Ach, hasła. Dla niektórych największa zmora zakładania konta. Myślę, że wszyscy z nas byliśmy w sytuacji, gdzie próbowaliśmy przypomnieć sobie hasło, którego nie używaliśmy od miesięcy. Choć zacząłem dość luźno, to jednak pamiętaj, że tworzenie oraz zarządzanie nimi nie jest zabawą. Przede wszystkim hasła są pierwszą linią obrony przed nieautoryzowanym dostępem. Jeśli ktoś odgadnie Twoje hasło lub uzyska do niego dostęp w inny sposób, może siać spustoszenie w Twoim systemie, ukraść Twoje dane lub zrobić coś jeszcze gorszego. Po drugie, słabe hasła to tylko proszenie się o kłopoty. Jeśli używasz haseł typu password123, haslo123 lub qwerty, równie dobrze możesz po prostu nie używać żadnego. Hakerzy mogą posłużyć się zautomatyzowanymi narzędziami do odgadywania typowych haseł. Takie, jakie wymieniłem w przykładzie, zostaną złamane, w ciągu kilku sekund.
Co więc możesz zrobić, aby skuteczniej zarządzać hasłami? Na początek stworzyć silne i unikalne hasła do każdego posiadanego konta. Niech to nie będzie, strongpassword123 czy też silnehaslo123. Piszę o hasłach, które mają co najmniej 12 znaków, zawierają duże i małe litery, cyfry oraz symbole. Nie używaj tego samego hasła do każdego konta. Jeżeli zostanie odgadnięte do jednego konta, w ten prosty sposób wszystkie zostaną przejęte. Powinieneś także zaimplementować zasady dotyczące haseł, aby wymusić dobre praktyki z nimi związane. Może to obejmować takie kwestie jak wygaśnięcie hasła i wymagania dotyczące resetowania, wymuszanie reguł złożoności hasła i ograniczanie liczby nieudanych prób logowania. Pamiętaj, aby, przenigdy nie zapisywać swoich haseł na karteczce samoprzylepnej i nie przyklejać jej do monitora. To, to samo co niewpisanie żadnego. Zamiast tego rozważ użycie menedżera haseł do bezpiecznego ich przechowywania i zarządzania.
Zapraszamy na darmowe szkolenie "Grafana dla początkujących".
Widzimy się 17 października o 13:00! . Zapisz się: https://asdevops.pl/s43/
Tworzenie silnych haseł
Wymyślanie silnych haseł nie jest najbardziej ekscytującą rzeczą na świecie. Jeśli chodzi o ochronę, ważne jest, aby upewnić się, że hasła są wystarczające. Poniżej przedstawiam moje propozycje dotyczących tworzenia wspomnianych w poprzednim zadaniu:
Im dłużej, tym lepiej. Im dłuższe hasło, tym trudniej je złamać. Twórz hasła, które mają co najmniej 12 znaków, jeśli nie więcej. I nie, „123456789” nie liczy się jako 9 znaków.
Mieszaj je. Użyj kombinacji wielkich i małych liter, cyfr i symboli. To znacznie utrudnia odgadnięcie hasła przy użyciu metod brute force. Unikaj jednak przewidywalnych kombinacji, takich jak H@slo1.
Unikaj popularnych słów lub zwrotów. Używanie popularnych słów lub wyrażeń, takich jak haslo ułatwia jego odgadnięcie. Bądź kreatywny i wybierz coś, co nie jest takie łatwe. Unikaj używania informacji takich jak data urodzenia lub adres i innych, które można łatwo znaleźć o Tobie w Internecie.
Używaj zwrotów jako haseł. Jeżeli nie możesz wymyślić złożonego hasła, rozważ zamiast tego użycie zwrotu. Przez ten zwrot rozumiem serię połączonych ze sobą słów, które nie mają sensu. Na przykład wlasciwa podstawowa bateria dla koni. Rozwiązanie tego typu jest łatwiejsze do zapamiętania niż pomieszany bałagan znaków i symboli. Pomimo braku sensu, zwrot zapewnia wysoki poziom bezpieczeństwa. Do tego możesz dodać jakiś znak i cyfrę aby podnieść jeszcze bardziej poprzeczkę.
Nie używaj ponownie tych samych haseł. Wiem, wiem, kuszące jest używanie tego samego hasła do wszystkiego. Jeśli jedno z Twoich kont zostanie przejęte, wszystkie będą zagrożone. Dlatego używaj unikalnego hasła do każdego konta.
Rozważ użycie Menedżera haseł. Jeśli masz problem z zapamiętaniem wszystkich haseł, pomyśl o menedżerze haseł. Taki powinien wygenerować dla Ciebie silne hasła, bezpiecznie je przechować i uzupełnić automatycznie, gdy będziesz musiał się zalogować.
Na końcu zapamiętaj, gorszą rzeczą od wymyślenia silnego hasła jest wymyślenie nowego co 30 dni.
Wymagania dotyczące długości i złożoności hasła
Tytułowy temat może okazać się prawdziwym problemem. Sam wiem jak trudno, jest wymyślić hasło, które można zapamiętać. Nie mówiąc już o takim, które spełnia wszystkie wymagania. Jednak jeśli chodzi o bezpieczeństwo, wymagania dotyczące hasła to nie jest żart. Możesz sobie w tym miejscu zadać pytanie w takim razie, jakie dokładnie są wymagania dotyczące długości i złożoności hasła? Krótko pisząc, są to zasady określające, jak długie i złożone musi być hasło, aby spełniało określone standardy bezpieczeństwa. Na przykład firma, w której pracujesz, może wymagać, aby hasła miały co najmniej 12 znaków. Muszą one zawierać zarówno wielkie, jak i małe litery, cyfry i symbole. Jednak nie mogą zawierać słów ze słownika ani typowych fraz. Te wymagania wprowadzane są w organizacjach po to, aby utrudnić odgadnięcie lub złamanie hasła za pomocą zautomatyzowanych narzędzi. O czym już pisałem. Jednak zarówno, jak i w organizacji tak i poza nią zawsze warto mieć wypracowane jakąś politykę.
Wymyślanie hasła, które składać się będzie z 12 znaków, zawierającego kombinację liter, cyfr i symboli i niezawierającego żadnych słów znalezionych w słowniku nie jest proste. A teraz wyobraź sobie, że musisz zmieniać takie co 30 dni? Zapomnijmy o tym. Pamiętaj jednak, że tak bardzo, jak możemy narzekać na wymagania dotyczące haseł, nic z tym poza narzekaniami nie jesteśmy w stanie zrobić. Słabe hasła to jeden z najłatwiejszych sposobów uzyskania dostępu. Natomiast naruszenie danych może mieć poważne konsekwencje zarówno dla Ciebie, jak i dla Twojej organizacji.
Praktyki wdrażania zasad haseł
Pomimo bólu głowy, o którym wspominałem, to jednak musimy to zrobić. Nikt nie chce pamiętać nowego hasła co 30 dni ani wymyślać tak skomplikowanego. Jak więc wdrożyć skuteczne zasady, które nie doprowadzają użytkowników do szaleństwa? Oto kilka najlepszych moim zdaniem praktyk:
Nie komplikuj. Wiem, że przed chwilą powiedziałem, iż hasła muszą być złożone. Nie oznacza to jednak, że ich polityka musi być skomplikowana. Zasady powinny być proste i łatwe do zapamiętania. Na przykład wymagaj, aby hasła miały co najmniej 8 znaków i zawierały kombinację liter, cyfr i symboli. (Osobiście polecam jednak minimum 12 znaków)
Przeprowadzaj edukację użytkowników. Użytkownicy są pierwszą linią obrony, jeśli chodzi o bezpieczeństwo haseł. Upewnij się, że rozumieją znaczenie wprowadzenia takiej, a nie innej polityki. Udziel im wskazówek dotyczących ich tworzenia i zapamiętywania.
Nie zmuszaj użytkowników do zbyt częstej zmiany haseł, jeżeli nie masz tego zapisanego w polityce firmy. Kuszące jest wymaganie od użytkowników zmiany haseł co 30 lub 60 dni, ale badania wykazały, że taka praktyka może w rzeczywistości prowadzić do słabszych haseł. Zamiast tego rozważ dłuższy okres ważności hasła, na przykład 90 lub 180 dni.
Użyj uwierzytelniania wieloskładnikowego. Hasła to tylko jedna warstwa zabezpieczeń, rozważ dodanie kolejnej z uwierzytelnianiem wieloskładnikowym. Może to być coś tak prostego, jak wymaganie kodu wysłanego na telefon użytkownika, zanim będzie mógł się zalogować.
Przetestuj wprowadzone hasła. Możesz mieć najsilniejszą politykę haseł na świecie, ale jeśli Twoi użytkownicy nadal używają hasła 123, masz kłopoty. Regularnie testuj swoje hasła, aby upewnić się, że są wystarczająco silne, aby zapobiegać włamaniom.
Wygaśnięcie hasła i wymagania dotyczące resetu
Co rusz wymyślamy nowe hasła. Co kilka miesięcy je zmieniamy i sprawdzamy, czy są wystarczająco silne. Gdy wydaje nam się, że mamy dobre hasło, pojawia się wymóg jego zmiany, który komplikuje wszystko. Dlaczego więc w ogóle mamy wymagania dotyczące wygaśnięcia hasła i jego resetowania? Cóż, przyczyną tego jest to, że jeśli komuś uda się ukraść twoje hasło, będzie miał tylko ograniczoną ilość czasu na jego użycie. Jeżeli jesteś zmuszony wymyślać nowe hasło co kilka miesięcy, zmniejsza to szanse, że ktoś odgadnie lub złamie je ponownie. Jest jednak pewien haczyk. Wygaśnięcie hasła i wymagania dotyczące resetowania są bardzo uciążliwe dla użytkowników. Jednak wiesz o tym z własnego doświadczenia jak i z poprzedniego paragrafu.
Myślę, że wszyscy tego doświadczyliśmy, gdy próbowaliśmy się zalogować do systemu. Nagle dowiedzieliśmy się, że nasze hasło wygasło i musimy wymyślić nowe. Oczywiście nie możemy używać żadnego ze swoich starych haseł. To wystarczy, aby mieć ochotę zacząć wyrywać sobie włosy. Jak więc można zrównoważyć potrzebę bezpieczeństwa z potrzebą wygody użytkownika?
Oto kilka pomysłów.
Rozważ dłuższy okres ważności hasła. O tym już pisałem, ale że jest to ważny aspekt i polityka uległa ogromnym zmianom w przeciągu ostatnich lat ponownie o tym wspominam.
Użyj historii haseł. Jednym ze sposobów uniemożliwienia użytkownikom ponownego używania starych haseł jest użycie historii haseł. Oznacza to, że użytkownicy nie mogą używać żadnego ze swoich poprzednich haseł, więc za każdym razem, gdy je resetują, będą musieli wymyślić coś nowego. (Wiem, wiem w ten sposób nic nie ułatwimy)
Dostarczaj przypomnienia o resetowaniu hasła. Czasami użytkownicy zapominają lub też nie chcą pamiętać, że ich hasła wygasają. Rozważ wysyłanie przypomnień na tydzień lub dwa przed wygaśnięciem. W ten sposób będą mieli mnóstwo czasu na wymyślenie czegoś nowego. Tak będziesz zapobiegał występowania ich nadmiernego łysienia.
Ułatw użytkownikom resetowanie haseł. Jeśli użytkownicy muszą skakać przez obręcze, aby zresetować swoje hasła, są bardziej skłonni do frustracji i rezygnacji. Upewnij się, że proces resetowania hasła jest prosty i łatwy do zrozumienia.
Nie zapomnij o uwierzytelnianiu wieloskładnikowym. Wygaśnięcie hasła i wymagania dotyczące resetowania są ważne, ale to tylko jedna warstwa zabezpieczeń. Rozważ użycie uwierzytelniania wieloskładnikowego, aby zapewnić dodatkową warstwę ochrony.
Egzekwowanie reguł złożoności haseł
Jeśli chodzi o bezpieczeństwo haseł, jedną z najważniejszych rzeczy, które możesz zrobić, jest upewnienie się, że hasła są na tyle złożone, że trudno je odgadnąć lub złamać. O tym pisałem już kilkukrotnie w tym materiale. Jednak teraz chodzi mi o to, w jaki sposób egzekwować zasady złożoności haseł bez doprowadzania użytkowników do szału? I dlaczego jest to w ogóle ważne?
Cóż, po pierwsze, po co nam reguły złożoności haseł? Krótko odpowiadając na to pytanie: ponieważ utrudnia odgadnięcie lub złamanie takiego. Złożone hasło to takie, które zawiera kombinację wielkich i małych liter, cyfr i znaków specjalnych. Im bardziej złożone jest Twoje hasło, tym trudniej jest je odgadnąć lub złamać za pomocą ataku typu brute force. W jaki sposób egzekwować takie zasady, aby użytkownicy Cię nie znienawidzili?
Poniżej prezentuje kilka wskazówek:
Użyj polityki haseł. Zasady dotyczące haseł to zestaw reguł określających, jakiego rodzaju hasła mogą tworzyć użytkownicy. Może to obejmować takie kwestie jak minimalna długość, użycie znaków specjalnych oraz wymagania dotyczące używania zarówno wielkich, jak i małych liter.
Edukuj swoich użytkowników. Większość ludzi nie zdaje sobie sprawy ze znaczenia silnego hasła. Poświęć trochę czasu na wyjaśnienie, dlaczego ważne jest tworzenie złożonych haseł i jakie mogą być konsekwencje, jeśli tego nie zrobisz.
Przekaż opinię dotyczącą hasła. Gdy użytkownik utworzy nowe hasło, poinformuj go, czy spełnia ono Twoje zasady dotyczące złożoności hasła. Może to pomóc zrozumieć, co muszą zrobić, aby stworzyć silne hasło.
Użyj mierników siły hasła. Mierniki siły hasła to świetny sposób, aby pomóc użytkownikom w tworzeniu silnych haseł. Te narzędzia pokazują użytkownikom, jak silne jest ich hasło, i dostarczają informacji zwrotnych na temat tego, co muszą zrobić, aby je ulepszyć.
Ułatw zmianę haseł. Jeśli hasło użytkownika nie jest wystarczająco silne, ułatw mu tę zmianę. Podaj link lub przycisk, który przeniesie go bezpośrednio do ekranu zmiany hasła i upewnij się, że proces jest tak prosty, jak to tylko możliwe.
Uwierzytelnianie wieloskładnikowe
Czy masz czasem wrażenie, że Twoje hasło nie wystarcza do zabezpieczenia Twoich kont? Okazuje się, że nie jesteś sam. Właśnie w tej sytuacji powinieneś korzystać z uwierzytelnienia wieloskładnikowego. Uwierzytelnianie wieloskładnikowe, w skrócie MFA, to funkcja bezpieczeństwa, która wymaga od użytkowników podania minimum dwóch form uwierzytelnienia w celu uzyskania dostępu do konta. Zwykle obejmuje to coś, co znasz (np. hasło), coś, co masz (np. telefon lub token) lub coś, czym jesteś (np. odcisk palca lub rozpoznawanie twarzy). Brzmi zabawnie, jednak ten sposób okazał się bardzo silnym rodzajem zabezpieczenia.
Po co korzystać z usługi MFA? Cóż, po pierwsze, jest to znacznie bezpieczniejsze niż samo użycie hasła. Nawet jeśli uda się odgadnąć lub złamać Twoje hasło, nadal nie będzie można uzyskać dostępu do Twojego konta bez dodatkowego narzędzia uwierzytelniającego. Jednak bądźmy szczerzy, wszyscy jesteśmy, trochę leniwi, jeżeli chodzi o bezpieczeństwo. Po prostu łatwiej jest używać tego samego hasła do wszystkich naszych kont i mieć nadzieję, że nie nastąpi najgorsze, prawda? Cóż, w tej sytuacji szczególnie przydaje się MFA. Nawet jeśli używasz słabego lub wielokrotnie używanego hasła, usługa MFA może dodać dodatkową ochronę do Twoich kont. Ponadto korzystanie z usługi MFA może być całkiem wygodne. Na przykład, jeśli korzystasz z aplikacji uwierzytelniającej w telefonie, możesz łatwo zatwierdzać lub odrzucać prośby o logowanie jednym stuknięciem. W taki sposób możesz skonfigurować logowanie na swoje konto na Facebooku.
Rodzaje uwierzytelniania wieloskładnikowego
Ustaliliśmy, że uwierzytelnianie wieloskładnikowe to świetny sposób na dodanie dodatkowego zabezpieczenia do twoich kont. Teraz chcę się zająć rodzajami wieloskładnikowego logowania. Jednym z typowych rozwiązań jest uwierzytelnianie oparte na SMS-ach. W przypadku tej metody otrzymasz wiadomość tekstową z kodem, który należy wprowadzić, aby uzyskać dostęp do konta. Jest prosty, łatwy i szeroko stosowany, ale ma pewne wady. Po pierwsze, jeśli ktoś ukradnie Twój telefon lub kartę SIM, może potencjalnie uzyskać dostęp do Twoich kont. Ponadto wiadomości SMS mogą czasami być opóźnione lub w ogóle nie docierać, co może być frustrujące.
Innym typem jest uwierzytelnianie biometryczne. Obejmuje skanowanie odcisków palców, rozpoznawanie twarzy, a nawet rozpoznawanie głosu. Ponieważ te cechy są unikalne dla Ciebie, są bezpiecznym sposobem udowodnienia tożsamości. Poza tym fajnie jest odblokowywać telefon twarzą, prawda? Uwierzytelnianie biometryczne też nie jest niezawodne. Na przykład, jeśli masz bliźniaka, może on być w stanie odblokować Twój telefon swoją twarzą. I pomimo że może być to niewiarygodne, nadal istnieje ryzyko kradzieży lub naruszenia bezpieczeństwa danych biometrycznych.
Trzecim typem jest uwierzytelnianie sprzętowe. Zwykle wiąże się to z użyciem fizycznego tokena, takiego jak klucz USB lub karta inteligentna, w celu uzyskania dostępu do kont. Te tokeny są zwykle zaszyfrowane i wymagają podania kodu PIN lub hasła, co czyni je wysoce bezpieczną opcją.
Możesz zadać sobie teraz pytanie, który rodzaj uwierzytelniania jest najlepszy? To naprawdę zależy od twoich potrzeb i preferencji. Bez względu na to, jaką metodę wybierzesz, pamiętaj, dodanie dodatkowej warstwy zabezpieczeń do konta to zawsze dobry pomysł.
Bezpieczne przechowywanie haseł
Wszyscy wiemy, że przechowywanie haseł w postaci zwykłego tekstu to bardzo zły pomysł. Jednak jak bezpiecznie przechowywać hasła w systemie Linux? Poniżej przedstawiam listę moim zdaniem najlepszych praktyk, jakie powinniśmy stosować:
Użyj menedżera haseł, ponieważ to świetny sposób na bezpieczne ich przechowywanie. Szyfrują Twoje hasła, jak i umożliwiają generowanie takie. Ponadto wystarczy zapamiętać jedno hasło główne, aby uzyskać dostęp do wszystkich pozostałych.
Nie przechowuj haseł w plikach konfiguracyjnych, ponieważ mogą być odczytywane przez każdego, kto ma dostęp do systemu. Jeśli musisz przechowywać hasła w pliku konfiguracyjnym, najpierw je zaszyfruj.
Ogranicz dostęp do plików z hasłami. Udzielaj dostępu tylko tym użytkownikom, którzy tego potrzebują. Rozważ również użycie uprawnień do systemu plików lub list kontroli dostępu, aby kontrolować, kto może czytać i zapisywać plik.
Podsumowanie
Wydaje mi się, że temat haseł wyczerpałem. Z własnego doświadczenia radzę, aby zawsze stosować wieloskładnikowe logowanie. Wiem, jest to miejscami męczące, szczególnie jeżeli chcemy lub musimy zalogować się na kilka kont jednocześnie gdzie taką opcję mamy włączoną. Niemniej jednak przez swój trud jesteśmy bezpieczniejsi. Innym dobrym rozwiązaniem jest klucz YubiKey, który obecnie uważany jest jako jedno z najbezpieczniejszych narzędzi do logowania. Jednak pomimo korzystania ze wspomnianych narzędzi nadal nie możemy na nich w 100% polegać. Wiem, że do znudzenia powtarzam się, ale nie istnieje rodzaj zabezpieczenia, który będzie niezawodny.
Chcesz wiedzieć więcej na temat bezpieczeństwa? Przeczytaj nasze artykuły lub weź udział w kursach!