Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane
Można sobie wygenerować losowe hasło bez pobierania jakichkolwiek programów, wystarczy w Notatniku naklikać losowe znaki na klawiaturze i włala-szek.
Tyle w temacie skomplikowanych haseł.
Jeśliby łamali hasła tylko i wyłącznie brut forcem, znak po znaku, to byłaby to prawda. Natomiast ze słownikami to hasełko padnie błyskawicznie.
Nie, bo żaden słownik nie zawiera słowa "correcthorsebatterystaple", a bruteforcowanie wszystkich możliwych kombinacji znanych wyrazów nie ma sensu. Poza tym nic nie stoi na przeszkodzie żebyś oprócz pospolitych słów wstawił tam nazwę pokemona, aktorki porno czy postaci z warcrafta i tyle po słownikach.
A co do łamania haseł, jeśli komuś naprawdę będzie bardzo zależało to cóż ;) -->
Fajny artykuł, akurat trafiający w moje obecne potrzeby. Zainteresuję się SafeInCloud.
Sobie tak zmieniłem hasło na poczcie, że teraz wejść nie mogę XD I trzeba zadzwonić do biura obsługi...
Najbezpieczniej jest używać aplikacji do zapamiętywania haseł, czasami może wypaść z głowy.
Sprawa jest w miarę prosta. Na komputerze KeePass (najlepiej z dodatkiem do przeglądarki Kee), na telefonie KeePass2Android (stosuje ten sam format bazy danych, więc wystarczy utworzyć bazę haseł tylko raz). Co prawda jest możliwość wrzucić bazę KeePassa na DropBoxa i w ten sposób udostępnić ją obu programom, ale polecam raczej traktować bazę na PC, jako główną i w razie potrzeby kopiować na telefon, żeby uaktualnić tę wersję. Tylko trzeba pamiętać o kopii zapasowej bazy haseł trzymanej na jakimś zewnętrznym dysku/pendrivie, odłączonym od komputera, bo jak coś się zepsuje, to nagle człowiek zostanie odcięty od wszystkiego. No i samo hasło do takiej bazy musi być naprawdę solidne. Do tego wszystkiego można sobie dodać Strong Passwords Need Entropy, który ładnie pokazuje siłę hasła i przypuszczalny czas jego łamania, oraz co jakiś czas sprawdzać na HaveIBeenPwned czy nasze adresy email nie pojawiły się w jakimś wycieku.
Od generatorów haseł na stronach raczej trzymałbym się z daleka, przynajmniej tych mniej znanych. Trzeba im wierzyć na słowo, że wygenerowane hasła nie trafiają na jakąś listę. Skoro przy używaniu menedżera haseł pamięć użytkownika nie gra roli, najlepiej tworzyć hasła przynajmniej 20 znakowe, złożone z wielkich, małych liter, cyfr i znaków specjalnych. Oczywiście jeśli strona na to pozwala. Często mamy ograniczenie do 16 znaków i niektóre znaki są zabronione. Miewałem już przypadki, gdy strona nie wyświetlała żadnych ograniczeń, co do tworzonego hasła, ale pozwalała użyć danego hasła, nie informując, co jest nie tak i musiałem ręcznie sprawdzać, który znak specjalny jej się nie podoba. A najgorszy przypadek miałem, gdy strona nowe, długie hasło po prostu obcięła, nie informując o tym użytkownika i próbując się zalogować całym, dostawałem tylko informację o złym haśle. Dopiero, gdy wpisałem tylko pierwsze 16 znaków hasła, udało mi się zalogować.
Biometrię zdecydowanie odradzam, jako hasło. Co jakiś czas słyszymy o obejściu kolejnego systemu opartego na biometrii, czasem w trywialny sposób. Ale nawet pomijając tę kwestię, "wycieknięte" hasło można łatwo zmienić. Po wycieku danych biometrycznych (przykładów nie trzeba szukać daleko, choćby niedawny wyciek bazy danych BioStar 2) odciski palców, twarz, czy skan tęczówki zmienić dużo trudniej.
Dziwi mnie tylko brak w artykule informacji i uwierzytelnianiu dwuskładnikowym (2FA), które powinno być standardem (najlepiej nie przez SMS, ale aplikację, np Authy). W ten sposób, nawet jeśli nasze hasło gdzieś wypłynie, potencjalny haker będzie miał jeszcze jedną przeszkodę do pokonania, zanim się zorientujemy i zmienimy hasło. Wiem, że niewygodne, że się nie chce itd, ale potrafi uratować tyłek.
Ktoś wie czy da się założyć konto Google czy tam Youtube bez podawania numeru telefonu? Kasowali mi konta (możliwe, że to sprawka wirusa), a swój numer już wykorzystałem.
Kiedyś napisałem sobie na kartce bezsensowny ciąg znaków i jakimś cudem go zapamiętałem. Do dzisiaj jest to moje główne hasło do większości serwisów. Akurat GOL jest jednym z wyjątków, gdzie mam inne :D
Pamiętajmy tylko że dowolne generatory haseł działają na zasadzie generacji liczb pseudolosowych. Jest to o tyle ważne, że znając zarodek ( ang: "seed" ) potrafimy teoretycznie zawęzić obszar poszukiwań w ramach łamania hasła. Zresztą sama teoria tworzenia liczb pseudolosowych mówi że istnieje pewien "klucz" pozwalający je odtworzyć i uzyskać ten sam wynik. Oczywiście raczej wątpliwa jest sytuacja w której grupa specjalistów użyje bardzo drogiego sprzętu wyposażonego w specjalistyczne oprogramowanie aby włamać się do naszego komputera.
powiem krótko:
10x zmiana hasła, maila, konta, hasła do maila, weryfikacja 2 stopniowa, weryfikacja 84 stopniowa, weryfikacja tylko za pośrednictwem bezpiecznej linii, weryfikacja tylko za poświadczeniem prezydenta USA
a i tak frajer z Kambodży jest w stanie zalogować mi się na konto Ubisoftu
"An unusual activity was recently registered on your Ubisoft account for the following email address"
co najmniej raz w tygodniu zmieniam wszystkie dane konta, co najmniej raz w tygodniu dostaje takiego maila
brawo Ubi
Na jakim portalu masz maila? U mnie włamali się na 2 konta na interii, przez co tymczasowo zostałem okradziony z origina i konta playstation. Mało brakowało, a ukradliby mi jeszcze konto battle net, gdzie ktoś przez dostęp do mojego maila notorycznie zmieniał hasło. Na szczęście wszystko oprócz jednego maila odzyskałem, ale po tych wydarzeniach bez wahania przeszedłem na gmaila, który ma dużo lepsze zabezpieczenia i jak dotąd nic podobnego mi się nie przydarzyło.
tak jak napisałem, zmieniłem WSZYSTKIE dane konta, włącznie z mailem, który stworzyłem tylko i wyłącznie do tego celu
a jakbym miał keyloggera, to na początku podobnego maila dostałbym z banku
To dziwny przypadek. Na na uplayu przez jakieś 6-7 lat miałem niezabezpieczone konto z nieaktywowanym mailem, do którego dawno nie miałem dostępu i nikt mi się nie włamał. Nawet hasło miałem bardzo słabe. Nie miałem też podanego numeru telefonu, no i oczywiście dwuetapowej weryfikacji. Dopiero niedawno napisałem do supportu i ustawiłem nowego maila wraz ze wszystkimi możliwymi zabezpieczeniami.
No dobra, to ja zwróciłbym uwagę na jeszcze inny aspekt:
Da się łamać hasła do popularnych serwisów metodą bruteforce? Mogę poodejmować 1000 prób/sekundę logowania do banku/na Steam/Origin/Epic Games, aż zgadnę hasło do czyjegoś konta?
Jaki sens ma dzisiaj w ogóle siła hasła (sam się na to nabrałem i podobne hasła poustawiałem), jeśli włam jest możliwy tylko po wycieku bazy danych z serwera (kompletnie poza moją kontrolą) albo przechwycenia hasła z naszego komputera (spyware) - niezależnie od tego, jak silne by nie było?
No OK, mamy jeszcze łamanie hasha posolonych haseł - chyba tylko wtedy trudne hasło ma sens, ale tutaj patrz obrazek z posta meelosha...
Czy hasła nie powinny być dzisiaj jakiekolwiek, równie dobrze proste, ale ewentualnie długie?
Konto w PKO BP po kilkukrotnym podaniu złego hasła jest blokowane i trzeba do nich dzwonić, żeby odblokować konto (sam miałem taki problem). Nie wiem, czy na dłuższą metę jest to skuteczne rozwiązanie, ale na pewno w pewien sposób utrudnia włamania na konto. Na Uplayu również blokują konto, ale tylko tymczasowo. Nie wiem, jak jest na innych platformach.
Istnieje pewna zasada uczenia maszynowego sformułowana według schematu rzeczy trudne dla maszyn są proste dla ludzi i odwrotnie. Hasła o teoretycznie przypadkowej strukturze posiadają jak zaprezentował to meelosh niską entropię i w pewnym sensie są proste do złamania. Metoda siłowa nie działa zazwyczaj na dobrze zabezpieczonych stronach ( np. banki - sam miałem taki przypadek gdy nie pamiętałem czy w haśle było "u" czy "a" i zablokowałem hasło ). Pozostałe są na nią podatne ale niestety same metody tworzenia haseł zawierają w sobie pewien nazwijmy to grzech pierworodny - otóż musza one posiadać małe / duże litery i znaki specjalne co w pewnym stopniu niestety ułatwia ich łamanie ( wiele algorytmów nie umieszcza takich symboli obok siebie niektóre zaś nadają im nawet określoną separację np. min 3 odstępy ). Ogólnie jeżeli weźmiesz np. cytat z "Boskiej Komedii" Dantego i usuniesz "spacje" oraz znaki interpunkcyjne to komputer będzie miał spory problem z metoda słownikową zaś w metodzie siłowej czas diametralnie się wydłuży ( zawsze najlepiej stosować maksymalną długość hasła ).
Mnie zawsze dziwi to, że często hasła są ograniczane do jedynie 16 znaków. Nawet na stronach banku. Wydaje mi się, że gdyby na większości portali można było stworzyć dłuższe hasła, to byłoby zdecydowanie mniej włamań.
w kwestii hasel opierajacych sie na kilku losowych slowach polecam pamietac, ze nawet jezeli mielibysmy do czynienia z atakiem slownikowym to z reguly slowniki uwzgledniaja jeden jezyk i bardzo rzadko archaizmy i im podobne.
Ja używam open source-owego menager-a wraz z generatorem haseł BitWarden. Polecam, wg. mnie jedna z najlepszych aplikacji tego typu. Jest wersja desktop, jak i dodatek do przeglądarki.
Losowe hasła to głupota. Zapomni się masterhasła do programu/sejfu i dupa.
Kiedyś w książce Lifehacker był podany ciekawy sposób na bezpieczne hasło.
Dzielicie hasło na dwie części - jedna stała, która się nie zmienia, a druga związana ze stroną. Ta zmienna część, to mogą być dwie pierwsze samogłoski w adresie/nazwie strony, albo spółgłoski, itd. Przykład poniżej dla gry online:
$SpRyC14rz$YO
Łatwo zapamiętać i trudne do złamania :-)
Też uważam, że losowe hasło jest łatwe do zapomnienia. Ja mam ściśle zaprojektowane przez siebie hasło, które mogę sobie łatwo przypomnieć. Natomiast patent z końcówkami jest dość dobry, bo można zastosować do każdego serwisu inne hasło które jest naprawdę takie samo lecz nie daje furtki do innych usług.