lupa hasło kod binarny
55

Jaki jest przepis na idealne hasła do usług i kont?

Natknąłem się na niepokojący artykuł, w którym mogłem wyczytać np. rzeczy typu: użytkownicy powinni wybierać dla siebie hasła, które będą nie tylko trudne do odgadnięcia przez ludzi, ale również przez komputery. Zmartwiłem się, bo ostatnio czytam sporo nowinek o tym, że komputery stają się lepsze od ludzi pod niemal każdym względem. Widzieliście jak agent stworzony przez OpenAI pokonał najlepszych graczy świata w grę Dota 2? No właśnie…

Stare dobre zasady

No dobrze, skoro mam tworzyć wyjątkowo udane hasła, to pewnie są jakieś zasady, które mi to ułatwią? Na pewno ktoś poświęcił chwilę na obmyślenie jakichś przebiegłych metod, dzięki którym moje bezpieczeństwo będzie na wyższym poziomie? Pomyślmy… niech to będzie coś skomplikowanego, na pewno z dużą literą, a do tego jeszcze jakaś cyfra. Oczywiście zdaję sobie sprawę z tego, że najlepiej jeśli zmienię co jakiś czas moje hasło, ale trochę ciężko mi to wszystko spamiętać, bo zgodnie z zaleceniami wymyśliłem coś skomplikowanego, więc ograniczę się do zastępowania cyferki trochę wyższą. No wiecie, kiedyś na końcu wstawiłem jedynkę, więc za jakiś czas podmienię ją na dwójkę.

Nie oczekujcie niczego lepszego, jestem tylko człowiekiem i siłą rzeczy będę dążył do jakichś ułatwień. Szkoda tylko, że inni ludzie stosują się do podobnych zaleceń, a w dodatku zaczęli iść na podobne skróty, więc w pewnym sensie powstał z tego przepis, który ułatwia łamanie haseł, zamiast je utrudniać… Dziwne.

Czyli nie dość, że próby włamań na konta mogą zostać ułatwione dzięki znanym metodom wymyślania haseł, to jeszcze w chwili kiedy włamiemy się na jedno z kont danego człowieka, warto posłużyć się tym samym hasłem również na innych jego kontach. Większość ludzi nie wymyśla czegoś nowego dosłownie dla każdej jednej usługi… w końcu jesteśmy tylko ludźmi, prawda?

Ludzie często nie są dobrzy w wymyślaniu haseł

Przeprowadzono badania, w których łącznie wzięło udział ponad 50 tys. osób, dzięki czemu udało się pozyskać jakieś informacje na temat tego, co robimy po otrzymaniu instrukcji na temat hasła. Ludzie musieli się zastosować np. do tego, żeby było minimum 12 znaków, albo. żeby poza małymi literami były też duże. Zalecenia były różne.

Jakie mogą być problemy związane z ludźmi i ich stosowaniem się do przeróżnych zaleceń? Na przykład to, że jeśli dodają cyfrę, to zazwyczaj na końcu (więc przy łamaniu haseł mamy zasadę, do której warto się stosować). Niektórzy po otrzymaniu instrukcji „minimum 12 znaków” wymyślą hasło na zasadzie: „passwordpassword” albo „xxxxxxxxxxxx”.

login password kod binarny

Co robić, żeby było lepiej?

Jeśli chcesz wymyślać swoje hasła, to najlepiej byłoby żebyś tego po prostu nie robił… najlepiej pozwolić na wygenerowanie czegoś naprawdę losowego (a nie typowego dla myślenia ludzi) przez menedżer haseł, który nie będzie miał twoich problemów. Jakie są twoje problemy? Nie zapamiętasz czegoś naprawdę losowego i długiego, a już na pewno nie poradzisz sobie z tworzeniem innego hasła do każdego konta jakie posiadasz.

Być może jesteś zwolennikiem starej szkoły i nie dasz sobie wmówić, że jakieś tam programy mogą coś robić lepiej. Dlatego warto chociaż pamiętać o zaleceniach, które podali na theconversation.com:

Staraj się, żeby twoje hasła nie były „patologicznie krótkie” i wymyślaj coś na minimum 12 znaków. Nie rób typowych rzeczy, czyli nie dawaj dużej litery na początku, zamiast tego wymieszaj kilka dużych liter w losowych miejscach. Podobnie z cyframi i symbolami (cyfry na końcu są typowym wyborem). Nie stosuj prostych wzorów na zasadzie: abc123 czy qwerty, nie korzystaj z tekstów piosenek, nazw ulubionych zwierzątek, imion ludzi, miejscowości w których mieszkałeś, daty urodzenia czy innych dat ze swojego życia, popularnych słów typu „love” itd. Nie używaj jednego hasła w kilku miejscach. Jeśli możesz, to korzystaj z uwierzytelniania wielopoziomowego.

Polecam również zapoznać się z tekstem źródłowym, ponieważ artykuł zawiera mnóstwo ciekawych odnośników.

Źródło

  • antyhelion

    Proste hasła to zarówno „wina” użytkowników, jak i samych serwisów. Serwis ma obowiązek dbać o bezpieczeństwo kont użytkownika i walidacja formularza pod żadnym pozorem nie powinna dopuścić hasła w stylu „xxxxxxxxxxxx”, albo „haslohaslo”. Walidacja z wymogiem dużej litery, małej litery, cyfry i znaku specjalnego (albo i dwóch). Użytkownicy zawsze idą na łatwiznę – to oczywiste – ale skoro serwisy nie będą ich edukować, jakie hasła powinni stosować, to zawsze tak będzie.

    • mała, znak specjalny, cyfra i nikt tego nie spamięta i nie mówimy tu o osobach korzystających z menadżerów, bo oni z założenia są bardziej świadomi i korzystają z haseł losowych.

      https://xkcd.com/936/

    • antyhelion

      Oczywiście, że przy większej ilości haseł nikt tego nie spamięta, dlatego – być może – to spowoduje, że użytkownicy zaczną z takich menadżerów haseł korzystać, bo zaczną szukać czegoś, co im te hasła „ogarnie”. Bo chyba jednak lepsze to, niż czytać później żale osób np. na Facebooku, że ktoś im się włamał na konto, po czym okazuje się, że hasłem było ich imię. No z dwojga złego, to lepiej chyba jednak „utrudnić” ludziom życie poprzez wprowadzenie walidacji hasła.

    • …to spowoduje, że użytkownicy wymyślą jedno hasło i będą je używać wszędzie ;)

    • antyhelion

      Ci nieświadomi i tak w większości przypadków używają tego samego, więc już lepiej, nich używają jednego, ale skomplikowanego ;)

    • ofca

      Gorzej, jesli to jedno skomplikowane haslo pojawi sie w jakims wycieku w plaintext ;)

    • antyhelion

      Serwisy, które wymagają tak skomplikowanego hasła, na pewno ich w plaintext nie trzymają, ale inne, faktycznie mogą – no cóż ;-)

    • krzysiekj

      tak, tak, na pewno

      i na pewno jak napiszesz,że zapomniałeś hasło to Ci je zresetują a nie przyślą na maila, tak, tak, to nigdy się nie wydarzyło

    • antyhelion

      Ależ oczywiście, że przyślą. Np. Oglaszamy24 trzyma w plaintext na pewno, bo przysyłają to samo.

    • krzysiekj

      no coś TY, niemożliwe, przecież antyhelion pisze, że „Serwisy, które wymagają tak skomplikowanego hasła, na pewno ich w plaintext nie trzymają”. Musisz kłamać ;) ;p

    • antyhelion

      A czy oglaszamy24 wymaga takiego skomplikowanego hasła? Nie, tam przejdzie nawet 12345 :-P Ale tak, serwisy, które wymagają skomplikowanego hasła i mają walidację, która „prostego” nie puści, ZAPEWNE go w plaintext nie trzymają, bo to by już była hipokryzja :-P

    • krzysiekj

      Nie, to jest niechlujstwo i lenistwo a czasem głupota lub niewiedza tych co system Tworzą – a czasem każdego po trochu. A.E. powiedział „Tylko dwie rzeczy są nieskończone: wszechświat oraz ludzka głupota, choć nie jestem pewien co do tej pierwszej” – nawet jak trochę z nieskończoności weźmiesz to to jest dalej nieskończoność, zatem jedyne co można „na pewno” powiedzieć to to, że „są portale wymagające skomplikowanego hasła a mimo to trzymają je jako plain text” lub hashują/szyfrują je tak gównianie, że jest to prawie plain text. Zatem nie ma pewności, że ten czy ów super hiper portal nie należy do tej grupy.

    • .. tak samo jak wymuszanie cyklicznej zmiany haseł powoduje, ze użytkownicy tworzą hasła xxxxx1 a po miesiącu xxxxx2, ew xxxxxmaj xxxxxczerwiec

    • przem

      Jeżeli hasło jest skomplikowane to wystarczy dodać jeden znak raczej

    • DonEladio

      Czytałem o tym niedawno artykuł, kogoś kto robi wiele serwisów i pojawia się też ten problem, wniosek z tego wpisu jest taki, niech sobie wpisują co chcą, to ich sprawa, że mają za słabe hasło, a nie niskich wymogów serwisu, serwis nie ma żadnego obowiązku, to użytkownik sam podaje hasło, a więc odpowiedzialność jest wyłącznie jego.

      Skomplikowane zasady są okropne i nieprzyjazne, trudne do zapamiętania, jedyne co zaleca owa osoba to ustawienie wysokiego minimum znaków np. 10 + kilka wykluczeń.

      Link do wpisu https://blog.codinghorror.com/password-rules-are-bullshit/

    • antyhelion

      Oczywiście, że serwis nie ma prawnego obowiązku (ale „moralny” jak najbardziej powinien mieć o czym pisałem w pierwszy poście), co nie znaczy, że nie powinien sugerować poprawnych praktyk użytkownikowi. O tym właśnie mówię, że serwis powinien „edukować”, że „takie i takie” hasło jest mało bezpieczne i sugerować np. dodanie znaków specjalnych etc. Zwykły Kowalski w Internecie nie przejmuje się zasadami bezpieczeństwa, bo on chcesz szybko i już. A później różne cuda ;-)

    • krzysiekj

      „edukować” ok, ale nie wymuszać
      Załóżmy, że moje hasła to 10 słów które kojarzą mi się z danym portalem. Żeby było szybciej piszę z małej litery.
      I teraz pytanko jaka jest szansa, że ktoś to hasło odgadnie a jaka jest szansa, że system zaakcpetuje takie hasło?

      Powiem tak, szansa, że ktoś je złamie… prawie żadna (mówimy o gigantycznym zbiorze słów z którego bierzesz 10 – to nie 25^10, 50^10 czy 60^10 czy 100^10 ale prawdopodobnie 1000 i więcej). Szansa, że jakiś system to zaakceptuje? Żadna – po pierwsze nie wpiszesz go bo wyleci za długość (spróbuj w bankowości elektronicznej), po drugie durny system powie Ci, że nie masz cyferki, dużej litery czy znaku specjalnego… No nie mam, nie potrzebuje bo zbiór z którego wybieram kolejne elementy hasła jest gigantyczny.

    • antyhelion

      Jak najbardziej masz rację, ale tu się rozchodzi o osoby, które używają hasła typu „haslo”, czyli krótkie, niespełniające żadnych wymogów. Hasło powyżej (lub równe) np. 8 znaków (o ile nie jest to 1234… itd.), już jest naprawdę w miarę ok. Ale na pewno sam widziałaś „listę najpopularniejszych” haseł pokroju: „abcde”, albo „qwerty”, albo „12345”. Dlatego tak: edukacja użytkowników swoich serwisów to ważny aspekt.

    • krzysiekj

      To to niech im serwis napisze – „hola gagatku, używasz prostego hasła, czy jesteś pewien”, a potem czy jesteś na pewno pewien – ale niech im tego nie blokuje. A tak to głupie reguły zagarniają kogoś kto ma jakiś sensowny patent i musi kombinować a przez to być może silne hasła czasem osłabiać „”bo system wie lepiej”

    • Driggooziz

      Przypominam Ci tylko, że ludzie zapisują sobie PIN do karty na jej odwrocie/kartce z portfela.

    • gom1

      2FA i hasło może być „dóda”.

  • UNIX

    pwgen -syc 16

    • mac OS

      pwgen -s -y -c 16

      6MoN^O;;>TY]H4V2

      j/-wgto4kGT|t},3e<Y

      m&65K%d`).y)^rY

      Niestety dużo serwisów ogranicza długość hasła do 16 znaków

    • mac OS

      O kurde, ale Disqs to sformatował, wziął hasła za formatowanie :)

  • Dlatego używam managera haseł z generatorem. Najgorzej jak strona narzuca maksymalną długość hasła :/

    • Daniel

      W wielu generatorach można ustawić maksymalną liczbę znaków hasła.

    • Wiem. Ale nie lubię gdy wymusza się na mnie max 12-20 znaków.

    • Daniel

      Wymuszanie ilości znaków to i tak pikuś – bardziej mnie denerwuje jak zabrania mi się stosowania pewnych znaków.
      To już przegięcie.

  • Mustachian

    Darmowe LastPass i po sprawie.

    • Mustachian

      „Nie zanotowano wycieku żadnych, zaszyfrowanych danych użytkowników poza nielicznymi przypadkami. Zagrożeni użytkownicy zostaną poinformowani o konieczności zmiany hasła. Co więcej, w sytuacji logowania z obcego komputera zostaniemy poproszeni o weryfikację hasła za pośrednictwem skrzynki e-mail.”

      Tragedii nie było, choć masz rację, nic nie jest w 100% bezpieczne.

    • krzysiekj

      taaak, hasła w chmurze… taaak….

      Kiedyś dropbox mówił, że usuwa pliki, i że nikt oprócz Ciebie nie ma do nich dostępu, czy jakoś tak…

  • MacUser

    iCloud i nie martwisz się hasłami na komputerze, tablecie, telefonie

    • Nysdroid

      Pęk kluczy jest świetny, ale też nie bez wad. W Androidzie masz Google Smart Lock i działa podobnie. A od Oreo będzie miał możliwość spamiętać loginy i hasła aplikacji.

  • Qrak

    Zamykam oczy i klikam losowo w klawisze maszyny do pisania. Przepuszczam przez Enigmę. Powtarzam operację. Zamieniam co drugi znak z pierwszego hasła z co drugim. Wykuwam na blachę w między czasie paląc taśmę z maszyny do pisania i kartki papieru. Wpisuję hasło do serwisu. Wyskakuje komunikat hasło za krótkie. Idę do sklepu po nową taśmę do maszyny…

  • ofca

    Przepis na dobre haslo :)

    1. Ukladamy logiczne dla nas zdanie, skladajace sie z 4-6 wyrazow.

    Przykladowo – jesli nasz pies wabi sie Max, moze to byc:

    max bardzo lubi kaszanke z grilla

    2. Usuwamy biale znaki:

    maxbardzolubikaszankezgrilla

    By zwiekszyc entropie, dodajemy duze litery i np. tylko pierwsze litery kazdego wyrazu zamieniamy na male (lub ostatnie albo np. co druga):

    mAXbARDZOlUBIkASZANKEzgRILLA

    4. Zeby „zaspokoic” wiekszosc wydumanych regul w rodzaju „wymagana cyfra, znak specjalny” i tym podobne, dodajemy na koncu prosta sekwencje 1!

    mAXbARDZOlUBIkASZANKEzgRILLA1!

    Takie haslo jest nie do zlamania metoda slownikowa – nawet gdyby probowac tworzyc zdania z istniejacych wyrazow, to juz sam fakt odmiany slowa ‚kaszanka’ i ‚grill’ przez przypadki (lubi kogo? co? ‚kaszanke’ – zamiast ‚kaszanka’, ‚grilla’ – zamiast ‚grill’) stawia niesamowite wyzwanie przed algorytmem dokonujacycm takiego ataku. Bruteforce ze wzgledu na entropie (30 znakow, w tym male i duzelitery, cyfry i znaki specjalne) zajmie wieki – https://howsecureismypassword.net/ oszacowal na „312 UNDECILLION YEARS” (oczywiscie powyzsze haslo jest juz „spalone” z powodu sprawdzenia w tym serwisie :) ) -> patrz komiks z XKCD wrzucony przez @grizz_pl:disqus ;)

    Wada takiego rozwiazania jest to, ze w przypadku wielu kont i zasady by nie uzywac tego samego hasla wiecej niz raz musimy takich zdan ulozyc wiele.

    • kkacprzyk

      Podany przykład bardzo dobry. Ja mogę dodać, że:

      1. Jak w hasło wkładamy proste elementy to wykonujmy prostą operację matematyczną np. Jeśli częścią (podkreślam że częścią) hasła jest data urodzin np. 1990 to zmieńmy druga i trzecią cyfrę o tylko nam znany interwał, np. 3 i już mamy 1660. Jeśli ktoś pamięta dobrze rejestrację swojego pierwszego samochodu to robimy to samo, czyli z WW 123456 może nam się zrobić WW120453 (odjąłem 3 na pozycji 3 i 6). Albo dodać cyfrę 2. Tylko fantazja nas ogranicza gdzie zmienimy jedną czy dwie rzeczy. Nawet jeśli system pozwala na wybranie listy podpowiedzi i jest imię ulubionego psa możemy wiedzieć że to Szarik, z tym że zmieniamy zmieniamy hasło na Zbarim (z i k podniosłem o dwie litery w alfabecie)

      2. Do hasła dodajemy nazwę programu czy serwisu np. zawsze 5 liter. W podanym przez „ofca” powyżej przykładzie mogłoby to wyglądać tak (jeszcze przed zmianą wielkości liter) „max bardzo lubi googl kaszanke z grilla” dla google (5 znaków), czy „max bardzo lubi onet. kaszankę z grilla (dla onetu, kropka bo 5 znaków), „max bardzo lubi windo kaszankę z grilla” (5 znaków dla windowsa). Szansa że hasło się powtórzy oczywiście jest, ale na tyle małe, że spokojnie można je pominąć.
      Podsumowanie: dzięki operacji z przesunięciem oraz umieszczeniem nazwy programu/serwisu w treści hasła to nawet gdyby ktoś usłyszał hasło albo podejrzał, to raczej nie ma szansy aby go poprawnie wpisał :)

    • Marian Koniuszko

      Ten komentarz powinien byc specjalnie oznaczony. Sam korzystam z podobnego sposobu na tworzenie hasel i nie dosc, ze nie mam problemu z zapamietaniem roznych hasel do roznych serwisow, to dodatkowo stosowanie go wymusilo na mnie znajomosc kilku waznych cyfr.

    • Zbyszek

      Ja bym jeszcze wymienił jedną literę np A na przykładowo znak $ i hasło jest mega mocne

  • przem

    Najlepieć mieć ze 4 zapamiętane różne hasła do swoich kont składające się z dziwnych słów, cyfr i znaków specjalnych. Takiego hasła człowiek nigdy nie złamie a maszynie zajęło by to zbyt wiele czasu.

    • Realq

      Nastąpi wyciek haseł na jednej z dziesiątek stron na której się rejestrowałeś, mało popularnej ze słabymi zabezpieczeniami i hasło do 1/4 twoich kont będzie już na zawsze krążyć po sieci

    • zakius

      a można używać różnych loginów na różnych serwisach
      4 maile i 4 hasła przy zasadzie hasło do serwisu nie może być takie samo jak do maila daje znacznie większą pulę

  • DonEladio

    Najlepsze to będzie logowanie za pomocą telefonu przez mobilny authenticator, a żeby w żadnym punkcie nie polegać na haśle stworzonym przez użytkownika, pierwotny klucz do hashowania authenticatora byłby generowany z odcisku palca, do tego kody byłyby generowane wyłącznie po weryfikacji odcisku każdorazowo.

    W ten sposób włamanie się na kogoś konto przez neta było by już niemożliwe, nigdy.

    Oczywiście nadal można ukraść komuś telefon, ale z odciskiem i zaszyfrowanym telefonem na pin to już się robi problem.

  • Ja stosuję hasła składające się z rdzenia takiego samego dla wszystkich kont + słowa odnoszącego się do danej usługi.

  • Wielkie_Nieba

    Niedawno miałem problem z hasłem do Play24. To które wymyśliłem (C#o43[85) zostało odrzucone, bo nie spełniało ich kryteriów. Wkurzony ustawiłem „Haslo123” i było ok. Tak jeden z największych operatorów dba o nasze bezpieczeństwo.
    Te mechanizmy zmuszające do ciągłej zmiany hasła też są do dupy, bo mam algorytm, który umożliwia mi ustawienie na każdej stronie zupełnie innego hasła, a gdy muszę je zmienić, to po pierwsze ustawiam jakieś proste, a po drugie zapominam je i muszę przywracać.

    • krzysiekj

      może C#o43[85 gdzieś kiedyś wyciekło i mają w słowniku haseł znanych a Haslo123 nikt nie użył bo napisałeś z dużej i bez polskich znaków ;p

    • Wielkie_Nieba

      Na pewno tak było xD

    • krzysiekj

      Przecież to wielki operatos i wymaga skomplikowanego hasła :) Oni nie mogą się mylić :)

  • Michał Korzeniowski

    Dlatego własnie używam Dashlana. Sam wymyśla hasła i do większości serwisów może je sam zmienić z automatu bez logowania z poziomu apki, jedyne co trzeba pamiętać to jeden skomplikowany masterpass.

  • aaa

    Największym problemem nie jest wymyślenie samego hasła tylko zapamiętanie trudnego ciągu znaków. Słyszałem o dobrej metodzie polegającej na wypisywaniu pierwszych liter (mało)znanego wiersza. Np. w przypadku Litwo ojczyzno…. wychodzi całkiem ładny ciąg znaków LoMtjjzicccttsdkcs.

  • cipher

    Proste hasło? Menadżer haseł + weryfikacja dwuetapowa, a reszta to generator i ew. pozmieniać kilka liter. „ngADu$bJg&K(H[Z,?&oX” to ok. 74226 tryliardów lat złamania (przy 1 mln prób/s) i 2.3423887366259168e+39 ilość kombinacji.

  • kaszub

    text + key > aes > base64. Ale komu by się chciało ?

  • Cyr4x

    Najprościej stosować system haseł. Stała część wspólna i część zmienna dla każdego serwisu. Część wspólną hasła łatwo zapamiętać, a część zmienna może się kojarzyć nam z daną usługą, choć nie być jej bezpośrednią nazwą. Można stosować kombinacje, jak leet, różne wielkości liter, czy znaki specjalne.

  • Tomek pozdro

    Mi się spodobały te porady.
    goo. gl/yP4QK2