#CyberMagazyn: Czy regularna zmiana hasła poprawia poziom cyberbezpieczeństwa?

Dbanie o odpowiednie zabezpieczenie loginów i haseł to jedna z podstawowych zasad odpowiedzialnego zachowania się w sieci. Choć pytania zadane wyżej - dla ekspertów cyberbezpieczeństwa mogą wydawać się banalne - to ostatni gigantyczny wyciek danych (ponad 6,2 mln wierszy) pokazał, że wciąż wielu Polaków stosuje te same hasła, które w sieci są doskonale znane i najczęściej stosowane.

Z analizy CERT Orange Polska i zawartości danych tego wycieku wynikało, że wciąż najpopularniejsze hasła to m.in. 123456, 123qwe, Xperiaj1, Homo1008 czy zaq12wsx. Jak w takim wypadku można być bezpiecznym w sieci?

Inną „zbrodnią” jest używanie tego samego hasła do wielu kont. Dlaczego? Ponieważ jeśli hasło do tylko jednego konta wycieknie, to na zagrożenie narażone może zostać każde z nich – nawet te ze znacznie poważniejszą zawartością niż tylko do dawno zapomnianego maila, na który przychodzą już tylko reklamy i linki do newsletterów.

Podstawą reakcji po wycieku jest po pierwsze: skorzystanie z prostego, darmowego i ogólnodostępnego narzędzia – HaveIBeenPwned.com , a po drugie: natychmiastowa zmiana haseł.

Dobre hasło powinno być silne tj. posiadać duże i małe litery, znaki specjalne oraz cyfry. Pomóc w ich zapamiętaniu może menedżer haseł (przechowuje dane logowania w szyfrowanej bazie, wpisuje je w panel logowania na żądanie użytkownika).

Do każdego konta rekomendowane jest także uwierzytelnienie dwuskładnikowe wszędzie tam, gdzie to tylko możliwe.

Dodatkową ochronę zapewnić może klucz bezpieczeństwa (na temat tego rozwiązania realizowaliśmy odcinek „Prosto o cyber”, który możecie obejrzeć tutaj ).

Czy (i jak) regularna zmiana haseł wpływa na cyberbezpieczeństwo?

Porady dotyczące zachowania zasad cyberhigieny to jedno. Innym pytaniem, które często pada, a co do których – przekonaliśmy się z własnych doświadczeń, że wciąż istnieją wątpliwości – jest to, czy regularna zmiana hasła poprawia poziom cyberbezpieczeństwa. Zdecydowaliśmy się zapytać o to kilku ekspertów z branży cyberbezpieczeństwa.

Artur Kuliński, security specialist w Google Cloud zaznacza, ze w firmie zmieniają hasła tylko wtedy, gdy zachodzi podejrzenie ich kompromitacji, np. przypadkowego ujawnienia. „Kluczowy jest silny, niephiszowalny drugi składnik - w naszym przypadku klucze U2F Tytan. W przypadku braku drugiego składnika istotna jest siła hasła, ale jego częste zmiany poza niedogodnością dla użytkownika nie podnosi znacząco bezpieczeństwa - lepiej zająć się brakiem drugiego składnika” – podkreśla. Jak dodaje, strategia giganta to „przyszłość bez haseł", dlatego już udostępnili technologię passkey dla użytkowników Google’a (więcej o tej koncepcji pisaliśmy w tym materiale ).

Istotne zasady silnego hasła

Z kolei Mateusz Kopacz z Grupy MCX zaznacza, że silne hasło wyznacza jego długość. „Stosujemy wyrażenie hasłowe nie hasło, tak długie jak się da. Niezmieniane w czasie. Monitorujemy wycieki i wymuszamy zmianę tak szybko, jak to tylko możliwe. Wymuszamy MFA (uwierzytelnienie wieloskładnikowe) nawet to najsłabsze - oparte o wiadomość SMS, a dla bardziej zaawansowanych - menedżer haseł. Warto wspomnieć na końcu o kluczach U2F – tłumaczy.

Natomiast Tomasz Jaguś, Data Protection Officer z Emil Frey Polska przekazał nam, że „długie i mocne hasło przechowywane w bezpiecznym menedżerze haseł zawsze jest lepsze niż proste, bo zmieniane często, a przechowywane w głowie”. Jak dodał, uważa, że ważniejsza od regularnej zmiany hasła jest cyberhigiena użytkownika. „Przecież hasło może wyciec/zostać złamane dzień po jego zmianie... więc co nam da jego zmienianie raz w miesiącu, jeśli nie mamy podstaw świadomości w zakresie cyberhigieny. Ważniejsze jest stworzenie odpowiednio długiego hasła, którego siłowe złamanie nie będzie łatwe. I oczywiście... uwierzytelnienie dwuskładnikowe (2FA) - gdyby jednak wyciekło” – tłumaczy.

Głos w dyskusji zabrał także Marcin Zawłocki, specjalista IT: „Hasło hasłem. Na pewno im bardziej skomplikowane hasło tym lepiej. W haśle nie ograniczajmy się do jednego słowa. Warto stosować zdania, nawet niekoniecznie logiczne. Długość ma i nie ma znaczenia, ponieważ jeżeli damy hasło np. Marcin123456789101112 no to nawet 21 pozycji nic nie da, ale jeżeli zastosujemy: wielką literę, małą literę, znaki specjalne, liczby, nawet wtrącenia interpunkcyjne, to siła hasła rośnie i nie musi być 21 znaków” – dodał, podkreślając wagę długości hasła.

Dodatkowo radzimy, by nigdy nie podawać swojego hasła komuś w wiadomości mailowej czy telefonicznie – może to być oszust, który podszywa się np. pod pracownika banku i chce wyłudzić dane do logowania. Otrzymując je wprost, jedyne co zrobi to zaloguje się i wyczyści... konto bankowe.

O tym, jak chronić się przed wyciekiem danych pisaliśmy także na łamach CyberDefence24.pl. Odsyłamy zatem do tekstu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].