W świecie komputerów wszystko się zmienia. Ciągle trzeba się dostosowywać do nieustająco rozwijającej się technologii. Nie inaczej jest w przypadku porad dotyczących tworzenia haseł.

Sami pisaliśmy wcześniej różne poradniki, które w tym tekście zrewidujemy pod kątem najnowszej wiedzy. Odnosimy wrażenie, że nowe zasady spodobają się wam dużo bardziej od poprzednich.

Wszystko co zmieniło się w polityce haseł:

1.Prowodyr zmian

Na początku warto wspomnieć, że dyskusję o zmianach w ogólno przyjętych prawidłach rozpoczął rząd Stanów Zjednoczonych wydający oficjalny dokument w tej sprawie. Co ciekawe, wiele z tych porad jest naprawdę cennych.

Wiele specjalistów postanowiło jednak przetestować te reguły w praktyce i po blisko roku wiemy już, które z nich są warte wprowadzenia do kanonu polityki bezpieczeństwa haseł.

2.Hasła powinny być przyjazne dla użytkowników

Powtarzaliśmy jak mantrę, że należy tworzyć hasła o minimum 8 znakach, tak by składały się z co najmniej jednej małej i dużej litery, cyfry i znaku specjalnego. Pamiętacie? Okazało się, że to nie najlepszy pomysł, gdyż większość osób idzie na łatwiznę, bo i tak ma problemy z zapamiętywaniem trudnych haseł.

Qwerty1! wcale nie jest dużo trudniejsze do złamania niż samo qwerty. Dlatego polityka haseł powinna być jak najbardziej przyjazna, tak by zachęcała do tworzenia długich haseł, łatwych do zapamiętania przez samych je tworzących. Idea polega na tym, żeby słowa nie miały ze sobą dużo wspólnego. Chociażby czekoladaHeroesOfMightAndMagic3ForrestGumpJaponiaWhiskyKilkenny. No to już wiecie co lubię, a konia z rzędem temu co złamie to hasło. Jednakże dobrze, aby słowa nie pochodziły z jednej kategorii, a były jak najmniej ze sobą powiązane.

3.To co z tą długością?

Najnowsze badania wskazują, że hasło ośmioznakowe jest zwyczajnie za krótkie. Z roku na rok też będzie co raz łatwiej łamać krótkie hasła. Także już teraz zalecamy by hasło dla zwykłego użytkownika miało minimum 12 znaków, a hasło administratora minimum 14 znaków. Powyższe hasło ma 63 znaki, całkiem nieźle!

Warto też zacząć myśleć o tym, by hasło nie składało się z jednego słowa (w dowolnej konfiguracji), a wielu słów, najlepiej nie tworzących logicznego ciągu. Cytaty z filmów czy książek nie są zatem dobrym źródłem inspiracji. Można spróbować wymieszać ulubionego piłkarza z najczęściej słuchaną kapelą, do tego dorzucić najsmaczniejsze jedzenie na świecie i okrasić to wszystko nazwiskiem panieńskim mamy. Kategorii jest nieskończenie wiele.

4.Słowniki złych słów i wyrażeń

Najnowsze podejście daje możliwość by użytkownik tworzył hasła w oparciu o słowa łatwe dla niego do zapamiętania. To do czego powinien mieć dostęp, to słownik słów, których wykorzystywać nie powinien.  Nie wszystkie słowa czy zwroty nadają się do tego by tworzyć z nich hasła. Na przykład password, qwerty czy 123456. Dlatego osoby odpowiedzialne za bezpieczeństwo powinny zapewnić taki słownik, żeby ułatwić tworzenie haseł. Jeśli zatem wspomniana wyżej mama miała na nazwisko Kowalska, to lepiej zrezygnować z tego słowa. Co innego, gdy kapela, której słuchamy nazywa się Nick Cave & The Bad Seeds – to aż 20 znaków!

5.Przypomnienie haseł za pomocą pytania z wiedzy

Kojarzycie te pytania podczas tworzenia konta o imię pierwszego zwierzaka albo nazwę szkoły, do której chodziliście? Kiedyś to był świetny pomysł. Dzisiaj, w dobie portali społecznościowych bardzo często osoby postronne mają dostęp do takich danych. Sami im to po prostu mówimy. W związku z tym odradza się korzystanie z tego zabezpieczenia. Dużo lepszym rozwiązaniem jest dwustopniowa weryfikacja, o której poniżej.

6.Dwustopniowa weryfikacja

Mówiliśmy o tym, od jakiegoś czasu i namawialiśmy was, żebyście aktywowali ją, gdzie tylko możecie, w tym także na Facebooku. Obecnie jest to jedna z najlepiej wpływających na poprawę bezpieczeństwa opcji, jakie są dostępne.

Za pomocą kodu wysłanego w wiadomości SMS bądź w aplikacji na smartfonie podajcie drugie, losowo generowane, czasowo ograniczone hasło. Tam, gdzie dostępna jest dwustopniowa weryfikacja dopuszcza się w ogólności tworzenie krótszych haseł.

7.Ograniczenie ilości nieprawidłowych logowań

Zaleca się by administrator systemu ustawił limit takich logowań do 100 w ciągu 30 dni. Myślimy, że można się pokusić o zmniejszenie tej liczby nawet o połowę. Chyba nikt z was nie zapomina hasła 50 razy w miesiącu? Takie działanie ma na celu wyłapanie zagrożenia w postaci łamania hasła metodą bruteforce, ale też innych, które polegają na jego zgadywaniu.

8.Czasowe wymuszanie zmiany haseł

Jak już wielokrotnie pisaliśmy, gdy macie do czynienia z danymi osobowymi nie ma innej opcji niż zmiana hasła co 30 dni. W pozostałych przypadkach wcześniej sygnalizowaliśmy, że hasło jednak warto zmieniać trochę rzadziej, bo co pół roku. To ostatnie zalecenie pozostaje w mocy.

Jeśli rzadziej dochodzi do zmiany bardziej się przykładamy przy tworzeniu hasła i powstaje z tego coś lepszego. Niektórzy specjaliści mówią o zmianie hasła raz do roku, chyba, że istnieje podejrzenie zagrożenia bezpieczeństwa. Na przykład, gdy któryś z komputerów w sieci zostanie zawirusowany.

9.Przechowywanie haseł

Gorąco odradzamy zapamiętywanie haseł w przeglądarce. Niezwykle łatwo je stamtąd wydobyć. Zamiast tego lepiej skorzystać z programu do przechowywania haseł jak KeePass. Jest to dobre rozwiązanie z wielu powodów. Po pierwsze taki manager haseł szyfruje wszystkie swoje dane, po drugie, w łatwy sposób skopiujemy dane logowania pomiędzy nim a stroną WWW.

10.Podsumowanie

Pamiętajcie, że bardzo ważne jest by do każdego serwisu mieć inne hasło, a już w ogóle nigdy, przenigdy nie posiadać identycznego hasła do konta i maila z nim powiązanego. Korzystajcie z managerów haseł i z naszych porad, by maksymalnie zabezpieczyć swoje konta. Koniecznie sprawdzajcie, gdzie dostępna jest dwustopniowa weryfikacja i aktywujcie ją natychmiast.

Twórzcie długie hasła, składające się z nieoczywistych dla innych słów. Hasło zmieniajcie rzadziej, ale przyłóżcie się do tego. Nie denerwujcie się na swojego administratora, gdy 10 raz wpiszecie złe hasło. On to robi dla waszego dobra. Powodzenia!

11.Zadawajcie pytania

Nie bójcie się pytań. Jeśli coś jest dla was niejasne, potrzebujecie z czymś pomocy, jakiś temat bardziej was zaciekawił, to koniecznie dajcie nam znać w komentarzach. Na pewno odpiszemy i pomożemy.

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Zobacz dobry antywirus AVAST Internet Security dla osób oczekujących pełnego bezpieczeństwa online.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

Encyklopedia Bezpieczeństwa