iMagazine

Jak długie hasło musi być hasło, aby było bezpieczne?

01/08/2019, 10:00 · · · 17

Hasła są problematyczne odkąd zaczęły być wymagane dla naszego własnego bezpieczeństwa. Podpowiem, że nie było to od samego początku internetu. Jeszcze pamiętam czasy, kiedy na swoje konto mailowe logowałem się bez żadnego hasła. Dzisiaj nie wyobrażam sobie z kolei życia bez 1Password (lub innego programu do zarządzania hasłami). Musimy się po prostu dostosować.

Kilka dni temu pojawił się powyższy tweet, z załączoną grafiką, demonstrujący jak szybko można złamać hasło, jeśli mamy do dyspozycji moc 448 kart graficznych NVIDIA RTX 2080. Jeśli uważnie spojrzycie na legendy i dodatkowe opisy, to zauważycie kilka istotnych szczegółów technicznych, ale to nie temat na dzisiaj.

Większość użytkowników chce po prostu wiedzieć, jakie hasła powinniśmy stosować:

  • Jak długie mają być?
  • Jak mamy je zapamiętać?
  • Czy możemy używać to samo hasło w więcej niż jednym miejscu?
  • Gdzie mamy je przetrzymywać, aby były bezpieczne?

Jak długie ma być hasło?

Tak, wiem. Strony internetowe wymagają, aby hasło zawierało małą literę, dużą literę, znak i cyfrę. Do tego mają być dłuższe niż x znaków. To wbrew pozorom wcale nie jest najlepszą metodą na bezpieczne hasło. Zamiast tworzyć czegoś, czego raczej nigdy nie zapamiętacie, np. #93,dCYF, lepiej wymyślić hasło w stylu uncross-bony-theorist-cordovan-dubbin. Te pięć słów lepiej nas zabezpieczy niż wcześniejsze 8 znaków (oba hasła wygenerował mi 1Password, w którym można zdefiniować parametry generowanego hasła).

Sam nie korzystam już z haseł krótszych niż 16 znaków, ale realnie oscyluję w rejonie 30-50 znaków.

Jak mamy je zapamiętać i gdzie mamy je przetrzymywać, aby były bezpieczne?

Proponuję jedną z dwóch metod:

  1. Notatnik / zeszyt / kartka papieru, którą trzymacie w miarę bezpiecznym miejscu w domu. Nie żartuję – to zdecydowanie bezpieczniejsze niż korzystanie z hasła typu password1234 lub 123456. Ale jeśli możecie, to skorzystajcie z podpunktu 2.
  2. Program do zarządzania hasłami, typu 1Password, LastPass lub podobny (sam korzystam z 1Password).

Czy możemy używać to samo hasło w więcej niż jednym miejscu?

Źle zadałem pytanie, bo oczywiście, że możecie. Ale czy powinniście?

Nie! Zdecydowanie nie!

Każdy Wasz login powinien mieć inne hasło.

A nie lepiej w pamięci?

Jeśli potraficie zapamiętać każde hasło do każdego konta i są one odpowiedniej długości, to pewnie, że tak. Sam pamiętam tylko 3 hasła i nie mam ich nigdzie zapisanych – są tylko w mojej głowie:

  1. Hasło do 1Password.
  2. Hasła do konta bankowych.
  3. Hasło do mojego Apple ID.

2FA

W miarę możliwości korzystajcie też z podwójnej autoryzacji, ale unikajcie korzystania z SMS-ów aktywujących. Wbrew pozorom bardzo łatwo przejąć od kogoś kartę SIM (wystarczy trochę danych osobowych i można wyrobić sobie drugą kartę SIM u operatora z numerem telefonu ofiary). Lepiej korzystać z hardware’owych kluczy (są tanie) albo generatorów kodów typu Authy lub tego wbudowanego w 1Password.


Poświęćcie w ciągu roku chociaż kilka godzin na rewizję swoich kont i haseł do nich, aby zadbać o swoje bezpieczeństwo, bo któregoś dnia możecie się obudzić z ręką w nocniku. Zbyt wiele osób podchodzi do tego tematu lekceważąco.

17

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.


17
Dodaj komentarz

avatar
10 Comment threads
7 Thread replies
11 Followers
 
Most reacted comment
Hottest comment thread
11 Comment authors
Wojtek PietrusiewiczttkkDominikŁucjanAdrian Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Michał Wrona
Użytkownik

Dobry wpis, dziękuję.

🤨 🤨 🤨
Gość
🤨 🤨 🤨

Ech, nie mogę znaleźć odnośnika do strony autora grafiki? 🤨

Wojtek
Gość
Wojtek

Masz linka do tweeta we wpisie. Jeśli go nie widzisz to wyłącz adblocka.

Vamp
Gość
Vamp

Otwiera to oczy faktycznie. Właśnie mnie Wojtku natchnąłeś do zmiany wielu haseł. Jak w pracy mamy pewne wymogi odnośnie nich tak te używane prywatnie już widzę, że mam bardzo słabe.

Lukasz
Gość
Lukasz

Zamiast 1Password nie wystarczy generator haseł wbudowany w Safari i synchronizacja iCloud?

Wojtek
Gość
Wojtek

Tak. Jak najbardziej.

Bartek
Gość
Bartek

Pytanie o Applowski Keychain? Hot or not?

Wojtek
Gość
Wojtek

Używałbym.

Mariusz
Gość
Mariusz

Przestałem korzystać z 1password, kiedy wprowadzili model subskrybcji. Obecnie całkowicie zastapił mi je Apple Keychain i jakoś nie widzę potrzeby powrotu. Od iOS 12 jest to super zarządzane przez Apple

Adrian
Gość
Adrian

Hasło 30-50 znakowe? Paranoja?

Wojtek
Gość
Wojtek

Nie. Po prostu długość nie robi mi żadnej różnicy więc czemu nie?

Łucjan
Gość
Łucjan

Ok, ale czy hasła typu przykładowego „uncross-bony-theorist-cordovan-dubbin” nie da się po prostu złamać metodą słownikową…?

Wojtek
Gość
Wojtek

Specjaliści twierdzą że nie.

Dominik
Gość
Dominik

Właśnie ! Jak to jest z pękiem kluczy w Apple ? Jak bardzo jest bezpieczne, albo nie bezpieczne przechowywanie tam haseł ? Jak bardzo różni się od 1Passwort pod względem bezpieczeństwa ?

Wojtek
Gość
Wojtek

Możesz używać.

ttkk
Gość
ttkk

Hardwarowe klucze do uwierzytelniania U2F nie są już potrzebne. Ja korzystam z appki i plugina do przeglądarki

https://krypt.co/