Zagrożenia cyberbezpieczeństwa w zakresie zarządzania hasłami i skuteczne sposoby zabezpieczania się przed tymi zagrożeniami

1. Pojęcie mocnego hasła

- Hasło powinno zawierać od 8 do 64 znaków.
- Zaleca się, by hasło składało się z drukowalnych znaków ASCII (95 znaków drukowalnych: !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~), a także
– o ile jest to możliwe - znaków UNICODE (standard kodowania obejmujący litery większości używanych na świecie pism, a także symboli, emoji i kodów formatowania).
- Hasła nie należy zmieniać – powinno być stałe i niezmienne aż do skompromitowania.
- Hasło powinno przed zastosowaniem być zweryfikowane jako nieskompromitowane (np. tu: https://haveibeenpwned.com/Passwords).
- Należy pomijać wskazówki – i o ile jest to możliwe – i pytania zabezpieczające hasło.
Zagrożenia: słabe hasło może zostać odgadnięte lub złamane z wykorzystaniem techniki Brute Force (metoda ataku, w której atakujący używają oprogramowania do „wypróbowania” wielu różnych kombinacji w krótkim czasie w celu skompromitowania hasła).
Sposoby zabezpieczania: stosowanie mocnych haseł.
Wskazówka: można wypracować własną metodę wytwarzania haseł dla różnych serwisów, np. poprzez skojarzenie przedmiotu z daną witryną i dodanie krótkiej historii: KSIĄŻKA-leży-NA-biurku-0248. Wskazane hasło zawiera zarówno małe, jak i duże litery, posiada znaki specjalne z drukowalnych znaków ASCII oraz znaki UNICODE (polskie znaki), dodatkowo składa się aż z 28 znaków i nie zostało skompromitowane w żadnym wycieku danych.

2. Stosowanie różnych haseł

Mocne hasło powinno być przede wszystkim unikalne. Oznacza to, że zalecane jest wykorzystywanie różnych haseł w różnych usługach i nie powielanie ich nawet w niepełnym zakresie (np. poprzez zmianę cyfry na końcu).
Zagrożenia: stosując te same hasła w różnych usługach narażamy się na kompromitację wszystkich usług jeżeli dojdzie do wycieku danych z jednej z nich. Skompromitowane konta (np. konta e-mail oraz konta serwisów społecznościowych) mogą zostać wykorzystane do nadużyć, np. do podszywania się pod skompromitowaną osobę w relacjach z innymi osobami fizycznymi lub prawnymi, w tym w relacjach z naszym podmiotem.
Sposoby zabezpieczania: stosowanie różnych haseł w różnych usługach.

3. Narzędzia wspomagające przechowywanie i generowanie (mocnych) haseł

Istnieją narzędzia wspomagające zarówno przechowywanie, jak i generowanie mocnych haseł. Są to tzw. menedżery haseł. Dostępne są na rynku płatne rozwiązania (w których baza haseł najczęściej przechowywana jest przez usługodawcę), jak i bezpłatne (w których baza haseł najczęściej przechowywana jest przez użytkownika, np. w ramach usługi chmurowej).
Wskazówka: jednym z bardzo popularnych bezpłatnych menedżerów haseł jest aplikacja KeePass, pozwalająca na generowanie i przechowywanie haseł w zaszyfrowanej bazie danych, dostępnej po wprowadzeniu zapamiętanego mocnego hasła oraz – jeśli zostanie to skonfigurowane – dodatkowego klucza w postaci wygenerowanego pliku. Aktualną wersję aplikacji KeePass można znaleźć na stronie twórcy: https://keepass.info/download.html.

4. Dodatkowe składniki uwierzytelniania wspomagające ochronę tożsamości (silne uwierzytelnianie)

Klasyczne uwierzytelnianie użytkownika wymaga podania loginu i hasła. W przypadku przejęcia obu składników logowania, cyberprzestępca uzyskuje dostęp do celu, np. konta e-mail lub konta społecznościowego.
Silne uwierzytelnianie pozwala uniknąć włamania, gdyż atakujący nie posiada dodatkowego składnika logowania, np. telefonu, na którym wyświetlony zostaje unikalny kod o określonej żywotności działania (np. 30 sekund).

Przykładowe metody dystrybucji dodatkowego składnika uwierzytelniania:
 - kod przesyłany poprzez wiadomość e-mail lub sms;
 - kod wyświetlany w ramach tzw. tokenu sprzętowego lub aplikacji mobilnej (np. Google Authenticator, Microsoft Authenticator).