Bezpieczne hasło
Login i hasło to podstawowy sposób weryfikacji użytkownika do prawa dostępu do zasobów internetowych. Pozornie wydaje się, że to wystarczające zabezpieczenie, jednak ciągle słyszy się o włamaniach do systemów, kradzieży danych, podszywanie się pod inne osoby. Powodem włamania jest często odgadnięcie hasła przez osobę nieuprawnioną lub użycie przez hakera oprogramowania do automatycznego testowania metodą słownikową dużej bazy haseł.
W większości wypadków winnym włamaniu jest sam właściciel, że do zabezpieczenia wybrał zbyt proste hasło. Współczesne programy dla hakerów typu brute force, mają w swojej bazie miliony słów występujących w słownikach, potrafią generować kombinacje znaków, kolejno wpisując je w okienko logowania. Gdy hasło jest krótkie i jest to typowe słowo występujące w słowniku, to odszukanie go zajmuje tylko kilka sekund. Program brute force ma w swojej bazie typowe kombinacje znaków często stosowane przez użytkowników, zwykle są one testowane jako pierwsze. Oprócz kombinacji cyfr i haseł będących słowami ze słownika, w dalszej kolejności testuje słowa poprzedzone lub zakończone cyfrą. Przy obecnej mocy obliczeniowej komputera nawet trudne hasła zostają odgadnięte, jednak zajmuje to więcej czasu i możliwe, że haker zrezygnuje z włamania.
Stopień trudności hasła zależy od jego długości i zakresu dostępnych znaków. Jeśli wiadomo, że w haśle są tylko cyfry lub tylko małe litery to liczba kombinacji nie jest taka duża i hasło jest podatne na złamanie. Utrudnieniem jest kombinacja cyfr i liter. Największy stopień trudności programom brute force sprawiają znaki specjalne w haśle, do których wprowadzenie konieczne jest naciśnięcie dwóch lub więcej klawiszy.
Najważniejsze jest aby hasło było długie, każdy dodatkowy znak zwiększa liczbę kombinacji 24-ro krotnie.
W tabelce poniżej widać jak rośnie liczba kombinacji przy zwiększeniu długości hasła z 6 na 7 znaków.
| hasło 6-znakowe | liczba kombinacji | czas złamania |
| same cyfry | 1000000 | 9,7 sekundy |
| małe litery | 308915776 | 50 minut |
| duże i małe litery | 19770609664 | 53 godziny |
| wszystkie znaki ASCII | 6053450000000 | 2 lata |
| hasło 7-znakowe | liczba kombinacji | czas złamania |
| same cyfry | 10000000 | 97 sekund |
| małe litery | 8031810176 | 22 godziny |
| duże i małe litery | 1028070000000 | 116 dni |
| wszystkie znaki ASCII | 817215000000000 | 252 lata |
Trzeba pamiętać, że nie tylko haker może się włamać na nasze konto. Hasło może odgadnąć nasz znajomy lub ktoś kto dobrze zna nasze upodobania i zwyczaje. Najczęstszym błędem jest użycie jako hasła ulubionego słowa, imienia dziecka lub zwierzaka. Często w naszych hasłach wpisujemy datę urodzenia, część loginu lub następujących po sobie klawiszy na klawiaturze.
Na szczęście większość internetowych serwisów ma zabezpieczenie przed wielokrotnym próbowaniem kolejnych haseł, po kilku próbach blokują dostęp lub proszą o wpisanie kodu zabezpieczającego captcha, a po dalszych próbach wysyłają na adres właściciela informacje, że ktoś próbuje się włamać z podaniem jego adresu IP.
Metodą brute force nie da się włamać do większości skrzynek pocztowych i niektórych portali i for internetowych. Mimo to hakerzy uzyskują do nich dostęp z powodu błędu właściciela. Wystarczy, że używa tego samego loginu i hasła w kilku miejscach. Haker testuje hasła na innym słabo zabezpieczonym serwisie i gdy je odgadnie to przy użyciu wyszukiwarki znajduje wszystkie inne serwisy gdzie występuje ten sam login i sprawdza czy zadziała tu jego hasło. Wniosek z tego, że nie należy używać jednego hasła tylko je zmieniać. Idealna sytuacją byłoby posiadanie długiego hasła będącego kombinacją cyfr, liter małych i dużych oraz znaków specjalnych. Do każdego serwisu z logowaniem inne hasło. Tylko jak zapamiętać tyle trudnych haseł. Można je zapisywać na kartce i trzymać pod klawiaturą, oczywiście to też nie jest bezpieczne, a tak zapisane hasła mogą zaginąć.
Najlepiej opracować na własne potrzeby system tworzenia skomplikowanego hasła. Skoro nie może to być słowo ze słownika, to może zdanie, przysłowie lub znane powiedzenia, z których wpisujemy tylko pierwsze litery każdego słowa. Np. jeśli naszym ulubionym zdaniem jest: "Stoi na stacji lokomotywa, Ciężka, ogromna i pot z niej spływa" to nasze hasło brzmi: snslcoipzns. Mamy aż 11 znaków łatwych do zapamiętania. Możemy je jeszcze bardziej skomplikować zastępując litery cyframi, np. zamiast "o" piszemy "0", a zamiast "s" piszemy "5". Nasze hasło wygląda tak: 5n5lc0ipzn5. Jeszcze bardziej skomplikujemy dodając chociaż jeden znak specjalny, np. zamiast przecinka: 5n5l#c0ipzn5. Tak utworzone hasło łatwo zapamiętać i jest ono bardzo bezpieczne.
Właściciele serwisów gdzie ważne jest bezpieczeństwo, nakazują swoim użytkownikom okresowo zmieniać hasła. To na pewno lepiej chroni hasła, lecz użytkownik może mieć problem z zapamiętywaniem kolejnych haseł. Tu również warto opracować znany tylko sobie system zmian, np. dodanie kolejnej cyfry, po określonej części hasła.
Wymiana haseł to obowiązkowa praktyka w przypadku włamania na serwerze. Jeśli do hakerów dostanie się baza danych, są tam też zapisane hasła użytkowników. Nawet jeśli są one zaszyfrowane to może to być przestarzały system haszowania MD5, SHA1 lub CRC32. Haker do deszyfrowania użyje tęczowe tablice (Rainbow Tables) lub dekoderów online. W takim przypadku admin powinien poinformować o włamaniu wszystkich użytkowników, problem nie dotyczy zwykle samego serwisu, gdyż niestety większość użytkowników stosuje te same hasła na wielu innych stronach. Informacja, że dane zostały wykradzione, wymusi wymianę haseł i uchroni ich przed problemami na innych serwerach.