Ostatnimi czasy regularnie w internecie pojawiają się kolejne informacje o wyciekach haseł, w efekcie czego kolejnym tysiącom, milionom, a czasami nawet dziesiątkom milionów (65 mln rekordów z bazy serwisu mikroblogowego Tumblr) internautów rośnie tętno i pojawiają się myśli, czy aby przypadkiem w tym wycieku nie znalazło się ich hasło. Warto zatem odświeżyć parę rad i dobrych praktyk jak uniknąć – nie, nie włamania, tu niestety niewiele od nas zależy – stresu związanego z wyciekiem. Sporo (jeśli nie wszystkie) tych rzeczy było już na blogu, ale zawsze warto sobie przypomnieć.

* Twórz hasła o długości 13 lub więcej znaków

Związane z tym zachowanie cyber-przestępców określam mianem „syndromu złodzieja samochodowego”. Wiadomo bowiem, że jeśli złodziej uprze się kradzież konkretnego auta to zrobi to, niezależnie od tego, jak będziemy usiłowali mu przeszkodzić. Zazwyczaj jednak, widząc zabezpieczenia, poszuka auta, które ma ich mniej (albo wcale). W przypadku łamania haseł, służące do tego programy zazwyczaj ustawione są na łamanie haseł liczących do 8, a w szczególnych przypadkach do 12 znaków. Po pierwsze dlatego, że im dłuższe hasło, tym więcej czasu zajmuje jego złamanie, po drugie zaś – prostych (żeby nie rzec prostackich) haseł w wykradzionej bazie będzie tyle, że zasadzanie się na wszystkie będzie dla złodzieja stratą czasu.

* Nie twórz haseł z oczywistych wyrażeń słownikowych

Tych akurat przestępca (czy raczej program, którego używa) może szukać niezależnie od długości hasła.

* Dla każdego serwisu w którym trzymasz jakiekolwiek wrażliwe dane, wymyśl indywidualne hasło.

Wtedy nawet jego ewentualne złamanie, nie zagrozi Twoim kontom w innych serwisach i nie będziesz musiał/a desperacko zastanawiać się, gdzie jeszcze miałeś/aś takie hasło.

* Nie każde hasło musi być absurdalnym nieropoznawalnym bełkotem.

W końcu masz je jakoś zapamiętać (chyba, że korzystasz z menedżera haseł). Możesz np. zbudować sobie taki sam trzon dla haseł i potem dodawać do nich dodatkowe znaki, zależne od konkretnego serwisu (np. moj[TRZONHASLA]BANK)

* Jeśli serwis wymaga w haśle wielkich i małych liter, cyfr i znaków specjalnych, nie twórz hasła WIELKIEmałe123!?

To jest najpopularniejsza maska w przypadku haseł, chyba każdy soft do łamania haseł szuka najpierw według niej.

* Używaj menedżera haseł (KeePass, LastPass, 1Password, itd.).

Wtedy Twoje hasła mogą być beznadziejnym bełkotem, bo i tak nie widzisz ich na oczy. Ale pamiętaj by hasło do menedżera było ekstremalnie silne. I nie zapomnij go 🙂 Np. zostaw na kartce w znanym sobie miejscu w domu. Tak na wszelkich wypadek. I nie pod klawiaturą ani na monitorze 🙂

* Korzystaj z uwierzytelniania dwuskładnikowego.

Wtedy nawet jeśli ukradną bazę i złamią Twoje genialne hasło, zobaczą pytanie o kod z aplikacji albo SMSa i pewnie zrezygnują.