Bezpieczeństwo z G DATA: hasła

Zapewne każdy ma jakieś ulubione, na ogół łatwo zapadające w pamięć i stosunkowo proste hasło. Ciąg znaków, do którego przywykł przez lata użytkowania peceta, smartfona czy korzystania z określonej usługi. Posługuje się nim nagminnie, co najwyżej zmieniając jego elementy. Okazuje się, że to błąd – i to z kilku powodów.

Przez ostatnie lata technologia bardzo się rozwinęła, to nie ulega wątpliwości. Co za tym idzie zwiększyła się również moc obliczeniowa – niestety także ta dostępna dla ludzi, którzy, powiedzmy, zawodowo parają się uzyskiwaniem nieuprawnionego dostępu do cudzych danych. Pierwszą najważniejszą przeszkodę dla takich cyberprzestępców stanowi właśnie hasło. O tym, czy jest ono skuteczne, czy nie, świadczy przede wszystkim jego długość. Jakiś czas temu wystarczyło użyć ośmiu znaków. Niestety to już przeszłość. Ze względu na rzeczony postęp i dostępną większą moc obliczeniową musimy porzucić stare przyzwyczajenia. By dziś móc czuć się bezpiecznie, należy zastosować co najmniej 12 znaków – a niektórzy specjaliści mówią wręcz o hasłach 20-znakowych. Dopiero tak długie sprawią, że algorytmy specjalizujące się w ich „odgadywaniu” będą miały problem. To kwestia czysto matematyczna: im więcej znaków, tym więcej ich możliwych kombinacji.

Dobre hasło składa się z małych i wielkich liter, cyfr oraz znaków specjalnych, co znacząco zwiększa poziom trudności podczas jego łamania. Uwaga jednak: nie mogą one zostać zastosowane w sposób oczywisty. Aplikacje do „odgadywania” haseł używają bowiem słowników, które obejmują znane wyrazy, a także najczęściej występujące zmienne. Normą jest np. to, że wielką literę stawiamy na początku, cyfry zaś pojawiają się na końcu, podobnie zresztą jak znaki specjalne – unikajmy zatem tego rodzaju schematów. Podczas tworzenia hasła nie wolno również używać danych osobistych, jak data urodzenia, czy powszechnych, oczywistych ciągów znaków typu „12345” bądź „qwerty”. Każde takie „ułatwienie” obniża nasze bezpieczeństwo, bo hasło staje po prostu łatwiejsze do odgadnięcia.

Podsumowując: dobre hasło musi składać się z co najmniej 12 różnych znaków, całość zaś powinna być dobrana w sposób jak najbardziej przypadkowy.

Wydaje się proste? No cóż, problem robi się w momencie, gdy uświadomimy sobie, że powinniśmy stosować różne hasła do różnych usług. Jeśli wszędzie mamy to samo zabezpieczenie, to wyciek danych w jednym serwisie sprawia, że hakerzy, dysponując adresem mailowym lub loginem, uzyskują dostęp do wszystkich naszych sieciowych zakamarków. Warto w tym miejscu polecić strony haveibeenpwned.com oraz sec.hpi.de/ilc, gdzie wpisawszy swój email, możemy sprawdzić, czy nasze dane już nie hulają w sieci. Uwaga! Tego rodzaju strony NIGDY nie proszą o podawanie samych haseł w celu sprawdzenia bezpieczeństwa. Jeśli dana witryna wymaga wstukania hasła i loginu do jakiejś zewnętrznej usługi, nie rób tego pod żadnym pozorem – to zwyczajne wyłudzanie danych i w ten sposób serwujesz komuś swoje tajemnice jak na tacy.

Mamy zatem szereg bezpiecznych haseł… i problem z ich zapamiętaniem. Jak nie utonąć w gąszczu różnych danych do logowania? Najlepszym wyborem jest korzystanie z managera haseł. Najprostsza wersja tego rodzaju usługi to oczywiście zapamiętywanie wspomnianych kluczy dostępu w przeglądarce – nie jest to jednak tak bezpieczne, jak mogłoby się wydawać, choćby z uwagi na szkodliwe oprogramowanie wykradające dane logowania. O wiele lepiej używać narzędzi, które pozwalają zapisać stosowane przez nas hasła w zaszyfrowanym kontenerze, a następnie korzystać z nich w razie potrzeby, podając jedno tylko hasło główne. To bezpieczne rozwiązanie: żeby dobrać się do uwierzytelnień zgromadzonych w pamięci managera, najpierw trzeba dostać się do urządzenia, a potem zalogować się do samego kontenera. Kluczowe jest również to, że po wylogowaniu się z managera autouzupełnianie haseł zostanie wyłączone.

Na rynku istnieje spora liczba wartych uwagi managerów tego typu, a wśród nich znajduje się Password Manager. To system G DATA, który pozwala na zarządzanie hasłami do różnorodnych serwisów internetowych: od bankowości, poprzez email, po media społecznościowe. Można korzystać z niego w formie wtyczki przeglądarkowej. Wystarczy, że znasz hasło tylko do niego. Password Manager pozwala także na tworzenie zabezpieczonych kopii zapasowych w sposób automatyczny, w chmurze lub na dysku komputera. Inne warte uwagi programy to LastPass, 1Password czy KeePass.

Nie wolno zapominać również o uwierzytelnianiu dwuskładnikowym. To system autoryzacji, który oprócz loginu i hasła wymaga trzeciego, zewnętrznego składnika – jest to najczęściej kod, jaki dostajemy na maila, możemy też odczytywać go z dostarczonej wcześniej od określonego usługodawcy listy haseł jednorazowych lub z odpowiedniej zainstalowanej i skonfigurowanej aplikacji. Kod możemy odczytać także z fizycznego tokena – powiązanego z naszym kontem urządzenia, które generuje na żądanie tego rodzaju dodatkowe hasła. Niektóre kody przychodzą w postaci SMS-a – ta forma nie jest jednak do końca bezpieczna, wystarczy bowiem, że ktoś przejmie nasz numer telefonu, o co wbrew pozorom nie tak trudno, i w ten sposób dostanie się do naszych danych. To samo zresztą można powiedzieć o uwierzytelnianiu za pomocą maila – ktoś niepowołany uzyska dostęp do poczty i cóż, mamy problem.

Uwierzytelnianie dwuskładnikowe jednak tak czy inaczej znacząco podnosi poziom bezpieczeństwa: to opierająca się najczęściej na czasowo działających losowych kodach dodatkowa brama chroniąca nasze dane, dlatego warto jej używać niezależnie od innych zabezpieczeń. Oczywiście to również dodatkowy kłopot – naszym zdaniem jednak warto się z tym pogodzić, szczególnie w przypadku dostępu do głównego konta email (którego utrata równa się uzyskaniu przez niepowołaną osobę dostępu do wielu naszych innych usług – wystarczy bowiem zresetować kolejne hasła), bankowości, usług rządowych czy nawet kont w mediach społecznościowych, które często zawierają prywatne dane i zapisaną historię rozmów, o zdjęciach nawet nie wspominając.

Pamiętając o przytoczonych ogólnych zasadach tworzenia haseł i sposobach zabezpieczenia naszych kont, warto mieć jednak na uwadze również coś innego: idealne systemy nie istnieją. Zawsze gdzieś znajdzie się słabe ogniwo, a najczęściej jest nim… cóż, użytkownik. Nie zapominajmy zatem, aby po skończonej pracy lub rozrywce się wylogować, a komputer zabezpieczyć odpowiednim oprogramowaniem, które działając w tle, sprawi, że ryzyko wykradzenia naszych danych znacząco spadnie.

Jednym z takich pakietów jest zestaw oprogramowania G DATA, który możemy nabyć w trzech wariantach. Podstawowy to G DATA Antivirus chroniący m.in. przed wirusami, ransomware’em, phishingiem, spamem i aktywnie zabezpieczający przed wykorzystaniem exploitów w naszym systemie. W rozszerzonej wersji G DATA Internet Security dostajemy dodatkowo opcje związane z kontrolą rodzicielską i chroniący nasz system firewall, najbardziej rozbudowane G DATA Total Security zawiera zaś wszystkie wymienione wyżej części pakietu i uzupełnione jest o bezpieczny manager haseł, możliwość tworzenia automatycznych kopii zapasowych, mamy tu też dostęp do opcji związanych z diagnostyką i tuningiem naszej elektroniki, co przekłada się na zwiększenie wydajności i bezpieczeństwa. Więcej informacji znajdziecie na stronie gdata.pl.

Fotografie: Pexels, G DATA.

Artykuł powstał we współpracy z partnerem.