Początek roku to zazwyczaj też okres różnych raportów i podsumowań. Dziś chciałbym Wam przedstawić „ranking” najgorszych (i zarazem najpopularniejszych) haseł w 2013(!), który ukazał się w serwisie SplashData…

Najgorsze (i najpopularniejsze) hasła 2013

Ranking powstał m.in. na podstawie dostępnych wycieków loginów i haseł z różnych serwisów, w tym z dużego wycieku z firmy Adobe, stąd zapewne też spora popularność hasła „photoshop”:

123456 password

Z rankingu też widać, że na samym szczycie bez większych zmian – hasło „123456” awansował o jedną pozycję na 1 miejsce, a tym samym hasło „password” spadło na 2 pozycję. Na 3 miejscu bez zmian – bardziej rozwinięta wersja zwycięzcy, czyli „12345678”.

Największy awans zaliczyły 2 hasła: „1234567” (+5, na pozycję 8) i „123123” (+5, na pozycję 11). Największe spadki w rankingu to hasła „trusno1” (-12, na pozycję 24) i „monkey” (-11, na pozycję 17).

Bezpieczne hasło

Zastanawiałem się czy przygotować ten punkt – w końcu informacji, jak stworzyć relatywnie bezpieczne hasło i internecie jest tyle, że chyba każdy zainteresowany znajdzie coś dla siebie… Ale uznałem, że „wbijania do głowy” tego typu informacji nigdy za wiele, tak więc:

Wykorzystaj wierszyk lub powiedzenie

Dobrym sposobem na przygotowanie dobrego hasła, które zarazem nie będzie na tyle trudne by trzeba było je zapisywać na żółtej karteczce obok monitora (;-)) będzie wykorzystanie jakiegoś wierszyka czy powiedzenia. Oczywiście nie całego, bo starczy 8-10 znaków.

I tak np. powiedzenie:

Gdzie kucharek sześć, tam nie ma co jeść

można spróbować przerobić np. na takie hasło:

Gk6,tnmcj!

(Gdzie kucharek sześć 6, tam nie ma co jeść [!])

Cyfry zamiast liter

Inny sposobem – choć sporo programów/skryptów służących do łamania haseł sprawdza też i takie podmiany, więc nie bazowałbym tylko na tej metodzie – jest podmiana liter na odpowiadające im wizualnie cyfry, np.:

• i/I -> 1
• s/S -> 5
• z/Z -> 2
• o/O -> 0
• b -> 6
• B -> 8

Indywidualne hasło do każdego serwisu/usługi

Nawet najlepsze hasło nic nie da, jeśli będziemy wszędzie korzystali z tego samego hasła – w przypadku wycieku danych z jednego serwisu/usługi, automatycznie ujawnione zostanie nasze hasło do pozostałych serwisów.

W tym przypadku można spróbować różnych metod „dodawania znaków”, które kojarzą się z danym serwisem do naszego „hasła bazowego”. Warto też spróbować jakoś zaciemnić taki dodatek, tak by nie wyglądało to zbyt oczywiście, np.:

• Usługa1: Gk6,tnmcj!Usługa1
• Serwis2: Gk6,tnmcj!Serwis2
• Usługa3: Gk6,tnmcj!Usługa3

;-)

Menedżery haseł

Sporą popularnością cieszą się też przeróżne menedżery haseł, czyli programy które wspierają nas w generowaniu unikatowych haseł do różnych usług/serwisów. W tym przypadku wystarczy pamiętać jedno główne hasło do samego programu, które też chroni dostęp do pozostałych haseł.

Obecnie takie programy oferują m.in. integracje z systemem (różnymi programami, przeglądarkami internetowymi), co sprawia, że korzystanie z nich jest jeszcze prostsze i szybsze. Ważnym elementem takich programów jest również synchronizacja danych, nie tylko między różnymi komputerami, ale i np. smatfonem.

Uwierzytelnienie dwuskładnikowe (2FA)

Jeśli serwis z którego korzystacie oferuje opcję uwierzytelnienia dwuskładnikowego, nie ma co się zastanawiać – należy ją aktywować. Najczęściej będzie to w formie programowego tokena instalowanego na telefonie, rzadziej w formie wiadomości SMS (oczywiście poza bankami), czy hasła przesyłanego na adres e-mail. Są jeszcze tokeny sprzętowe, ale to raczej niszowe rozwiązanie aktualnie – przynajmniej w segmencie o którym tutaj mowa.

YubiKey

Inną alternatywą – choć na razie relatywnie mało popularną, przynajmniej z tego co widzę „po znajomych” – są urządzenia YubiKey, które po podpięciu do portu USB komputera potrafią przekazać do aplikacji/serwisu/usługi odpowiednie hasło uwierzytelniające.

Może to być zarówno hasło generowane jednorazowo, jak i – dzięki symulacji klawiatury – hasło stałe, przy czym odpowiednio długie by utrudnić atak słownikowy.