Reguły dotyczące haseł: Regularne zmienianie haseł szkodzi bezpieczeństwu

Jest takie powiedzenie, że hasła należy traktować jak bieliznę – zmieniać je regularnie i nie dzielić się nimi z innymi. Jednak od pewnego czasu narasta sprzeciw wobec tego określenia. Regularna zmiana haseł nie poprawia bezpieczeństwa – wręcz przeciwnie.

Na początek należy zauważyć, że nikt nie powinien dzielić się swoimi hasłami (ani bielizną). To, co od pewnego czasu budzi jednak wątpliwości, to zmuszanie ludzi do regularnej zmiany haseł. W ostatnich latach, zwłaszcza firmy wydały wytyczne wymagające od pracowników zmiany haseł co cztery tygodnie.

Nikt poza Williamem Burrem, autorem oryginalnej rekomendacji NIST (National Institute of Standards and Technology) z 2003 r., na której opiera się wiele wciąż stosowanych zasad, nie zdystansował się od tej rekomendacji, określając ją jako przestarzałą, a nawet szkodliwą.

Czarno na białym

Federalny Urząd ds. Bezpieczeństwa Informatycznego (BSI) stosuje się obecnie do stanowiska w obecnym wydaniu wytycznych dotyczących podstawowej ochrony informatycznej. W nieco zaszyfrowanym rozdziale „ORP.4.A8: Zasady posługiwania się hasłem” wymienione zostały wszystkie zasady, które dotyczą posługiwania się hasłami. Szczególnie interesujące jest to, czego już brakuje w przepisach, a mianowicie, że hasła muszą być zmieniane w regularnych odstępach czasu. Wręcz przeciwnie, wyraźnie to stwierdza: „Hasło MUSI zostać zmienione, jeśli zostało – lub jeśli istnieje podejrzenie, że zostało – ujawnione osobom nieupoważnionym”.

Konkretnie, oznacza to, że nikt nie powinien już zmieniać swoich haseł – chyba że ktoś inny również je zna.

Wygoda i zmiana nastawienia

Ludzie lubią ułatwiać sobie życie. A skomplikowane, długie hasła są cierniem u boku wielu użytkowników. Administratorzy na całym świecie wymyślili więc inne sposoby, aby zapobiec ponownemu użyciu haseł przy jednoczesnym zwiększeniu ich bezpieczeństwa. Na przykład, miliony użytkowników rwie sobie włosy z powodu drakońskich zasad dotyczących haseł, które wymagają co najmniej jednej cyfry i dwóch znaków specjalnych lub zabraniają używania któregokolwiek z ostatnich dwudziestu haseł.

Nikt tak naprawdę nie chce pamiętać tak długich i skomplikowanych haseł – nie mówiąc już o wymyślaniu co kilka tygodni nowego. Dlatego powszechną praktyką jest wprowadzanie iteracji hasła. Na przykład, po „MyPassword” następuje bezpośrednio „MyPassword2”, po którym następuje „MyPassword3” i tak dalej. Powszechnie używa się również haseł, które są bardzo łatwe do odgadnięcia, a mimo to od dawna nie bez powodu są absolutnym „no-go” – wieloletni faworyci, hasła takie jak „123456” czy „qwerty1234” – czy nawet „polska”. Hasła takie jak te są pierwszymi rzeczami, które przestępcy starają się złamać podczas próby włamania do kont online i kont użytkowników w sieciach firmowych. Regularnie pojawiają się na listach z tytułami takimi jak „10 najgorszych haseł„. Na domiar złego, wielu użytkowników Internetu nadal używa tego samego hasła do kilku różnych rzeczy jednocześnie. W najgorszym przypadku, przestępca nie tylko uzyskuje dostęp do skrzynki pocztowej, ale także bezpośrednio do kont bankowości internetowej lub kont w serwisach społecznościowych.

Jeśli jest jedna rzecz, w której komputer jest dobry, to jest to po prostu wypróbowanie kilkuset tysięcy różnych haseł. Nawet wzorce wejściowe, które nie pojawiają się w żadnym klasycznym słowniku, ale są łatwe do wpisania na klawiaturze, takie jak „1q2w3e4r5t” lub „qwerasdf1234”, są jego częścią.

Istnieją całe listy słów ze standardowymi hasłami, jak np. lista „Rockyou„. Każdy może pobrać listę za darmo i całkowicie legalnie. Przedsiębiorstwa mogą tworzyć tzw. „czarne listy” haseł, których nie wolno używać w sieci firmowej. Ale wciąż pozostaje: „Hasło musi mieć wystarczającą długość, aby było trudne do złamania”. Tylko długość może sprawić, by hasło było tak bezpieczne, że wymagany jest nieproporcjonalnie duży wysiłek – czas potrzebny do złamania hasła rośnie wykładniczo z każdą dodatkową cyfrą, literą lub specjalnym znakiem.

Alternatywy i rozszerzenia

To, co zapewnia jeszcze większe bezpieczeństwo, to tzw. uwierzytelnianie wieloskładnikowe. Zamiast polegać wyłącznie na czynniku logowania opartym na wiedzy – takim jak hasło – pomaga ono dodać drugi czynnik. W ten sposób nawet utrata hasła nie jest prawdziwym problemem, ponieważ potencjalny przestępca nadal potrzebuje drugiego składnika logowania. Może to być specjalny token zabezpieczający, funkcja biometryczna lub jednorazowe hasło ze specjalnej aplikacji.

Rośnie także zainteresowanie na tak zwane tokeny FIDO2, które mogą nawet całkowicie zastąpić zwykłe hasło. Jednak nie są one jeszcze bardzo rozpowszechnione i nie wszędzie obsługiwane. Menedżery haseł są również przydatnym rozszerzeniem – wachlarz płatnych i bezpłatnych rozwiązań jest dość szeroki, więc każdy powinien znaleźć coś dla siebie.

Regularne sprawdzanie

Wycieki danych występują nieustannie i za każdym razem dotyczą dużej liczby użytkowników. Osoby, których to dotyczy, dowiadują się, że ich hasło stało się ofiarą cyberprzestępców dopiero wtedy, gdy jest już za późno, a ich konto na eBay’u nagle zostało przejęte a dom zalewają faktury za nie zamówione towary.

Za pomocą programu sprawdzającego tożsamość (Identity Leak Checkers) instytutu Hasso Plattner Institute każdy po wpisaniu swojego adresu e-mail może ustalić, czy dane związane z tym adresem zostały dotknięte poważnymi wyciekami danych. Jeśli tak, należy natychmiast zmienić hasło, jeśli jeszcze tego nie zrobiono – i w razie potrzeby usunąć lub dezaktywować dane konto.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...