Jak bezpieczne jest Twoje hasło? Podstawowe wskazówki dotyczące zwiększania bezpieczeństwa hasła

Ile czasu minęło od kiedy próbowałeś ostatni raz zalogować się do swojego konta, tylko po to by uświadomić sobie, że zapomniałeś hasła? Zanim skończysz je resetować pewnie zdążysz zapomnieć co robiłeś.

Wymyślanie, resetowanie, zapamiętywanie i zarządzanie hasłami, kodami PIN i pytaniami pomocniczymi może być wycieńczające. Czasami można pomyśleć, że hasła istnieją tylko po ty by utrudniać nam życie. Dzisiaj wraz z ekspertami ds. cyberbezpieczeństwa firmy Bitdefender poruszymy temat bezpieczeństwa haseł. Zobaczmy najpierw, dlaczego hasła są tak fundamentalne dla naszej prywatności w sieci:

„

Ponad 60% znanych wycieków (jeśli nie więcej) w przeciągu ostatnich pięciu lat miało miejsce tylko z powodu używania tego samego hasła w wielu różnych miejscach. Hackerzy, którzy pozyskali hasło dla jednego konta następnie testowali je na innych kontach i niestety pasowała ono do innych kont.„

Alex “Jay” Balan (Director of Security Research, Bitdefender)

Dlaczego bezpieczeństwo haseł jest takie ważne?

Hasła chronią Twoje dane, środki i poufne dane przed nieautoryzowanym dostępem. Są one kluczami do „sejfów”, które przechowują Twoje dane w cyfrowym świecie i jedną z głównych warstw chroniących Twoją aktywność w sieci. Te narzędzie jest wykorzystywane od bardzo dawna i nawet dzisiaj pozostaje jednym z głównych mechanizmów uwierzytelniających w systemach wymagających potwierdzenia tożsamości. Kombinacja loginu i hasła jest jedną z najbardziej rozpowszechnionych metod zabezpieczania danych i służy nam od wczesnych lat 60, kiedy to została wprowadzona. W ostatnich latach jednak hasła stały się problemem dla większości internautów, dodając do ich cyfrowego śladu. W tych czasach każdy użytkownik Internetu musi „żonglować” dziesiątkami, jeżeli nie setkami haseł, a że są one tak często wykorzystywane, może to sprawić, że zlekceważysz rolę jaką pełnią w ochronie Twoich danych przed ujawnieniem w sieci.

Każde hasło, które uda się zdobyć cyberprzestępcom tworzy coraz więcej zagrożeń dla Twojego bezpieczeństwa. Co prawda organizacje mają wdrożone solidne protokoły bezpieczeństwa, ale będą Cię one chronić tylko jeżeli będziesz korzystać z silnych haseł dla swoich kont. Hacker lub oszust może pozyskać dostęp do Twoich oszukując system, tak aby myślał on, że to Ty próbujesz się do niego zalogować.

Na szczęście niektóre systemy potrafią wykrywać podejrzane aktywności, oznaczając zachowania różniące się od Twojej typowej aktywności, takie jak: większa liczba prób logowań, logowanie z innego kraju i inne.

Czy hasło jest uważane jako jednoznacznie identyfikujące dane (PII)?

Zdecydowanie tak, hasło tak jak Twoje imię i nazwisko, PESEL, prawo jazdy, konto w banku lub dane karty kredytowej jest jednym z głównych typów danych pozwalających Cię zidentyfikować.

„

Tak, jak najbardziej! Według prawa hasło stanowi cześć danych umożlwiających jednoznaczną identyfikację, ponieważ używasz go weryfikacji w usługach.”

Bogdan Botezatu (Director of Threat Research and Reporting, Bitdefender)

Oznacza to, że Twoje hasła są chronione przez regulacje prawne takie jak Ogólne rozporządzenie o ochronie danych (RODO) w Europie i California Online Privacy Protection Act (OPPA) of 2003 w Stanach Zjednoczonych.

Techniki wykorzystywane do łamania haseł

Przyjrzyjmy się pięciu najpopularniejszym technikom używanym podczas łamania haseł oraz temu jakie podatności wykorzystują:

Atak Brute-force

Cyberprzestępcy często „karmią” hasłami z wycieków zautomatyzowane systemy, które sprawdzają wszystkie możliwe kombinacje, dopóki nie uda im się dopasować hasła. Szkody wynikające ze złamania hasła są proporcjonalne wielkością do tego na ilu różnych platformach ofiara korzystała z tego hasła. Istnieje wiele różnych wariacji tej techniki, a jedną z nich jest password spraying, gdzie atakujący próbuje dopasować hasło do wielu różnych kont jednocześnie, tak aby nie zablokować sobie dostępu.

Atak słownikowy

Ten atak wykorzystuje zarówno często używane hasła, kombinacje słów jak i wszystkich słów ze słownika (a czasami nawet ze słowników kilku języków), tak aby zgadnąć poświadczenia ofiary. Ludzie często używają znanych ich słów, co sprawia, że tego typu ataki są bardzo efektywne.

Rainbow table attack

Ten atak wykorzystuje dane pozyskane już przez cyberprzestępców. Przechowują oni rekordy z hasłami i odpowiadające im hashe, aby je potem zdekodować i złamać zaszyfrowane hasła z użyciem tych danych.

Phishing

Po co łamać hasło jak można kogoś przekonać by je nam podał? Cyberprzestępcy tworzą fałszywe strony i pod różnymi pretekstami próbują nakłonić ludzi, aby się na nich zalogowali. Atakujący widzi wpisywane dane, które mogą potem natychmiast wykorzystać do swoich celów.

Inżynieria społeczna

Cyberprzestępcy próbują zdobyć hasła podszywając się pod zaufaną nam osobę – przełożonego, współpracownika, przyjaciela a nawet członka rodziny.

„Jedna karta graficzna ma wystarczająco mocy obliczeniowej by przetestować miliony kombinacji haseł na sekundę. Cyberprzestępcy wykorzystują również gotowe techniki mające na celu wygenerować hasła, które mogą mieć związek z czyjąś tożsamością. Wprowadzają oni do programu wskazówki takie jak imię ofiary, miasto, imię psa lub inne dostępne publicznie informacje, który następnie generuje dziesiątki tysięcy potencjalnych haseł na podstawie tych danych. „
Alex “Jay” Balan (Director of Security Research, Bitdefender)

Co możesz zrobić, jeżeli wycieknie Twoje hasło?

Wycieki danych ciągle mają miejsce i mają wpływ na praktycznie wszystkich. W przypadku wycieków warto pamiętać o popularnym stwierdzeniu „W Internecie nic nie znika”.

Możesz podjąć kilak działań by zminimalizować zagrożenia związane z potencjalnym wyciekiem danych:

• Włącz uwierzytelnianie dwuskładnikowe – Nawet jeżeli komuś uda się pozyskać Twoje dane do logowania, to drugi składnik logowania może skutecznie powstrzymać hackera przed nieautoryzowanym dostępem do Twojego konta.
• Zacznij korzystać z menedżera haseł –Wieloplatformowe menedżery haseł, takie jak Bitdefender Password Manager pozwolą Ci na bezpieczne przechowywanie i generowanie silnych haseł, których nie da się tak łatwo złamać.

Długość hasła i jego skomplikowanie pełnią kluczową rolę

Nikogo raczej nie zdziwi, jeżeli napiszemy, że hasła typu „haslo123” są natychmiastowo łamane. A co z hasłami typu ‘vqcV#Ru4UgWe^!4Qpz4Q*N4PzswCoWiubvV’ losowo generowanymi przez menedżery haseł? Złamanie takiej kombinacji wymaga ogromnej mocy obliczeniowej i wielu lat. Możesz zapytać: Jak ja mam zapamiętać coś takiego? Odpowiedź brzmi – nie musisz. Zrobi to za Ciebie menedżer haseł, jedyne co musisz zapamiętać to swoje główne hasło, które służy jako klucz do Twojego sejfu. Menedżer haseł będzie zapisywał i automatycznie uzupełniał dane na stronach oraz sprawdzi siłę Twoich haseł i zaoferuje porady jak je wzmocnić.

Wskazówki jak utworzyć naprawdę silne hasło

Na najbardziej bezpieczne hasło składają się trzy elementy:

• Ponad 30 znaków
• Kombinacja cyfr, małych i wielkich liter oraz symboli
• Jest naprawdę losowe (wygenerowane przez zaufany menedżer haseł)

Pamiętaj, że jeżeli hasło jest łatwe to zapamiętania to i najczęściej jest łatwe do złamania.

„Używamy haseł od ponad 40 lat i wszyscy wiemy, że to przestarzała technologia. Nie zestarzały się dobrze. Jeżeli nadal chcemy się prywatnością i zachować kontrolę nad naszymi kontami musimy zwiększać stopień skomplikowania haseł. Doszliśmy do momentu, w którym, jeżeli nie chcesz by Twoje hasło zostało złamane, to zapamiętywanie go nie ma już sensu. Jedyna sensowna metoda to przechowywanie ich w menedżerach haseł. „
Bogdan Botezatu (Director of Threat Research and Reporting, Bitdefender)

Czy menedżery haseł są bezpieczne? Sprawdźmy to

Tak jak każde inne narzędzia przeznaczone do ochrony, wszystko zależy od firmy zajmującej się rozwijaniem produktu. Menedżer haseł jest tak godny zaufany jak tworząca go firma. Godna zaufania firma będzie miała potwierdzenie z wielu różnych niezależnych źródeł. Niezależne testy przeprowadzane przez uznane na rynku podmioty, obszerna baza wiedzy, historia sprawnych reakcji na incydenty – te czynniki pokazują, że firma jest godna zaufania.

„W czasach, gdy hasła zyskiwały na popularności były one przechowywane w zwykłym tekście. Oznacza to, że baza danych porównywała dane wprowadzone w formularzu logowania i jeżeli się zgadzały, to użytkownik był przepuszczany. Wielką wadą tego rozwiązania było to, że ktokolwiek miał dostęp do bazy danych miał też dostęp do wszystkich danych logowania. Problem ten został rozwiązany przez hashowanie. Ten jednostronny mechanizm oznacza zamianę hasła w „odcisk palca”. Tego „odcisku” nie da się odwrócić do postaci hasła – przynajmniej w teorii – chyba, że techniką brute force uzyskasz taki sam hash po drugiej stronie. „
Bogdan Botezatu (Director of Threat Research and Reporting, Bitdefender)

Czy warto korzystać z menedżerów haseł?

Korzystanie z usług do zarządzania hasłami niesie za sobą kilka korzyści:

• Nie musisz zapamiętywać haseł, z wyjątkiem swojego głównego hasła.
• Menedżer haseł jest w stanie wygenerować dłuższe i bardziej skomplikowane hasło niż będziesz w stanie zrobić to samemu.
• Oszczędność czasu związana z automatycznym uzupełnianiem poświadczeń.

A co z przechowywaniem haseł w przeglądarkach?

Jeżeli pomaga Ci to w tworzeniu silniejszych i bardziej złożonych, to lepsze to niż nic. Nie masz jednak takiej samej wygody i gwarancji bezpieczeństwa jak podczas korzystania z dedykowanego menedżera haseł, oto kilka powodów.

Po pierwsze, brak mobilności. Jeżeli chcesz skorzystać z haseł przechowywanych w przeglądarce, musisz je skopiować i wkleić do innych aplikacji.

Po drugie, musisz utworzyć konto, aby mieć dostęp do haseł na wszystkich urządzeniach.

Kolejnym argumentem przeciwko przechowywaniu haseł w przeglądarkach jest, że bardzo często są one celami ataków.

„Przeglądarki są częstym celem atakiem celów cyberprzestępców, dlatego też wdrażają najlepsze protokoły gwarantujące bezpieczeństwo danych” Moim zdaniem przeglądarkowe menedżery haseł to lepsze rozwiązanie niż zapisywanie haseł na kartkach lub zapamiętywanie ich, ale nadal nie tak dobre jest dedykowany menedżer haseł.”
Bogdan Botezatu (Director of Threat Research and Reporting, Bitdefender)

Internet nie prędko stanie się środowiskiem pozbawionym haseł, ale do tego czasu możesz podejmować działania na podstawie porad ekspertów.

Źródło: https://www.bitdefender.com/cyberpedia/how-secure-is-your-password/