Tylko 16 procent osób używa to samo hasło do różnych kont „często” lub „bardzo często”. A co jeśli rozszerzymy tę grupę o osoby, którym taka sytuacja „zdarza się”? Odsetek niefrasobliwych rośnie do 40 (!!!) procent. Trochę mi ręce opadły. Oczywiście nie zamierzam przesadnie dramatyzować (o tym dalej). Jednak wyniki badania, przeprowadzonego przez Warszawski Instytut Bankowości i Związek Banków Polskich są dalekie od napawania mnie optymizmem.
Brama do cyfrowego świata
Przez co najmniej kilka ostatnich lat słyszałem ciche odgłosy, że w zasadzie to należałoby odejść od haseł. Że to przeżytek, że już niedługo nie będziemy ich w ogóle musieli używać. Tymczasem raz na jakiś czas pojawiają się mniej lub bardziej nowatorskie pomysły, ale żaden z nich na dobre się nie przyjął. Czy tego więc chcemy, czy nie – hasła jeszcze przez jakiś czas będą nam towarzyszyć.
Swoją drogą zawsze zastanawiała mnie ludzka niefrasobliwość w doborze haseł. Przez lata ilość informacji, z których korzystamy w formie cyfrowej, rosła wykładniczo. Myślę, że nie będzie przesadą stwierdzenie, że więcej wrażliwych danych trzymamy na dyskach, niż w domach. Dlaczego zatem u licha
domy/mieszkania zabezpieczamy tak: | a cyfrowe konta tak: |
Ktoś może wie dlaczego???
Syndrom złodzieja samochodowego
Przenosząc bezpośrednio nasze nawyki analogowe do świata cyfrowego, 40 na 100 osób wychodząc z domu zostawia drzwi otwarte (a niektórzy nawet rozwalone na oścież). Czy fakt robienia tego w sieci sprawia, że ryzyko jest mniejsze? Absolutnie nie! O ile na niektórych warszawskich osiedlach zdarzają się bezczelni złodzieje, ciągnący za klamki, o tyle sieć skanowana jest praktycznie bez przerwy. Automaty poszukują wystawionych do internetu urządzeń sieciowych z niezmienionymi hasłami. Sprawdzają, czy wpisanie loginu i hasła wykradzionego z jakiegoś mało istotnego serwisu (co dzieje się w trybie ciągłym) w którejś z sieci społecznościowych, serwisie mailowym, czy na stronie banku (!) przyniesie efekt w postaci komunikatu o zalogowaniu. Jak widać po statystykach, w czterech próbach na dziesięć przestępca będzie mógł zacierać ręce z radości!
Na początku zastrzegałem, że nie zamierzam przesadnie dramatyzować, pora do tego wrócić. Czy do każdego serwisu, z którego korzystam, muszę mieć inne hasło? Cóż, tak byłoby najlepiej. Zdaję sobie jednak sprawę, że zapamiętanie często kilkuset odpowiednio trudnych do złamania kombinacji to wyzwanie nawet dla osoby wybitnie uzdolnionej. Dlatego mam sporą grupę serwisów, w których faktycznie używam tego samego hasła! Może nie powinienem tego pisać, ale – kurczę – nie dajmy się zwariować. Jeśli mowa o witrynie, gdzie nie podaję danych wrażliwych (często nawet imienia, czy nazwiska), adresu, numerów dokumentów, czy podobnych danych – wychodzę z założenia, że nawet, gdy utracę takie hasło, nie uczyni mi to wielkiej szkody.
OK, może ułatwić poszukiwanie mnie np. po nicku, używanym w tego typu serwisach. Analizując w takiej sytuacji ryzyko używam jednak czegoś, co określam mianem „syndromu złodzieja samochodowego”. Jeśli ma zlecenie na dane auto (czyli w tym przypadku tzw. Cel Wysokiej Wartości, z angielskiego High Value Target, HVT) to i tak je ukradnie. Ale jeśli zwykłym autem nie będzie w stanie ruszyć? Nie będzie mu się chciało zastanawiać się nad tym, jak to zrobić – weźmie po prostu inne.
Kiedy hasło jest bardzo ważne?
Absolutnie nie pozwalam sobie jednak na lekkomyślność w przypadku haseł absolutnie (to powtórzenie nie jest przypadkiem) kluczowych. Dostęp do sieci korporacyjnej, do konta bankowego, na moje serwisy społecznościowe, do e-maila, czy wreszcie menedżera haseł. Tam wszędzie mam hasła, odrębne, długie, skomplikowane, na dodatek wzmocnione uwierzytelnianiem dwuskładnikowym (pisałem o nim już wielokrotnie, zajrzyjcie np. tutaj). Na to ostatnie bezpośrednio nie pozwala niestety mój bank. Wszelkie przelewy po prostu potwierdzam akceptacją w mobilnej aplikacji. Żadne hasło z tej grupy nie ma prawa nigdzie się powtórzyć, bowiem w tym przypadku ryzyko jest olbrzymie.
Jak stworzyć bezpieczne hasło? Tu też pozwolę sobie odesłać po sąsiedzku, na stronę CERT Orange Polska, gdzie jest to szczegółowo i w prosty sposób wyjaśnione. Zróbcie sobie w głowie taki wewnętrzny audyt używanych haseł, zastanówcie się, czy na pewno nie dublują się w ważnych serwisach, czy tam, gdzie możecie, włączyliście uwierzytelnianie dwuskładnikowe. Naprawdę na niefrasobliwości można bardzo dużo stracić. Warto być mądrym przed, a nie tylko po szkodzie. Lepiej zapobiegać, niż leczyć – na pewno będzie nas to mniej kosztować, zarówno nerwów, jak i pieniędzy.
Komentarze
Osobiście nie rozumiem fenomenu jednego hasła do wielu serwisów, ale…..ja stosuje wszędzie inne hasła.
Odpowiedz