Mastodon
Zdjęcie okładkowe wpisu Jak długie hasło musi być hasło, aby było bezpieczne?

Jak długie hasło musi być hasło, aby było bezpieczne?

34
Dodane: 5 lat temu

Hasła są problematyczne odkąd zaczęły być wymagane dla naszego własnego bezpieczeństwa. Podpowiem, że nie było to od samego początku internetu. Jeszcze pamiętam czasy, kiedy na swoje konto mailowe logowałem się bez żadnego hasła. Dzisiaj nie wyobrażam sobie z kolei życia bez 1Password (lub innego programu do zarządzania hasłami). Musimy się po prostu dostosować.

Kilka dni temu pojawił się powyższy tweet, z załączoną grafiką, demonstrujący jak szybko można złamać hasło, jeśli mamy do dyspozycji moc 448 kart graficznych NVIDIA RTX 2080. Jeśli uważnie spojrzycie na legendy i dodatkowe opisy, to zauważycie kilka istotnych szczegółów technicznych, ale to nie temat na dzisiaj.

Większość użytkowników chce po prostu wiedzieć, jakie hasła powinniśmy stosować:

  • Jak długie mają być?
  • Jak mamy je zapamiętać?
  • Czy możemy używać to samo hasło w więcej niż jednym miejscu?
  • Gdzie mamy je przetrzymywać, aby były bezpieczne?

Jak długie ma być hasło?

Tak, wiem. Strony internetowe wymagają, aby hasło zawierało małą literę, dużą literę, znak i cyfrę. Do tego mają być dłuższe niż x znaków. To wbrew pozorom wcale nie jest najlepszą metodą na bezpieczne hasło. Zamiast tworzyć czegoś, czego raczej nigdy nie zapamiętacie, np. #93,dCYF, lepiej wymyślić hasło w stylu uncross-bony-theorist-cordovan-dubbin. Te pięć słów lepiej nas zabezpieczy niż wcześniejsze 8 znaków (oba hasła wygenerował mi 1Password, w którym można zdefiniować parametry generowanego hasła).

Sam nie korzystam już z haseł krótszych niż 16 znaków, ale realnie oscyluję w rejonie 30-50 znaków.

Jak mamy je zapamiętać i gdzie mamy je przetrzymywać, aby były bezpieczne?

Proponuję jedną z dwóch metod:

  1. Notatnik / zeszyt / kartka papieru, którą trzymacie w miarę bezpiecznym miejscu w domu. Nie żartuję – to zdecydowanie bezpieczniejsze niż korzystanie z hasła typu password1234 lub 123456. Ale jeśli możecie, to skorzystajcie z podpunktu 2.
  2. Program do zarządzania hasłami, typu 1Password, LastPass lub podobny (sam korzystam z 1Password).

Czy możemy używać to samo hasło w więcej niż jednym miejscu?

Źle zadałem pytanie, bo oczywiście, że możecie. Ale czy powinniście?

Nie! Zdecydowanie nie!

Każdy Wasz login powinien mieć inne hasło.

A nie lepiej w pamięci?

Jeśli potraficie zapamiętać każde hasło do każdego konta i są one odpowiedniej długości, to pewnie, że tak. Sam pamiętam tylko 3 hasła i nie mam ich nigdzie zapisanych – są tylko w mojej głowie:

  1. Hasło do 1Password.
  2. Hasła do konta bankowych.
  3. Hasło do mojego Apple ID.

2FA

W miarę możliwości korzystajcie też z podwójnej autoryzacji, ale unikajcie korzystania z SMS-ów aktywujących. Wbrew pozorom bardzo łatwo przejąć od kogoś kartę SIM (wystarczy trochę danych osobowych i można wyrobić sobie drugą kartę SIM u operatora z numerem telefonu ofiary). Lepiej korzystać z hardware’owych kluczy (są tanie) albo generatorów kodów typu Authy lub tego wbudowanego w 1Password.


Poświęćcie w ciągu roku chociaż kilka godzin na rewizję swoich kont i haseł do nich, aby zadbać o swoje bezpieczeństwo, bo któregoś dnia możecie się obudzić z ręką w nocniku. Zbyt wiele osób podchodzi do tego tematu lekceważąco.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 34

Masz linka do tweeta we wpisie. Jeśli go nie widzisz to wyłącz adblocka.

Otwiera to oczy faktycznie. Właśnie mnie Wojtku natchnąłeś do zmiany wielu haseł. Jak w pracy mamy pewne wymogi odnośnie nich tak te używane prywatnie już widzę, że mam bardzo słabe.

Masz linka do tweeta we wpisie. Jeśli go nie widzisz to wyłącz adblocka.

Otwiera to oczy faktycznie. Właśnie mnie Wojtku natchnąłeś do zmiany wielu haseł. Jak w pracy mamy pewne wymogi odnośnie nich tak te używane prywatnie już widzę, że mam bardzo słabe.

Przestałem korzystać z 1password, kiedy wprowadzili model subskrybcji. Obecnie całkowicie zastapił mi je Apple Keychain i jakoś nie widzę potrzeby powrotu. Od iOS 12 jest to super zarządzane przez Apple

Nie. Po prostu długość nie robi mi żadnej różnicy więc czemu nie?

Właśnie ! Jak to jest z pękiem kluczy w Apple ? Jak bardzo jest bezpieczne, albo nie bezpieczne przechowywanie tam haseł ? Jak bardzo różni się od 1Passwort pod względem bezpieczeństwa ?

Właśnie ! Jak to jest z pękiem kluczy w Apple ? Jak bardzo jest bezpieczne, albo nie bezpieczne przechowywanie tam haseł ? Jak bardzo różni się od 1Passwort pod względem bezpieczeństwa ?

Przestałem korzystać z 1password, kiedy wprowadzili model subskrybcji. Obecnie całkowicie zastapił mi je Apple Keychain i jakoś nie widzę potrzeby powrotu. Od iOS 12 jest to super zarządzane przez Apple

Nie. Po prostu długość nie robi mi żadnej różnicy więc czemu nie?