Ceniepolskezasmacznepaczki

Dlaczego mnóstwo internautów wciąż nie przywiązuje należytej uwagi do haseł?

Ponieważ nadal dominuje myślenie na zasadzie: „to jest przecież tylko jakieś tam konto, wcale nie ma tam cennych informacji czy danych”. Problemem jest fakt, że do wielu serwisów mamy bardzo podobne hasła, a wręcz takie same, więc w momencie zhakowania jednego konta cyberprzestępca może zyskać dostęp do niemal wszystkich naszych cyfrowych zbiorów. A to już jest gigantyczne niebezpieczeństwo. Złota zasada cyberbezpieczeństwa brzmi: nigdy nie powielamy raz użytego hasła.

Mocne hasło, czyli jakie?

Jestem zwolennikiem tworzenia haseł będących np. zlepkiem różnego rodzaju sentencji, fraz, słów. Co ważne, muszą to być zlepki – jak lubię je określać – z nutką szaleństwa. Litwoojczyznomoja to kiepskie hasło – niby długie, czyli spełnia najważniejsze założenie, ale jednak ultraproste do złamania. Ceniepolskezasmacznepaczki – to już będzie zwrot, jakiego nie znajdziemy w słownikach, więc okazuje się też trudniejszy do odgadnięcia przez niewłaściwe osoby.

Jakiś czas temu wmówiono nam, że receptą na wszystko jest hasło skomplikowane pod kątem zróżnicowania znaków, czyli powinniśmy użyć jakiegoś znaku specjalnego (najczęściej ! bądź #), cyfry i litery. Moim zdaniem podejście to spowodowało odwrotny skutek, bo ludzie zaczęli tworzyć hasła tylko pozornie skomplikowane, np. Dobroszek91! Może i spełni ono restrykcyjne polityki większości serwisów, ale jest jednak bardzo proste do złamania. Jeśli nie mamy pomysłu na wymyślenie własnego hasła, nie chcemy go pamiętać, to zdecydowanie rekomenduję skorzystanie z menedżera haseł, ponieważ każdy menedżer będzie lepszy niż trywialne hasło stworzone według schematu.

Oczywiście wszędzie tam, gdzie mamy możliwość włączenia drugiego czynnika uwierzytelnienia – zróbmy to! Obejście takiego zabezpieczenia jest znacznie trudniejsze, choć nie zapominajmy, że nie jest niemożliwe. W cyberprzestrzeni nigdy nie jesteśmy w pełni bezpieczni.

Ze sprzętu służbowego coraz częściej korzystamy także do załatwiania prywatnych spraw. Jak siła hasła wpływa na bezpieczeństwo organizacji, dla której pracujemy?

Złamanie hasła nawet do prywatnych kont może być ogromnym zagrożeniem dla pracodawcy – kilkukrotnie zdarzało się, że poprzez zainfekowanie malware’em teoretycznie odłączonego od sieci firmowej laptopa cyberprzestępcy zyskali dostęp także do firmowych zasobów. Dlatego tak ważne jest edukowanie o cyberhigienie również w miejscu pracy, bo służbowe nawyki często przekładamy na życie prywatne.

Problem jest jednak taki, że nawet sami przedsiębiorcy nie do końca wiedzą, jaką powinni przyjąć strategię dotyczącą haseł. Powszechną praktyką jest wymuszanie na pracownikach regularnych – najczęściej co miesiąc – zmian haseł, co prowadzi do absurdów, że nasze hasła różnią się dosłownie jednym znakiem.

Na przykład Kuba12#, Kuba13#, Kuba14#.

Takie zalecenia najczęściej frustrują ludzi, a im trudniejsza polityka bezpieczeństwa haseł, tym ludzie potrafią sprytniej ją obejść. Wiele najważniejszych organizacji standaryzujących zasady dotyczące cyberbezpieczeństwa już wiele lat temu wydało rekomendacje mówiące o tym, że cykliczna zmiana haseł do niczego dobrego nie prowadzi. Jedyny moment, kiedy powinniśmy zmienić hasło, jest wtedy, kiedy dotychczasowe zostało wykradzione. Jeśli udało ci się wymyślić mocne, trudne do odgadnięcia hasło, które w dodatku potrafisz zapamiętać, absolutnie nie widzę konieczności jego zmiany.

Jestem też zwolennikiem tego, żeby w organizacjach prowadzić czarną listę haseł, która powstrzymywałaby pracowników przed tworzeniem nieodpowiednich i popularnych kombinacji.