Sponsorem mojego pierwszego wpisu jest literka ‚h’, h jak „hasło”. Hasło trudne do odgadnięcia przez innych to podstawowy element pozwalający zabezpieczyć dostęp do naszych zasobów. Nieważne czy chodzi o skrzynkę pocztową, serwis bankowości elektronicznej czy portfel blockchain, utrata dostępu do powyższych będzie zawsze dotkliwą stratą.
Jest wiele teorii mówiących o tym jak długie i skomplikowane powinnny być hasła. Ja na początek skupię się na tym jakich haseł nie powinno się używać. Na pewno nie mogą to być hasła będące wyrazami, które można znaleźć w słowniku. Nie jest też dobrym pomysłem użycie informacji, które są łatwe do powiązania z naszą osobą; data czy miejsce urodzenia nas samych lub bliskiej nam osoby zdecydowanie nie są dobrym wyborem. Dodatkowo należy pamiętać, że o sile hasła stanowi nie tylko jego długość i unikalność, ale również zbiór znaków spośród których wybrano te składające się na hasło.
Przyjrzyjmy się temu prostemu przykładowi:
| Hasło | Słownik | Kombinacje |
|---|---|---|
| haslo | 26 | 12 356 630 |
| Haslo | 52 | 387 559 012 |
| H@sl0 | 96 | 7 820 126 495 |
Słowo „haslo” składa się z pięciu znaków spośród 26 znaków w alfabecie łacińskim (bez narodowych znaków diakrytycznych). Istnieje 12 356 629 innych kombinacji pięcioznakowych fraz, czyli w najmniej sprzyjającym scenariuszu nasze proste hasło zostanie odgadnięte po tylu właśnie próbach. Dodając wielką literę „Haslo” zwiększamy słownik do 52 znaków, a ilość możliwych kombinacji do 387 milionów, rozbudowując hasło o znak specjalny i cyfrę (w przykładzie na końcu jest zero) rozmiar słownika zwiększa się do 96, a liczba kombinacji do prawie 8 miliardów. Czy to oznacza że ”H@sl0″ z zerem na końcu jest bezpiecznym wyborem? Zdecydowanie nie. Dlaczego?
Po pierwsze jest zbyt krótkie; już teraz większość systemów wymaga hasła o długości co najmniej 8 znaków. Moim zdaniem hasło składające się z 12 znaków z 96 znakowego słownika to optymalny kompromis między jego „siłą” i kłopotem jaki sprawi nam jego zapamiętanie. Po drugie, wiele ataków na hasła użytkowników wykorzystuje metody słownikowe, w których w pierwszej kolejności wykorzystywana jest lista znanych haseł. Osoby przeprowadzające takie ataki doskonale sobie zdają sprawę z istnienia metod ‚wzmacniania’ haseł podmianą znaków a=@, s=$ czy o=0 i takie wersje popularnych słów już znajdują się w używanych przez nich słownikach. Dlatego odgadnięcie hasła „H@sl0” wcale nie musi wymagać prawie 8 miliardów prób.
No dobrze, wymyśliliśmy już nasze trudne hasło składające się z małych i wielkich liter, cyfr i znaków specjalnych, ba, nawet je zapamiętaliśmy. Teraz większość z nas, ja sam jeszcze kilka lat temu nie byłem w tym względzie wyjątkiem, postanawia je wykorzystać we wszystkich usługach i serwisach internetowych, w których zarejestrowaliśmy konta. To wygodne, ale czy na pewno bezpieczne? Zdecydowanie nie. Anglosasi ukuli poręczny termin, TNO, TrustNoOne – nie ufaj nikomu. W tym konkretnym przypadku nie ufaj żadnemu serwisowi w Internecie i nie zakładaj, że podane w czasie rejestracji nasze z takim trudem wymyślone i zapamiętane hasło nie zostanie upublicznione. Wcale nie tak odległa historia zna przypadki wycieków danych w tym haseł wielu setek tysięcy, a nawet setek milionów użytkowników. Jest duża szansa, że Twoje hasło było jednym z nich (moje też było), a jeśli to samo hasło było użyte w kilku miejscach to wyobraźnia może podsunąć kilka scenariuszy.
Jeden serwis, jedno hasło; brzmi rozsądnie, prawda? Tylko jak to wszystko zapamiętać? Z pomocą przyjdzie manager haseł, o tym w kolejnym wpisie.