IDEALNE HASŁO PIERWSZA LINIA OBRONY PRZED CYBER PRZESTĘPCZOŚCIĄ

21 grudnia, 2020

1 siepnia 2018

Dopóki nie zacząłem zbierać informacji do tego artykułu, przyznaję, że użyłem tego samego hasła do prawie wszystkich moich kont internetowych. To pojedyncze hasło było „silne” i utworzyłem je, korzystając z sugestii, które szczegółowo opisuję poniżej. Ale tak naprawdę nie o to chodzi, wystarczyłby jeden haker, aby jeden włamał się do alarmującej ilości moich danych osobowych.

Używanie tego samego hasła do wszystkich kont jest jak posiadanie tego samego fizycznego klucza do każdego zamka w twoim życiu: do drzwi wejściowych, tylnych drzwi, skrzynki pocztowej; samochodu, roweru, pamiętnika, biura; biurka; pudełka na biżuterię, sypialni. Może to być niezwykle wygodne i uchronić kieszenie lub torebkę przed uginaniem się pod brzęczącym ciężarem, ale wyobraź sobie, że jeden klucz został skradziony, a na breloczku znajduje się twój adres domowy i służbowy.

Wiele kont, ale tylko jedno hasło

W dzisiejszych czasach wydaje się, że podważamy konta internetowe (każde wymagające hasła) równie bezmyślnie i tak regularnie, jak Donald Trump wystrzeliwuje bezczelne i chaotyczne tweety. Nasze konta email, nasze konto na Amazonie, być może Netflix lub Spotify, firma wynajmu wakacyjnego, do której się zapisaliśmy, nasze konto w supermarkecie, Paypal, strony z biletami, konta w mediach społecznościowych (na przykład LinkedIn lub Facebook), portal klienta bigblu, aplikacja gazety, dzięki której jesteś na bieżąco, portal randkowy, do którego kiedyś dołączyłeś. I to jest na pierwszy rzut oka (ale staram się nie mówić o serwisie randkowym).

Jednym z powodów, dla których nasze hasła są łatwe do zhakowania, jest to, że nasze hasła są łatwe do zhakowania.

Wiem, że posiadanie silnego i unikalnego hasła do każdego konta internetowego jest zniechęcające, uciążliwe, a może nawet niepotrzebne. Ale jak ujął to Tony Neate, dyrektor generalny wspieranej przez rząd organizacji Get Safe Online mówi: „Hasła to nasza pierwsza linia obrony przed cyberprzestępcami w Internecie”.

W listopadzie 2015 r. Moneysavingexpert.com przeprowadził ankietę, która wykazała, że tylko 12% osób używa różnych haseł do każdego konta. Nie jesteśmy więc jedynymi, którzy wybierają łatwe wyjście, ale łatwe w tym przypadku sprawia, że nasze dane są niezabezpieczone i podatne na ataki.

Naruszenie danych stało się łatwe

Niedawno raport z dochodzeń w sprawie naruszenia danych firmy Verizon ujawnił, że 81% naruszeń danych w 2017 r. dotyczyło naruszenia dostępu do danych osobowych. Liczba ta wzrosła z 66% w 2016 r. do 50% w 2017 r. Niall King, dyrektor w firmie Centrify ds. Usług tożsamości, powiedział: „Cyberprzestępcy znajdują drogę najniższej linii oporu do swojego celu i dziś ta ścieżka prowadzi prosto od użytkowników z samodzielnie zarządzanymi „prostymi” hasłami”.

Mówiąc wprost, nasze hasła są coraz łatwiejsze do złamania, a brak działania sprawia, że nasze dane są łatwiejsze do zhakowania. Naruszenia danych coraz częściej pojawiają się na pierwszych stronach gazet na całym świecie, na czele z skandalem Facebook-Cambridge Analytica, w którym dane 87 milionów użytkowników zostały zebrane do politycznych celów. Tylko w ciągu ostatnich dwóch lat firmy takie jak Uber, Ticketmaster, Dixons Carphone, MyFitnessPal, MyHeritage, Typeform (których klientami byli adidas, Fortnum i Mason’s), wszystkie doświadczyły poważnych naruszeń bezpieczeństwa.

Złamanie kodu

Jednym z powodów, dla których nasze hasła są łatwe do zhakowania, jest to, że nasze hasła są łatwe do zhakowania. SplashData, dostawca aplikacji do zarządzania hasłami, co roku przegląda ujawnione dane dotyczące haseł w celu podkreślenia naszego braku wyrafinowania haseł (nie wspominając o wyobraźni). Na pierwszym miejscu w zeszłym roku, bez zmian od 2016 r., było „123456”. Nr 2, również niezmieniony, to „hasło”, „letmein” i „iloveyou” to nowe wpisy odpowiednio pod nr 7 i 10.

To było mniej więcej na tym etapie moich badań, że zacząłem wykorzystywać umiejętności układania puzzli Benedicta Cumberbatcha jako Alan Turning w Grze Tajemnic, gorączkowo zapisując cyfry i litery, przekręcając koła zębate oraz podłączając i odłączając przewody, aby zabezpieczyć każde z moich haseł. Bez wchodzenia w skrajności profesora Turinga, oto jak możesz zacząć tworzyć to, co nieczytelne…

Czy zostałeś oszukany?

Dobrym miejscem na początek jest udanie się na stronę HaveIBeenPwned? aby sprawdzić, czy Twój zwykły adres e-mail nie został naruszony. Witryna jest bezpłatną usługą, która gromadzi informacje o wyciekach danych i pomaga ludziom ustalić, czy zostali dotknięci złośliwą aktywnością w Internecie.

Za każdym razem, gdy wprowadzam to samo stare hasło do nowego konta, robię to z uciążliwym poczuciem, że jestem obserwowany.

Dziś rano po raz pierwszy sprawdziłem swoje. Od 2012 roku byłem zamieszany w pięć naruszeń danych, w tym Last.fm i LinkedIn. „Naruszenie” to incydent, w którym dane zostały nieumyślnie ujawnione opinii publicznej.

Zanim przejdziemy dalej, chcę podkreślić, że nie jestem technikiem, poruszam się w świecie cyfrowym, ale bynajmniej nie biegle. Przez ostatnie cztery lata miałem to samo hasło do wszystkich kont oprócz jednego. Za każdym razem, gdy otwieram nowe konto (wczoraj wieczorem chodziło o zakup biletów do teatru), używam tego samego hasła. Za każdym razem, gdy wchodzę do środka, czuję się jak bym był obserwowany. A jednak pozorna lawina administrowania oznacza, że ignoruję ten strach, myśląc, że mi to się nie przydarzy.

Cóż, już się przydarzyło. Pięciokrotnie. Ostatni raz w lutym tego roku, kiedy w internecie znaleziono ogromną kolekcję prawie 3000 domniemanych naruszeń danych obejmujących ponad 80 milionów unikalnych adresów e-mail.

Menedżer strachu

Oto, co zrobiłem dalej. Zarejestrowałem się w 1Password, witrynie menedżera haseł polecanej przez Troya Hunta, australijskiego geniusza technologicznego i dyrektora firmy Microsoft, który stoi za HaveIBeenPwned?. Jeśli to jest wystarczająco dobre dla Troya, to wystarczy dla mnie. Menedżer haseł utworzy i zapamięta silne, unikalne hasło do każdego konta internetowego, które posiadasz, dzięki czemu twoje dane osobowe będą bezpieczniejsze niż kiedykolwiek.

Wielowarstwowa ochrona zapewniana przez menedżerów haseł nie jest bezpłatna, ale nie jest też droga. Aby zapewnić spokój w Internecie, 1Password kosztuje 2,99 USD miesięcznie (pierwszy miesiąc jest bezpłatny).

Menedżerowie haseł pomogą wybrać nowe losowe hasło i będą je przechowywać w bezpiecznym cyfrowym skarbcu.

Nie mamy teraz miejsca, aby je wszystkie omówić (to będzie na kolejny dzień), ale istnieje wiele świetnych menedżerów haseł, które oferują szereg opcji dostosowanych do wszystkich potrzeb w zakresie bezpieczeństwa.

Opanowanie tego, co łatwe w zapamiętaniu

Po zarejestrowaniu się i wprowadzeniu danych mojej karty do celów płatności musiałem wybrać łatwe w zapamiętaniu, ale losowe hasło główne. Przydatne wskazówki 1Password poprowadzą cię przez to lub wygenerują nowe dla ciebie. Spowoduje to utworzenie tajnego klucza, którego możesz użyć w nagłych wypadkach związanych z hasłem. Zalecają wydrukowanie go i trzymanie z paszportem, zapisanie na pendrive lub skopiowanie do pamięci w chmurze.

Po skonfigurowaniu wszystko, co musiałem zrobić, to pobrać aplikację 1Password na urządzenia, z których korzystam, i rozszerzenie przeglądarki 1Password. W moim przypadku jest to iPhone, MacBook (do użytku osobistego) i laptop z systemem Windows (do pracy). Teraz, z pomocą 1Password, mogę albo aktywnie zmienić hasło do każdego z moich kont, albo, za każdym razem, gdy loguję się na jedno z moich kont internetowych za pomocą mojego ogólnego hasła, które można zhakować, 1Password pomoże mi wybrać nowe losowe hasło i przechowywać je dla mnie w moim skarbcu.

Po wykonaniu tego wszystkiego, zamiast przypominać sobie moje losowe hasło, pojawi się ikona 1Password i po kliknięciu przycisku pozwoli mi wybrać nowe, odpowiednie, losowe, prawie niemożliwe do zhakowania hasło.

Wszystkie. Jajka. Jeden. Kosz.

Już słyszę pytanie na twoich ustach. Słyszę to, ponieważ zadałem sobie to samo pytanie. Co się stanie, jeśli moje konto menedżera haseł zostanie zhakowane?

Cóż, nie będzie wielkim zaskoczeniem, gdy dowiemy się, że menedżer haseł bardzo poważnie traktuje bezpieczeństwo. Może to niewiele dla ciebie znaczy, nie dla mnie, dopóki nie zapytałem głównego programisty Bigblu, ale zapewnił mnie, że mięsiste szyfrowanie „256-bitowego zaawansowanego standardu szyfrowania”, którego używają, bardzo utrudnia odczyt twoich danych, nawet Turing miałby z tym problemy.

Jeśli menedżer haseł czuje się na tym etapie zbyt onieśmielający, zdecydowanie warto wyjąć ołówek i papier, aby ułożyć nowe, losowe, ale zapadające w pamięć hasła, których nie da się łatwo odgadnąć. Im dłuższe, tym lepiej, ponieważ dodanie pojedynczego znaku do hasła wykładniczo zwiększa jego bezpieczeństwo.

Kodowanie starej szkoły

Witryna Better Buys zbadała tę sprawę i opracowała narzędzie, które może powiedzieć, ile czasu zajmie złamanie hasła. Na przykład, jeśli masz niezwykle proste i popularne hasło składające się z siedmiu znaków („abcdefg”), profesjonalny haker może je złamać w ułamku milisekundy. Dodaj jeszcze jeden znak („abcdefgh”), a czas ten zwiększy się do pięciu godzin. Dziewięcioznakowe hasła pękają po pięciu dniach, 10-znakowe cztery miesiące, a 11-znakowe – 10 lat. Użyj hasła do 12 znaków i patrzysz na 200 lat ochrony – nieźle jak na jedną małą literkę.

Osoby atakujące hasła uwzględniły już nasze przewidywalne nawyki.

Łączenie cyfr i liter zamiast trzymania się jednego rodzaju znaków znacznie zwiększa bezpieczeństwo hasła. Jednak nie jest to tak proste, jak zamiana „i” na „1” lub dodanie liczby na końcu. Osoby atakujące hasła uwzględniły już nasze przewidywalne nawyki. Jeśli masz zamiar pójść drogą ołówka i papieru, najlepszą radą jest uczynienie hasła mniej przewidywalnym i bardziej skomplikowanym.

Oto kilka sugestii, które pomogą ci przy nowych hasłach:

  • zacznij od trzech losowych słów i uwzględnij małe i duże litery. Aby hasło było bardziej bezpieczne, dodaj liczby i symbole (takie jak @ # $% ^ & *) – i nadaj mu co najmniej osiem znaków, lub
  • ułóż niezapomnianą frazę lub zdanie i weź pierwszą literę z każdego słowa, aby utworzyć sekwencję, lub
  • wybierz kilka słów kluczowych, które coś dla ciebie znaczą, ale nie są oczywiste ani możliwe do odgadnięcia, wybierz kilka kluczowych liczb (unikając oczywistych dat, takich jak rocznica), a następnie utwórz hasła, używając kombinacji obu.

 

Po wymyśleniu nowych haseł zapisz je w kodzie, w pamięci USB lub w chmurze. Cokolwiek robisz, zapisuj je tak aby nie narażać się na ryzyko.

Ściany mają uszy

Ostatnie słowo na temat haseł: nigdy nikomu nie podawaj swojego hasła, zwłaszcza komuś, kto twierdzi, że pracuje w dziale pomocy technicznej. Prawdziwy personel pomocy technicznej nigdy nie poprosi o podanie hasła, ponieważ nie potrzebujemy twoich prywatnych informacji, aby ci pomóc.