Czy Twoje hasła są naprawdę bezpieczne? Co większość ludzi robi źle
Zacznijmy od niewygodnego pytania: ile Twoich kont online korzysta z tego samego hasła?
Jeśli odpowiedź brzmi więcej niż jedno, nie jesteś odosobniony. Badania konsekwentnie pokazują, że przeciętna osoba używa tych samych haseł na co najmniej pięciu kontach. Wielu ludzi używa tego samego hasła lub jego drobnych odmian na dziesiątkach usług. To jedno z największych zagrożeń bezpieczeństwa, z jakimi spotyka się większość ludzi online, a jest ono całkowicie do uniknięcia.
Prawdziwe zagrożenie: wycieki danych i credential stuffing
Większość ludzi wyobraża sobie hacking jako kogoś, kto celowo atakuje ich konto, zgadując hasło lub łamiąc je siłowo. Rzeczywistość wygląda zupełnie inaczej.
Zdecydowana większość przejęć kont następuje poprzez wycieki danych. Firma, w której masz konto, zostaje zhakowana. Jej baza danych z nazwami użytkowników i hasłami zostaje skradziona i opublikowana w internecie lub sprzedana w darknecie. Zdarza się to dużym firmom z niepokojącą regularnością.
I tu używanie tych samych haseł staje się katastrofalne. Atakujący biorą wyciekłe kombinacje e-mail-hasło i automatycznie sprawdzają je na setkach innych usług: Gmail, Amazon, strony bankowe, media społecznościowe. Nazywa się to credential stuffing i działa, ponieważ tak wiele osób używa tego samego hasła wszędzie.
Uwaga Jeśli użyłeś tego samego hasła do małego forum internetowego, które zostało zhakowane, i do swojego głównego konta e-mail, atakujący, który zdobędzie bazę danych forum, ma teraz dostęp do Twojego e-maila. Z Twojego e-maila może zresetować hasła praktycznie do każdego innego konta, jakie posiadasz.
Najczęstsze błędy w hasłach
1. Używanie tych samych haseł
To grzech kardynalny bezpieczeństwa haseł. Gdy używasz hasła ponownie, wyciek z jednej usługi kompromituje każdą usługę, na której użyłeś tego hasła.
2. Używanie słabych haseł
Pomimo lat kampanii uświadamiających, najczęściej używane hasła pozostają szokująco proste. „123456", „password", „qwerty" i „admin" konsekwentnie zajmują czołowe miejsca na listach. Można je złamać w niecałą sekundę.
3. Przewidywalne wzorce
Wielu ludzi myśli, że jest sprytnych ze wzorcami takimi jak:
- Dodawanie „1" lub „!" na końcu popularnego słowa
- Wielka litera tylko na początku
- Używanie bazowego hasła z dopisaną nazwą strony (np. „MojeHaslo-facebook")
- Zastępowanie liter cyframi („h@sł0")
Atakujący znają wszystkie te wzorce. Ich narzędzia są specjalnie zaprojektowane do wypróbowywania tych odmian. Hasło, które wygląda na złożone dla człowieka, może być trywialne dla automatycznego narzędzia do łamania.
4. Używanie informacji osobistych
Imiona zwierząt, daty urodzin, rocznice, imiona dzieci, ulubione drużyny sportowe. Wszystkie te informacje często są publicznie dostępne w mediach społecznościowych. Jeśli Twoje hasło to „burek2019", a Twój Instagram jest pełen zdjęć psa z #BurekPies, nie jesteś tak bezpieczny, jak myślisz.
5. Niemniejanie skompromitowanych haseł
Nawet po powiadomieniu o wycieku wielu ludzi nie zmienia swoich haseł. Daje to atakującym przedłużone okno czasowe na wykorzystanie wyciekłych danych logowania.
Czy wiesz, że? Największy znany wyciek danych ujawnił ponad 3,2 miliarda kombinacji e-mail i haseł w jednym wycieku. Istnieje duże prawdopodobieństwo, że co najmniej jedno z Twoich haseł zostało ujawnione w przeszłym wycieku, nawet jeśli nigdy nie zostałeś o tym powiadomiony.
Co sprawia, że hasło jest silne?
Silne hasło ma trzy kluczowe właściwości:
- Długość. To najważniejszy czynnik. 16-znakowe hasło jest wykładniczo trudniejsze do złamania niż 8-znakowe, niezależnie od złożoności.
- Losowość. Nie powinno zawierać słów słownikowych, imion, dat ani rozpoznawalnych wzorców.
- Unikalność. Musi być używane do jednego konta i tylko jednego konta.
Oto jak długość hasła wpływa na czas łamania losowego hasła:
| Długość | Tylko małe litery | Mieszane litery + cyfry + symbole |
|---|---|---|
| 6 znaków | Natychmiast | ~5 sekund |
| 8 znaków | ~2 minuty | ~8 godzin |
| 12 znaków | ~200 lat | ~34 000 lat |
| 16 znaków | ~3 miliony lat | Praktycznie nie do złamania |
Wniosek jest jasny: długość pokonuje złożoność. 16-znakowe losowe hasło z samymi małymi literami jest znacznie silniejsze niż 8-znakowe hasło z wielkimi literami, cyframi i symbolami.
Rozwiązanie: menedżery haseł i unikalne hasła
Najpraktyczniejszym sposobem na używanie silnych, unikalnych haseł do każdego konta jest korzystanie z menedżera haseł. Menedżer haseł przechowuje wszystkie Twoje hasła w zaszyfrowanym sejfie, chronionym jednym hasłem głównym. Musisz zapamiętać tylko jedno hasło; reszta jest obsługiwana przez menedżera.
Popularne menedżery haseł to Bitwarden (darmowy i open source), 1Password i KeePass. Większość przeglądarek ma również wbudowane menedżery haseł, które działają wystarczająco dobrze.
Jak działa menedżer haseł
- Gdy tworzysz konto lub zmieniasz hasło, menedżer generuje długie, losowe hasło.
- Hasło jest zapisywane w zaszyfrowanym sejfie.
- Gdy odwiedzasz stronę internetową, menedżer automatycznie wypełnia dane logowania.
- Nigdy nie musisz pamiętać, wpisywać ani nawet widzieć poszczególnych haseł.
Działaj już dziś: dwa kroki, które możesz wykonać teraz
Nie musisz przerabiać całego swojego cyfrowego życia za jednym razem. Zacznij od tych dwóch konkretnych działań.
Krok 1: Sprawdź, czy Twoje hasła wyciekły
Przed czymkolwiek innym dowiedz się, czy Twoje obecne hasła zostały już ujawnione w znanych wyciekach danych. To pokaże Ci, które konta są narażone na natychmiastowe ryzyko.
Wskazówka Możesz sprawdzić, czy Twoje hasła pojawiają się w znanych bazach wycieków już teraz, za darmo: Sprawdź, czy Twoje hasło wyciekło. Sprawdzenie jest wykonywane bezpiecznie — Twoje pełne hasło nigdy nie jest nigdzie wysyłane.
Krok 2: Wygeneruj silne hasła dla najważniejszych kont
Zacznij od kont, które mają największe znaczenie: główny e-mail, bank i każde konto przechowujące dane płatnicze. Zamień te hasła na silne, losowo wygenerowane.
Wskazówka Użyj naszego darmowego generatora haseł, aby natychmiast tworzyć silne, unikalne hasła: Generowanie bezpiecznego hasła. Możesz dostosować długość i typy znaków do wymagań dowolnej strony.
Poza hasłami: włącz uwierzytelnianie dwuskładnikowe
Nawet najsilniejsze hasło nie wystarczy, jeśli usługa je przechowująca zostanie zhakowana. Uwierzytelnianie dwuskładnikowe (2FA) dodaje drugą warstwę ochrony: po wprowadzeniu hasła musisz również podać kod z telefonu, aplikacji uwierzytelniającej lub fizycznego klucza bezpieczeństwa.
Z włączonym 2FA samo wyciekłe hasło nie wystarczy atakującemu, aby uzyskać dostęp do Twojego konta. Włącz je na każdym koncie, które to oferuje, zwłaszcza e-mail, bankowość i media społecznościowe.
Uwaga 2FA oparte na SMS (kody wysyłane wiadomością tekstową) jest lepsze niż nic, ale jest podatne na ataki SIM-swapping. Aplikacje uwierzytelniające (Google Authenticator, Authy) lub klucze sprzętowe (YubiKey) są znacznie bezpieczniejsze.
Budowanie lepszych nawyków
Bezpieczeństwo haseł nie jest jednorazową naprawą. To ciągła praktyka:
- Używaj menedżera haseł do wszystkich kont.
- Generuj unikalne hasło dla każdego nowego konta.
- Włącz 2FA wszędzie, gdzie jest dostępne.
- Sprawdzaj wycieki okresowo, przynajmniej raz lub dwa razy w roku.
- Zmieniaj skompromitowane hasła natychmiast po powiadomieniu o wycieku.
Zacznij zabezpieczać swoje konta już dziś:
Oba narzędzia są darmowe, działają w przeglądarce i nigdy nie wysyłają Twoich danych gdziekolwiek.