Jakie jest najlepsze hasło dostępu? Z pewnością nie najczęściej używany szyfr „123456”.
Hasła to klucze, które umożliwiają dostęp do osobistych informacji przechowywanych w komputerze/laptopie i na kontach online, dlatego sprawa ich doboru jest...kluczowa. Na dobrą sprawę hasła są warte tyle samo, co chronione przez nie informacje.
Jeden atak co minutę
Naukowcy z University of Maryland wykonali eksperyment, który miał pokazać, jak przedstawia się bezpieczeństwo przeciętnego słabo zabezpieczonego komputera, podłączonego do internetu. W Security Studies Laboratory przebadano pod tym kątem cztery maszyny z systemem operacyjnym Linux oraz stałym łączem internetowym. Po dokonaniu obliczeń, okazało się, że każdy z komputerów podczas testów był atakowany średnio co 39 sekund. Większość zagrożeń była efektem działania automatycznych skryptów, poszukujących słabego punktu w tysiącach atakowanych komputerów. Wielu hakerów stosowało metodę słownikową, w której ich skrypty próbowały „włamać się” do określonego komputera, testując po kolei według listy popularne nazwy użytkowników i hasła.
Jakie nazwy użytkowników najczęściej sprawdzali hakerzy? Upodobali sobie oni szczególnie użytkowników o nazwach: „root”, „admin”, „test”, „guest”, „info”, „adm”, „mysql”, „user” oraz „administrator”. Najczęściej wypróbowywanymi hasłami okazały się natomiast powtórzone loginy -nazwy użytkownika (aż 43 proc. prób) oraz kombinacje ich składowych liter. Hakerzy próbowali też szyfrów: „1234”, „12345”, „123456”, „1”, „123”, powtórzonych loginów z dołączonymi na końcu cyframi 123 oraz słówek „password” i „test”. Badacze z Maryland gorąco odradzają używanie haseł z tej hakerskiej „listy przebojów”.
Zapytacie Państwo zapewne, kto byłby tak naiwny, żeby za hasło obrać sobie cyferki: 12345? Okazuje się, że bardzo wielu z nas... Dobierając hasła dostępu do swoich internetowych kont bankowych i poczty, jesteśmy przeważnie mało pomysłowi i lekkomyślni. Taki błąd popełnił niedawno administrator strony internetowej powiatu brzeskiego, który użył (zbyt) prostego hasła, takiego, które jako jedno z pierwszych przychodzi na myśl włamywaczowi. Po wpisaniu nazwy użytkownika: admin oraz hasła: „admin1” potencjalny haker mógł dopisać dowolne treści na stronie, np. pozmieniać warunki ogłoszonych przetargów. Po interwencji dziennikarzy „Nowej Trybuny Opolskiej” hasło zmieniono.
O tych hasłach zapomnij
Robert Graham ze spółki Errata Security przeprowadził badania 28 tys. haseł, skradzionych niedawno użytkownikom jednego z popularnych serwisów i opublikowanych w sieci. 16 proc. z nich to były imiona: samych właścicieli kont lub ich bliskich oraz zwierzątek domowych. 14 proc. ogółu stanowiły ciągi cyfr: „1234”, „123456” lub kombinacje klawiszy w jednym szeregu, takie jak „qwerty” albo „1qaz2wsx”. Kolejne 5 proc. haseł to imiona gwiazd oraz tytuły lub imiona bohaterów filmów. O zgrozo, aż 4 proc. przeanalizowanych haseł to słowo „password” (czyli właśnie hasło). Stosunkowo często na straży danych pojawiają się także nazwy drużyn piłkarskich, producentów sprzętu komputerowego, emocjonalne wyrażenia „Iloveyou” lub „Ihateyou”, obojętne „whatever”/cokolwiek oraz najprostsze z możliwych „yes” i „no”.
Listę 15 najczęściej używanych, a zatem najgorszych haseł dostępu przedstawiamy w tabeli (bez uwzględniania wielkości liter). Pełne zestawienie 500 najpopularniejszych haseł, z którego pochodzi ten wyciąg, można znaleźć pod adresem: http://www.whatsmypass.com/?p=415 . Jeśli znajdujecie wśród nich któreś z waszych haseł, zmieńcie je natychmiast.
Nie warto ryzykować, bo jak wynika z badań firmy McAfee, nawet co czwarty Europejczyk jest narażony na ryzyko rozmaitych oszustw internetowych. Właśnie ze względu na mało pomysłowe, łatwe do złamania hasła (imię zwierzaka, nazwa hobby, nazwisko panieńskie matki, data urodzenia, nazwa drużyny, kolor). Ponadto blisko jedna czwarta europejskich internautów używa tego samego hasła do wszystkich swoich kont, a co drugi z nich nie zmienia nigdy raz ustanowionego hasła. Podobne wyniki dały brytyjskie badania Infosec.co.uk (43 proc. ankietowanych Brytyjczyków nigdy nie zmienia hasła lub czyni to rzadko, a 31 proc. używa tylko jednego hasła do wszystkiego) oraz ankieta polskiego serwisu pcworld.pl (spośród 5, 5 tys. przepytanych osób, ponad 39 proc. nigdy nie zmienia swojego hasła, a blisko 24 proc. robi to rzadko).
Bezpieczne hasła
Tim Pickard, rzecznik RSA Security w wywiadzie dla BBC apeluje, aby chronić swoje hasła, tak jak chroni się dane, do których one strzegą dostępu. Ostrzega, że „banalne hasło jest jak klucz zostawiony w drzwiach”. Zatem jak stworzyć hasło (prawie) idealne?
1. Bezpieczne hasła to kombinacje liter różnej wielkości, cyfr i znaków, w zależności od tego, jakie możliwości zapewnia nasz serwis bankowy czy internetowa skrzynka pocztowa. Hasło powinno wydawać się osobie postronnej ciągiem przypadkowych znaków, natomiast dla nas musi ono mieć ono ukryta logikę. Dobry pomysł to wymyślenie zdania, które na pewno zapamiętamy i skomponowanie hasła z pierwszych liter kolejnych słów w tym zdaniu oraz dodanych na początku i końcu kilku cyfr lub symboli. Gdzie jeszcze szukać inspiracji do tworzenia silnych haseł? Generowanie bezpiecznych, unikalnych haseł dostępu oferuje serwis: https://passpub.com/allpasswords.php . Interesująco przedstawia się tam np. opcja wzorów chemicznych.
2. Nie wpisujmy w hasłach oczywistych danych osobowych, takich jak nazwiska i imiona, daty urodzenia, PESEL, numery rejestracyjne samochodu itp. Login nie może być identyczny z hasłem.
3. Zawsze lepsze jest dłuższe, silne hasło. Powinno mieć co najmniej 8 znaków. Siłę hasła można sprawdzić tutaj: http://www.microsoft.com/poland/athome/security/privacy/password_checker.mspx .
4. Używajmy też różnych haseł do różnych serwisów, aby złamanie jednego z kodów nie wiązało się z ryzykiem włamania do wszystkich naszych danych, umieszczonych w różnych miejscach. Jeśli mamy dużo haseł i musimy je zapisać, nie przechowujmy ich online, nie zapisujmy ich w pliku o oczywistej nazwie, np. hasła, ale lepiej zanotujmy na kartce, którą dobrze schowamy.
5. Dr Cliffor Stoll, specjalista w zakresie nowoczesnych technologii, który przyczynił się do schwytania hakera wykradającego dane z amerykańskich wojskowych komputerów w latach 80., udzielił kiedyś takiej rady: „Niech hasło będzie dla każdego z nas jak szczoteczka do zębów, nie pożyczajmy go nikomu i wymieniajmy co pół roku”.
6. Nie logujmy się do poczty e-mail online, korzystając z komputerów, nad którymi nie mamy kontroli (np. kafejki internetowe, poczekalnie lotnisk, kioski multimedialne). Z kolei bezpieczeństwo własnego komputera zwiększymy, instalując legalne oprogramowanie oraz wszystkie poprawki i łaty zalecane przez jego producenta oraz zaopatrując się w oprogramowanie antywirusowe z najnowszymi definicjami wirusów. Korzystajmy też w miarę możliwości z oprogramowania lub urządzeń typu firewall.
7. Nie podawajmy haseł w wiadomości e-mail lub w odpowiedzi na żądanie przesłane pocztą e-mail. Nie logujmy się np. do serwisów transakcyjnych banków, korzystając z otrzymanych w ten sposób linków. Banki internetowe nigdy nie proszą o potwierdzanie lub przesyłanie haseł drogą e-mailową.
Agnieszka Labisko