Hasła i bezpieczeństwo

Firmy są hackowane bez przerwy. Kiedy to się dzieje, hakerzy próbują tych samych kombinacji email/hasło na innych stronach. To się nazywa „credential stuffing".

Jeśli używasz tego samego hasła wszędzie — jeden wyciek daje przestępcom dostęp do wszystkiego.

Rozwiązanie: Używaj innego hasła do każdego konta.

Jak to ogarnąć: Używaj menedżera haseł.

• Generuje silne losowe hasła
• Pamięta je wszystkie
• Automatycznie wypełnia przy logowaniu
• Pamiętasz tylko JEDNO hasło główne

Brzmi ryzykownie, ale menedżery używają poważnego szyfrowania. Twoje hasła są tam znacznie bezpieczniejsze niż używane wielokrotnie w internecie.

Zobacz: Menedżery haseł

2FA dodaje drugi zamek do twoich kont. Hasło + coś, co masz (zazwyczaj telefon).

Rodzaje:

• Kody SMS — Lepsze niż nic, ale mogą być przechwycone
• Aplikacje uwierzytelniające — Znacznie lepsze, kody zmieniają się co 30 sekund
• Klucze sprzętowe — Najbezpieczniejsze, wymagają fizycznego urządzenia

Po co się męczyć?

2FA zatrzymuje większość przejęć kont, nawet jeśli ktoś ma twoje hasło. Większość hacków trafia w konta BEZ 2FA.

Włącz najpierw na:

• Email (kontroluje wszystkie resety haseł)
• Bankowość
• Media społecznościowe

Zobacz: Rekomendacje 2FA

To jest TO JEDNO hasło, którego nie możesz zapomnieć. Większość menedżerów nie ma opcji „zapomniałem hasła" — to funkcja bezpieczeństwa.

Zapobiegaj katastrofie:

• Zapisz je i przechowuj w bezpiecznym miejscu (nie na karteczce)
• Użyj zapamiętowej frazy: „fioletowy-koń-tańczy-wtorek"
• Skonfiguruj klucze odzyskiwania przy tworzeniu konta
• Wyznacz kontakt awaryjny, jeśli twój menedżer to obsługuje

Już zapomniałeś?

Sprawdź czy jesteś jeszcze gdzieś zalogowany — wyeksportuj hasła zanim zostaniesz zablokowany. Poszukaj kluczy odzyskiwania, które mogłeś zapisać.

Najgorszy przypadek:

Zacznij od nowa i resetuj wszystkie hasła ręcznie. Bolesne, ale dlatego te systemy są bezpieczne.

Tak, znacznie bezpieczniejsze niż alternatywa (używanie tych samych haseł lub zapisywanie ich).

Jak cię chronią:

• Silne szyfrowanie (nawet firma nie widzi twoich haseł)
• Jeden wyciek nie ujawnia wszystkiego (w przeciwieństwie do powtarzanych haseł)
• Generuje hasła, których ludzie nie odgadną
• Ostrzega o skompromitowanych hasłach

Odpowiedzi na obawy:

„Wszystkie jajka w jednym koszyku?" Tak, ale to bardzo bezpieczny koszyk. Alternatywą są dziesiątki słabych, powtarzanych haseł.

„A jak ich zhakują?" Dobre menedżery szyfrują wszystko lokalnie. Nawet przy włamaniu na serwery, hakerzy dostają tylko zaszyfrowane śmieci.

„Czy firma widzi moje hasła?" Przy szyfrowaniu zero-knowledge, nie. Tylko ty masz klucz.

Zobacz: Rekomendacje menedżerów

Długość liczy się najbardziej. Długa fraza wygrywa z krótką i skomplikowaną.

Dobre:

• „fioletowy-koń-tańczy-wtorek" (długie, losowe słowa)
• 20+ losowych znaków z menedżera

Złe:

• „H@sł0!" (częste podstawienia, łatwe do złamania)
• Twoje urodziny, imię zwierzaka lub coś odgadywalnego
• Słowa ze słownika same w sobie

Matematyka:

12-znakowe losowe hasło wymaga milionów lat do złamania brute force. 8-znakowe? Godzin.

Najlepsze podejście:

Pozwól menedżerowi je generować. Nie musisz pamiętać „xK#9mP2$vL@n" — to robota menedżera.

Dla kilku haseł, które MUSISZ zapamiętać (hasło główne, PIN telefonu), używaj długich fraz z losowymi słowami.