Zakładając nowe konta internetowe (i nie tylko) jesteśmy coraz częściej nękani przez algorytmy sprawdzające złożoność naszych haseł. Komu potrzebne jest hasło zawierające przynajmniej jedną dużą literę, cyfrę, znak specjalny i nazwę koloru? Co ważniejsze, jak je zapamiętać?
Obawy o hasła użytkowników nie pozostają oczywiście nieuzasadnione. W miarę jak coraz większa część naszego współczesnego życia przenosi się w wirtualne realia, mnożą się zagrożenia i konsekwencje wynikające ze stosowanych (lub zaniedbywanych) przez nas zabezpieczeń. Serwisy internetowe automatyzują procesy mające na celu ochronę naszych danych i – coraz częściej – naszych pieniędzy. Jesteśmy zmuszeni do używania haseł zawierających nie tylko litery, często składających się z minimum sześciu – ośmiu znaków. Jest ku temu parę powodów. Po pierwsze, jeśli wpisując hasło używasz całej klawiatury, komuś stojącemu nieopodal trudniej będzie zauważyć i zapamiętać Twoje hasło. Ważniejszym powodem jest jednak możliwość złamania każdego hasła metodą „brute force”. Oznacza to, że wpisując losowe kombinacje znaków wystarczającą ilość razy w końcu uda się trafić na tą właściwą. Oczywistym zabezpieczeniem przeciwko tego typu atakom wydaje się być ograniczenie ilości prób wpisania hasła. Nie zawsze jest to jednak możliwe (na przykład wtedy kiedy intruzowi uda się przechwycić Twój zaszyfrowany plik).
Podstawowa zasada działania ataków typu „brute force” to wpisywanie po kolei wszystkich kombinacji znaków, przykładowo: a, b, c… aa, ab, ac… itd. To, czy atak jest wykonalny w realnym przedziale czasowym zależy od trzech czynników:
1. Ilość operacji „wpisania” hasła – prób.
2. Czas wykonania jednej próby.
3. Dostępna moc obliczeniowa.
Zabezpieczając się przed atakami największą kontrolę mamy oczywiście nad czynnikiem pierwszym. Pokażemy to na przykładzie. Załóżmy że nasze hasło ma sześć znaków i składa się z samych małych liter alfabetu łacińskiego. Mamy więc kombinację 26 różnych znaków na sześciu pozycjach. Łatwo policzyć, że istnieje 26 do potęgi 6 takich kombinacji, czyli 308,9 miliona możliwych haseł. Jeśli jednak skomponujemy hasło składające się z małych i dużych liter, otrzymamy liczbę około 19 bilionów ciągów znakowych o takich parametrach. Jest to około 64 razy więcej testów, które musiałby wykonać potencjalny intruz. W praktyce możemy po prostu zamienić jedną z liter hasła na dużą i otrzymamy znacznie silniejsze zabezpieczenie naszych danych. Lepiej też nie używać w hasłach istniejących słów, imion lub dat. Ataki „brute force” często są wspierane słownikami, co znacznie zmniejsza ilość kombinacji do sprawdzenia.
Jeżeli chcesz sprawdzić, jak silne jest Twoje hasło, możesz zajrzeć na stronę howsecureismypassword.net. Wpisując swoje hasło (najlepiej nie wpisywać hasła rzeczywiście używanego, można wpisać po prostu ciąg znaków o podobnej złożoności) uzyskamy oszacowany czas „łamania” takiego zabezpieczenia przez przeciętny komputer. Oczywiście istnieją superkomputery, których szybkości wielokrotnie przekraczają wydajność naszych domowych komputerów. Dlatego aby mieć stuprocentową pewność że złamanie hasła używanego na przykład do szyfrowania naszych plików będzie nieopłacalne, najlepiej użyć kombinacji o kilkunastu znakach składającej się z małych i dużych liter, cyfr oraz znaków specjalnych.
Warto zmieniać swoje słabe hasła na mocniejsze. Trzeba jednak wziąć pod uwagę ilość haseł, jakie musisz pamiętać. Jeśli będziesz posiadał dwadzieścia kont i każde z nich zabezpieczysz bardzo silnym, długim hasłem, zapamiętanie wszystkich kombinacji może sprawić trudności. Wtedy warto zastanowić się nad skorzystaniem z jednego z wielu dostępnych darmowo lub płatnych menadżerów haseł.
Cyfrowe bezpieczeństwo jest bardzo rozległym tematem. Trudno być pewnym całkowitej odporności na ataki, nawet znając zasady działania mechanizmów dbających o naszą prywatność. Dlatego warto pamiętać że polityki firm i serwisów odnośnie naszych haseł nie są kaprysem, lecz wynikają z troski o nasze bezpieczeństwo popartej realnym zagrożeniem.
