Dzisiejszy wpis sponsorują literki 'H' jak 'hasło', 'H' jak 'haseł menadżer', 'H' jak 'hardware-owy klucz' oraz 'H' jak 'hura, nie muszę się już martwić o hasła'. Starzy wyjadacze bitów nie znajdą tu niczego interesującego; uważam po prostu, że warto od czasu do czasu odświeżyć podstawy. Nowy Rok jest świetną ku temu okazją.
- Hasło jest lepsze niż brak hasła.
'dupa123' > ''
Jeżeli mamy włączone automatyczne logowanie do jakiegoś serwisu (z pominięciem hasła), ryzykujemy że ktoś inny siądzie kiedyś do naszego komputera kiedy akurat jesteśmy w toalecie / odbieramy paczkę / poszliśmy na kawę. I jesteśmy ugotowani.
- Różne hasła do różnych serwisów są lepsze niż to samo hasło do różnych serwisów.
'dupa123' | 'dupa123' 'dupa234' | > 'dupa123' 'doopa123' | 'dupa123'
Takie samo hasło do różnych miejsc to jakby mieć ten sam klucz do różnych drzwi: jeżeli ktoś nam ukradnie klucz, dostanie się nie w jedno miejsce, ale od razu w kilka.
- Znacząco różne hasła do różnych serwisów są lepsze niż różne, ale podobne hasła.
'dupa123' | 'dupa123' 'carramba7' | > 'dupa234' 'friday13' | 'doopa123'
Jeżeli mamy podobne hasła do różnych serwisów (na przykład: to samo słowo, ale różne cyfry na końcu), kradzież jednego hasła bardzo ułatwi kradzież kolejnych. Jeżeli złodziej ukradnie dwa podobne hasła, bez trudu rozpozna wzorzec i zgadnie kolejne. Uwaga praktyczna: bardzo dużo haseł w Sieci kończy się na "1!" albo "!1", dzięki czemu spełniają wymóg posiadania cyfr i znaków specjalnych. Unikajmy tego.
- Trudne hasła są lepsze od łatwych haseł.
'bQ97!SP8f#YAk#PRt88n' > 'dupa123'
Trudne hasła są praktycznie niemożliwe do odgadnięcia - jedynym sposobem na ich złamanie jest przechwycenie podczas wpisywania, ewentualnie włamanie się do naszego menadżera haseł (lub tortury).
- 2FA jest lepsze niż brak 2FA
'bQ97!SP8f#YAk#PRt88n' + 2FA > 'bQ97!SP8f#YAk#PRt88n'
Klucz sprzętowy lub konieczność wpisania dodatkowego kodu z aplikacji 2FA zapobiegnie włamaniu nawet jeżeli ktoś ukradnie nasze super trudne hasło. No chyba że zastosuje tortury. No i pamiętajmy, że 2FA za pomocą SMS jest odrobinę mniej bezpieczne niż 2FA za pomocą aplikacji lub klucza sprzętowego.
- Częściowe hasło jest lepsze niż pełne hasło.
'bQ97!SP8f#YAk#PRt88n' + 'dupa123' > 'bQ97!SP8f#YAk#PRt88n'
Jeżeli w menadżerze haseł zapamiętamy "trudną" część hasła, a w głowie "łatwą" końcówkę, wówczas nawet jeżeli ktoś się włamie do naszego menadżera haseł i ukradnie nam w tym samym czasie klucz sprzętowy, będzie miał dodatkową przeszkodę do pokonania. Oczywiście najlepiej żeby te "łatwe" końcówki były różne dla różnych serwisów, dlatego żeby nie przeciążać umysłu, metody tej używamy tylko do najważniejszych klamotów. Na przykład: banki, operatorzy domen, serwisy umożliwiające resetowanie haseł do innych serwisów. No i metoda leży jeżeli atakujący zdecyduje się na tortury.
Nota bene dlaczego wspomniałem o operatorach domen? Otóż jeżeli ktoś włamie się na nasze konto operatora domeny, może przekierować naszą domenę na własny serwer. Jeżeli (tak jak ja) masz adres e-mail we własnej domenie, i jeżeli jest to Twój główny e-mail służący do resetowania innych haseł, jesteś ugotowany na cacy. Dlatego niektórzy zalecają mieć osobny adres e-mail do resetowania haseł, nie używać go do niczego innego, i nie trzymać go we własnej domenie tylko w domenie dostawcy usługi e-mail (gmail.com, onet.pl czy co tam jeszcze).
- Częściowe hasło z 2FA jest lepsze niż częściowe hasło bez 2FA.
'bQ97!SP8f#YAk#PRt88n' + 'dupa123' + 2FA > 'bQ97!SP8f#YAk#PRt88n' + 'dupa123'
W tym wariancie jedyne, co może pomóc włamywaczowi, to tortury.
Wniosek końcowy?
Nic nowego: trzeba mieć długie, trudne hasła różne dla różnych serwisów, najlepiej z 2FA tam gdzie się da, a te absolutnie krytyczne dodatkowo zabezpieczyć poprzez przechowywanie części hasła w głowie. I nie dać się złapać (bo tortury).
Proste?
No pewnie, że proste.
A jak to wygląda u mnie?
- Używam menadżera haseł (LastPass) z logowaniem 2FA (klucz sprzętowy) oraz długim hasłem głównym (ponad 30 znaków, cyfry, wielkie i małe litery, znaki specjalne, nie kończy się na "1!"). Ponadto wszystkie zalogowane "bezpieczne" instancje LastPass mają ustawiony czas automatycznego wylogowania się na 30 dni, na wszelki wypadek.
- Do każdego serwisu mam inne hasło, długie i skomplikowane. Tam, gdzie serwis nie dopuszcza pewnych klas znaków (na przykład znaki specjalne), nadrabiam długością. Tam, gdzie jest limit na długość hasła, nadrabiam znakami specjalnymi ewentualnie piszę do ekipy IT serwisu z prośbą o zwiększenie dopuszczalnej długości hasła (na ogół bez odzewu).
- Gdzie się da, mam włączone 2FA (klucz sprzętowy lub Authy)
- Główne konto email (do resetowania innych haseł) mam dodatkowo zabezpieczone częściowym hasłem, podałem też inny numer telefonu do resetowania hasła, którego nie używam nigdzie indziej, i który siedzi na wyłączonej karcie sim w Tajnym Miejscu - to na wypadek gdyby włamywaczowi zachciało się bawić w klonowanie karty. Raz na pół roku sprawdzam, czy karta sim jest aktywna i zasilam niewielką kwotą żeby utrzymać numer.
A Ty, Czytelniku, jak dbasz o swoją higienę haseł?
Rozpatrujesz jednostronnie, pod kątem utrudnienia włamania. Zupełnie pomijasz kwestię dostępności do haseł/serwisów. Jeśli spojrzymy bardziej kompleksowo, to pierwsza kontrowersja pojawia się już w punkcie 5.
2FA jest fajne, jeśli chodzi o zapobieganiu użycia hasła z wycieku lub przechwyconego przez nieuprawnioną osobę ale… Co się stanie, jeśli stracisz dostęp do 2FA? W przypadku SMSów (które są słabe) pół biedy – wyrobisz kartę SIM i dostęp odzyskasz. W przypadku Google Authenticator backup seedów jest problematyczny (ostatnio jak sprawdzałem, był tylko transfer na nowe urządzenie). Z kluczem sprzętowym podobnie. A odzyskanie dostępu po utracie klucza 2FA będzie bardzo trudne, o ile w ogóle możliwe. To nie jest blocker oczywiście, ale spore utrudnienie przy sensownym używaniu 2FA. Zagadnienie „jak backupować seedy by było bezpiecznie” czyli jakiego hasła użyć, gdzie je zapisać i jak uodpornić rozwiązanie na kompromitację maszyny zostawiam do samodzielnego rozważenia, bo pewnie materiału na osobny wpis by było.
Pkt 6 to kolejna kontrowersja. Na pierwszy rzut oka wszystko jest OK, ale w praktyce password manager to nie tylko miejsce do przechowywania haseł. To także backup haseł i możliwość przekazania dostępu do serwisów innej osobie. Albo sobie samemu w przypadku amnezji. Polecam wykład https://zaufanatrzeciastrona.pl/post/jak-przygotowac-sie-na-wlasna-smierc-czyli-czy-masz-swoj-cyfrowy-testament/ o ile już się pojawiło nagranie. W każdym razie warto zrobić jakiś backup tej części.
Na deser dochodzi bonus w postaci „te hasła, do których trzeba mieć dostęp bez managera haseł”.
Bardzo słuszne spostrzeżenia!
Jeżeli stracę dostęp do klucza sprzętowego, wtedy wyciągam z sejfu supertajny zapasowy klucz sprzętowy 😉 No chyba że mi ukradną sejf czy coś…
Co do punktu 6, jestem zabezpieczony na tę okoliczność.
Jest jeszcze jedno rozwiązanie – wpisanie byle czego byle dużo (przynajmniej do serwisów mało ważnych) i gdy zdarzy się, że trzeba się tam ponownie zalogować korzystać z przypomnienia hasła. Wtedy nawet gdyby nas porwali kosmici to im hasła do danego serwisu nie zdradzimy. 😉
Metoda znana także jako „nie mam hasła, mam reset hasła”. 😉