Jak tworzyć silne i łatwe do zapamiętania hasła - rekomendacje CERT Polska

Jeszcze jakiś czas temu powszechnie stosowaną praktyką przy tworzeniu silnych haseł było zadbanie o ich złożoność, a więc stosowanie zlepku znaków nie będących słowami - mała, duża litera, cyfry i znaki specjalne. Co ciekawe, nadal takie wymagania przy tworzeniu haseł mają popularne serwisy i instytucje finansowe, jednak według najnowszych rekomendacji stworzonych na podstawie badań i symulacji znanych ataków, tworząc silne hasła trzeba teraz skupiać się na ich długości.

Najnowsze zalecenia CERT Polska dla projektantów systemów są następujące:

• Brak wymuszonej okresowej zmiany haseł użytkowników - według badań większość użytkowników systemów nie jest w stanie zapamietać co miesiąc zupełnie nowego silnego hasła
• Blokada tworzenia hasła znajdującego się na liście słabych/często używanych haseł - link do bazy takich haseł upublicznionych w wyciekach
• Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
• Minimalna długość hasła – co najmniej 12 znaków (zaleca się budowanie dłuższych haseł stanowiących całe zdania)
• Limit znaków w haśle nie mniejszy niż 64 znaki
• Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter

Skąd taka rekomendacja CERT Polska. Podawany jest tu przykład kilku pozornie trudnych haseł Galwaniczny123$, zaq1@WSXcde3$RFV czy admin.1admin.1admin.1admin.1, których złamanie w testach wewnętrznych zajęło… 5 minut.

O wiele trudniejsze do złamania, wręcz niemożliwe w tak krótkim czasie z użyciem znanych narzędzi, są hasła tworzone w oparciu o całe zdania. Złamanie hasła typu WlazlKostekNaMostekIStuka zajęłoby prawdopobnie setki lat.

Jak tworzyć takie hasła będące łatwymi do zapamiętania zdaniami? CERT Polska podaje tu trzy sposoby. Pierwszy to tworzenie haseł składających się z conajmniej 5 słów, będących na przykład skojarzeniem z jakąś znaną frazą - wlazł kotek na płotek i mruga, ale nie mających z nią zbyt wiele wspólnego:

Czytaj dalej poniżej

Google wymusi dwuskładnikowe uwierzytelnianie - tak świętuje Dzień Hasła Kamil Pieczonka

Tyle lat i ani jednego wirusa. Nikt też mnie nie zhackował. Gdzie tkwi sekret? Jakub Szczęsny

• WlazlKostekNaMostekIStuka

Drugim sposobem jest tworzenie haseł składających się ze słów opisujących jakąś scenę, ważne by znalazły się w niej abstrakcyjne elementy:

• zielonyParkingDla3malychSamolotow

Trzeci sposób, to tworzenie zdań z zaczerpniętym słowem z języka obcego, gdyż łamanie hasła metodą słownikową opiera się na słownikach składających się ze słów czy zwrotów z jednego języka:

• DwaBialeLatajaceSophisticatedKroliki

Oczywiście CERT Polska zastrzega, że podane przykłady stanowią silne hasła trudne do złamania, ale nie należy z nich skorzystać z uwagi na ich opublikowanie w sieci. Musimy stworzyć nowe w oparciu o taki klucz, co nie powinno być trudne, no i ich zapamiętanie również.

Nie należy się też tu obawiać, że wprowadzanie takich haseł na klawiaturze zabierze jakoś więcej czasu. Odchodzą nam tutaj przecież znaki specjalne czy konieczność zapamiętywania ich sekwencji. Pozostaje wprawdzie wspomniany problem z serwisami, które wymagają podawania znaków specjalnych w tworzonych hasłach, ale taki znak zawsze możemy postawić w wybranym miejscu takich całych zdań.

Więcej informacji o najlepszych praktykach przy tworzeniu i korzystaniu z haseł znajdziecie w artykule na stronach CERT Polska. Użyte w tekście plakaty, które można wydrukować i przypiąć na tablicy korkowej w swoim miejscu pracy można pobrać z tej strony.

Źródło: CERT Polska.
Stock Image from Depositphotos.

Sprawdź też: jak odzyskać hasło do fb