3 komentarze
Nawet najbardziej wyrafinowane systemy bezpieczeństwa tracą swą moc, gdy zawodzi zdrowy rozsądek. Dotyczy to nie tylko internetowych kont, ale także wszelkich wartościowych przedmiotów i nieruchomości. Dziś skupimy się na (nie)skuteczności niektórych haseł służących do logowania w serwisach transakcyjnych banków oraz na portalach społecznościowych, skrzynkach e-mail i innych profilach w sieci.
Z pomocą przyjdą nam eksperci NordPass, którzy od kilku lat publikują listę najczęściej łamanych haseł w danym roku. Jak łatwo się domyślić, im hasło cieszy się większą popularnością wśród użytkowników, tym większą szansę mają hakerzy na jego złamanie. Już na wstępie warto zaznaczyć, że większość zawartych na liście haseł powtarza się właściwie rok w rok.
Przed Wami najgorsze hasła do konta. Jeśli zależy Wam na bezpieczeństwie Waszych profili i kont we wszelakich serwisach – także transakcyjnych – z całą pewnością powinniście ich unikać.
Zdradliwe cyferki
W zestawieniu Top 200 Most Common Passwords niezmiennie królują hasła złożone z cyfr. Teoretycznie nie ma w nich niczego złego – wszak ułożenie cyfr w losowej kolejności może dać miliardy możliwych kombinacji. Problem w tym, że część osób zdradza w tym przypadku nadmierne przywiązanie do porządku, układając cyfry w sposób do bólu przewidywalny.
I tak od lat najczęściej łamanym hasłem jest po prostu „123456”. W ostatniej edycji miejsca w pierwszej dziesiątce zestawienia zajęły także „12345”, „12345678”, „123456789” i „1234567890”. Dla formalności dodajmy, że przyjęcie podobnego klucza jest równie nierozsądne w przypadku ustalania PIN-u do karty płatniczej – dlatego kombinacje w stylu „1234” z pewnością nie są wskazane, podobnie zresztą jak PIN-y złożone z tej samej cyfry powtórzonej czterokrotnie.
Lenistwo – główny grzech internautów
Gdyby oceniać kreatywność użytkowników sieci na podstawie haseł do ich kont i profili, to taka ocena byłaby w wielu przypadkach miażdżąca; no bo co myśleć o kimś, kto wpada na „oryginalny” pomysł i ustanawia hasło… „hasło”? Tymczasem „password” po raz kolejny znalazło się w czołówce zestawienia. Nieco niżej znalazły się tak banalne zwroty jak „login”, „secret” czy „kochamcie” (ang. „iloveyou”).
Lenistwo skłania internautów także do wyboru takich haseł, których wpisanie jest najmniej skomplikowane. Do tej kategorii zaliczymy m.in. „qwerty”, „1q2w3e4r" czy „aaaaaa”.
Jak widać, brak kreatywności w połączeniu z lenistwem jest – z punktu widzenia hakera – mieszanką wręcz idealną. Dlatego zanim zdecydujesz się na hasło w stylu „wpuscmnie” (ang. „letmein”), pamiętaj – takie samo życzenie powtarza w myślach haker, próbujący złamać Twoje „nieszablonowe” hasło do konta.
Oczywiste fakty z życia? Kiepski pomysł
Z rankingu wynika, że wielu internautów odczuwa pokusę przed oparciem hasła o fakty ze swojego życia. Problem w tym, że często dotyczą one tych jego aspektów, które są (lub mogą być) publicznie znane. Hobby, ulubiony zespół muzyczny czy film – w erze mediów społecznościowych zdobycie takich informacji nie jest żadnym problemem.
Nie inaczej jest w przypadku imion partnerów czy dzieci oraz ważnych dat, np. ślubu. Z oczywistych względów nie znajdziemy na liście najczęściej łamanych haseł takich wymysłów jak „julka2011” czy „aniaikrzys07”, ale fakt pozostaje faktem – ustawianie podobnego hasła to wyjątkowo kiepski pomysł.
Pamiętaj, by nigdy nie tworzyć ważnych haseł w oparciu o informacje, które upubliczniasz na Facebooku! To samo dotyczy zresztą każdego mniej lub bardziej istotnego faktu z życia, który jest znany komukolwiek oprócz Ciebie.
Wygoda dla użytkownika = wygoda dla hakera
Trudno znaleźć inne wytłumaczenie dla powyższych haseł dostępu niż wygoda użytkownika. Większość z nas posiada nie jedno, nie kilka, a co najmniej kilkanaście kont w różnych serwisach. Co prawda spora część z nich – jak np. profil na forum miłośników wędkarstwa – nie ma zbyt wielkiej wartości dla hakera. Inna sprawa, gdy chodzi o dostęp do elektronicznej korespondencji czy konta w banku.
Oczywistą rzeczą jest, że zapamiętanie wszystkich loginów i haseł, które służą nam do logowania w sieci, nie jest łatwe. Właśnie dlatego wielu z nas woli pójść na łatwiznę, stosując identyczne zabezpieczenia do wszystkich kont.
Co z hasłem do serwisu transakcyjnego banku?
W przypadku dostępu do bankowości internetowej czy mobilnej ustawienie skrajnie słabego hasła prawdopodobnie nie będzie możliwe. Jest tak dlatego, że banki mają w tej kwestii swoje zalecenia.
Pierwszą potencjalną przeszkodą dla hakera powinien być już sam login, który z pewnością nie będzie tutaj zwykłym adresem e-mail (w ten sposób możesz się zalogować chociażby na swoim profilu na Facebooku). Za login w bankowości elektronicznej jednego z banków może służyć np. losowy ciąg cyfr nadawany klientowi odgórnie, a innego – trzy pierwsze litery imienia i nazwiska wraz z ciągiem 4 cyfr.
Z kolei hasło do bankowości ustanawiamy rzecz jasna samodzielnie, choć nie mamy tu całkowitej dowolności. Najczęściej wymagana jest obecność w nim wielkich i małych liter oraz cyfr jednocześnie, co dość skutecznie chroni klientów przed nierozsądnym pójściem na skróty. Jednak nie do końca – zawsze pozostaje bowiem pokusa oparcia hasła chociażby o wspomniane fakty z życia. Pewne pole do popełniania błędów zatem istnieje.
Ochronę naszych środków – oprócz loginu i hasła - mają zapewnić kody autoryzacyjne, bez których nie przeprowadzimy transakcji (zwłaszcza na większe kwoty). Problem w tym, że coraz popularniejszą metodą autoryzacji jest np. zatwierdzenie operacji z poziomu aplikacji. Jedyne, co w takim przypadku musi zrobić haker, to… uzyskać dostęp do systemu bankowości mobilnej, czyli poznać nasz login i hasło; a więc wracamy do punktu wyjścia.
Jakie powinno być solidne hasło?
Skoro wytknęliśmy już brak odpowiedzialności tym, którzy nie traktują kwestii wyboru haseł do kont i profili w Internecie wystarczająco serio, warto przedstawić temat z drugiej strony – jak sprawić, by nasze hasło stanowiło jednak pewną przeszkodę dla hakera?
Najlepiej sprawdzają się hasła złożone jednocześnie z małych i wielkich liter, losowo ułożonych cyfr oraz znaków specjalnych, do tego w nieszablonowej konfiguracji. Takie kombinacje są dużo trudniejsze do złamania. Ich wadą jest natomiast trudność w zapamiętaniu dla użytkownika, no ale – jak to mówią – „coś za coś”.
Teoretycznie i na ten problem są sposoby, jednak nie wszystkim należy bezgranicznie ufać. Uważaj chociażby na oferowaną przez przeglądarki opcję zapamiętywania haseł. Wystarczy, że osoba niepowołana uzyska dostęp do Twojego komputera, a bezpieczeństwo informacji zapisanych na Twoich profilach w Internecie będzie zagrożone.
Dużo lepszym rozwiązaniem będzie skorzystanie z menedżera haseł, czyli specjalnego programu komputerowego. Są w nim zapisane wszystkie dane logowania, które posiadamy. Dostępu do nich chroni jedno mocne hasło i jest to jedyny ciąg znaków, który w tej sytuacji będziemy musieli zapamiętać.
Jeśli chcesz poznać więcej zasad związanych z bezpiecznym korzystaniem z hasła, zapraszamy do lektury tego tekstu. Opisaliśmy tam również sposób działania trzech przykładowych aplikacji do przechowywania haseł.
Hasła obecne w anty-rankingu NordPass to tylko najbardziej jaskrawe przykłady nierozsądnego wyboru hasła do kont w Internecie. Jeśli nawet Twoje hasło do bankowości internetowej czy skrzynki e-mail nie jest aż tak proste do odgadnięcia, to wciąż może być ono powodem problemów. Ważne, byś przy ustalaniu hasła i późniejszym z niego korzystaniu zachował zdrowy rozsądek i nie ułatwiał życia hakerom. Pamiętaj: hasło powinno być realnym zabezpieczeniem Twoich danych i pieniędzy, a nie wyłącznie jego iluzją!
Komentarze
(3)Czy ktoś może polecić dobrego menedżera haseł?
Odpowiedz
Ja używam kaspersky password manager z oprogramowaniem Total security
Odpowiedz
Ja mam KeePassa.
Odpowiedz