Najczęstsze hasła? „123”, „hasło”, „d**a” – wywiad z Rafałem Skoczylasem

O tym, czym grozi zbyt proste hasło do Facebooka, jak zapamiętywać skomplikowane ciągi liter i dlaczego nie warto szukać haseł w słowniku opowiada Rafał Skoczylas, wieloletni ekspert do spraw bezpieczeństwa, CSO w firmie FinAi.

Wywiad z Rafałem Skoczylasem

Bartek Przybyszewski, FinAi.pl: Mam konta na Facebooku, Twitterze, Instagramie, Filmwebie, Linkedinie, Allegro, kilka kont mailowych, kilka kont w sklepach internetowych, kod logowania do banku, kody PIN do kart płatniczych, hasło do prywatnego laptopa i dodatkowo całe mnóstwo haseł, których używam w pracy – do służbowego komputera, maila, itd.

Rafał Skoczylas, szef bezpieczeństwa FinAi: To naprawdę sporo [śmiech].

Ponad 20 haseł. A i tak nie wymieniłem wszystkich. Specjaliści od bezpieczeństwa radzą, że najlepiej jest mieć osobne hasła do każdego logowania i każde z nich powinno być odpowiednio skomplikowane. Ale w praktyce niemal niemożliwe jest zapamiętanie tego wszystkiego. Co powinienem zrobić?

Zacznijmy od tego, że są konta, których przejęcie przez oszusta nie powinno sprawić Ci większych problemów – na przykład Filmweb czy jakieś forum dla fanów wędkarstwa. Nawet, jeśli ktoś złamie Twoje hasło w takim miejscu, to w najgorszym wypadku założysz nowe konto. Używanie we wszystkich takich miejscach jednego, odpowiednio skomplikowanego hasła nie jest dużym problemem – zapewnij jedynie, by nie każdy, kto Cię choć trochę zna, mógł odgadnąć szyfr w pierwszej próbie.

 

Hasłem nie może to być ani data urodzin, ani imię żony, kochanki czy psa. Raczej zdecyduj się na losowo wyglądający ciąg liter i cyfr.

 

Można też używać specjalnych menadżerów, w których trzyma się hasła. Wtedy każde hasło możesz mieć inne, a jednocześnie nie musisz ich wszystkich pamiętać. Masz bezpieczną bazę, w której przechowujesz dane do logowania i jak akurat jakiegoś potrzebujesz, to tam zaglądasz. Przykładem takiego programu jest KeePass. Istnieją też rozmaite narzędzia, które możesz wgrać w przeglądarkę, i one autouzupełniają Twoje kody po wpisaniu kilku pierwszych znaków.

A co z tymi istotniejszymi hasłami? Ich też mam sporo.

Tak, są hasła, z pomocą których ktoś mógłby Cię po prostu okraść lub zaszkodzić wizerunkowi – Facebook, konta bankowe, PayPal, strony linii lotniczych, portale aukcyjne. Do ich tworzenia możesz używać generatora bezpiecznych haseł, w internecie jest ich sporo. Można też je trzymać w menadżerze haseł, ale trzeba pamiętać, że takie programy i aplikacje też od czasu do czasu miewają problemy z bezpieczeństwem. Raz na kilka miesięcy albo lat wychodzi na jaw, że dany menedżer haseł nie szyfrował ich tak dobrze, jak twórca zakładał. Ale to nadal lepsza metoda, niż te same, słabe hasła w każdym miejscu.

 

PPL_2red.png

Chcesz płacić mniej za kredyt?

Dowiedz się, jak to zrobić, poprawiając swoją ocenę kredytową. W darmowym poradniku Akademii FinAi nasi eksperci wyjaśniają tajniki tańszych ofert kredytowych!

 

Pamiętaj, że niezależnie od rozwoju technologii, najbezpieczniejszym miejscem dla Twoich haseł zawsze będzie Twoja głowa.

 

Warto więc budować szyfry w oparciu o Twoje osobiste skojarzenia lub rzeczy, które Ty łatwo zapamiętasz, a inni mogą mieć z tym problemy. Coś, co zawsze będziesz w stanie sobie skojarzyć lub przypomnieć. Załóżmy, że masz hasło do portalu X, które jest dla Ciebie ważne, bo służy do płacenia w sklepach internetowych. Jeśli jesteś wędkarzem, skojarz z tym serwisem nazwę ryby. Jeśli interesujesz się kolejnictwem: nazwę konkretnego pociągu. I tak dalej.

Do tego dodaj coś jeszcze, co Ci się łatwo skojarzy: może to być wyrażenie, numer czy symbol, który później bez problemu odtworzysz. W ten sposób, jeśli wejdziesz na portal X, to choć nie będziesz pamiętał hasła – w ciągu kilku sekund będziesz w stanie je odtworzyć.

 

Jak długie jest bezpieczne hasło?

 

Przyjmuje się, że bezpieczne hasło nie powinno być krótsze niż 8 znaków. Wśród nich powinny znaleźć się: wielka i mała litera, cyfra i znak specjalny.

 

Im dłuższe hasło tym lepsze, ale wiadomo, trudniej je będzie zapamiętać, wpisywanie będzie trwało dłużej, i tak dalej. Dla większości ludzi akceptowalna liczba znaków to 8-12. I zdaniem specjalistów to jest w porządku – gdyby każdy na świecie miał takie hasło, to by było super.

Ale wiadomo, że to dość utopijna wizja.

Niestety, większość ludzi idzie na łatwiznę. Ale warto ich edukować. I powtarzać, że krótkie i proste hasło może być problematyczne. Jestem zwolennikiem tezy, że potrzeba stosowania trudnych haseł i lepszych zabezpieczeń musi wynikać z wewnętrznej obawy, a nie z systemu zakazów i nakazów. Człowiek nie czuje potrzeby tworzenia trudnego hasła, kiedy nie bierze pod uwagę, że spotka go coś złego. Użytkownik musi poczuć, że hasło „piesek”, „kotek” czy „123” nie jest dla niego dobre. Musi znać potencjalne konsekwencje i czuć wewnętrzną potrzebę zabezpieczenia się.

Ostatnio Kaspersky Lab opublikował ciekawy raport, z którego jednoznacznie wynika, że ludzie mają problem z oceną wartości swoich danych i konsekwencji ich utraty.

Zapytano badanych, na ile oceniają wartość swoich osobistych, często kluczowych danych. Okazało się, że ta suma to średnio kilkadziesiąt złotych. A kiedy oferujesz im dokładnie takie same pieniądze za usunięcie tych danych, znacznie ponad połowa się nie zgadza. Wychodzi na to, że oceniają prawdziwą wartość dopiero, kiedy coś się na prawdę dzieje, nie na etapie planowania.

 

 

 

Jakie konsekwencje mogą spotkać nieostrożnego użytkownika, oprócz kradzieży?

Ktoś może na przykład robić kolejne ataki w Twoim imieniu. Wtedy przychodzi policjant i mówi: „byłeś źródłem wielu strat”. I wiele miesięcy może potrwać tłumaczenie się, że to jednak nie ty. Nawet, jeśli uda Ci się wybronić, to w międzyczasie nie będziesz miał prywatnego komputera, bo policja zarekwiruje Ci sprzęt. Jeśli prowadzisz firmę i akurat masz tam wszystkie swoje dokumenty i rejestry, to może Ci grozić nawet upadłość.

Wracając do banków – czy nawet tutaj trzeba ludziom tłumaczyć niebezpieczeństwa związane ze złamaniem lub kradzieżą hasła? Przecież skutki czegoś takiego wydają się być oczywiste.

Tak, ten problem większość ludzi rozumie i identyfikuje jako: „ktoś mi może zabrać moje pieniądze”. Banki mają dość rygorystyczne wymogi w kwestii haseł: żądają od użytkowników większych minimalnych liczb znaków czy zagmatwanych sposobów wpisywania kodów. Np. żeby zalogować się do banku, musisz podać trzecią, piątą i ósmą cyfrę z dwunastu. Po co? A po to, żeby w miejscu o podwyższonym ryzyku, np. w kawiarni czy sklepie, nikt nie mógł podsłuchać lub podejrzeć całego hasła. Tylko fragment, który mu się nie przyda. Albo może przydałby się, ale gdyby podsłuchał Cię dziesięć razy.

Ta metoda ma jednak swoje wady – np. jeśli za hasło weźmiesz sobie nawet cztero- czy pięciosylabowe słowo, ale jednak istniejące w słowniku, to ktoś, kto pozna trzy czy cztery litery ze środka, będzie w stanie wydedukować resztę.

Jak w „Kole fortuny”.

Dokładnie. Dlatego nie warto za hasła brać sobie słów, które można znaleźć w słowniku.

Czyli powinniśmy wszyscy tworzyć hasła będące bezsensownymi zlepkami liter i cyfr?

Zdecydowanie tak. Im bardziej skomplikowane hasło, tym trudniej będzie je złamać.

Ale jak je zapamiętać? Zwłaszcza w sytuacji, w której mamy dużo takich haseł i używamy ich raz na kilka tygodni lub miesięcy.

 

Twórz skojarzenia i schematy. Powiedzmy, że istnieje bank o nazwie Lucyna. Tworzysz hasło typu: „Lucyna jest moim ulubionym bankiem”. Z każdego ze słów bierzesz po dwie pierwsze litery. Dzięki czemu Twoje hasło to: „LUJEMOULBA”. To samo robisz z pocztą: „Gmail jest moją ulubioną pocztą”. Hasło? „GMJEMOULPO”. W ten sposób masz dwa długie, skomplikowane, różniące się od siebie hasła. Wyglądają jak ciąg losowych znaków, ale nim nie są. Jeśli ktoś postronny zobaczy dwie czy trzy litery, to łatwo nie odtworzy całej reszty.

 

 

 

To, o czym mówisz, to jedna z tzw. mnemotechnik, czyli technik pamięciowych pozwalających na ogarnięcie dużej ilości informacji. Polecasz je?

Tak. Jeśli wymyślisz sobie dobry schemat czy metodę, to będzie to skuteczne. Możesz mieć problem za pierwszym czy drugim razem, ale po dziesiątym przestaniesz się zastanawiać.

Czy istnieją statystyki dotyczące tego, jaki odsetek internetowych haseł do serwisów, poczt czy portali to hasła bezpieczne?

Tak, można to stwierdzić na podstawie wycieków danych na przestrzeni ostatnich kilkunastu lat.

 

Ze wszystkich haseł, które wyciekły około 1% spełnia kryteria dobrego hasła: mają znak specjalny cyfrę, wielką i małą literę oraz sensowną długość. Niestety top 30 najczęściej używanych haseł to rzeczy typu: „123”, „1234”, „12345”, „hasło”, „d**a”, „test”, i tak dalej. Widać, że ludzie nie traktują tego poważnie.

 

W wielu korporacjach każe się ludziom zmieniać hasło co 30 dni. To skuteczny sposób?

W praktyce często wygląda to tak, że ludzie biorą sobie proste słowo i co miesiąc dodają do niego kolejne cyfry i znaki specjalne. W styczniu jest „Pieseczek1!”, w lutym „Pieseczek2!”, w marcu „Pieseczek3!”, i tak dalej. Więc jeśli ktoś z zewnątrz pozna jedno hasło, to pozna też wszystkie na następny rok. Takie metody tworzą jedynie iluzję bezpieczeństwa, a w rzeczywistości czasem potrafią bezpieczeństwo obniżyć.

Niektóre firmy próbują sobie z tym radzić, wymuszając tworzenie haseł diametralnie różniących się od poprzednich, ale uważam, że to walka z wiatrakami. Bo takie standardy bezpieczeństwa powinno się wprowadzać odwrotnie: najpierw trzeba ludziom obrazowo wyjaśnić, po co istnieją zabezpieczenia, a potem oczekiwać stosowania się do nich. Ludzie muszą rozumieć i chcieć to robić. Technologia powinna człowieka wspierać, a nie zastępować myślenie.

Problem mają tylko szeregowi pracownicy, czy też np. członkowie zarządów?

Z mojego doświadczenia wynika, że im wyżej, tym gorzej. Są w firmach ludzie, którzy są „ponad prawem”. W niejednej firmie standardy security są dla szefów wyłączone. Zdarzało się nawet, że hasło do sprzętu prezesa – czyli tego z wyjątkowo newralgicznymi informacjami – to nazwa firmy i aktualny rok!

Zarządy wielu organizacji  wdrażają procedury bezpieczeństwa tylko dlatego, że wypada lub wymaga tego regulator lub zewnętrzni partnerzy. Ale robią to niechlujnie i bezmyślnie, tylko po to, żeby „odhaczyć” kratkę z napisem „bezpieczeństwo”.

 

 

Co działa na ludzi, że w końcu przekonują się, że warto dbać o hasła?

Dwie rzeczy. Pierwsza: to sytuacja, gdy faktycznie wydarzy się incydent, z powodu którego coś stracą. Muszą go poczuć na własnej skórze... lub musi się to przydarzyć konkurencji.

 

Np. realny duży wyciek danych w jednym banku może sprawić, że drugi bank zacznie mocniej zastanawiać się, że może warto byłoby o to zadbać. Że to nie jest sztuczny medialny problem.

 

Prywatne doświadczenie też działa – jeśli ktoś ci się włamie na Facebooka i napisze obraźliwego posta, to będziesz pamiętał, żeby zmienić hasło na trudniejsze i wylogowywać się przed odejściem od komputera w miejscu publicznym.

Czy w instytucjach państwowych: urzędach, komisariatach czy ministerstwach, traktowanie bezpieczeństwa wygląda tak samo?

Z grubsza tak. A przecież konsekwencje wynikające z wycieku danych z wyżej wymienionych miejsc mogą być dużo gorsze, niż w przypadku prywatnych firm. Personalne konsekwencje mogą Ci zamknąć karierę na zawsze.

 

A co z nowoczesnymi metodami? Jaka jest przyszłość zabezpieczania kont?

Hasła towarzyszą ludziom od zawsze. Już starożytni używali sekretnych słów i kodów do zabezpieczenia komunikacji. Albo weźmy „Seksmisję” i słynną scenę z hasłem w windzie. Więc moim zdaniem całkowicie haseł nie wyeliminujemy nigdy, nawet nowoczesnymi metodami uwierzytelniania. Hasła są naturalne i proste do zastosowania.

Branża bezpieczeństwa zdaje sobie jednak sprawę z tego, że hasła bywają problematyczne. I od lat pracuje nad odłączeniem się od tradycyjnych haseł i zastąpienia ich czymś innym. Tworzone są nowoczesne sposoby potwierdzania tożsamości, choćby rozpoznawanie głosu, oczu,  odcisków palców czy schematu zachowań. Ale przy zderzeniu z rzeczywistością można je traktować bardziej w kategoriach perspektywicznych ciekawostek, bo stan obecny niestety nie pozwala na nich polegać w bardziej wrażliwych obszarach. Dają się one łatwo obejść przy pomocy podstawionych zdjęć, nagrań lub podobnych zabiegów.

W chwili obecnej dość skutecznie sprawdzają się metody wieloskładnikowego uwierzytelniania (tzw. multi-factor authentication), które polegają na jednoczesnym wykorzystaniu kilku kanałów, np. hasło na ekranie i potwierdzenie kodem na telefonie.

Ale czy te technologie prześcigną ludzki umysł?

Bardzo możliwe, wyścig trwa. Ale o szczegółach porozmawiamy kolejnym razem.

 

PODSUMOWANIE - JAKIE POWINNO BYĆ TWOJE HASŁO?

  1. Hasło nie może być łatwo kojarzone z Tobą (np. nie powinno być to imię psa ani data urodzin) i najlepiej, jeśli nie da się go znaleźć w jakimkolwiek słowniku.
  2. Możesz używać menadżerów haseł, ale z nimi też uważaj, bo bywają „dziurawe” i takie zabepieczenie też da się złamać.
  3. Twórz hasła w oparciu o schematy i skojarzenia, które masz w głowie tylko Ty. Mózgu (jeszcze) hakować nie można!
  4. Bezpieczne hasło powinno mieć od 8 do 12 znaków i zawierać: wielką i małą literę, cyfrę i znak specjalny.
  5. Najlepiej, jeśli Twoje hasło będzie bezsensownym (przynajmniej na pierwszy rzut oka osoby postronnej) zlepkiem liter, cyfr i znaków.

Zapisz się na newsletter!

Zadaj pytanie ekspertowi FinAi!

double-arrow-top close arrow-down fb twitter link gplus gplus white linkedin linkedin white Search Arrow-left Arrow-right Camera Chat Edit Finai-logo---pie Pencil Picture Pictures Quotation