Jeśli chodzi o hasła, większość z nas nie marzy o niczym innym, byle tylko je ustawić i zapomnieć o sprawie. Właśnie na to liczą hakerzy i takim podejściem znacznie ułatwiamy im pracę. Nie oznacza to jednak, że dobrą praktyką są jak najczęstsze zmiany haseł na wszystkich naszych kontach.
Z najnowszych badań i rekomendacji Microsoftu dotyczących polityki haseł wiemy, że z perspektywy natury ludzkiej dodatkowe reguły wymuszające częste zmiany hasła przynoszą więcej złego niż dobrego. Chodzi o to, że ludzie są niestety leniwi i za wszelką cenę pragną ułatwić sobie życie. Konieczność wymyślania nowego, skomplikowanego hasła raz na miesiąc powoduje, że do stałych haseł dodawane są numerki, znaczki lub słowa kluczowe w celu „oszukania systemu” i pójścia na łatwiznę. Microsoft wykazał, że dziś najlepiej sprawdza się jedno silne, skomplikowane hasło, które powinno być zmieniane tylko w wyjątkowych sytuacjach zagrażających jego bezpieczeństwu.
Niektórzy eksperci nie zgadzają się do końca z tą polityką i mówią, że sprawę należy traktować indywidualnie oraz dostosowywać tę regułę do grupy użytkowników, przeznaczenia kont, ich uprawnień, narażenia na ataki i wielu innych. Dlatego aktualnie przyjmuje się, że dobrze jest zmienić hasło raz na 90 dni, ale oczywiście są sytuacje, w których powinniśmy dokonać zmiany natychmiast.
Kiedy trzeba zmienić hasło od razu?
Konto zostało zhakowane
Jeśli mamy podejrzenia, że ktoś włamał się na nasze konto, ważne, aby działać szybko i zmienić hasło na zupełnie inne. Wszyscy w Twojej książce adresowej otrzymali dziwny e-mail, który wygląda, jakby pochodził od Ciebie? Zmień hasło do poczty. Twoi znajomi z Facebooka otrzymują od Ciebie nowe zaproszenie? Coś jest nie tak, więc warto zmienić hasło. W takiej sytuacji często liczy się każda chwila, gdyż zmianą hasła możemy odciąć cyberprzestępcę od dostępu do naszego konta.
Po naruszeniu danych
W przypadku włamania i naruszenia danych wrażliwych w pracy lub organizacji, w której masz konto, powinieneś od razu zmienić hasło. Jeśli używasz tego samego hasła do innych witryn, na pewno trzeba zmienić też hasła do tamtych kont. Jeżeli hakerzy uzyskają dostęp do jakiegokolwiek hasła na danym koncie użytkownika, z pewnością spróbują wykorzystać je na innych platformach i w popularnych aplikacjach.
Korzystałeś z niezabezpieczonej zaatakowanej sieci
W miarę możliwości staraj się unikać logowania na wrażliwe konta w publicznych sieciach Wi-Fi, takich jak w szkole lub kawiarni. Jeśli już tak się stało, a w sieci tej doszło do ataku lub zaszły takie podejrzenia, powinieneś zmienić hasła, które wpisywałeś, będąc do niej podłączonym. Haker podsłuchujący ruch sieciowy może wykorzystać techniki Man-in-the-Middle i przechwycić Twoje hasło, kiedy jest przesyłane na serwer aplikacji docelowej.
Odkrywasz złośliwe oprogramowanie
Twoje dane osobowe mogą być zagrożone, jeśli złośliwe oprogramowanie zainfekowało prywatny komputer lub telefon. Nawet gdy posiadasz silny antywirus czy udało Ci się wykryć malware dowolną metodą we wczesnej fazie ataku, hasła zapisane w pamięci komputera lub wpisywane podczas sesji powinny zostać zmienione.
Usuwanie dostępu z kont wspólnych
Warto tutaj wspomnieć o kontach współdzielonych, które ostatnio cieszą się dużą popularnością. Mowa o platformach takich jak Netflix czy Amazon, gdzie kilka zaufanych osób zna nasze hasło i ma dostęp do konta. Jeśli stracimy z kimś kontakt lub nawet nie korzystamy już z tego konta, warto zmienić na nim hasło, aby nie zdziwić się potem, że ktoś przejął je na własność. Żadna pomoc techniczna w tej sytuacji nam się nie przyda, ponieważ oficjalnie takie praktyki kont współdzielonych nie są dozwolone.
Wyłączanie starych kont
Z pewnością istnieje wiele serwisów, gdzie nadal posiadamy konto, ale nie korzystamy z niego dłuższy czas, na przykład od roku. Przyczyn może być wiele: serwis stracił popularność, nie jest nam już potrzebny czy założyliśmy nowe konto. W takiej sytuacji zawsze warto nie tylko dane konto wyłączyć, ale również zmienić na nim hasło na bardzo trudne i nie kojarzące się z żadnym innym naszym hasłem. Samo wyłączenie lub wygaśnięcie konta w serwisie nie powoduje jego usunięcia z bazy danych aplikacji, co oznacza, że może zostać kiedyś wykradzione i użyte.
Jakie powinno być silne hasło?
Mamy wrażenie, że pisaliśmy o tym wielokrotnie między wierszami, ale może warto zebrać esencję tego, jakie zasady powinno spełniać dziś silne hasło, czyli takie, którego haker nie będzie w stanie zgadnąć czy złamać. Hasło powinno zatem:
- Być używane tylko do jednego konta. To chyba jasne. Używanie takich samych haseł na różnych kontach, nawet na całkiem innych platformach jest złe i stwarza wysokie ryzyko.
- Mieć co najmniej 12 znaków. Każde krótsze hasło jest narażone na złamanie metodą siłową, czyli po prostu zgadywaniem przez komputer. Jeśli hasło jest dla nas za trudne do zapamiętania, trzeba wymyślić sobie regułę pozwalającą na skojarzenia. Na przykład pierwsze litery słów z ulubionej piosenki itp.
- Zawierać znaki i symbole specjalne. Uwzględnij co najmniej jedną wielką literę, jedną cyfrę i jeden symbol w haśle. Metody brute force mogą natychmiast odgadnąć hasło składające się z ośmiu liter. Jednak złamanie 12-znakowego hasła z co najmniej jedną wielką i jedną małą literą, cyfrą i znakiem specjalnym zajęłoby kilka tysięcy lat.
- Nie zawierać publicznych informacji. W haśle nie używamy słów, które mogą odgadnąć osoby, które Cię znają lub przeglądają Twoje media społecznościowe. Unikaj informacji osobistych, takich jak pseudonim, inicjały, data urodzenia, adres, imię dziecka lub zwierzęcia itp.
- Nie zawierać prostych słów. W hasłach nie korzystamy ze słów typu „qwerty”, „password” czy „admin”. Zdziwiłbyś się, ale cyberprzestępca takie kombinacje sprawdza od razu.
Jak możemy sobie pomóc?
W dzisiejszym świecie zarządzanie bezpieczeństwem naszych kont i haseł to wyzwanie. Nie o samą złożoność czy częstotliwość zmian tutaj chodzi, ale o zapamiętywanie, wpisywanie, śledzenie zmian i całą otoczkę z tym związaną. Na szczęście istnieje kilka prostych i darmowych metod, które każdy z nas powinien wdrożyć, aby je sobie ułatwić.
Używaj menedżera haseł
Menedżer haseł, taki jak np. LastPass czy 1Password może pomóc w wymyślaniu i zapamiętywaniu skomplikowanych haseł. Działa jak sejf, gdzie możemy uzyskać dostęp do naszego skarbca z hasłami za pomocą jednego silnego hasła głównego (to już musimy zapamiętać). Menedżer zapobiega nieautoryzowanemu dostępowi, chroniąc hasła poprzez silne szyfrowanie. Jest również wyposażony w generator, który pomaga tworzyć złożone hasła przy jednoczesnym ich bezpiecznym przechowywaniu.
Używaj uwierzytelniania wieloskładnikowego
Naprawdę warto skonfigurować uwierzytelnianie wieloskładnikowe dla wszystkich ważnych kont. Niektóre wymagają już uwierzytelniania wieloskładnikowego ze składnikiem biometrycznym w celu zwiększenia bezpieczeństwa, takich jak odcisk palca lub skan twarzy. Korzystanie z MFA wraz z długimi, skomplikowanymi hasłami znacząco zwiększa bezpieczeństwo konta. Wtedy, nawet jeśli atakujący zdobędzie lub zgadnie nasze hasło, nie będzie w stanie dostać się do konta i w znacznej większości przypadków po prostu zrezygnuje.
Wykonaj prosty audyt haseł
Sprawdź hasła do wszystkich swoich kont. Upewnij się, że nie używasz żadnego dla wielu witryn. Sprawdź, czy hasła, które tworzyłeś lata temu, nie są zbyt proste do odgadnięcia. Czy zawierają publiczne dane osobowe? Jeśli znajdziesz słabe lub powtarzające się hasła, od razu je zmień. Warto skorzystać tutaj ze stosunkowo nowych funkcji menedżera haseł Google czy pęku kluczy od Apple, gdzie możemy poprosić algorytmy o sprawdzenie, czy nasze hasła są silne oraz czy nie wyciekły.