Hasła – wszystko co powinniście wiedzieć.

Hasło to powszechnie wykorzystywany, prosty i wszystkim znany sposób chronienia dostępu do poufnych danych i usług.

Hasła – wszystko co powinniście wiedzieć.
Hasła – wszystko co powinniście wiedzieć.
8 Min czytania

Wszystko o hasłach, uwierzytelnianiu na stronach oraz w usługach online.

 

Ogólnie o hasłach

Hasło to powszechnie wykorzystywany, prosty i wszystkim znany sposób chronienia dostępu do poufnych danych i usług.

Aby jednak działały skutecznie, muszą być tworzone i stosowane w sposób prawidłowy. Pojawiają się cały czas nowe urządzenia, usługi.

Stąd potrzeba aktualizacji zmian dla użytkowników w zakresie tworzenia i stosowania haseł oraz projektowania procedur logowania.

W ciągu ostatnich kilku lat zmienione zostały obowiązujące od długiego czasu zalecenia mówiące między innymi o potrzebie cyklicznej zmianie hasła lub stosowania znaków specjalnych i cyfr w celu jego wzmocnienia.

W wielu miejscach stare procedury nadal są stosowane, co ma negatywny wpływ na bezpieczeństwo użytkowników.

Uwierzytelnianie

Bezpieczny dostęp do informacji przeznaczonych dla określonej grupy osób zawsze wymaga weryfikacji, czy osoba ubiegająca się o ten dostęp jest tym, za kogo się podaje.

Udowadnianie swojej tożsamości nazywamy uwierzytelnianiem. Najczęściej wymaga on przekazania i weryfikacji tzw. sekretu. Może nim być np. hasło, czy kod PIN. Najważniejszą cechą sekretu jest jego tajność – powinien on być znany tylko uprawnionym osobom.

Jest to prosty technicznie mechanizm, który ma jednak pewne wady. Szybki rozwój technologii oraz przenoszenie coraz większej części naszego życia do sfery cyfrowej spowodowały, że liczba systemów, w których musimy się regularnie uwierzytelniać, bardzo wzrosła.

Sprawia to, że zapamiętanie silnych, unikalnych haseł do każdego z nich może okazać się wręcz niemożliwe. Z pomocą przychodzą różne mechanizmy i technologie, które mogą sprawić, że będzie to prostsze.

Menedżer haseł

 

Menedżer haseł
Menedżer haseł Google

 

Jednym z narzędzi ułatwiających użytkownikom radzenie sobie z dużą liczbą kont i powiązanych z nimi haseł są programy do zarządzania hasłami, zwane menedżerami haseł.

Istnieje wiele rozwiązań tego typu – od narzędzi wbudowanych w przeglądarkę, po rozwiązania działające w chmurze. Zadaniem tych programów jest umożliwienie bezpiecznego przechowywania haseł, dzięki czemu nie trzeba ich zapamiętywać.

Pozwalają one również na generowanie haseł oraz często umożliwiają automatyczne wpisanie hasła, gdy zajdzie potrzeba uwierzytelnienia się.

Najczęściej spotykanym przykładem menedżera haseł jest ten wbudowany w przeglądarkę internetową.

 

Jest to rozwiązanie dość powszechnie stosowane i pozwalające na zwiększenie siły haseł niewielkim kosztem. Istnieje jednak pewne ryzyko utraty dostępu do danych przechowywanych w menedżerze haseł. Może to nastąpić np. w przypadku awarii bądź utraty sprzętu.

Jeżeli nie zadbaliśmy o przygotowanie kopii zapasowej, odzyskanie dostępu do wielu kont może wymagać przejścia procedur odzyskiwania konta u dostawców usług.

To ryzyko jest mniejsze w przypadku rozwiązań chmurowych, gdyż dane nie są bezpośrednio przechowywane na naszym urządzeniu.

Dostawcy tożsamości

 

“Dostawcy tożsamości” (ang. identity providers)
“Dostawcy tożsamości” (ang. identity providers)

 

Innym rozwiązaniem odciążającym użytkowników są technologie nazywane “dostawcami tożsamości” (ang. identity providers). Są to mechanizmy, umożliwiające stworzenie jednego miejsca zarządzającego tożsamościami oraz udostępnianie ich innym usługom w celu uwierzytelnienia użytkowników.

Przykładem takiego mechanizm jest Single Sign-On (SSO), powszechnie stosowany w środowiskach korporacyjnych. Pozwala on na oddelegowanie konta użytkownika z jednego miejsca w taki sposób, aby inne usługi mogły nas rozpoznać i uwierzytelnić.

 

Podobnym rozwiązaniem jest wykorzystanie mechanizmu OAuth do udostępniania tożsamości zewnętrznym usługom. Jest to obecnie bardzo popularne rozwiązanie, dzięki któremu możemy np. zalogować się do platformy dostawcy muzyki, używając konta w portalu społecznościowym.

W ten sposób użytkownik otrzymuje dostęp do wielu usług, wykorzystując tylko jedno hasło, które potwierdza jego tożsamość u dostawcy.

Zabezpieczenia biometryczne

 

Zabezpieczenia biometryczne
Zabezpieczenia biometryczne

 

Biometria to metoda uwierzytelnienia wykorzystująca “twoje biologiczne unikatowe cechy” jako czynnik poddawany weryfikacji.

Najczęściej stosowane tutaj są:

  • odcisk palca,
  • skan twarzy
  • bądź obraz tęczówki oka.

 

Duża dostępność urządzeń biometrycznych w telefonach oraz komputerach osobistych, sprawia, że jest to wygodna oraz często bezpieczna forma uwierzytelnienia.

Nie wszystkie systemy i urządzenia jednak pozwalają na uwierzytelnienie z użyciem tej technologii i nie wszędzie jest to najlepsze rozwiązanie.

Uwierzytelnienie dwuskładnikowe

 

Uwierzytelnienie dwuskładnikowe
Uwierzytelnienie dwuskładnikowe

 

Uwierzytelnianie użytkowników dzieli się na 3 grupy ze względu na weryfikowany czynnik. Sprawdzeniu mogą podlegać:

  • Coś, co znasz – np. hasło lub kod PIN
  • Sprzęt fizyczny – np. token sprzętowy, telefon, karta Smart Card
  • Twoje biologiczne unikatowe cechy – np. odcisk palca lub skan tęczówki oka

 

Metoda uwierzytelnienia dwuskładnikowego polega na weryfikacji dwóch z trzech powyższych elementów.

 

Najczęściej stosowaną kombinacją jest hasło (coś co znasz) plus jeden z czynników z którejś z pozostałych grup. Drugi składnik stanowi dodatkową warstwę bezpieczeństwa.

Popularnie stosowanym drugim składnikiem są m.in. kody SMS, kody generowane przez token sprzętowy albo potwierdzenie operacji w odpowiednio skonfigurowanej wcześniej aplikacji.

Zastosowanie tego rozwiązania uniemożliwia atakującemu, który pozyskał nasz login i hasło, uwierzytelnienie się w usłudze, jeżeli nie zdobędzie on również drugiego składnika.

Hasła silne i łatwe do zapamiętania

Silne hasło można zbudować na wiele sposobów. Najbardziej oczywistym wydaje się wylosowanie bardzo długiego ciągu znaków i wykorzystanie menedżera haseł do jego zapisania. Takie hasło jest jednak trudne do zapamiętania przez człowieka.

Przykładem sytuacji, w której potrzebne jest silne, łatwe do zapamiętania hasło jest hasło do bazy danych menedżera haseł, albo do konta użytkownika w systemie operacyjnym – gdy nie mamy jeszcze dostępu do menedżera.

Jak budować silne hasła łatwe do zapamiętania

 

Analiza długości upublicznionych haseł
Analiza długości upublicznionych haseł

 

W celu stworzenia silnego hasła, które będziemy w stanie zapamiętać, można używać zasady pełnych zdań. Należy unikać znanych cytatów czy powiedzeń, ale po modyfikacji mogą nam one posłużyć jako inspiracja. Tak stworzone hasło powinno składać się z przynajmniej pięciu słów.

Przykładowo:

WlazlKostekNaMostekIStuka – jest (to znaczy było, przed opublikowaniem go tutaj) silnym hasłem, które można łatwo zapamiętać.

 

Inną wartą polecenia metodą jest budowanie hasła z opisu wyimaginowanej sceny, której obraz jest łatwy do zapamiętania i jednoznacznego opisania:

zielonyParkingDla3malychSamolotow – jest przykładem takiego hasła. Przy czym należy zwrócić uwagę, że scena, którą opisuje nasze hasło, powinna zawierać jakiś element nierealistyczny albo abstrakcyjny.

 

Kolejnym pomysłem na generowanie silnego hasła jest użycie słów z kilku języków. Przykładem takiego hasła może być:

DwaBialeLatajaceSophisticatedKroliki. Jego siła bierze się z tego, że próby łamania haseł opartych o całe zdanie muszą zostać wykonane metodą słownikową, a takie słowniki najczęściej zawierają słowa/zwroty z jednego języka.

Generatory hasła.

Proste narzędzia do tworzenia w miarę silnych haseł.

Udostępnij ten post