Polityka haseł, sprawdzenie siły hasła i jak szybko można je złamać.

Polityka haseł obojętnie czy w firmach czy u osób prywatnych jest tematem dość lekceważonym. Nawet w urzędach czy instytucjach rządowych często mamy do czynienia z sytuacją, gdzie hasła są słabe, nie są zmieniane, lub wiszą przyklejone na żółtej karteczce na monitorze. Wydawałoby się, że świadomość bezpieczeństwa rośnie jednak ciągle mamy do czynienia z rażącymi błędami podczas stosowania haseł.

I Zasady tworzenia bezpiecznego hasła.

  1. Wielu użytkowników tworzy hasła w oparciu o zasadę "łatwe do zapamiętania". Najpopularniejsze hasła proste to qwerty, password123, 12345678 itd, imiona, daty urodzin, numery telefonów, imiona zwierząt domowych itd. Takie hasła są do złamania w kilka minut czy nawet sekund.
  2. Kolejnym etapem jest przeświadczenie, że hasło proste odrobine skomplikowane jest bezpieczne. Np. Jeśli hasło sylwia skomplikujemy do Sylwi@ to nic to nie da. Albo słynne password przerobione na P@$$w0rd to zły pomysł. Każdy dobry łamacz haseł ma algorytm podstawiania popularnych zamienników znaków. Więc za a=@ s=$ e=3 i=! itd. Hasło skomplikowane w ten sposób jest słabe do 8 znaków.
  3. Inny etap czyli już dobra metoda to hasła wymawialne ale nie będące istniejącymi słowami w słownikach z dodaniem komplikacji duze i małe litery, cyfry i znaki specjalne. jest to niezła opcja jednak dalej ma taką wadę, ze nie jest je łatwo zapamiętać. Można skorzystać z generatora losowych haseł np. https://www.generate-password.com/?language=pl Wygenerowało się jakieś hasło wymawialne nustebruti i jest ono także słabe, bo do złamania w 58 minut. Ale możemy je trochę skomplikować w/g podanych przed chwilą zasad i zrobić z tego słowa np. Nustebruti#1 i to jest już dobra opcja ponieważ hasło jest w miarę łatwe do zapamiętania, a czas na jego złamanie to 34 tys lat.
       
  4. Kolejną metodą to generowanie całkowicie losowych długich ciągów znaków, których nie ma szans zapamiętać (oczywiście są menadżery haseł) Więc jest to na pewno metoda bardzo bezpieczna.
    235D7F6A2CEF5A72421E5CC69A
  5. Dobrą metodą jest stosowanie haseł nie złożonych ale długich i zapamiętywalnych. Jest to dobra i bardzo bezpieczna metoda. Są generatory słów losowych z których można skorzystać np. http://debonogenerator.cba.pl/index Lub wymyślać samemu min 3 słowa losowe. 

II Sprawdzenie siły hasła i w jakim czasie hasło może zostać złamane.

Siłę hasła możemy sprawdzić np. na stronie https://howsecureismypassword.net/

  1. Przykład pierwszy - trzy krótkie losowe słowa np. winozyskolej to nie jest dobry pomysł - do złamania w 3 tygodnie.
  2. Przykład drugi - również trzy słowa ale tworzące dłuższą całość. To już jest hasło do zaakceptowania.
  3. Przykład trzeci to lekka modyfikacja przykładu pierwszego. Te same trzy krótkie słowa z dodaną lekką komplikacją (wielka litera i cyfra). Dobra opcja, łatwe do zapamiętania.
     
  4. Ostatni przykład - cztery losowe słowa bez komplikacji. Bardzo dobra opcja na zapamiętywalne hasło.
     

III Ogólne zasady dotyczące polityki stosowania haseł.

  1. W firmach czy instytucjach hasło powinno być zmieniane co np. 30 dni można to wymusić np. z Domena Active Directory, lub innymi metodami, lecz ten artykuł poświęcony jest zasadom tworzenia haseł. Przykład skryptu wysyłającego maile do użytkowników domeny w osobnym artykule.
     
  2. Warto też wysyłać do użytkowników maile z przypomnieniem o wygasającym haśle przykładowo od pięciu dni wcześniej. Może on wyglądać np. tak:
  3. W firmach na pewno polityka bezpieczeństwa powinna wymuszać zmianę hasła. Prywatnie prawdopodobnie mało kto się stosuje do tych zasad, warto wtedy włączyć dwustopniową autentykację tam, gdzie jest to możliwe.

IV Menadżery haseł.

  1. Temat menadżerów haseł wymaga osobnego artykułu, ale tu należy wspomnieć o ich wielkiej użyteczności w stosowaniu. Generują silne hasła, przechowują w bazie, więc nie trzeba ich pamiętać. Działają w aplikacjach, przeglądarkach  i na wszystkich urządzeniach - komputery, smartfony. Przykładowe bardzo dobre menadżery to:
    KeePass https://keepass.info/
    Bitwarden https://bitwarden.com/
    LastPass https://www.lastpass.com/
  2. Ostatnim elementem oraz słabym ogniwem jest menadżer haseł bezpośrednio w przeglądarce np. użytkownik zalogowany w Chrome. Tu problemem jest brak nawyku wylogowywania się z przeglądarki i np. opuszczenie stanowiska pracy. Oczywiście aby podejrzeć hasła zapisane w przeglądarce trzeba podać nadrzędne hasło użytkownika, jednak bardzo częste są przypadki, że użytkownicy znają swoje hasła nawzajem lub stosują słabe, proste do złamania.
  3. Ogólna zasada w menadżerach haseł jest taka, że nawet najlepszy menadżer, który generuje najbezpieczniejsze hasła nie do złamania nie może sam mieć ustawionego nadrzędnego hasła, które jest słabe!

Nie wiesz jaki hosting wybrać? Polecamy dhosting!

link do strony el12