FBI zaleca: Liczy się długość a nie złożoność hasła…

Federalne Biuro Śledcze (FBI) w ramach swoich poradników technologicznych zaleca tworzenie dłuższego hasła składającego się ze słów zamiast krótszych losowych ciągów znaków.

Hasła składające się z kilku słów lepsze niż krótki przypadkowy ciąg znaków!
Hasła składające się z kilku słów lepsze niż krótki przypadkowy ciąg znaków!

Wszyscy używamy haseł. Używamy ich do naszych telefonów, komputerów, poczty elektronicznej i niemal każdego innego rodzaju konta osobistego w internecie. Niestety wiele osób używa prostych haseł, takich jak Haslo1 lub 1234, ponieważ łatwiej je zapamiętać. Niektórzy używają nawet tego samego prostego hasła do wielu kont.

Jeśli użyjesz prostego hasła lub wzoru znaków, hackerom łatwiej będzie je złamać. Wiele firm i witryn wymaga, aby hasła zawierały wielkie litery, małe litery, cyfry i znaki specjalne. Jednak ostatnie wytyczne Narodowego Instytutu Standardów i Technologii (National Institute of Standards and Technology – NIST) wskazują, że długość hasła jest znacznie ważniejsza niż złożoność hasła.

Zamiast używać krótkiego, złożonego hasła, które jest trudne do zapamiętania, podobno lepiej jest rozważyć użycie dłuższego hasła. Polega to na łączeniu wielu słów w długi ciąg o długości co najmniej 15 znaków. Dodatkowo takie hasło jest trudniejsze do złamania i łatwiej je zapamiętać.

Na przykład wyrażenie takie jak LubieTworzyc15skladnikoweHasla jest silnym hasłem. Jeszcze lepsze jest hasło, które łączy wiele niepowiązanych słów, takich jak GuzikRosomakMalujeTapczan. Co ciekawe takie hasło jest bezpieczniejsze i trudniejsze do złamania niż 8-składnikowe hasło składające się dużych i małych liter, cyfr i znaków specjalnych.

Firefox Monitor sprawdzi, czy Twoje hasło zostało skradzione

‼️ Pamiętaj jednak, aby nie używać powszechnie znanych fraz typu WlazlKotekNaPlotekIMrugaPiosenkaNiedluga . Lepiej zapamiętać niepowiązane ze sobą słowa, dodatkowo możesz wprowadzić urozmaicenia, np.

  • nie każde słowo pisz wielką literą (możesz też wybrać dowolną literę, którą chcesz pisać majuskułą),
  • zamiast niektórych liter wstaw cyfry, lub pomiędzy słowami ciąg cyfr.
Gdy już ustalisz swoje hasło, które ma powyżej 15 znaków, zapamiętaj je i nikomu nie udostępniaj!

Oto zalecenia NIST dotyczące silnych haseł dla organizacji:

  • wymagaj od wszystkich używania dłuższych haseł lub haseł składających się z 15 lub więcej znaków bez konieczności używania wielkich, małych liter lub znaków specjalnych,
  • wymagaj zmiany hasła tylko wtedy, gdy istnieje powód, by sądzić, że Twoja sieć została naruszona,
  • poproś administratorów sieci o sprawdzenie haseł wszystkich użytkowników, o których wiadomo, że zostały naruszone,
  • aby zapobiec atakowi typu „odmowa dostępu” na Twoją usługę e-mail, nie blokuj konta użytkownika po określonej liczbie niepoprawnych prób logowania. W ten sposób, nawet jeśli przeciwnik zaleje Twoją sieć celowo niepoprawnymi danymi logowania, użytkownicy nie zostaną zablokowani na swoich kontach.
  • nie zezwalaj na dodawanie „wskazówek” „pytań bezpieczeństwa” do odblokowania hasła.

Wreszcie, niektóre osoby używają programów przechowujących hasła. Te programy przechowują wszystkie hasła w jednym miejscu, czasem nazywają się skarbcem lub pękiem kluczy. Niektóre programy mogą nawet tworzyć dla Ciebie silne hasła i śledzić je wszystkie w jednym miejscu, więc jedynym hasłem lub hasłem, które musisz zapamiętać, jest hasło do skarbca.

1Password pozwala sprawdzić, czy Twoje hasło zostało skradzione

Wadą korzystania z tego typu programów przechowujących hasła jest to, że jeśli atakujący złamie hasło do niego, wówczas zna wszystkie hasła do wszystkich Twoich kont. Ale wielu specjalistów IT zgadza się, że korzyści płynące z programu ochrony hasła znacznie przewyższają to ryzyko.

źródło: FBI – Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords