Hasło

Chronimir
w ,

Internet ma dziwną tradycję wpychania ludziom „trudnych” haseł: wielka litera, mała litera, cyfra, znak specjalny, najlepiej jeszcze coś nie do wymówienia. Efekt bywa przewidywalny: hasło jest niby złożone, ale ląduje na karteczce, w notatniku w telefonie albo staje się wariacją tego samego schematu dla wszystkich kont. A wtedy cała ta „złożoność” ma mniej sensu, niż byśmy chcieli.

Dużo lepsze podejście to długie hasło łatwe do zapamiętania – czyli passphrase (fraza-hasło), a nie klasyczne password.

Password vs passphrase – o co chodzi?

  • Password to zwykle krótki „kod” typu R0za!1993.
  • Passphrase to zdanie lub fraza, którą łatwo utrzymać w głowie, np. coś rytmicznego, obrazowego, nawet lekko absurdalnego.

Przykład:
WlazłKotekNaPłotekPoŻerdzi

To jest właśnie fraza-hasło: długa, łatwa do zapamiętania, naturalna w użyciu.

Dlaczego długość jest tak ważna

Hasła w praktyce bardzo najczęściej łamane są maszynowo – nie przez człowieka, tylko przez automat (bot), który próbuje milionów lub miliardów kombinacji. Komputer nie męczy się i nie „zgaduje intuicyjnie” – on mieli możliwości.

I tu jest sedno: każdy dodatkowy znak zwiększa liczbę kombinacji, więc dramatycznie wydłuża czas potrzebny na złamanie hasła metodą brute force (siłową) albo w ataku słownikowym z wariacjami. Dlatego długie frazy wygrywają z krótkimi „kombinowanymi” hasłami, które człowiek i tak potem upraszcza.

„Trudne” hasła są dobre… dopóki nie są nie do życia

Owszem, losowy ciąg znaków jest super – ale tylko wtedy, kiedy:

  • naprawdę jest losowy,
  • nie powtarzasz go nigdzie indziej,
  • nie musisz go zapisywać w ryzykowny sposób,
  • i jesteś w stanie go używać bez frustracji.

Jeśli hasło jest tak pokręcone, że nie da się go zapamiętać i kończy na kartce lub w pliku „hasła.txt”, to bezpieczeństwo staje się teatrzykiem. W realnym życiu hasło ma być nie tylko mocne, ale też wykonalne.

Jak tworzyć dobre passphrase

  1. Wybierz frazę, którą widzisz oczami wyobraźni (obraz = pamięć).
  2. Zrób ją długą: zdanie lub 4-6 słów.
  3. Być może będziesz musiał dodać do frazy znak specjalny i/lub cyfrę aby hasło zostało przyjęte przez aplikację: WlazłKotekNaPłotekPoŻerdzi!0
  4. Unikaj oczywistych cytatów i bardzo popularnych powiedzeń w wersji 1:1.
  5. Uważaj na kompatybilność: niektóre serwisy nadal potrafią mieć problem z polskimi znakami – jeśli tak, użyj wersji bez ogonków.

Sprawdź, czy Twoje dane nie pojawiły się w wycieku

Warto co jakiś czas sprawdzić, czy Twój e-mail nie pojawił się w znanych wyciekach danych – do tego służy serwis Have I Been Pwned. Jeśli e-mail był w wycieku, to jest sygnał, że hasła powiązane z tym kontem mogły zostać ujawnione i należy je zmienić (zwłaszcza jeśli gdziekolwiek były używane ponownie). Serwis pozwala sprawdzić także samo hasło pod względem wycieku.

Password manager – sekretna broń normalnych ludzi

Jest jeszcze jedna rzecz, która zmienia zasady gry: menedżer haseł (password manager).

To aplikacja, która:

  • generuje długie, losowe hasła,
  • zapamiętuje je za Ciebie,
  • uzupełnia logowanie automatycznie,
  • pomaga utrzymać zasadę „jedno konto = jedno unikalne hasło”.

Dzięki temu nie musisz wybierać między „łatwe do zapamiętania” a „bardzo mocne”. Dla kont mniej krytycznych możesz mieć passphrase, a dla reszty – losowe, długie hasła trzymane w managerze. W obu przypadkach wygrywasz z chaossem i powtarzaniem tych samych schematów.

Dwie żelazne zasady na koniec

  • Jedno konto = jedno unikalne hasło. Nie przestrzegania tej zasady, to najczęstszy błąd, który robi największą krzywdę.
  • Tam gdzie możesz, włącz 2FA/MFA (dodatkowe potwierdzenie logowania) – bo nawet najlepsze hasło nie jest kuloodporne.

Dobre hasło nie musi wyglądać jak losowy bełkot. Ma działać w prawdziwym życiu: być długie, pamiętalne (albo bezpiecznie przechowywane w managerze) i unikalne. Reszta to tylko ozdobniki.