Te zdania pojawiają się w niemal każdym internetowym formularzu rejestracyjnym, a dziś wszyscy mamy po kilka, kilkanaście lub kilkadziesiąt internetowych kont. Ale jakie tak naprawdę powinno być idealne hasło?
Internet jest relatywnie młodym wynalazkiem. A jeszcze młodsze jest zjawisko powszechnego dostępu do szybkiego internetu. Dlatego i reguły postępowania (jeśli już jakieś istnieją, bo internet wciąż jest systemem słabo uregulowanym) powstawały w ostatnich latach niejako „na naszych oczach”, metodą prób i błędów.
Jeśli zakładałeś jakiekolwiek konto internetowe po 2003 roku – niezależnie od tego, czy był to profil na Facebooku, czy adres mailowy, czy hasło do kalendarza urlopowego w pracy – najpewniej spotkałeś się z regułami tworzenia haseł, które przyjęto właśnie w 2003 roku.
Regułami, z których twórca po latach się wycofał.
Zacznijmy od początku.
Kto to wymyślił!?
Kilkanaście lat temu niejaki Bill Burr pracował na stanowisku managerskim w amerykańskim Instytucie ds. Standardów i Technologii. W 2003 roku spisał wytyczne dotyczące bezpiecznego tworzenia haseł, wśród których znalazła się między innymi następująca zasada:
Hasło powinno składać się z wielkich i małych liter, cyfr i znaków specjalnych, oraz powinno się je zmieniać co trzy miesiące.
Chociaż od 2003 roku owe wytyczne były aktualizowane, konsekwencje sugestii Burra odczuwamy do dziś. W mniejszym stopniu dotyczą one popularnych serwisów społecznościowych, które rzadko zmuszają użytkowników do regularnego wymieniania haseł. W większym: oprogramowania instalowanego na komputerach biurowych. Bo współczesne firmy zmuszają sfrustrowanych pracowników do zmieniania haseł co kilka tygodni lub miesięcy.
A co na to sam Burr?
14 lat po powstaniu wspomnianego wyżej dokumentu, w roku 2017, w wywiadzie udzielonym Wall Street Journal, 72-letni wówczas emeryt Bill Burr z rozbrajającą szczerością przyznał: - Efekty moich wytycznych dotyczących haseł... nie chciałem, żeby tak to wyszło, a ludzie do dziś się na nie wkurzają. (...) Ogrom żalu, który wywołały jest niewspółmierny do ich realnej przydatności.
Dziś żałuję tego, co wtedy napisałem - Bill Burr o stworzonych przez niego wytycznych dot. tworzenia haseł, do których do dziś się stosujemy.
Czytaj więcej: W ten sposób łatwo sprawdzisz, jakie informacje na twój temat ma Facebook. Uważaj, możesz być zaskoczony swoim odkryciem
Jakie dokładnie były konsekwencje dokumentu napisanego przez Burra?
- Przez lata branża bezpieczeństwa wbijała ludziom do głowy, że dobre hasło musi składać się z liter, cyfr, znaków specjalnych i w szczególności nie powinno pochodzić ze słownika – mówi Rafał Skoczylas, Dyrektor ds. Zarządzania Bezpieczeństwem i Ryzykiem w fintechu FinAi. - To wszystko ma sens, nie uwzględnia jednak podstawowych ludzkich cech, czyli lenistwa i niskiej zdolności do zapamiętywania skomplikowanych ciągów przypadkowych znaków.
Ale zaraz, zaraz. Dlaczego Skoczylas – podobnie zresztą jak i inni specjaliści ds. bezpieczeństwa – wymyśla nam od leni? Żeby odpowiedzieć na to pytanie, musimy na chwilę cofnąć się do roku 2016, kiedy firma Keeper Security przeanalizowała 10 milionów haseł do różnych serwisów, wrzuconych do sieci przez hakerów. Pierwsza dziesiątka wyglądała następująco:
1. 123456
2. 123456789
3. qwerty
4. 12345678
5. 111111
6. 1234567890
7. 1234567
8. password
9. 123123
10. 987654321
Dodajmy, że nie był to pierwszy raz, gdy Keeper Security postanowiło zbadać hasła, które wyciekły – i w poprzednich latach hasło „123456” było równie popularne. Więc tak – jesteśmy leniami. A konieczność używania cyfr, wielkich liter i znaków specjalnych niewiele dała.
- Takie podejście wykształciło powszechne stosowanie haseł typu "Wiosna2018!!" bądź też w bardziej wyrafinowanej formie "2018Wi0sn4!!" – tłumaczy Skoczylas. – Prawda jest jednak taka, że hasła tego typu są bardzo słabe i łatwe do złamania. Systemy przełamujące hasła posługują się wzorcami i schematami, które bez najmniejszego problemu traktują hasła: Wiosna, Wi0sn4, W105NA, Wiosna1, Wiosna2018 jako jedno i to samo.
Jak stworzyć mocne hasło?
Kiedy więc możemy mówić o dobrym haśle? Nie tylko wtedy, kiedy jest trudne do odgadnięcia, ale i wtedy, kiedy jest dla nas proste do zapamiętania.
Raz jeszcze oddajmy głos Rafałowi Skoczylasowi:
- W dobrym haśle chodzi o entropię, czyli losowość, nieuporządkowanie. Najlepsze hasło to długi ciąg losowych znaków, np. „js*heT3kM4lmMnofJr%488!neKJ”, jednak wiadomo, że ludzie nie mają rozwiniętych kompetencji zapamiętywania takich ciągów, szczególnie jeśli trzeba ich zapamiętać kilkanaście lub kilkadziesiąt. Zamiast tego można wybrać hasło długie ale łatwiejsze do zapamiętania, np. „CzteryKonieNaBetonie4Konie”. Takie hasło jest stosunkowo łatwe do zapamiętania, ale ma znacznie większą entropię niż np. „4Konie!!##”. Dzięki temu jest o rzędy wielkości trudniejsze do odgadnięcia. A mówiąc precyzyjniej: jego odgadnięcie będzie trwało znacznie dłużej – nie godziny lub dni, a lata.
Jak jeszcze możemy się zabezpieczyć?
Jeśli mamy olbrzymie problemy z zapamiętywaniem nawet prostszych haseł, złożonych ze słów znajdujących się w słowniku, możemy skorzystać ze specjalnych menadżerów haseł, które potrafią wygenerować krótsze lub dłuższe ciągi znaków i zapamiętać je dla nas. Taki menadżer haseł jest proponowany przez wspomnianą kilka akapitów wcześniej firmę Keeper Security.
Zaleca się również – tam, gdzie to możliwe – ustawienie sobie logowania wielopoziomowego. Już teraz można połączyć swoje konto na Facebooku lub na Googlu z telefonem komórkowym – w takim momencie nawet, jeśli ktoś odgadnie nasze hasło, my momentalnie dostaniemy powiadomienie na smartfona.
Warto też pamiętać o dobrych praktykach, które mogą wydawać się oczywiste, a o których wiele osób zapomina. Np. nie opierajmy haseł na słowach lub liczbach związanych z informacjami na nasz temat – szyfr opierający się na imieniu naszego psa lub na dacie urodzin naszego dziecka może być łatwy do złamania. Nie zapisujmy sobie też haseł na kartkach – tylko szyfr trzymany w głowie jest odpowiednio zabezpieczony przed złodziejami.
No, przynajmniej do czasu, w którym złodzieje będą mogli podróżować po naszych mózgach, jak bohaterowie „Incepcji”.
