Akademia NASK
a a a a
Serwisy społecznościowe
Serwisy społecznościowe

Hasła i bezpieczeństwo danych

Dziś Światowy Dzień Hasła – to relatywnie nowe święto, obchodzone w pierwszy czwartek maja, przypomina nam o dbaniu o bezpieczeństwo naszych danych przechowywanych w postaci elektronicznej. Jak uchronić swoje dane, jak budować dobre hasła
Początki haseł komputerowych sięgają roku 1961, gdy po raz pierwszy opracowano je w‍ Massachusetts Institute of Technology (MIT). Od tego czasu bardzo wiele się zmieniło, internet stał się powszechnie wykorzystywanym medium i jednocześnie wzrosła potrzeba stosowania dobrych haseł wraz ze wzrostem ilości usług, kont i przechowywanych w nich wrażliwych informacji.
W tym artykule postaram się przybliżyć ważne porady, jak uchronić swoje danejak budować dobre hasła i jak ich bezpiecznie używać. Nie zapomnij podzielić się tą wiedzą ze swoją rodziną, dziećmi i znajomymi!

Tworzenie bezpiecznego hasła

Haseł używasz każdego dnia - odblokowując smartfon, logując się do poczty czy bankowości elektronicznej. Bezpieczne hasła są kluczowe, gdy mówimy o ochronie naszej prywatności. Pamiętaj o tym, że dane kont pocztowych, dane osobiste i zasoby, które chronisz, będą bezpieczne tylko wtedy, kiedy używasz silnych haseł.

Wymagania a zalecenia

Większość stron i serwisów wprowadza wymagania, zmuszając użytkownika do umieszczania w haśle następujących rodzajów znaków:

  • wielkie litery
  • małe litery
  • cyfry
  • znaki specjalne 
Najnowsze badania wskazują jednak, że o wiele istotniejszym czynnikiem z punktu widzenia bezpieczeństwa (znacznie bardziej zwiększającym trudność odgadnięcia hasła) jest jego długość. CERT Polska zaleca, aby tworzyć możliwie długie hasła, zawierające minimum kilkanaście znaków. Mogą one składać się z całych zdań (jeśli tylko system pozwala na stworzenie tak długiego hasła).

Popularne hasła

Pomimo propagowania przez ekspertów ds. bezpieczeństwa cybernetycznego wiedzy dotyczącej zabezpieczania kont, informacji o atakach hakerskich i ich konsekwencjach udostępnianych przez środki masowego przekazu, wciąż najchętniej wybierane są najprostsze ciągi znaków.

W‍ kwietniu 2022 najpopularniejsze 10 haseł to:
  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678
  • 111111
  • 1234567890
W‍ tym przypadku popularność zdecydowanie nie jest dobra. Jeśli rozpoznajesz jakiekolwiek z powyższych haseł, koniecznie jak najszybciej zmień je na bezpieczniejsze. Konta, które je wykorzystują w praktyce w ogóle nie są zabezpieczone, ponieważ te hasła jako pierwsze są wypróbowywane podczas prób włamań.  Czy wiesz, że w przypadku tak prostych ciągów znaków, potencjalnemu hakerowi złamanie hasła zajmie mniej niż sekundę!

Tworząc hasło…

  • nie używaj tylko jednego słowa,
  • nie stosuj słów, które są obecne w‍ słownikach (można za to wykorzystać istniejące słowo, ale z błędem w pisowni, lub zamienionymi niektórymi literami na podobne do nich wizualnie symbole specjalne),
  • nie wykorzystuj do jego budowy informacji na twój temat, które mogą być znane innym osobom – jak np.: ważna data, imiona członków rodziny czy zwierząt domowych, adres zamieszkania bądź numer telefonu.

Hasło będzie dobre, gdy…

(jednocześnie)
  • uda Ci się je zapamiętać
  • nikt inny się go nie domyśli.
Co za tym idzie, długie ciągi przypadkowych znaków nie są dobrym materiałem na hasło, które mamy powierzyć swojej pamięci – w praktyce nie będzie się nam chciało ich zapamiętać.

W celu zbudowania dobrego hasła, które Ty odtworzysz z pamięci bez pomyłki, a inne osoby „nie wpadną” na ich brzmienie, możesz posłużyć się następującą metodą. Wybierz mało popularną piosenkę, wiersz lub cytat, którą lubisz i znasz na pamięć (wystarczy jedno zdanie), po czym użyj pierwszą literę lub pierwsze dwie litery z każdego wyrazu i połącz wszystko w jeden ciąg znaków. Jeśli uzyskany w ten sposób „wyraz” będzie miał kilkanaście liter i znajdą się w nim także cyfry i znaki specjalne – gratulacje, stworzyłeś właśnie bardzo dobre hasło!

Ze względu na to, że dla każdego hasła powyższy proces trzeba przeprowadzić od nowa, aby się nie pogubić, dobrym pomysłem będzie sporządzenie listy stron internetowych (czy aplikacji) wymagających logowania. Przy każdej z nich można dodać krótką podpowiedź, która nie będzie zawierała hasła, ale przypomni Ci, czym kierowałeś się wymyślając je. Mogą wystarczyć choćby1-2 wyrazy, które będą się Tobie kojarzyć z określonym cytatem, ale nie będą w oczywisty sposób wskazywać na jego źródło. Tak przygotowaną podpowiedź możesz przechowywać czy to na kartce trzymanej w portfelu, czy w aplikacji z notatkami w naszym (zabezpieczonym przed dostępem osób postronnych) telefonie.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikoweChoć uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), jako technologia zaczęło działać już w‍ 1986 roku, dopiero ostatnia dekada doprowadziła do istotnej popularyzacji tego narzędzia. Nazywane jest także uwierzytelnianiem dwuetapowym lub logowaniem dwuetapowym. Obecnie taka forma zabezpieczenia jest uniwersalnie wymagana dla kont dających dostęp do bankowości elektronicznej, a coraz częściej spotyka się także możliwość włączenia go dla poczty elektronicznej, magazynów danych w chmurze, gier wideo i innych usług sieciowych.

Ideą dwuskładnikowego uwierzytelnienia jest konieczność weryfikacji nie tylko za pomocą hasła, ale też informacji innego typu, która przekazywana jest np. w postaci kodu poprzez wiadomość SMS. W wielu bankach wciąż możliwe jest zamawianie specjalnych kart z wydrukowanymi kodami. To ostatnie rozwiązanie może nie być praktyczne, jeśli często musimy potwierdzać w ten sposób swoją tożsamość.

Wiele instytucji i firm wprowadziło z kolei uwierzytelnianie dwuskładnikowe jako wymagane przy logowaniu do swoich systemów i często wykorzystuje specjalne urządzenia lub specjalne aplikacje dla smartfonów, generujące jednorazowe kody. Alternatywnie, niektóre usługi umożliwiają włączenie innego typu potwierdzenia tożsamości np. wprowadzenie poprzez panel dotykowy (ustalonego wcześniej) kształtu, odcisku palca czy sczytanie obrazu twarzy właściciela konta za pomocą trójwymiarowej kamery w smartfonie. Taka autoryzacja może również zostać używa jako etap weryfikacji dwuskładnikowej. Warto korzystać z takich rozwiązań, aby podnieść poziom naszego cyfrowego bezpieczeństwa.

Dobre praktyki bezpieczeństwa danych

1. Nie loguj się przez link

Jeśli otrzymujesz prośbę o podanie hasła w miejscu innym niż oficjalna strona usługi, dla której zostało to hasło utworzone, najprawdopodobniej masz do czynienia z próbą oszustwa.

Unikaj też otwierania wymagających logowania stron poprzez link. Nawet jeśli wiadomość brzmi wiarygodnie, wcale taka być nie musi. Łącze mogło zostać spreparowane i otwierana nim strona będzie prowadziła do serwera zarządzanego przez oszustów. Nawet jeśli wygląd strony będzie identyczny z prawdziwą witryną, gdy tylko wprowadzisz swoje dane, zostaną one przekazane przestępcom.

Zamiast otwierać stronę logowania z linku, używaj sprawdzonego adresu strony, którą chcesz odwiedzić. Jeśli nie pamiętasz właściwego adresu, a pasek przeglądarki go nie podpowiada - użyj wyszukiwarki takiej jak Google, aby odnaleźć potrzebną stronę. Jedynym wyjątkiem, kiedy bezpiecznie jest otwierać stronę logowania z linku jest sytuacja, gdy sami poprosimy o taki link (np. użyjemy opcji przypominania hasła).

2. Stosuj różne hasła

Nie używaj tego samego hasła do różnych stron, usług, aplikacji czy urządzeń, jeśli znajdują się w‍ nich Twoje dane (choćby używany regularnie adres e-mail). Jeśli korzystasz z wielu stron i wymyślanie innego hasła dla każdej z nich jest kłopotliwe, możesz użyć opcji logowania za pomocą już istniejącego profilu (np. konta Google, Facebook itp.) lub użyć menedżera haseł do wygenerowania bezpiecznego, unikalnego hasła dla każdej witryny.

3. Pilnuj swoich haseł

Nigdy nie pozwalaj na zapamiętanie haseł w przeglądarce, jeśli używasz konta (pulpitu) niezabezpieczonego hasłem lub jeśli więcej osób z niego korzysta. Wiele serwisów umożliwia dostęp do wspólnego konta za pomocą różnych loginów i przypisanych do nich haseł – utworzenie różnych profili z osobnymi hasłami dla każdej osoby jest bezpieczniejszym rozwiązaniem niż dzielenie się tymi samymi danymi logowania.

Nawet jeśli używasz sprzętu wspólnie z godnymi zaufania osobami, może się zdarzyć np. że ktoś przyjdzie do nich w odwiedziny i wykorzysta chwilę nieuwagi, aby wejść na waszą historię przeglądarki oraz sprawdzi zapisane hasła. Jeśli już musisz udostępnić swoje hasło komuś innemu, upewnij się, że żadne inne Twoje konto nie korzysta z tego samego hasła, a najlepiej zmień je, gdy tylko druga osoba przestanie z niego korzystać.

4. Używaj osobnego adresu e-mail do rejestracji

Dobrze jest zachować swój prywatny adres e-mail w tajemnicy przed internetem – nie używać go do rejestracji na żadnych stronach i podawać go wyłącznie osobom, z którymi naprawdę chcemy utrzymywać kontakt.

Wielu operatorów poczty elektronicznej umożliwia stworzenie tzw. aliasów, czyli dodatkowych adresów e-mail, których możesz użyć właśnie w celu rejestracji swoich kont w różnych serwisach. Jednocześnie, jeśli uznasz, że otrzymujesz zbyt dużo niechcianej poczty lub gdy Twój adres zostanie upubliczniony, możesz wówczas utworzyć nowy alias, zmienić swój adres e-mail we wszystkich serwisach i usunąć ten alias, który został upubliczniony.

Nie należy nigdy umieszczać swojego adresu email w miejscach łatwo dostępnych w internecie, takich jak treść wpisów w mediach społecznościowych lub ogłoszenia publikowane w grupach czy forach internetowych. Twój adres może zostać automatycznie „sczytany” przez oprogramowanie stworzone właśnie w celu „łowienia danych”, a następnie użyty do rozsyłania spamu (niechcianych wiadomości). Dzięki tym działaniom zmniejszysz szansę włamania na Twoje konto e-mail i jednocześnie zminimalizujesz ilość otrzymywanej niepotrzebnej korespondencji.

5. Śledź duże wycieki haseł

Największym firmom informatycznym zdarzają się wpadki, które mogą skutkować wyciekiem danych. Później lista wszystkich odkrytych w ten sposób haseł może zostać upubliczniona. 
 
Śledź duże wycieki hasełObecnie da się dość łatwo sprawdzić, czy konkretne hasło nie „wyciekło”, tzn. czy nie zostało upublicznione jako skompromitowane. Taką weryfikację można przeprowadzić na stronie https://www.avast.com/hackcheck/result-no-leaks. Wprowadzenie Twojego adresu email na tej stronie pozwoli Ci sprawdzić, czy ten adres został upubliczniony, czy wraz z nim upublicznione zostało hasło użyte do utworzonego z jego pomocą konta oraz pozwoli Avast wysłać powiadomienie, jeśli w przyszłości odnotowany zostanie wyciek zawierający Twoje dane. Jeśli okaże się, że Twoje dane zostały upublicznione, powinieneś jak najszybciej je zmienić ­- dla każdego konta, które je stosowało, trzeba wymyślić inne, nowe, bezpieczne hasło. Jeśli wyciekł Twój adres e-mail, lepiej jest zaprzestać korzystania z niego i stworzyć nowe konto lub nowy alias wyłącznie na potrzeby rejestracji internetowych.

6. Korzystaj z menedżera haseł

Jeśli posiadasz wiele kont, korzystasz ze znacznej ilości usług i‍ wymyślanie nowych haseł sprawia Ci kłopot, możesz skorzystać z‍ aplikacji typu menedżer haseł. Taka aplikacja sama generuje bardzo dobre hasła dla każdej z usług, kont i witryn z jakich korzystasz. Wystarczy, jeśli wymyślisz jedno dobre hasło główne, którym będziesz autoryzować każde logowanie, realizowane z pomocą menedżera.

Oto przykłady dobrych, darmowych menedżerów haseł:
  • LastPass: lastpass.com
  • KeePass: keepass.info
  • Keeper: keepersecurity.com
  • Password Safe: pwsafe.org
  • Dashlane: dashlane.com  

7. Poprawianie bezpieczeństwa swoich haseł

Jeśli posiadasz wiele kont i myśl o stworzeniu całkiem innego hasła do każdego z nich budzi w Tobie dyskomfort, pamiętaj, że nie ma konieczności wymyślania haseł od nowa! Hasła, do których się przyzwyczailiśmy, można ulepszyć, dokonując w nich niewielkich zmian. Wystarczy np. dodać spacje między wyrazami, zmienić wielkość niektórych liter i dodać gdzieś nietypowy symbol, aby uzyskać o wiele bezpieczniejszą kombinację.

Dziecko i bezpieczne hasło

Dziecko i bezpieczne hasłoNajmłodszym użytkownikom sieci loginy i hasła dostępu nadajemy My – rodzice lub opiekunowie. Większość serwisów pozwala na założenie konta internetowego osobom od 13. roku życia. Ponadto według obowiązującego w Polsce prawa, po ukończeniu tego wieku, dziecko osiąga tak zwaną ograniczoną zdolność do czynności prawnych. Pozwala to na założenie dla nastolatka rachunku osobistego w banku wraz z kartą płatniczą. Dbając o bezpieczeństwo ich prywatności, zachęcamy Cię do rozmowy z nastolatkiem na temat tworzenia silnych haseł, ich przechowywania czy dwuetapowego uwierzytelniania. Posłuż się podanym przez nas przykładem i za pomocą ulubionej piosenki czy cytatu, utwórzcie wspólnie silne hasło. Powodzenia!
 
 
Źródła:
  • CERT Polska - Kompleksowo o hasłach
  • Metody tworzenia bardzo bezpiecznych haseł: Strong Password Ideas For Greater Protection (With Examples)  
  • Dobre praktyki tworzenia haseł: Password Best Practices - UC Santa Barbara Information Technology  
  • Co warto robić a czego unikać stosując hasła: Password Do’s and Don’ts – Krebs on Security
 

Andrzej Rylski NASK
Andrzej Rylski
NASK
 
Od 2016 r. pracuje w NASK, w Zespole Edukacji Cyfrowej. Specjalizuje się w zagadnieniach prywatności w sieci, gier wideo oraz fabularnych gier narracyjnych. W ramach Polskiego Centrum Programu Safer Internet (PCPSI) współorganizuje konferencje i inne wydarzenia poświęcone tematyce bezpieczeństwa dzieci w internecie. Od 2017 r. koordynuje działający przy NASK młodzieżowy panel doradczy działający przy PCPSI. Jest absolwentem pedagogiki ogólnej na Uniwersytecie Warszawskim, posiada dyplom wychowawcy kolonii oraz doświadczenie w organizowaniu i prowadzeniu rekreacyjno-szkoleniowych wyjazdów dla młodzieży a także wydarzeń online.
 
wszystkie posty

Newsletter

Zapisz się do naszej listy subskrypcyjnej


do góry Menu Strony

Newsletter

Zapisz się do naszej listy subskrypcyjnej

DROGI UŻYTKOWNIKU,

Przechodząc do serwisu poprzez kliknięcie odnośnika „Zgadzam się” wyrażasz zgodę na przetwarzanie przez nas Twoich danych osobowych.

POLITYKA COOKIES

Pliki cookies

Gdy korzystasz z naszych serwisów, gromadzimy informacje o Twojej wizycie i sposobie poruszania się w naszych serwisach. W tym celu stosujemy pliki cookies. Plik cookies zawiera dane informatyczne, które są umieszczone w Twoim urządzeniu końcowym - przeglądarce internetowej, z której korzystasz.

Pliki cookies używane w naszych serwisach wykorzystywane są między innymi do bieżącej optymalizacji serwisów oraz ułatwiania Twojego z nich korzystania. Niektóre funkcjonalności dostępne w naszych serwisach mogą nie działać, jeżeli nie wyrazisz zgody na instalowanie plików cookies.

Instalowanie plików cookies lub uzyskiwanie do nich dostępu nie powoduje zmian w Twoim urządzeniu ani w oprogramowaniu zainstalowanym na tym urządzeniu.

Stosujemy dwa rodzaje plików cookies: sesyjne i trwałe. Pliki sesyjne wygasają po zakończonej sesji, której czas trwania i dokładne parametry wygaśnięcia określa używana przez Ciebie przeglądarka internetowa oraz nasze systemy analityczne. Trwałe pliki cookies nie są kasowane w momencie zamknięcia okna przeglądarki, głównie po to, by informacje o dokonanych wyborach nie zostały utracone. Pliki cookies aktywne długookresowo wykorzystywane są, aby pomóc nam wspierać komfort korzystania z naszych serwisów, w zależności od tego czy dochodzi do nowych, czy do ponownych odwiedzin serwisu.


 

Do czego wykorzystujemy pliki cookies?

Pliki cookies wykorzystywane są w celach statystycznych oraz aby usprawnić działanie serwisów i zwiększyć komfort z nich korzystania, m.in:

  • pozwalają sprawdzić jak często odwiedzane są poszczególne strony serwisów - dane te wykorzystujemy do optymalizacji serwisów pod kątem odwiedzających;

  • umożliwiają rozpoznanie rodzaju Twojego urządzenia, dzięki czemu możemy lepiej dopasować sposób i format prezentowania treści oraz funkcjonalności serwisów;

  • poprawiają wydajność i efektywność serwisów dla korzystających.


 

W jaki sposób możesz nie wyrazić zgody na instalowanie plików cookies za pomocą ustawień przeglądarki?

Jeśli nie chcesz, by pliki cookies były instalowane na Twoim urządzeniu, możesz zmienić ustawienia swojej przeglądarki w zakresie instalowania plików cookies. W każdej chwili możesz też usunąć z pamięci swojego urządzenia pliki cookies zapisane w trakcie przeglądania naszych serwisów. Pamiętaj jednak, że ograniczenia w stosowaniu plików cookies mogą utrudnić lub uniemożliwić korzystanie z tych serwisów.
 

Wykorzystywane narzędzia firm trzecich

Niektóre pliki cookies są tworzone przez podmiot, z usług których korzystamy, np.

  • Google Inc.
    W naszych serwisach wykorzystujemy narzędzie Google Analytics do analizy ruchu na stronie internetowej oraz aktywności dotyczących jej przeglądania. Wykorzystujemy je w szczególności do celów statystycznych, aby sprawdzić jak często odwiedzane są poszczególne serwisy. Dane te wykorzystujemy również do optymalizacji i rozwoju serwisów. Więcej informacji na temat narzędzia Google Analytics znajdziesz na stronie: https://policies.google.com/technologies/cookies

  • Facebook
    Więcej informacji o zasadach plików cookies możesz znaleźć na:
    https://pl-pl.facebook.com/policies/cookies/

  • Youtube
    Więcej informacji o zasadach plików cookies możesz znaleźć na:
    https://policies.google.com/privacy?hl=pl&gl=pl

Podstawowe cookies są niezbędne aby strona mogła działać prawidłowo. Cookies funkcjonalne wykorzystujemy do analizowania wizyt na stronie internetowej. Pomoże nam to zrozumieć, jak często odwiedzane są poszczególne serwisy oraz pozwoli optymalizować i rozwijać stronę.