Michał Rosiak 
W kalendarzu już 2025 rok, zastanawiacie się nad swoim nowym hasłem, z "25" zamiast "24"? Z jednej strony, ten stary żart cyberbezpieczniaków to straszny suchar, z drugiej bylibyście w szoku, dla ilu osób to wciąż regularna rutyna.
W maju ub.r. pisałem na stronie CERT Orange Polska, że najlepszym hasłem jest brak hasła. Kilka lat temu takie oświadczenie mogłoby dla wielu brzmieć absurdalnie. Mam jednak nadzieję, że - choć powoli - podejście internautów się zmienia, a świadomość rośnie. Nieważne jak bardzo chcielibyśmy przerzucić się na podejście "paswordless", to jeszcze potrwa. Mam tylko nadzieję, że przed emeryturą będę mógł Wam napisać, że "stało się", a "era paswordless" nie stanie się równie mityczno/memiczna jak Rok Linuksa na desktopach. Póki co - musimy dbać o nasze hasła.
Koniec z hasłem wygasającym co miesiąc
Pamiętacie czasy, gdy polityki bezpieczeństwa w firmach wymuszały zmianę hasła co miesiąc? Jeśli teraz z marsową miną mówicie sobie:
Jak to "wymuszały"? U mnie jest tak cały czas!
To zdecydowanie jest to pora, by poważnie porozmawiać, czy to z szefem, czy z ludźmi od IT. Polityki z hasłem wygasającym co miesiąc, to zło. Jeśli ktoś Ci powie: "Ale to bezpieczniejsze!" - skłamie. Im większa organizacja, tym więcej haseł w rodzaju Styczen25!, a miesiąc później Lutyluty25! - bo z jednym "luty" hasło byłoby zbyt krótkie. Nie pytajcie skąd wiem.
Żeby nie było, że szewc bez butów chodzi: w Orange Polska już dawno temu odeszliśmy od praktyk z comiesięcznym hasłem. Nie napiszę Wam oczywiście jak teraz wyglądają polityki (szczegółowe dane mogą być cenną wiedzą dla potencjalnego włamywacza), ale jedno jest pewne. Jest lepiej. Jest bezpieczniej. I nikomu nie "musi" zmieniać części hasła na "25".
Pominąwszy zmianę miesięcy czy pór roku, cały ten schemat jest jedną wielką pomyłką. Dam sobie rękę uciąć, że kiedyś już to pisałem, ale takich rad nigdy za wiele. Zastanów się nad tym, jak wygląda zazwyczaj tworzenie przez Ciebie hasła. Poza oczywistymi małymi literami musi mieć co najmniej jedną wielką, cyfrę i znak specjalny. A teraz zastanów się ile z Twoich haseł wygląda tak:
Wmmmm1!
Zaczyna się od wielkiej litery, kończy cyfrą i znakiem specjalnym (najczęściej jest to wykrzyknik). I teraz zgadnij, od poszukiwania jakich schematów rozpoczyna się łamanie haseł?
No właśnie.
A poza tym sądzę, że 2FA powinno być obowiązkowe
Pozwoliłem sobie nieco zmodyfikować zdanie używane regularnie przez Katona Starszego w czasach wojen punickich tak, by przystawało do dzisiejszych realiów i mojej roboty. W Orange Polska mamy to szczęście, że drugi składnik uwierzytelniania w postaci klucza kryptograficznego dostaje każdy pracownik. Ja - o czym pisałem nie raz i nie trzy na tych łamach - używam uwierzytelniania dwuskładnikowego w każdym miejscu, gdzie tylko się da. W aplikacji Mój Orange oczywiście też. Dzięki temu jestem dużo spokojniejszy, ze świadomością, że ani czyjaś ani moja niefrasobliwość nie spowoduje, że moje dane wpadną w ręce osoby niepowołanej. Co więcej - jeśli nagle gotując obiad, czy spacerując po mieście, dostaniesz SMS-a z kodem 2FA albo wiadomość push w aplikacji z prośbą o potwierdzenie, czy to Ty się logujesz: będziesz wiedzieć, że coś się dzieje i najlepiej natychmiast zmienić hasło.
No i - mimo wszystko - niech to nie będzie Styczen25! Dobre hasło może przetrwać naprawdę długo. Moje w Google zmieniałem ostatnio... 26 października 2011. Jestem zapisany do kilku serwisów informujących o wyciekach i jeszcze do żadnego nie trafiło. A nawet jeśli - mam 2FA.
Wszystkiego najlepszego w Nowym Roku! Bądźcie bezpieczni. Dbajcie o siebie i o Wasze hasła. Przynajmniej póki jeszcze musimy je mieć.
Beata Giska 
Wojtek Jabczyński 
Komentarze