Bezpieczne hasła cz. 2
Tworzenie bezpiecznych haseł.
Ze względu na ciągłe zainteresowanie naszym pierwszym artykułem “Zasady tworzenia bezpiecznych haseł” (link), zdecydowaliśmy się rozwinąć temat bezpieczeństwa haseł do urządzeń elektronicznych i serwisów www. Od naszego ostatniego artykułu minął ponad rok. W tym czasie miało miejsce wiele wycieków danych na całym świecie, a i na polskim podwórku wiele się działo. Dlatego uzupełniamy nasz artykuł i ponownie wyjaśniamy, na czym polega tworzenie bezpiecznych haseł.
Na początku roku 2019 w nielegalnych zakątkach Internetu ukazała się ogromna baza danych zwana Collection #1. Baza danych zawiera ponad 773 milionów unikalnych adresów e-mail i 21 milionów unikalnych haseł. Jeden ze sprawców, notabene w Polsce, na początku maja 2020 został aresztowany. Po więcej informacji na temat samej bazy odsyłam do Wikipedii .
W związku z tym zachęcamy do sprawdzenie czy Twój adres nie znalazł się na tej liście, lub nie jest częścią jakiegoś mniejszego wycieku z innego serwisu.
Można to sprawdzić pod adresem https://haveibeenpwned.com/
Najczęściej wykorzystywane hasła w sieci
Co roku firma SplashData zajmującą się bezpieczeństwem w Internecie publikuje listę 25 najczęściej używanych haseł. Tworzenie bezpiecznego hasła wyklucza użycie jakiegokolwiek z nich.
Poniżej zamieszczamy listę z kilku ostatnich lat:
| Rank | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 |
|---|---|---|---|---|---|---|---|---|---|
| 1 | password | password | 123456 | 123456 | 123456 | 123456 | 123456 | 123456 | 123456 |
| 2 | 123456 | 123456 | password | password | password | password | password | password | 123456789 |
| 3 | 12345678 | 12345678 | 12345678 | 12345 | 12345678 | 12345 | 12345678 | 123456789 | qwerty |
| 4 | qwerty | abc123 | qwerty | 12345678 | qwerty | 12345678 | qwerty | 12345678 | password |
| 5 | abc123 | qwerty | abc123 | qwerty | 12345 | football | 12345 | 12345 | 1234567 |
| 6 | monkey | monkey | 123456789 | 123456789 | 123456789 | qwerty | 123456789 | 111111 | 12345678 |
| 7 | 1234567 | letmein | 111111 | 1234 | football | 1234567890 | letmein | 1234567 | 12345 |
| 8 | letmein | dragon | 1234567 | baseball | 1234 | 1234567 | 1234567 | sunshine | iloveyou |
| 9 | trustno1 | 111111 | iloveyou | dragon | 1234567 | princess | football | qwerty | 111111 |
| 10 | dragon | baseball | adobe123 | football | baseball | 1234 | iloveyou | iloveyou | 123123 |
| 11 | baseball | iloveyou | 123123 | 1234567 | welcome | login | admin | princess | abc123 |
| 12 | 111111 | trustno1 | admin | monkey | 1234567890 | welcome | welcome | admin | qwerty123 |
| 13 | iloveyou | 1234567 | 1234567890 | letmein | abc123 | solo | monkey | welcome | 1q2w3e4r |
| 14 | master | sunshine | letmein | abc123 | 111111 | abc123 | login | 666666 | admin |
| 15 | sunshine | master | photoshop | 111111 | 1qaz2wsx | admin | abc123 | abc123 | qwertyuiop |
| 16 | ashley | 123123 | 1234 | mustang | dragon | 121212 | starwars | football | 654321 |
| 17 | bailey | welcome | monkey | access | master | flower | 123123 | 123123 | 555555 |
| 18 | passw0rd | shadow | shadow | shadow | monkey | passw0rd | dragon | monkey | lovely |
| 19 | shadow | ashley | sunshine | master | letmein | dragon | passw0rd | 654321 | 7777777 |
| 20 | 123123 | football | 12345 | michael | login | sunshine | master | !@#$%^&* | welcome |
| 21 | 654321 | jesus | password1 | superman | princess | master | hello | charlie | 888888 |
| 22 | superman | michael | princess | 696969 | qwertyuiop | hottie | freedom | aa123456 | princess |
| 23 | qazwsx | ninja | azerty | 123123 | solo | loveme | whatever | donald | dragon |
| 24 | michael | mustang | trustno1 | batman | passw0rd | zaq1zaq1 | qazwsx | password1 | password1 |
| 25 | Football | password1 | 000000 | trustno1 | starwars | password1 | trustno1 | qwerty123 | 123qwe |
Jakich haseł należy unikać?
Z tabeli ewidentnie wynika, że hasła typu 123456, qwerty i wszystkie odmiany tych haseł obojętnie czy dodamy małe, duże litery czy znak specjalny będzie łatwe do złamania ponieważ znajdują się na szczycie popularności. Tego typu zwroty są na tyle popularne, że każdy haker będzie ich próbował w pierwszej kolejności. Postanowiliśmy przygotować krótką listę czego należ unikać na podstawie popularności haseł wybieranych przez użytkowników w ostatnich latach.
Pamiętajcie, że tworzenie bezpiecznych haseł to przede wszystkim pole do popisu wyobraźni i kreatywności.
Unikaj kombinacji klawiszy znajdujących się koło siebie na klawiaturze.
Jak widać po popularności, należy unikać haseł składających się ze znaków sąsiadujących ze sobą na klawiaturze. Hasła typu 12345678, qwerty, qazwsx będą łamane w pierwszej kolejności, po prostu znajdują się na szczycie.
Hasło jednowyrazowe to żadne hasło.
Pamiętaj, hasła jednowyrazowe są tak łatwe do złamania przez algorytmy słownikowe, że można uznać takie hasło za bardzo słabe zabezpieczenie.
Kombinacja znaku specjalnego lub cyfry z jednym wyrazem to także słaby wybór.
Należy unikać stosowania haseł typu “michal1”, “Piotrek2020”, “!!Ola@@”
Wystrzegaj się pojedynczych nazw miesięcy lub dat.
Nie twórz haseł z dodatkiem w postaci roku kalendarzowego, miesiąca lub pory roku np. “kwiecien2020”, “PioterkMarzec”, “KadrowaListopad”.
Unikaj krótkich haseł z ważnymi wydarzeniami.
Hasło typu “Wybory2020”; “Koranwirus2020”; “Covid-19” to hit tegoroczny fraz wpisywanych w google, na pewno szybko znajdą się na listach hakerskich
Absolutnie nie stosuj w haseł w postaci imion członków rodziny
Specjalistyczne programy do łamania haseł uwzględniają w swoich algorytmach imiona, nazwiska członków rodziny, datę ich urodzin oraz imiona oraz rodzaje zwierząt domowych.
Skąd haker będzie wiedział tyle o Twojej osobie? Jeśli zna Twój adres email, to bez problemu znajdzie Cię na Facebooku, Twitterze lub Instagramie.
Wybieraj unikalne konstrukcje, nie używaj w hasłach popularnych liczb np. 666; 69; 1234; 997 itd.
- Stroń od schematów, jeśli cyklicznie zmieniasz hasła np. “kwiecien2020”, “maj2020” oraz “piotrek052020”, “piotrek062020”.
Jeżeli przy tworzeniu haseł oprócz listy powyżej zastosujcie się do podpowiedzi z poprzedniego naszego artykułu (które zamieszczam poniżej, jeśli ktoś jeszcze nie widział, lub ku przypomnieniu) otrzymamy całkiem fajną listę zasad jak wygląda tworzenie bezpiecznych haseł i na co zwrócić uwagę, aby nie popełnić wpadki.
-
Długość hasła.
Każde hasło internetowe powinno być możliwie długie. W zasadzie im dłuższe hasło tym lepiej. Minimalna ilość znaków to 8. Bezpieczne hasła powinny zawierać około 14 – 15 znaków wtedy są bardzo trudne do złamania.
-
Zapamiętuj hasła w głowie, nie w przeglądarce.
Po co łamać hasła skoro i tak dostajemy je podane na tacy bez żadnego wysiłku.
-
Słowa uniwersalne i popularne zamień synonimami.
Należy unikać stosowania wyrazów słownikowych, czyli występujących w słownikach, encyklopediach, nazw związanych z książkami i filmami, nazw państw i miast. Nawet bardzo trudne do wymówienia nazwy książek i gier komputerowych znajdują się na gotowych listach haseł i są łatwe do złamania.
-
Unikaj używania znaczących dat, imion i nazw.
Każdy haker zaczyna łamanie haseł od imion i dat urodzenia dzieci.
-
Bądź oryginalny. Dodawanie dodatkowych znaków w popularnych wyrazach nie podnosi bezpieczeństwa hasła.
Hasło typu “Janek23” czy “Jacuś1986” nie spełniają wymogów bezpieczeństwa.
-
Stosuj w hasłach małe, duże litery, znaki specjalne i cyfry.
-
Nie twórz haseł składających się tylko z samych liter lub cyfr.
Bezsprzecznie, używanie haseł “12345678” lub “qwerty” to nie najlepszy pomysł.
-
Korzystaj zamiennie z cyfr i znaków specjalnych.
Najłatwiejszym sposobem stworzenia silnego hasła które jest jednocześnie łatwe do zapamiętania jest zamiana liter na liczby i znaki specjalne np. HasłoDoWifi zamieniamy na H@sł0D0W!f! (zamiast „O” jest „zero” słabo to widać w niektórych czcionkach). Inne przykłady to zamiana “a” na “@”, “e” na “3” lub “i” na “!”
-
Skorzystaj z mnemotechnik
Równie dobry sposobem na tworzenie bezpiecznych haseł i ich zapamiętywanie (skomplikowanych ciągów znaków) jest mnemotechnika. Można na przykład wykorzystać w tym celu swoją ulubioną piosenkę, wynik meczu, postać z gry komputerowej lub książki itp. Wydające się na skomplikowane i dwunasto znakowe długie hasło DGcoSLWL1966 jest tak naprawdę zapisem pierwszych liter Dzienniki gwiazdowe – cykl opowiadań Stanisława Lema Wydawnictwo Literackie 1966. Tak stworzone hasło jest dużo bezpieczniejsze.
-
Jeśli nie masz pomysłów, skorzystaj z generatora haseł.
W Internecie znajdziecie wiele popularnych serwisów, generujących przypadkowe hasła, oto jeden z nich (link).
Rekomendacje
Gdy postanowicie sami tworzyć hasła nie korzystając z generatora, pamiętajcie aby hasło składało się przynajmniej z 4 wyrazów. Już sama długość tego hasła spowoduje, że będzie ono trudniejsze do złamania. Jeśli dodacie do tego duże i małe litery oraz znaki specjalne, nawet gdy będzie to hasło słownikowe, złamanie go zajmie tyle czasu, że haker prędzej spróbuje złamać hasło następnej osobie z listy niż na siłę będzie próbował sforsować Twoje zabezpieczenia. Oczywiście jeśli masz w systemie drogocenne dane, a osoba penetrująca Twój system o tym wie, to może poświęcić na Twoje hasło znacznie więcej czasu. Sami musicie zdecydować jakie danie przechowujecie na swoich komputerach.
Przy tworzeniu haseł wszystko ma znaczenie:
- ilość znaków,
- używanie dużych i małych liter, znaków specjalnych,
- cyfr,
- poziom skomplikowania wpisywanych fraz.
Wydaje się, że na ten moment bardzo silne hasło to:
- przynajmniej 4 wyrazy(im więcej tym lepiej),
- od 15 do 25 znaków,
- musi zawierać duże i małe litery,
- cyfry oraz znaki specjalne,
- powinno zawierać jak najmniej popularnych fraz
- lub po prostu użyjcie generatora haseł .
Life Hacki
- brakuje Ci znaków – postaw na końcu buźki np. 😉 🙂 ;-p itd.
- chcesz używać cyfr i lczb – zmieniaj je w równania np. abc1234 zamieniani A=123+4(567+8)/bc,
- masz kilka wyrazów w haśle – oddziel wyrazy między sobą znakami specjalnymi np. Iphone11/to-mój/ulubiony/Telefon$, NazwaFirmy?Kadry%Cz3rwi3c2020,
- Tak jak w punkcie 8. drugiej listy tego artykułu zamieniaj liter na liczby i znaki specjalne np. HasłoDoWifi zamieniamy na H@sł0D0W!f! (zamiast „O” jest „zero”. Inne przykłady to zamiana “a” na “@”, “e” na “3” lub “i” na “!”
Przykłady
To są tylko przykłady, nie używajcie ich jako wyroczni.
Bardzo słaby wybór | Słaby wybór | Niezły wybór | Dobry wybór | Bardzo dobry wybór |
wifi | Wifi1! | DomoweWiFi20 | D0m0weWiFi!20! | Moj3D0m0weWiFi!20!5G |
wakacje | Wakacje2020 | !Wakacje(062020) | Rodzinne!Wakacje(062020) | Rodzinne!Wakacje@Ustaka(062020) |
dupa | Dupa1234 | DupaBlada^1234 | FajnaDupaAleBlada^1234 | Moja!ZonaToFajna*Dupa69😉 |
czerwiec | Czerwiec20 | Kadry%Czerwiec20 | K@dry%Cz3rwi3c2020 | NazwaFirmy?Kadry%Cz3rwi3c2020 |
kasia | Kasia93 | Kasia93krejzolka$$ | K@si@93krejzolk@$$ | K@si@93krejzolk@$$LubieInsta |
pimpek | jamikpimpek | J@mikPimpek3kg | J@mikPimp3k3kgszczescia | J@mikPimp3k(3kg)szcz3sc@ia |
samsung | TelefonSamsung | Telefon&SamsungS10 | T3l3fon&S@msung%S10 | S@msungS10/a/NieJakiesIphony# |
iphone | Iphone11 | Iphone11wypas$$ | Iphone11na%wypasie666 | Iphone11/to-mój/ulubiony/Telefon$ |
qwerty | Qwerty1234 | Q1w2e3r4t5y^& | Qwerty:Qaz[abc] | Qwerty:Qaz[ZxcvbnM]:-p |
12345678 | Abc12345678 | Abc=123+4567*8 | A=123+4(567+8) | A=123+4(567+890)/bc |
windows | Windows10 | Windows+10PC2020 | *Windows+10/PC-2020! | Windows10/Jest-Fajny-AleWolalem{XP};-) |
