Hasło nigdy nie może być publicznie dostępne osobom trzecim. Jeśli laptop z przyklejonym hasłem jest dostępny publicznie, jest to porażka, nie należy zapisywać haseł zabezpieczających na rzeczach które są tym hasłem zabezpieczane i które można ukraść. Nie wolno zapisywać kodu PIN karty płatniczej na karcie, ani na karteczce noszonej w tym samym portfelu! Ale hasło do poczty, Facebooka czy Naszej Klasy lepiej mieć skomplikowane (na przykład pierwsze litery słów ulubionej piosenki) i zapisać na noszonej w portfelu karteczce, niż ustawić "1234", które zostanie złamane przez każdego włamywacza. Dzięki zapisywaniu haseł, użytkownik może zabezpieczyć się przed skryptami testującymi do skutku całe słowniki haseł.
A prawda jest taka, że haseł mamy dużo. Za dużo. Kończy się to recyklingiem - używaniem jednego hasła w kilku miejscach, a to dużo groźniejsze, jeśli hasło jest proste a serwis ważny i popularny - włamanie do jednego z serwisów gdzie używamy tego samego hasła może doprowadzić przestępców do innych kont zarejestrowanych na ten sam adres i zabezpieczonych tym samym hasłem.
Na koniec dwie anegdoty, nie ręczę za autentyczność, ale pokazują niekonwencjonalne - i bezpieczne - podejście do przechowywania haseł. Pewien człowiek zapisał PIN do karty płatniczej na ścianie przy bankomacie. Znajomość samego PIN-u nic przestępcy nie da, jeśli nie wie on, do jakiej karty płatniczej jest on przypisany. Niestety ta metoda ma wadę - anegdota mówi, że ścianę koło bankomatu pomalowano, i człowiek przyszedł do banku z pretensjami, że nie może się dostać do swoich pieniędzy..
Druga anegdota, która podawał kiedyś Bruce Schneier, światowej sławy ekspert od bezpieczeństwa informatycznego, mówi o człowieku któremu nie chciało się nosić ze sobą tokena - breloczka pokazującego co kilka minut nowe hasło do logowania się do jakiejś usługi. Pomysłowy człowiek zainstalował w komputerze kamerę (webcam), wycelował w leżący token, a obraz udostępnił w znanym tylko sobie miejscu w sieci. Tak długo jak nie wiadomo czyj to jest token i gdzie można się za jego pomocą zalogować, niebezpieczeństwa nie ma.
Hasła można zapisywać w przeglądarce - ale jeśli jest ona zainstalowana na urządzeniu przenośnym, laptopie, tablecie czy telefonie, jego pamięć masową (dysk, pamięć na dane aplikacji) należy koniecznie zaszyfrować. Bez tego, po stracie urządzenia, jego szczęśliwy znalazca uzyska dostęp do wszystkich kont, których hasła tam zapisaliśmy.
Kółka z kluczami też nie podpisujemy adresem.
Powyższy tekst jest luźno inspirowany wystąpieniem błyskawicznym przedstawiciela Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL podczas konferencji Secure 2010.
Janusz A. Urbanowicz jest konsultantem w dziedzinie technologii internetowych i bezpieczeństwa oraz komentatorem technologii. Prowadzi bloga Fnord.pl .
