Dziś Światowy Dzień Hasła! Z tej okazji zapraszamy do lektury wywiadu z Tomaszem Bajsarowiczem, Kierownikiem Administracji w Higma Service. Tomasz odpowiada m.in. za nadzorowanie procesów administracyjnych, w szczególności dotyczących samochodów służbowych, urządzeń elektronicznych, systemów informatycznych, budynków i ich wyposażenia oraz regulacje dotyczące ochrony danych osobowych. Tomasz opowiada, dlaczego hasła są tak ważne w dobie wszechobecnych elektroniki i Internetu.

Monika Latek: Zacznijmy od kwestii, być może oczywistej dla wszystkich, jednak myślę, że warto ją poruszyć. Dlaczego bezpieczne hasło jest tak ważne?

Tomasz Bajsarowicz: Na początku powiem, że posiadanie hasło jest bardzo ważne. I to jest pierwszy krok do wykonania na każdym urządzeniu, za pośrednictwem którego łączymy się z Internetem, czy w ogóle, z którego korzystamy (np. blokada telefonu czy ekran startowy komputera). Pomijając już, czy mówimy o bardziej lub mniej bezpiecznym haśle, ogranicza ono dostęp osób trzecich do sprzętu w przypadku zgubienia lub kradzieży. Jeżeli nie mamy hasła, ktoś dostaje urządzenie z dostępem do tych danych w nim przechowywanych. Jeżeli jest jakiekolwiek hasło, ten dostęp jest utrudniony. I druga kwestia – gdy już mamy założone hasło, to dobrze, aby było ono bezpieczne. Przez bezpieczne hasło rozumiem takie, które będzie trudne do odgadnięcia, a nie łatwo identyfikowalne.

M.L.: Co rozumiesz przez łatwo identyfikowalne hasło?

T.B.: Na przykład – nazywam się Tomasz Bajsarowicz i w związku z tym wszędzie zakładam hasła „Tomek1”, „Tomek2”, „Tomek3” lub datę urodzenia dzieci, własną czy zwykłe słowo, bez znaków specjalnych. Takie hasła są łatwe do odgadnięcia przez programy, które możemy przez przypadek zainstalować na komputerze czy telefonie.

M.L.: A co z portalami internetowymi?

T.B.: Powiedzmy, że mamy na takim portalu tak łatwe hasło jak te wyżej wspomniane. Oznacza to, że nasze konto jest łatwo dostępne dla programów, które monitorują sieć, wchodzą na różne strony i szukają prostych do zidentyfikowania haseł (np. auto1, Tomek3). Takie programy mają zaszyte w sobie kilkaset czy kilka tysięcy najbardziej powtarzalnych haseł. Jeżeli trafi im się takie z rodzaju słabych, uzyskają dostęp, np. do naszego profilu na Facebooku, do poczty czy jakiegoś portalu.

M.L.: Czyli nie powinniśmy obawiać się prób odgadnięcia hasła w sposób manualny (nie przez program), tzn. ktoś uzyskuje mój adres mailowy i metodą prób i błędów stara się złamać hasło?

T.B.: Próba odgadnięcia hasła może zdarzyć się raczej w przypadku bliskich osób, które mają dostęp do naszego urządzenia. Jeśli chodzi o osoby obce, to odbywa się to raczej za pomocą wspomnianych programów, które szukają niezabezpieczonych urządzeń. Często urządzenia sieciowe wychodzą od producenta ze standardową nazwą profilu i hasłem („admin”, „admin”), które trzeba przy pierwszym logowaniu zmienić, ale wiele osób to pomija i ma ustawione domyślne hasła i loginy. Wspomniane programy szukają w sieci, czy są jakieś urządzenia, posiadające najprostszą kombinację loginu i hasła. Wtedy program może przejąć dostęp do naszego routera i przykładowo nasze łącze będzie spowalniać, a w tym samym czasie jakiś haker za jego pośrednictwem będzie rozsyłał spam albo próbował się włamać do serwerów FBI czy CIA. 😉

M.L.: Jakie są najważniejsze zasady zachowania bezpiecznego hasła?

T.B.: Kwestia konstruowania hasła jest bardzo indywidualna. Z mojej perspektywy, jeśli tylko portal umożliwia dwukanałową autoryzację (wpisanie hasła i potwierdzenie go przez kod sms), to jest to najlepsza praktyka zabezpieczenia konta. Nawet jeżeli ktoś odgadnie hasło do portalu, to nie będzie miał naszego telefonu przy sobie, bo jest gdzieś po drugiej stronie świata. Więc jeśli tylko jakiś portal umożliwia dwukanałową autoryzację dostępu, to zawsze do tego zachęcam.

M.L.: A co z ilością znaków?

T.B.: Bez względu na to, który wariant wybierzemy, gdy zakładamy hasło, ważne żeby nie był to łatwy do odgadnięcia ciąg znaków (np. 1234, qwerty, 5678, abcd, imiona). Dla mnie idealne hasło ma co najmniej 12 znaków, gdyż trudniej je złamać niż np. 8-znakowe. Każda większa ilość znaków zwielokrotnia czas potrzebny na zhakowanie, gdyż zwiększa się ilość kombinacji. Zawsze zachęcam, żeby nasi pracownicy używali w hasłach dużych liter, cyfr i znaków interpunkcyjnych – one również utrudniają odgadnięcie. Dobrze też, żeby hasło nam się z czymś kojarzyło, aby przy każdym logowaniu nie korzystać z opcji odzyskiwania hasła. Lepiej, by dotyczyły one naszych odczuć niż np. osób z najbliższego otoczenia. Może to być jakieś zdanie, np. „Uwielbiam Higmę Service”, ze znakami specjalnymi, cyframi, dużymi i małymi literami. To zawsze utrudnia złamanie hasła.

M.L.: Wspomniałeś o zapominaniu… Jesteś u nas w firmie odpowiedzialny za sprzęt i wszelkie techniczne sprawy – również hasła i ich odzyskiwanie. Czy często zdarza się tak, że ktoś sobie zablokuje dane konto i później trzeba temu zaradzić? Czy raczej korzystają od razu z opcji „Przypomnij hasło”?

T.B.: Nie są to częste zdarzenia. Zazwyczaj nasi pracownicy radzą sobie z zapamiętywaniem haseł. I tu mam bardzo mieszane uczucie, bo wiem, że radzą sobie również poprzez zapamiętywanie haseł w przeglądarkach internetowych. Z mojej perspektywy takie działanie jest dla użytkowników bardzo wygodne, ponieważ nie musimy pamiętać haseł, mamy je zawsze pod ręką. Minusem tej metody jest fakt, że nie jest bezpieczna. Z podobną łatwością ktoś obcy będzie mógł zalogować się na nasze konta, jeśli uzyska dostęp do naszego sprzętu.

M.L.: Rozumiem, jednak często mamy dziesiątki kont na różnych portalach czy stronach. Raczej nie sposób zapamiętać wszystkich haseł.

T.B.: Nie ma tu złotej metody i zawsze zachęcam do zdroworozsądkowego podejścia do tematu. Część aplikacji czy portali, z których korzystamy jest dla nas ważna, bo zwyczajnie lubimy z nich korzystać. Jednak utrata dostępu do takich kont nie spowoduje życiowych perturbacji (np. portale z recenzjami filmów). Natomiast jeżeli ktoś uzyska dostęp do głównego konta poczty e-mail, to już zaczynają się problemy. Efekt może być taki, że ta osoba zacznie odzyskiwać w portalach hasła, będzie otrzymywała linki autoryzacyjne na pocztę, do której ma już dostęp. W ten sposób przejmie wszystkie konta na portalach, z których korzystamy. Dlatego zachęcam do trzech rzeczy – w przypadku ważnych portali, aby zastosować dwuetapową autoryzację logowania. Druga kwestia – żeby to były hasła łatwe do zapamiętania dla nas, których nie trzeba będzie zapisywać w pamięci przeglądarki. Trzecim rozwiązaniem są tzw. portfele haseł. Są to aplikacje jak np. Keepass – opensourcesowe lub płatne. Mamy jedno główne hasło do aplikacji, a w niej zaszyte hasła do wszystkich portali. Na pewno dużo lepszym wyjściem jest skorzystanie z takiego portfela haseł niż używanie jednego hasła do wszystkich aplikacji.

M.L.: Są sytuacje, gdy musimy przesłać hasło. Jak możemy zrobić to bezpiecznie?

T.B.: To jest bardzo ważne pytanie, szczególnie pod kątem ochrony danych osobowych i możliwości przechwycenia ich w trakcie przesyłania. Jeżeli mamy plik, który chcemy przesłać do drugiej osoby i zawiera on dane osobowe lub dane, które są dla nas dosyć wrażliwe, dobrze jest zahasłować ten plik. Są dwie możliwości – albo skorzystać z wbudowanego mechanizmu w Wordzie czy Excelu do zabezpieczenia pliku albo dodać do spakowanego pliku dany dokument np. z arkusza danych. Do tego nadaje się prosta, darmowa aplikacja 7zip, pozwalająca na założenie hasła. Plik można rozpakować dopiero po wpisaniu hasła u docelowego użytkownika. Ważne jest, by to hasło przesłać innym kanałem komunikacji, ponieważ zawsze może się zdarzyć, że mail dostanie się w niepowołane ręce.

M.L.: Na co jeszcze powinniśmy zwrócić uwagę w kwestii haseł i dostępów?

T.B.: Dopowiem jeszcze, że hasła są nasze i uważam, że nie powinniśmy ich nikomu udostępniać, dlatego najlepszą metoda jest po prostu nieujawnianie nikomu tych danych. Ogólnie rzecz ujmując, w dzisiejszych czasach nasze dane są bardzo istotne i ważne jest, by ograniczyć udostępnianie ich osobom trzecim. Jeżeli ktoś do nas dzwoni i prosi o podanie numeru PESEL, bardzo szczegółowych danych, uważam, że nie powinniśmy takich danych podawać, jeśli nie jesteśmy pewni z kim rozmawiamy. Tutaj należy przenieść się ze świata cyfrowego do realnego. Jeżeli dzwoni do nas np. ktoś z banku i prosi o podanie bardzo szczegółowych danych przez telefon, to lepiej pojechać do banku osobiście i sprawdzić, o co chodzi. Chyba że jesteśmy pewni z kim rozmawiamy i np. jesteśmy w trakcie załatwiania kredytu, wtedy też nie można popaść w paranoję i należy kierować się zdrowym rozsądkiem. I na koniec zachęcam wszystkich czytających te słowa do weryfikacji swoich haseł i dostępów pod kątem tego, czy na pewno są one bezpieczne, a jeśli są one zbyt proste, to do ich zmiany na takie, które zapewnią nam bezpieczeństwo przechowywanych danych i dostępów.