Hasła, hasła, hasła…
Ostatnio sporo się słyszy o włamaniach na konta bankowe albo o przejęciach kont na FB czy Instagramie; o konieczności szyfrowania danych firm itd. Wydaje nam się, że te sprawy nas nie dotyczą, bo przecież hakerzy włamują się tylko do „wielkich tego świata”, ale tak nie jest. Każdy z nas może stać się ofiarą cyberprzestępców. Tylko w ciągu ostatnich kilku miesięcy w dwóch firmach moich znajomych hakerzy zablokowali wszystkie dane firmowe i zarządzali okupu. Znam też kilka osób prywatnych, które w wyniku ataku cyberprzestępców potraciły swoje strony internetowe albo dostęp do profili społecznościowych.
Z drugiej strony cały czas zakładamy nowe konta na stronach sklepów, nowe skrzynki mailowe, a wszędzie żądają od nas haseł, haseł, haseł. Jak się w tym wszystkim nie pogubić? Jak z jednej strony zadbać o swoje cyberbezpieczeństwo, a z drugiej normalnie funkcjonować i nie dać się zwariować?
Ten artykuł powstał zupełnie spontanicznie, a dotyczy sprawy niezmiernie delikatnej, jaką jest… porządek w hasłach. Do podjęcia tematu „zmusił mnie” ni stąd, ni zowąd komunikat Google Chrome, który brzmiał następująco: „Doszło do naruszenia bezpieczeństwa danych”…
Oto case study, którego bohaterem jestem tym razem ja sam. Posłuchajcie, jak któregoś dnia zupełnie spontanicznie zrobiłem porządek w hasłach w sieci (od razu wybaczcie, że nie podam Wam wszystkich szczegółów 😉).
Ile mamy kont, czyli dane na temat logowań
Zazwyczaj do przeglądania internetu korzystam z Google Chrome i od niego dostałem tą zaskakującą wiadomość o przejętych hasłach.
Po sprawdzeniu informacji od wujka Google okazało się, że faktycznie hasła mogły wyciec, choć równie dobrze mogło to być jakieś „przeczulenie” Google. Tak czy inaczej ta informacja skłoniła mnie do uporządkowania spraw dostępu do różnych moich kont, czyli zajęcia się sprawą, która od lat na to czekała.
Gdy zacząłem zgłębiać temat, okazało się, że konto Google przechowuje prawie 100 różnych danych na temat moich logowań! (passwords.google.com).
Nie wiedziałem nawet, że mam tyle założonych kont!!!
Ci, którzy trochę mnie już znają, nie będą zdziwieni, jeśli powiem, że do sprawy podszedłem systemowo, zgodnie z zasadami dobrej organizacji, czyli 5s (więcej na temat tej metody znajdziesz TUTAJ). Ale zachowałem też zdrowy rozsądek – nie jest sztuką zmienić hasła w przypadkowy sposób i później każdorazowo przechodzić procedurę „resetuj hasło”.
1. Po pierwsze: selekcja
Porządek w hasłach zacząłem od selekcji. Założyłem, że usunę wszystkie konta na stronach, których od pewnego czasu nie używam. Na pierwszy ogień poszły stare sklepy internetowe, pośrednicy hotelowi i portale, na których przed laty zdarzało mi się coś okazyjnie sprzedawać (typu otomoto, goldenline, amoma). Ostatecznie po co moje dane mają się walać po dziwnych stronach? Poza tym każda taka strona to potencjalne źródło wycieku. Informacja uzyskana z passwords.google.com była więc dla mnie cenna, bo pokazała mi konta, o których nawet już nie pamiętałem.
2. Po drugie: systematyka
Żeby nie zwariować, pozostałe, potrzebne konta pogrupowałem wg pewnego klucza, którego dokładnie nie zdradzę, ale który generalnie uwzględniał różne sektory funkcjonowania współczesnego człowieka, takie jak np. media społecznościowe, adresy e-mailowe, konta bankowe, sklepy internetowe (każdy powinien sobie bez problemu wyróżnić kilka takich sfer swojego funkcjonowania w świecie).
Następnie wymyśliłem sobie klucz, według którego zamierzałem budować hasła. Każde moje hasło miało być:
- Spełniające ogólne wymagania – 8 znaków, wielkie/małe litery, znaki specjalne itp.
- Łatwowpisywalne – losowe konstrukcje generowane z automatu z pewnością są najmocniejsze, ale na ich zapis traci się zbyt dużo czasu – ja postawiłem na łatwowpisywalność z użyciem obu rąk.
- Zapamiętywalne – tu popełniłem zapewne kolejną zbrodnię, ale cóż… Przyznam, że hasła tworzę tak, żebym był w stanie sam je zapamiętać. Bazuję więc na kombinacji słów ze swojej osobistej historii, ulubionych książek itp. – na ten temat z wiadomych powodów nie będę się rozpisywał 😉
- Różne, ale podobne – jestem tylko człowiekiem inie byłbym w stanie zapamiętać 100 zupełnie rożnych haseł, po czym bezbłędnie je stosować w różnych życiowych sytuacjach. Pogrupowałem więc moje dostępy wg „klas” i do każdej z grup przypisałem zapamiętywalny dla mnie wzór.
Uznałem, że hasło powinno składać się z części stałej, którą będę mógł zapamiętać, i zmiennej, którą regularnie modyfikuję (też wg pewnego stałego klucza), aby spełniać wymagania bezpieczeństwa.
Taka tabelka „porządkowania haseł” mogłaby wyglądać tak:
| banki | konta społecznościowe | e-maile | sklepy internetowe |
| Millenium | FB | … | mediaexpert |
| Paribas | … | allegro | |
| Bank Łącki | … | olx | |
| … | … | … | otomoto |
| … | … | … | |
| budowa hasła (uwzględniająca część stałą i zmienną) | |||
| @wpustyniiwpuszczy | … | … | … |
| (zmiana litery na wielką) |
Przykładowo część hasła: @wpustyniiwpuszczy mogłaby być częścią stałą. Częścią zmienną może być wielkość którejś z kolei litery (przy każdej aktualizacji zmieniałoby się kolejno jedną literę na wielką) (To oczywiście jedna z wielu możliwości, powiedzmy sobie, dość oczywista. Każdy z pewnością wymyśli własną metodę na modyfikację i „usilnienie” hasła).
3. Czas na sprzątanie
Trzymając się ustalonych wcześniej wytycznych, zacząłem sprzątanie w hasłach. W praktyce logowałem się po kolei do różnych miejsc i zmieniałem hasło za hasłem (ewentualnie kasowałem konto, jeśli po namyśle uznałem, że jednak go nie potrzebuję). Było z tym trochę pracy, więc temat: porządek w hasłach rozłożyłem sobie w czasie.
Założyłem też, że przy rzadko używanych dostępach do stron (typu sklep hydrauliczny) mogę sobie pozwolić na to, żeby wygenerować hasło, które zapomnę za chwilę – w razie potrzeby skorzystam z opcji odzyskiwania hasła.
4. Bez standaryzacji się nie uda
Zapisałem sobie cały schemat, ale naturalnie zrobiłem to w taki sposób, by nikt niepowołany nie skorzystał z moich zapisków. Możliwości jest wiele: kartka papieru, tabelka excelowa, notatnik – niezależnie od formy, jaką wybierzecie, chodzi o to, aby można było sięgnąć do schematu zawsze wtedy, gdy zajdzie potrzeba wymyślenia nowego hasła. No i by trzymać się „systemu”.
5. Porządek w hasłach a samodyscyplina
Mądrzejsi ode mnie wymyślili standardy budowy tzw. mocnych haseł oraz uznali, że trzeba co jakiś czas zmieniać hasło. Nie dyskutuję z tymi zasadami. Hasła zmieniam regularnie, ale trzymam się wypracowanego schematu, dzięki temu do minimum ograniczyłem konieczność odzyskiwania hasła.
Podsumowanie
Cyberbezpieczeństwo nie jest tym, czym zajmuję się biznesowo na co dzień, nie silę się więc na kreowanie siebie jako eksperta od spraw bezpieczeństwa w sieci. Jak wiecie jednak, jestem ekspertem od ciągłego doskonalenia. Po prostu któregoś dnia odkryłem, że mam w hasłach i dostępach do różnych kont pewien chaos. Skorzystałem z zasad 5s i poradziłem sobie z tym – zrobiłem porządek w hasłach 😉. A ponieważ mam przeczucie, że temat chaosu w cyberrzeczywistości nie jest Wam obcy, postanowiłem się podzielić z Wami moim doświadczeniem.
W sieci można znaleźć pewnie ze sto artykułów na temat tego, jak dobrze się zabezpieczyć przed cyberprzemocą, jak budować silne hasła itp. Ja wymyśliłem własny system, bazując na zasadach ciągłego doskonalenia, które wdrażam na co dzień w firmach moich klientów. Chętnie posłucham, jak Wy sobie radzicie z tym tematem i co myślicie o mojej metodzie. Może popełniałem jakiś kardynalny błąd? Może macie lepsze rozwiązania? A może wszędzie wpisujecie jedno i to samo hasło od lat i to Wam wystarcza?
Zapraszam do zostawiania komentarzy pod artykułem. Wejdź też na moją stronę FB: Twoja firma w dobrej formie i zapisz się do grupy Ciągłe Doskonalenie 😉.
Na koniec ciekawostka: Łatwo można znaleźć zestawienia najgorszych haseł używanych przez użytkowników:
Jeśli znalazłeś swoje na liście, to najwyższy czas zmienić hasło – najlepiej wg mojej metody
