Internauci wciąż używają niebezpiecznych haseł

„123456”, „password”, „qwerty”, „abc123”, „111111” – to niezmienni faworyci w corocznych rankingach najgorszych haseł używanych przez internautów. Nagminne używanie niewyszukanych fraz nie bierze się bynajmniej z braku fantazji użytkowników. Każdego dnia korzystamy z dziesiątek systemów, które wymagają od nas uwiarygodnienia tożsamości. Najpopularniejszą, najtańszą i najprostszą w adaptacji metodą na uwierzytelnienie się jest podanie hasła (lub kodu).

W efekcie zmuszeni jesteśmy do posługiwania się dużą liczbą kodów: PIN do karty SIM w telefonie komórkowym, hasło do systemu poczty elektronicznej w pracy, hasło do poczty prywatnej, hasła do kont na komputerze służbowym i domowym, hasło do portalu społecznościowego, hasło do obsługi konta bankowego, hasło do portalu aukcyjnego, kod rozbrajający centralkę alarmową, hasło do profili w ulubionych sklepach internetowych. Niektóre systemy wymagają okresowej zmiany kodów, co dodatkowo zwiększa liczba fraz do zapamiętania. Aby lepiej sobie poradzić, wybieramy niebezpieczną drogę na skróty.

Cyberprzestępcy także czytają rankingi popularnych haseł

Niestety, agresorzy wykorzystują fakt stosowania przez nas ułatwień i z premedytacją podejmują próby przejęcia kontroli nad cudzymi kontami.

– Dowodem może być wynik prostego eksperymentu, polegającego na zapisywaniu haseł, jakie podawali agresorzy podczas próby zalogowania się do części administracyjnej serwera dedykowanego, z której nie powinni korzystać – mówi Paweł Żal, lider zespołu Testów Unizeto Technologies. – Wśród tzw. „najgorszych” haseł, włamywacze najczęściej podawali: „123456”, „password”, „12345678”, „qwerty”, „abc123”, „123456789”, wariacje ze słowem „admin” i „root” oraz „1qazxsw2”. Na kolejnych miejscach w tym niechlubnym rankingu pojawiały się imiona oraz daty – dodaje.

Skutki przejęcia kontroli nad choćby jednym kontem są groźne i kosztowne. Przy założeniu, że korzystamy z wielu takich samych lub podobnych haseł, kolejne nasze konta stoją otworem dla agresora. Co zrobić, by być bezpiecznym?

Po pierwsze – akronimy

Istnieje kilka sposobów podniesienia poziomu bezpieczeństwa w zakresie stosowanych haseł. Jedną z propozycji jest korzystanie z haseł, które mają charakter indywidualny, szczególny dla właściciela, ale są trudne do odgadnięcia przez inną osobę. Dobrym pomysłem jest budowanie haseł na podstawie ulubionych cytatów lub słów piosenek, np. „Litwo, Ojczyzno moja! ty jesteś jak zdrowie” – można zapisać jako „L,Om!tjjz”. Hasło stworzone na zasadzie akronimu zbudowanego z pierwszych liter słów oraz z użyciem znaków interpunkcyjnych będzie bardzo trudne do odgadnięcia.

Po drugie – elektroniczny portfel

Kolejna możliwość, to użycie elektronicznych portfeli (np. KeePass). Zasada działania nie jest skomplikowana. Elektroniczny portfel, czyli specjalny program szyfruje podane hasła i zapisuje je w pliku, którego zawartość jest chroniona przez nadrzędne hasło. W takiej sytuacji użytkownik musi zapamiętać tylko jedno hasło, aby móc korzystać z pozostałych.

– Idealną sytuacją jest, gdy hasło nadrzędne jest bardzo trudne do odgadnięcia – od prawdopodobieństwa jego załamania zależy los pozostałych – wyjaśnia Paweł Żal. Elektroniczny portfel można z powodzeniem uruchomić w telefonie komórkowym, można także przenosić go między urządzeniami – dodaje.

Po trzecie – Single Sign On

Użytkownicy systemów korporacyjnych mogą korzystać z systemów określanych jako Single Sign On (w skr. SSO). Systemy takie biorą na siebie zadanie centralnego przechowywania haseł (nie ma przeszkód, aby były to długie i skomplikowane hasła) i wprowadzania ich do systemów podczas fazy uwierzytelniania. Podobnie jak w przypadku elektronicznych portfeli, użytkownik musi uwierzytelnić się tylko raz – np. do systemu SSO przy pomocy pojedynczego, skomplikowanego hasła, tokenu lub certyfikatu. Od tej pory system SSO będzie uwierzytelniał użytkownika do kolejno uruchamianych systemów. Warto nadmienić, że systemy SSO wspomagają także proces okresowej wymiany haseł.