Jak długie hasło musi być hasło, aby było bezpieczne?

Wojtek Pietrusiewicz

34

Dodane: 5 lat temu

Hasła są problematyczne odkąd zaczęły być wymagane dla naszego własnego bezpieczeństwa. Podpowiem, że nie było to od samego początku internetu. Jeszcze pamiętam czasy, kiedy na swoje konto mailowe logowałem się bez żadnego hasła. Dzisiaj nie wyobrażam sobie z kolei życia bez 1Password (lub innego programu do zarządzania hasłami). Musimy się po prostu dostosować.

Ever wondered what a #hashstack @hashcat cluster of 448x RTX 2080s could do for #password #cracking? How about 31.8 TH/s on NTLM, 17.7 TH/s on MD5 pic.twitter.com/k9DmxSULBz

— Terahash (@TerahashCorp) July 27, 2019

Kilka dni temu pojawił się powyższy tweet, z załączoną grafiką, demonstrujący jak szybko można złamać hasło, jeśli mamy do dyspozycji moc 448 kart graficznych NVIDIA RTX 2080. Jeśli uważnie spojrzycie na legendy i dodatkowe opisy, to zauważycie kilka istotnych szczegółów technicznych, ale to nie temat na dzisiaj.

Większość użytkowników chce po prostu wiedzieć, jakie hasła powinniśmy stosować:

• Jak długie mają być?
• Jak mamy je zapamiętać?
• Czy możemy używać to samo hasło w więcej niż jednym miejscu?
• Gdzie mamy je przetrzymywać, aby były bezpieczne?

Jak długie ma być hasło?

Tak, wiem. Strony internetowe wymagają, aby hasło zawierało małą literę, dużą literę, znak i cyfrę. Do tego mają być dłuższe niż x znaków. To wbrew pozorom wcale nie jest najlepszą metodą na bezpieczne hasło. Zamiast tworzyć czegoś, czego raczej nigdy nie zapamiętacie, np. #93,dCYF, lepiej wymyślić hasło w stylu uncross-bony-theorist-cordovan-dubbin. Te pięć słów lepiej nas zabezpieczy niż wcześniejsze 8 znaków (oba hasła wygenerował mi 1Password, w którym można zdefiniować parametry generowanego hasła).

Sam nie korzystam już z haseł krótszych niż 16 znaków, ale realnie oscyluję w rejonie 30-50 znaków.

Jak mamy je zapamiętać i gdzie mamy je przetrzymywać, aby były bezpieczne?

Proponuję jedną z dwóch metod:

1. Notatnik / zeszyt / kartka papieru, którą trzymacie w miarę bezpiecznym miejscu w domu. Nie żartuję – to zdecydowanie bezpieczniejsze niż korzystanie z hasła typu password1234 lub 123456. Ale jeśli możecie, to skorzystajcie z podpunktu 2.
2. Program do zarządzania hasłami, typu 1Password, LastPass lub podobny (sam korzystam z 1Password).

Czy możemy używać to samo hasło w więcej niż jednym miejscu?

Źle zadałem pytanie, bo oczywiście, że możecie. Ale czy powinniście?

Nie! Zdecydowanie nie!

Każdy Wasz login powinien mieć inne hasło.

A nie lepiej w pamięci?

Jeśli potraficie zapamiętać każde hasło do każdego konta i są one odpowiedniej długości, to pewnie, że tak. Sam pamiętam tylko 3 hasła i nie mam ich nigdzie zapisanych – są tylko w mojej głowie:

1. Hasło do 1Password.
2. Hasła do konta bankowych.
3. Hasło do mojego Apple ID.

2FA

W miarę możliwości korzystajcie też z podwójnej autoryzacji, ale unikajcie korzystania z SMS-ów aktywujących. Wbrew pozorom bardzo łatwo przejąć od kogoś kartę SIM (wystarczy trochę danych osobowych i można wyrobić sobie drugą kartę SIM u operatora z numerem telefonu ofiary). Lepiej korzystać z hardware’owych kluczy (są tanie) albo generatorów kodów typu Authy lub tego wbudowanego w 1Password.

Poświęćcie w ciągu roku chociaż kilka godzin na rewizję swoich kont i haseł do nich, aby zadbać o swoje bezpieczeństwo, bo któregoś dnia możecie się obudzić z ręką w nocniku. Zbyt wiele osób podchodzi do tego tematu lekceważąco.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.