10 zasad, które uchronią Cię przed złamaniem hasła.

Total
0
Shares

Aby uniemożliwić zhakowanie swoich haseł przy pomocy socjotechniki, metody brute force lub ataku słownikowego oraz aby zapewnić bezpieczeństwo swoim kontom online, pamiętaj:

1. Nie używaj tego samego hasła, pytania bezpieczeństwa i odpowiedzi dla wielu ważnych kont

W przypadku, gdy Twoje hasło wycieknie z bazy danych jednego serwisu, dane we wszystkich innych usługach, w których zostało użyte będą narażone na kradzież.
Przy tworzeniu pytań pomocniczych używaj pytań na które tylko Ty znasz odpowiedź, lub nie da się znaleźć odpowiedzi na nie w internecie.
Przykładami takich pytań mogą być:

  • Jakiego koloru sukienkę miałam na pierwszej randce ze swoim mężem?
  • Kiedy oświadczyłem się swojej żonie?
  • Jaki rodzaj słodkości lubię najbardziej?
  • Jakiej muzyki lubię słuchać, ale wolałabym się tym nie chwalić (guilty pleasure)?
  • Jak zwracam się do żony, gdy jesteśmy sami?

Unikaj pytań z prostą do znalezienia odpowiedzią:

  • Jak brzmi nazwisko panieńskie mojej żony?
  • Jak nazywa się mój pies?
  • W którym roku skończyłem studia?
  • Jakie jest moje ulubione hobby?
  • W którym roku pierwszy raz poszedłem do szkoły?

2. Używaj hasła, które ma co najmniej 16 znaków, zawiera co najmniej jedną cyfrę, jedną wielką literę, jedną małą literę i jeden znak specjalny.

Kiedyś w zupełności wystarczały losowe hasła o długości 8 znaków, jednak obecnie złamanie tego hasła zajmuje około 8 godzin. Na poniższej grafice możesz zobaczyć, ile w przybliżeniu komputerowi zajmie złamanie hasła o 6, 8 i 16 znakach.

Co prawda złamanie hasła już dziewięcioznakowego trwa ponad tydzień. Pamiętaj jednak, że moc obliczeniowa komputerów rośnie z miesiąca na miesiąc, dlatego ten czas będzie się jedynie skracał.

Porównanie siły haseł w zależności od ich długości na podstawie https://howsecureismypassword.net/

Dodatkowo hasło z samych liter, samych znaków specjalnych czy cyfr jest banalnie proste do złamania. Używaj w swoich hasłach co najmniej:

  • jednej wielkiej litery
  • jednej małej litery
  • jednej cyfry
  • jednego znaku specjalnego (*,%,# itd.)

Staraj się nie używać znaków diakrytycznych (ą,ę,ć,ź,ż, ī itd.), gdyż niektóre systemy uwierzytelniania mogą nie zadziałać poprawnie z takim hasłem.

3. Nie używaj w hasłach potocznych słów i kombinacji znaków

Unikaj słów typu haslo, password, test. Hasło zawierające Twoje imię, nazwisko, nazwę ulicy na której mieszkasz, kodu pocztowego daty urodzenia, imię Twojego zwierzaka jest proste do odgadnięcia dla każdego, kto choć trochę zna Twoje otoczenie.

4. Nie używaj haseł, które pochodzą ze skradzionych baz danych

Raz skradzione hasło jest bezużyteczne. Żeby się przed tym uchronić nie tylko zadbaj o unikalne hasła w różnych serwisach.

Nie używaj także haseł innych użytkowników, którzy zostali ofiarami utraty danych. Narażasz się w ten sposób na próby złamania haseł przez tzw. boty, który będą próbować już raz skradzionych haseł z Twoim loginem.

Możesz sprawdzić wymyślone przez siebie hasło wpisując je tutaj:
https://haveibeenpwned.com/Passwords

Poniżej masz inną, nieco bardziej obszerną listę “złamanych” haseł, z których mogą korzystać hakerzy.
https://github.com/danielmiessler/SecLists/tree/master/Passwords/Common-Credentials
Co ciekawe lista poniżej to prawdziwe 10 haseł, które zostały shackowane.

123456
password
pa$$word
12345678
1234
12345
dragon
qwerty
696969
mustang
letmein

Jak widzisz, hasła te łamią praktycznie wszystkie zasady bezpieczeństwa jakie tutaj opisuję.

5. Nie używaj w swoich hasłach żadnych słów ze słownika.

Dużo łatwiej wtedy złamać hasło metodą słownikową. Wymyślając hasło samemu masz tendencję do używania słów powiązanych ze sobą, nawet jeśli robisz to podświadomie. Staraj się używać losowych ciągów znaków. Najlepiej używaj do tego celu rekomendowanych już wcześniej przeze mnie Menedżerów Haseł.

6. Nie używaj dwóch lub większej liczby podobnych haseł, które zawierają w większości te same znaki.

Na przykład bardzolubiekursyrodoMac, bardzolubiekursyrodoDropBox – ponieważ gdy jedno z tych haseł zostanie wykradzione, będzie to oznaczać, że wszystkie zostały wykradzione.

7. Nie używaj jako haseł niczego, co można sklonować a czego nie możesz zmienić, jak na przykład odcisku palca.

W przypadku utraty dostępu do konta nie mamy możliwości zmiany odcisku palca na inny.

8. Nie zezwalaj przeglądarkom internetowym (Firefox, Safari, Chrome) na przechowywanie i autouzupełnianie haseł

Menedżery haseł wbudowane w przeglądarki mają dość bogatą historię wycieków danych. Mimo tego, ze poprawiły się znacząco w tym zakresie, dalej wektorem wielu kradzieży haseł jest funkcja autowypełniania hasła w przeglądarkach. Jeśli to możliwe – wyłącz ją.

Ta porada tyczy się również niektórych zewnętrznych managerów haseł

9. Nie loguj się do ważnych kont na cudzych komputerach lub poprzez ogólnodostępny hotspot Wi-Fi, sieć Tor, darmową sieć VPN lub serwer proxy.

Logując się na cudzym komputerze do ważnego serwisu z wrażliwymi danymi możesz nie tylko zostawić swoje “ciasteczka” czy aktywne sesje. Na obcym komputerze (zwłaszcza takim w bibliotece czy kafejce) może zostać zainstalowany keylogger, który będzie przechowywać każdy znak wpisany na klawiaturze zainfekowanego komputera. To w prostej linii prowadzi do upublicznienia Twojego hasła

Sieci takie bywają padają dość często ofiarą osób nasłuchujących ruchu. Za pomocą programów takich jak Wireshark są w stanie podejrzeć jakie strony odwiedzamy, a w skrajnych przypadkach – jakie dane przesyłane są z i do naszego komputera.

10. Nie przesyłaj wrażliwych danych online za pośrednictwem nieszyfrowanych połączeń (np. HTTP czy FTP)

Dane przesyłane takimi połączeniami bardzo łatwo przechwycić. Używaj szyfrowanych połączeń, takich jak HTTPS, SFTP, zawsze gdy to możliwe.

Unikaj takich połączeń zwłaszcza, gdy wymagane jest podanie danych kart płatniczych. Jeśli strona Twojego banku prosi Cię o uwierzytelnienie bez “kłódeczki”, to na pewno jest to próba oszustwa. Zgłoś taki przypadek do swojego banku i nie podawaj swojego loginu i hasła nikomu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *