomplikowany kod dostępu zostaje zapisany w programie i jest automatycznie używany na tej stronie, na której po raz pierwszy go użyłeś. Menedżer haseł najczęściej współpracuje ze wszystkimi dostępnymi przeglądarkami i synchronizuje hasła ze wszystkimi urządzeniami, np. komputer ze smartfonem (w różnych przeglądarkach i dla różnych systemów operacyjnych).

Jeżeli zainstalujesz któryś z tych programów, pamiętaj o usunięciu swoich haseł z przeglądarek – w przeciwnym wypadku nadal będą z nich korzystały. Warto się również zastanowić, czy na pewno chcemy, aby kod dostępu do naszych kont bankowych był zapisany w chmurze; w przypadku innych haseł menedżer jest przydatnym rozwiązaniem.

Podsumowanie: bezpieczne hasło w 6 krokach

Na koniec przypomnijmy podstawowe zasady dotyczące haseł do kont bankowych:

  1. Nie używaj haseł „oczywistych”: swojego imienia, daty urodzenia czy nazwy miejscowości.
  2. Staraj się możliwie maksymalnie skomplikować swoje hasło (litery, cyfry, znaki specjalne, duże i małe litery), stosuj przypadkowe wyrazy i nie ograniczaj się do ledwie 8 znaków.
  3. Nie stosuj takich samych lub podobnych haseł do różnych kont i profili.
  4. Nigdy nie podawaj swojego hasła bankowego w sytuacji innej niż logowanie się do konta.
  5. Nie udostępniaj swoich haseł osobom postronnym (dotyczy także podawania hasła na urządzeniach dostępnych publicznie, np. w kafejce internetowej).
  6. Zmieniaj swoje hasła regularnie.

Stosowanie się do powyższych zasad zwiększy szansę uniknięcia przykrych niespodzianek w rodzaju kradzieży środków z konta, wykradzenia korespondencji czy włamania się na profil na portalu społecznościowym. Pamiętaj, że Twoje bezpieczeństwo w ogromnym stopniu zależy od Ciebie.

Oceń artykuł
4.3
(6 ocen)
Aby oddać głos, wskaż odpowiednią liczbę gwiazdek.
Dziękujemy za Twój głos Dziękujemy za Twój głos