Choć system haseł i loginów nie jest idealny, to jednak wciąż najbardziej podstawowy sposób na zabezpieczenie dostępu do kont czy urządzeń. Najczęstszą poradą dla użytkowników jest stworzenie “silnych” kombinacji, aby znacząco utrudnić cyberprzestępcom ich wykorzystanie. Jak stworzyć silne loginy i hasła, które przy okazji będą możliwe do zapamiętania? Sprawdź więc, czym powinieneś się kierować, planując politykę haseł w firmie.
Większość poradników dotyczących tworzenia silnych haseł opiera się na poradach, aby było ono długie, z kombinacją dużych i małych liter, a także cyfr i znaków specjalnych. A w dodatku hasło do każdego konta powinno być unikalne.
W założeniu brzmi logicznie, ale w praktyce? Zapamiętanie 15 haseł typu Lv!3@K04%Cf$d1K!D0 jest bardzo trudne, więc i niewiele osób postępuje w ten sposób. Jeśli już stosują tego typu kombinacje, zapisują je w notesie, w pliku na komputerze czy w managerze haseł. Choć w teorii ta ostatnia opcja jest najbezpieczniejsza, to trzeba liczyć się z faktem, że zapisując hasła w formie fizycznej, mogą one zostać przechwycone przez inne osoby. Dla firmy taka sytuacja to często nie tylko koszty, ale także możliwe nadwyrężenie zaufania klientów, dlatego CIO, IT Manager czy Project Manager powinien w swoich poszukiwaniach i planach na zwiększenie bezpieczeństwa w firmie zadbać o odpowiednią politykę haseł.
W tworzeniu silnego hasła warto więc wziąć pod uwagę, aby nie tylko kierować się jego skomplikowaniem, ale także w miarę możliwości stworzyć takie, które będzie możliwe do zapamiętania bez zapisywania go. A jeśli już jest taka konieczność, na pewno wielkim błędem jest trzymanie wszystkich haseł w jednym miejscu – nawet jeśli to dedykowany manager haseł, do którego przecież też trzeba mieć… hasło.
Porady dotyczące stosowania zróżnicowanych kombinacji są jak najbardziej słuszne. Jeśli w firmie masz do wyboru użycie hasła typu leptokaria2092 i lEp$0K@Ria2O92 – zdecydowanie lepiej wybrać to drugie. Mix cyfr, symboli i liter utrudnia jego odczytanie, a dla Ciebie będzie ono stosunkowo proste do zapamiętania, bo znasz “motyw przewodni”, czyli nazwę greckiego miasta.
Unikaj jednak słów, które bezpośrednio są związane z Tobą lub są łatwe do odgadnięcia. Imię żony, męża, dzieci czy zwierzęcia w kombinacji z datą urodzenia to zły pomysł, nawet jeśli zastosujesz znaki specjalne i różną wielkość liter. Łatwe do odgadnięcia słowa to z kolei na przykład: hasło, internet, laptop itp.
Mózg łatwiej zapamiętuje słowa czy zdania, które rymują się lub są rytmiczne. Można to wykorzystać do tworzenia silnych haseł jako alternatywę dla kombinacji z użyciem imion, nazwisk, nazw firm czy zajmowanych stanowisk (pamiętaj, że k$IegOvA2022 też nie jest bezpiecznym hasłem). Przykładem może być kombinacja trzech słów: piłka, taniec, gotówka.
Hasło pilkataniecgotowka to tak zwane hasło frazowe. Zauważ, że ma ono tyle samo znaków co Lv!3@K04%Cf$d1K!D0, ale jest zdecydowanie łatwiejsze do zapamiętania. A można je jeszcze ulepszyć, dodając znaki specjalne, cyfry i duże litery. Wtedy powstanie:
pIlk@t4Niecg0Tovk4
Prostsze prawda? A zdecydowanie łatwiej będzie zapamiętać kilka tego typu haseł niż kombinacje w stylu Lv!3@K04%Cf$d1K!D0. Ważne w tej metodzie jest to, aby pojedyncze słowa nie były tematycznie ze sobą połączone, co ułatwiłoby odnalezienie wzoru ich tworzenia.
Na nic jednak nie przyda się silne hasło, jeśli będziesz używać go na wielu kontach. To samo tyczy się loginów, których unikalność nie jest może aż tak istotna jak w przypadku haseł, ale nadal istotna. Wycieki danych są szczególnie groźne właśnie dla tych użytkowników, którzy na różnych serwisach stosują identyczną lub bardzo podobną kombinację loginów i haseł. Zadbaj więc o to, aby w Twojej firmie pracownicy nie mieli takich samych danych dostępowych do różnych narzędzi czy kont i stale edukuj ich w tym obszarze, aby sami byli świadomi korzyści wynikających z odpowiedniej polityki haseł.
Pamiętaj, że silne hasło i login nie gwarantuje bezpieczeństwa konta, ale wzmacnia jego ochronę. Koniecznie, gdzie tylko jest to możliwe, stosuj rozwiązania MFA, czyli dodatkową autoryzację przy pomocy SMS kodu, weryfikacji czy weryfikacji behawioralnej. Warto zadać sobie więcej trudu przy kreowaniu bardziej zaawansowanej polityki haseł w firmie, niż mierzyć się ze skutkami przejęcia kont przez cyberprzestępców.
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.