Wybór silnego hasła, które można niezawodnie zapamiętać, może być uciążliwy. Istnieje wiele pól do tworzenia haseł, które mają swoje własne wymagania – muszą składać się z siedmiu liter, muszą zawierać cyfrę i tak dalej. Postępowanie zgodnie z tymi instrukcjami nie gwarantuje bezpiecznego hasła – wcale. Istnieją jednak pewne zasady, których należy przestrzegać, i wskazówki, jak upewnić się, że masz najlepsze możliwe hasło… jednocześnie będąc w stanie je zapamiętać.
Pierwszą zasadą testowania siły hasła jest zachowanie szczególnej ostrożności podczas korzystania z narzędzi online do testowania haseł. Strony internetowe lub oprogramowanie do pobrania mogą pobrać hasło, które próbujesz przetestować, i dodać je do listy słów. Lista słów to lista znanych i ogólnie popularnych haseł. Listy słów mogą zawierać miliony wpisów i są wykorzystywane przez hakerów do odgadywania haseł, a nie wolniejszej metody próbowania wszystkich możliwych kombinacji, zaczynając od „aaaaaa”.
Innymi słowy, lista słów przechowuje hasła takie jak „Susie1202” i „Hasło12”. Hakerzy będą prowadzić listę haseł na stronach, mając nadzieję na znalezienie dopasowania. Kluczowe jest posiadanie hasła, którego nie ma na żadnej takiej liście. Te listy słów są zaskakująco skuteczne, ponieważ wiele osób używa ogólnych lub powszechnych haseł. Na szczęście nie jesteś sam – jest kilka narzędzi, które Ci pomogą: Weryfikatory bezpieczeństwa haseł.
Te programy sprawdzające są zazwyczaj obsługiwane przez niezawodne firmy zajmujące się cyberbezpieczeństwem. Zawsze zachowaj jednak ostrożność podczas korzystania z tego typu narzędzia – zawsze wiąże się to z pewnym ryzykiem. Nie powinieneś po prostu ufać żadnej witrynie lub programowi, który mierzy siłę swoich haseł, nie mając absolutnej pewności, że są bezpieczne — w rzeczywistości nawet niektóre firmy zajmujące się cyberbezpieczeństwem, które same oferują te narzędzia, zalecają nieużywanie prawdziwych haseł i testowanie tylko potencjalnych lub podobnych haseł za pomocą swoich narzędzi – w razie czego.
Skąd więc masz wiedzieć, jak silne jest twoje hasło, nie korzystając z witryny lub aplikacji, aby je sprawdzić?
Odpowiedź jest zaskakująco prosta: dowiedz się więcej o tym, co sprawia, że hasło jest bezpieczne i odpowiednio je zaprojektuj.
Rodzaje ataków
Podczas próby zaprojektowania bezpiecznego hasła pomaga zrozumieć, w jaki sposób hakerzy próbują zaatakować. Istnieją dwa główne rodzaje ataków; brutalna siła i słownik.
Ataki brutalne wypróbowują wszystkie możliwe kombinacje postaci. Mając wystarczająco dużo czasu, ta metoda ostatecznie złamałaby każde możliwe hasło. Główną wadą tego typu ataku jest to, że wymaga czasu, a im więcej kombinacji jest próbowanych, tym więcej czasu to zajmuje. Niezbędny czas może być astronomiczny – nawet jeśli program może uruchomić dziesiątki tysięcy możliwości na minutę, możliwe są miliony kombinacji, co czyni te ataki nieskutecznymi. Jest bardzo mało prawdopodobne, aby długie hasła zostały złamane tą metodą, ponieważ uruchomienie wszystkich możliwości i znalezienie ich w ten sposób może zająć dekady.
Ataki słownikowe wykorzystują wyżej wymienione listy słów, aby zgadywać, jakie mogą być hasła. Ta technika radykalnie zmniejsza liczbę domysłów w porównaniu z atakami typu brute force, znacznie przyspieszając proces. Listy słów są zazwyczaj oparte na znanych wyciekających hasłach. Oprogramowanie zaprojektowane do przeprowadzania tego rodzaju ataków może również zawierać zasady „manipulowania słowami”, które mogą zmieniać słowa, aby wypróbować również popularne odmiany. Na przykład reguła zniekształcania słów może próbować zastąpić „o” „0” lub dodać „!” do końca słowa. Zasady te są generalnie oparte na powszechnych zastąpieniach lub dodatkach, które ludzie dokonują – nie trzeba dodawać, że nie jest to zbyt bezpieczne. Główną wadą tego typu ataku jest to, że atakujący musi mieć już hasło na swojej liście słów, a atak jest tak dobry, jak lista słów.
Jak stworzyć silne hasło
Istnieją trzy ważne czynniki decydujące o sile hasła: długość, niepowtarzalność i złożoność.
Wskazówka: NIE używaj żadnych haseł ani fragmentów haseł wymienionych w tym artykule, ponieważ nie są one bezpieczne.
Łatwo zrozumieć, jak długość wpływa na siłę hasła. Im więcej znaków ma hasło, tym więcej kombinacji liter należy wypróbować, aby haker miał statystycznie prawdopodobieństwo poprawnego odgadnięcia. Na przykład jest o wiele więcej słów sześcioliterowych niż czteroliterowych. W rzeczywistości z każdą dodaną postacią liczba możliwych kombinacji wzrasta wykładniczo.
Długość to najlepsza ochrona przed atakami Brute Force, ale zapamiętanie, powiedzmy, 64-znakowego hasła nie jest łatwe. Nie jest to również konieczne. Idealną sytuacją jest, aby hasło było tak długie, że po prostu nie można poświęcić czasu i energii na ewentualne złamanie go. Ideałem jest 10 znaków lub więcej – prawie we wszystkich przypadkach to wystarczy.
Niektórzy ludzie mogą wymyślić plan użycia szalenie długiego hasła, tak długiego, że niemożliwe byłoby jego brutalne wymuszenie. Na przykład wiersz, teksty piosenek lub całe dzieła Szekspira. Zakładając, że strona na to pozwala, to działa, ale w pewnym momencie haker może dodać te znane przykłady do swojej listy słów „na wszelki wypadek”, a potem pomysł się rozpadnie. Tu właśnie pojawia się wyjątkowość.
Trudno ocenić wyjątkowość. Spośród ponad siedmiu miliardów ludzi na Ziemi może być trudno wymyślić coś zupełnie wyjątkowego, ale i tak warto spróbować. Niektóre z najpopularniejszych haseł, które są nadal używane, to: „admin”, „password”, „123qwe” i „qwerty”. To okropne hasła, nie tylko dlatego, że są krótkie, ale dlatego, że są dobrze znane, więc znajdą się na każdej liście słów, prawdopodobnie jako jedno z pierwszych domysłów. Niektórzy próbują nieco bardziej skomplikować te hasła, używając „Hasła1!” ale jest to zbyt przewidywalne i znajduje się również na większości list słów.
Aby pokonać atak oparty na liście słów, musisz zaprojektować hasło, które nie będzie znane ani o którym nie pomyślisz. Najlepszym przypadkiem jest użycie całkowicie losowego wyboru postaci, ale jest to prawdopodobnie zbyt trudne do zapamiętania.
„UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO” byłoby BEZPIECZNYM hasłem, ale nie będzie to praktyczne.
Przyzwoitym rozwiązaniem jest użycie doboru słów, które razem nic nie znaczą. Jeden przykład, spopularyzowany przez komiks internetowy XKCD, to „Właściwa bateria dla koni”. Ta koncepcja jest dość silna, zachęca zarówno do długości, jak i losowości, a wynik powinien być łatwiejszy do zapamiętania niż losowy ciąg znaków i symboli. Możesz wybrać dowolne słowa – zwierzęta, które lubisz, kwiaty, nawet imię ulubionego aktora, o ile pamiętasz kilka rzeczy. Nawet pięć rzeczy, które teraz siedzisz na biurku, zadziała!
Co do złożoności: to konieczność – to zdecydowanie jeden z najważniejszych aspektów tworzenia hasła. Zamiana liter na cyfry i dodawanie symboli może zwiększyć złożoność haseł. Dziesięcioznakowy ciąg losowych liter, cyfr i symboli jest lepszym hasłem i jest mniej prawdopodobne zgadłem, niż litera „a” sto razy z rzędu, co z kolei jest i tak lepszym hasłem niż „Hasło 12!”.
Złożoność to dobry sposób na utrudnienie odgadnięcia haseł, ale także sprawia, że trudniej je zapamiętać. Chodzi o znalezienie zdrowej równowagi. Ogólnie rzecz biorąc, dodanie niewielkiej ilości złożoności poprzez umieszczenie gdzieś liczby i symbolu jest wystarczającym ulepszeniem, aby naprawdę zmienić siłę hasła. Tak naprawdę nie trzeba zmieniać jak największej liczby znaków na liczby lub symbole – to po prostu utrudnia zapamiętanie.
Wnioski
Podsumowując te trzy wymagania, kilka dobrych zasad do zapamiętania w przypadku haseł to:
- Hasła powinny mieć rozsądną minimalną długość 10 znaków, ale im więcej, tym lepiej.
- Hasła nie powinny być prostymi lub powszechnymi kombinacjami słów; powinny być wyjątkowe.
- Hasła powinny zawierać szereg typów znaków, w tym cyfry i symbole
Wskazówka: jeśli jesteś ciekawy i chcesz zobaczyć na żywo, jak długość i złożoność wpływają na ogólną siłę hasła, skorzystanie z internetowego testera siły hasła nie jest złym pomysłem. Poniższe przykłady są witrynami godnymi zaufania. Zawsze uważaj, gdzie wpisujesz swoje hasła i informacje — niektóre witryny mogą próbować ukraść Twoje hasła. Wiadomo, że poniższe witryny są niezawodne:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php