WordPress - motywy, wtyczki, informacje, programowanie

Admin, hasło

Jak wymyślić hasło, które jest łatwe i jednocześnie trudne?

Nie da się bezpiecznie korzystać z Internetu jeśli lekceważy się zasady dotyczące tworzenia haseł i podstawowe reguły związane z ich stosowaniem. Wiele osób popełnia w tej dziedzinie kardynalne błędy. Inni przesadzają stosując hasła, których nie sposób zapamiętać i efektywnie używać. Tymczasem dbanie o bezpieczeństwo wcale nie musi być udręką.

Pamiętasz zapewne włamanie na stronę premiera, podczas protestów przeciwko wprowadzeniu ACTA. Okazało się, że login i hasło do strony brzmiały odpowiednio admin i admin1. Dowodzi to skrajnego braku profesjonalizmu osoby, która odpowiadała za prowadzenie strony. Fakt, że nie ustawiła lepszego hasła nawet po rozpoczęciu protestów, kiedy stało się oczywiste, że strona jest przedmiotem ataków, to już brak profesjonalizmu do kwadratu.

Słyszałeś zapewne wiele razy, że trzeba ustawiać „dobre” lub „mocne” hasła, ale co to naprawdę znaczy i dlaczego to takie ważne.

Jak się łamie hasła

stop-actaWiększość włamań polegających na przejęciu hasła odbywa się tak zwaną metodą brute-force. W wolnym tłumaczeniu można tę metodę nazwać po polsku: „na chama”. Często atakowanych jest wiele tysięcy stron jednocześnie. Odpowiednie skrypty (automaty) próbują odgadnąć hasła, testując tysiące, a nawet miliony różnych kombinacji.

Zaczynają, na przykład, od użycia imion, nazw miast, słów które ludzie często używają w hasłach, takich jak admin, haslo, test, dupa, itp. Testują też typowe kombinacje, które łatwo wpisać z klawiatury, np. qwe, asd, zxc. 1234. Następnie próbują różnych zestawień tych słów z cyframi, na przykład: test123, qwe123, admin1 – no właśnie – admin1… Już wiesz dlaczego to takie żałosne.

Dalej taki automat może testować w podobny sposób wszystkie słowa z języka angielskiego, a jeśli serwis jest polski to z polskiego. Taki skrypt może także posługiwać się wiedzą na temat tego jakie hasła zwykle są wybierane przez ludzi, zebraną na podstawie innych włamań, albo wiedzą o użytkowniku na podstawie jego profilu, jeśli jest dostępny publicznie W jakimś momencie pozostaje już tylko sprawdzanie wszystkich kombinacji liter, cyfr i innych znaków. Jeśli jednak atak przeprowadzono na wiele tysięcy stron, albo kont, okazuje się, że już po najprostszych próbach (sprawdzeniu popularnych słów i imion) zostaje odgadniętych bardzo wiele haseł. Ludzie po prostu nie dbają o bezpieczeństwo.

Jeżeli strona na to pozwala taki automat może wykonywać dziesiątki tysięcy prób na minutę. Możemy zabezpieczyć się przed wielokrotnymi próbami z jednego adresu IP (w artykule gdzie podajemy podstawowe zasady bezpieczeństwa podane są przykłady wtyczek, które to realizują), ale nie jest to pewne zabezpieczenie, a jedynie utrudnienie. Włamywacz może dysponować dużą siecią komputerów, nad którymi przejął kontrolę (t.zw. botnetem) i wtedy może dokonywać prób z wielu różnych IP. Są też inne sposoby. Jeśli jednak zastosujemy blokadę na liczbę powtórzeń z jednego adresu, a do tego nasze hasło jest odpowiednio trudne do odgadnięcia, ustawiamy się bliżej końca kolejki potencjalnych ofiar włamania.

Nie opisaliśmy w ten sposób żadnego konkretnego programu do łamania haseł, tylko raczej ogólną zasadę ich działania, tak żeby była zrozumiała dla każdego, bo w ten sposób wskazujemy od razu zasady jak budować swoje hasło, żeby było trudne do złamania.

Złote zasady dotyczące hasła

  1. Nigdy nie używaj żadnych popularnych słów, imion, nazw, albo prostych kombinacji klawiszy, zwłaszcza słów, które można łatwo skojarzyć z Tobą
  2. Staraj się budować jak najdłuższe hasła. Aby złamać hasło czteroliterowe złożone z samych małych liter bez polskich znaków wystarczy średnio sprawdzić trochę ponad 200 tys. kombinacji kombinacji, aby złamać hasło 12 literowe średnio będziemy musieli wykonać aż 47714478330841088 prób.
  3. Używaj kilku grup znaków – np. małe litery i duże liter, albo małe litery, cyfry i znaki specjalne. Pięcioliterowe hasło złożone z samych małych liter to około 12 milionów kombinacji. Pięcioliterowe hasło złożone z małych liter, dużych liter i cyfr to prawie miliard kombinacji. Średnio połowę kombinacji trzeba sprawdzić żeby trafić.

Nie używaj też jednego hasła do wszystkich serwisów. Jeśli zostanie przejęte możesz stracić wszystko na raz, pocztę, GG, Skypa, pieniądze z banku, konta na Facebooku i cokolwiek jeszcze masz w sieci. Włamując się do jednej usługi, przestępca będzie miał na takerzu namiary na Twoją pocztę, a tam pewnie znajdzie wszystkie informację o innych usługach i bankach z jakich korzystasz. Wyobraź sobie taki scenariusz. Pomyśl, że komuś się to udało i występując jako Ty, może teraz robić dowolne rzeczy w Internecie, rozsyłać listy, obrażać ludzi, oszukiwać, kraść, a Ty nie masz niemal żadnej możliwości żeby na to zareagować. Pomyśl tylko. To prawdziwy koszmar.

W wielu miejscach w sieci można znaleźć porady, które każą losować hasła, i tak też działa wiele generatorów. Ja jednak uważam że to bardzo zły pomysł. Odradzam ustawienie jako hasło kombinacji w rodzaju  Dh^6%23Gj89Hg#6H^kep)x, których nie da się w żaden sposób zapamiętać. Skończy się tak, że będziesz je zapisywał w plikach na pulpicie albo na karteczkach przyklejonych do monitora, czyli całe bezpieczeństwo diabli wezmą. Trudność i nieżyciowość takich zaleceń sprawiają właśnie że ludzie się do nich nie stosują. Nie wymyślaj też setek różnych haseł do różnych usług, bo również nie będziesz w stanie ich zapamiętać.

Jak więc pogodzić te na pozór sprzeczne wymagania?

Do czego mogą się przydać wierszyki?

Metoda, którą zdecydowanie polecam to wymyślenie sobie sposobu (przepisu, algorytmu) na budowanie własnych haseł. Wyobraź sobie na przykład, że budujesz swoje hasła układając kolejno pierwsze litery pamiętanych wierszyków. Dla rymowanki: „wlazł kotek na płotek i mruga” wychodzi z Twojej reguły:

wknpim

Trochę za proste. Dodajmy jeszcze, że będziesz je zapisywał na zmianę małymi i dużymi literami:

wKnPiM

Znacznie lepiej, to znacznie więcej możliwych kombinacji, ale to tylko dwie grupy znaków, no i jednak tylko sześć liter. Wprowadźmy trzecią grupę znaków, czyli cyfry. Na przykład, na końcu hasła dodajmy liczbę 45. Dlaczego 45? Dlatego, że to numer Twojego buta. Im głupszy pomysł będziesz miał w tym miejscu tym lepiej, bo łatwiej zapadnie Ci w pamięć. To dużo lepszy pomysł niż na przykład użycie roku urodzenia, który jest pewnie znany wielu osobom, widoczny czasem w Twoich profilach społecznościowych i dla łamacza haseł oczywisty. Otrzymaliśmy:

wKnPiM45

To hasło jest już naprawdę dobre i do tego dalej łatwo się go wpisuje. Ale nie komplikując wiele możemy dodać  jeszcze znaki specjalne… na przykład weźmy całość w nawiasy i dajmy na końcu wykrzyknik.

(wKnPiM45)!

Takie hasło jest naprawdę mocne. Choć reguła jego tworzenia jest prosta, samo hasło jest bardzo trudne do odgadnięcia, jeśli nikomu tej reguły nie zdradzisz.

Potrzebujesz inne? Bierzemy początek Pana Tadeusz „Litwo! Ojczyzno moja! Ty jesteś jak zdrowie”:

(lOmTjJz45)!

Wystarczy teraz, że będziesz miał kilka takich wierszyków. To mogą być pierwsze wersy piosenek, albo nawet pieśni kościelnych. Jeśli przyzwyczaisz się do systemu, możesz go z czasem zmodyfikować, np. zamiast używania wszędzie liczby 45, wymyślić kilka takich liczb i używać w zależności od miejsca. Zamiast używania zawsze nawiasów i wykrzyknika, tez łatwo możesz wymyślić cos innego. Tylko nie komplikuj za bardzo. Pamiętaj – nawet jeśli Twoje hasło gdzieś wypłynie, nikt przecież nie zna Twojej tajemniczej reguły.

Oczywiście to tylko jeden z fajnych systemów na tworzenie haseł. Innym przykładem może być taki, w którym za podstawę używasz dość oczywistych słów lub powiedzonek, ale masz swój sprytny sposób na ich zniekształcanie. Ważne żeby tak przepis na hasło nie był taki skomplikowany, że potem każde zalogowanie się będzie wymagało wyciągnięcia kartki papieru i kalkulatora.

Nie musisz tworzyć innego hasła do każdej strony czy usługi. Utwórz kilka i porozdzielaj tak, żeby nie używać tego samego do podobnych usług (na przykład do wszystkich banków). Chroń też hasła do swojej poczty. Czasami przy pomocy emaila możesz się rejestrować w miejscach nie do końca zaufanych. Zasada jest prosta: jeśli rejestrujesz się gdziekolwiek i podajesz tam swój email NIE WOLNO Ci użyć w tym miejscu takiego samego hasła jakie masz ustawione do poczty.

Mając kilka takich haseł jesteś z jednej strony bezpieczny, z drugiej strony nawet jeśli zapomnisz, które hasło masz ustawione do danej usługi, łatwo możesz spróbować wszystkie po kolei. No i najważniejsze – hasła są mocne, ale zawsze możesz je odtworzyć więc nie musisz ich nigdzie zapisywać.

Warto stworzyć też jedno łatwe do wpisywania hasło i jedno śmieciowe konto mailowe do logowania się w miejscach gdzie nie zależy Ci na bezpieczeństwie. Bardzo często zdarza się, że chcesz się gdzieś zalogować, żeby po prostu sprawdzić co robi dany serwis, albo na jakieś forum, żeby poszukać informacji, ale wiesz od razu, że nie będziesz na stałe z tego serwisu korzystał. Czasem rzecz jest tak błaha, że szkoda sobie zawracać głowy bezpieczeństwem. W takich miejscach używaj do logowania jakiegoś specjalnie do tego użytego maila (z czasem będziesz na niego dostawał tony spamu) oraz jakiegoś prostego, łatwego do wpisywania hasła. To bardzo ułatwia życie, no i nie rozsiewasz swoich poważnych haseł po dużej liczbie przypadkowych stron.

UWAGA: Nie korzystaj bezpośrednio z przykładów haseł i przepisu na tej stronie. Zaadaptuj ten algorytm lub wymyśl swój i stwórz swoje własne hasła. Ta metoda działa jeśli nikt nie zna twojego algorytmu, jeśli wszyscy będą używać tego samego, jej bezpieczeństwo wyraźnie spada. Ponieważ metoda ta jest dość popularna, raczej staraj się nie używać oczywistych, bardzo popularnych wierszyków i powiedzonek (takich jak użyty w naszym przykładzie wierszyk o kotku 🙂 )

Powiadomimy Cię o nowych artykułach

Komentarzy: 3

  1. Sam piszesz że im dłuższe to lepsze to czemu nie proponujesz hasła „wlazlkoteknaplotekimruga”, albo „wlazl4koteknaplotek3imruga”? Masz w ten sposób silne hasło i chyba łatwe do zapamiętania.

    • @bot
      Właśnie o to chodzi, że propozycja twojego hasła jest łatwa do złamania bo zawiera popularne słowa.

  2. Sia hasla lezy w jego nietypowosci, nieszablonowasci, niepowtarzalnosci, a dopiero potem dlugosci. Dlatego ten artykul zawiera wrecz ksiazkowa, ale zarazem bardzo dobra metode tworzenia hasel.