Przejdź do zawartości

Mocne hasło

Z Wikipedii, wolnej encyklopedii

Mocne hasłohasło używane do potwierdzania tożsamości (uwierzytelniania), które cechuje się zmniejszonym prawdopodobieństwemzłamania” lub odgadnięcia, poprzez m.in. zwiększenie jego długości oraz złożoności i utrudnienie ataków słownikowych. W odniesieniu do mocnego hasła często używa się zamiennie określenia silne hasło[1]. Jedną z metod mierzenia siły hasła jest badanie jego entropii[2], choć w praktyce wysoka entropia nie jest jednoznaczna z dobrym hasłem[3].

Zasady tworzenia dobrych haseł

[edytuj | edytuj kod]

Hasło to zazwyczaj kombinacja liter (małych i WIELKICH), cyfr i znaków specjalnych o odpowiedniej długości[4]. Według norm NIST dostawcy uwierzytelniania powinni umożliwiać wpisanie przynajmniej 64 znaków i niemal dowolnych znaków, w tym znaków Unicode[5]. Wbrew dawnym zaleceniom, dostawcy nie powinni wymagać znaków specjalnych i cyfr, chociaż powinna być możliwość ich wpisania[5][3]. Im więcej różnych znaków w haśle tym większa jest entropia, ale siła hasła rośnie również wraz z jego długością[2], a przy tym hasło bez znaków specjalnych jest łatwiejsze do zapamiętania[3].

Entropia nie jest jednak jedynym problemem, hasło musi być trudne do odgadnięcia z innych, łatwiej dostępnych danych. Dobre hasło to takie hasło, którego nie da się łatwo ustalić na podstawie różnych innych, łatwo dostępnych danych, czyli w haśle nie powinno się używać loginu użytkownika, numeru PESEL, daty urodzenia, numer ubezpieczenia itp[6].

Do tworzenia mocnego hasła można użyć generatorów wbudowanych w menedżer haseł[7].

Mocne hasła i bezpieczeństwo

[edytuj | edytuj kod]

Jak wykazano na podstawie wycieków haseł, reguły złożoności haseł nie działają w praktyce, ponieważ ludzie w reakcji na takie reguły tworzą mechanizmy, które są przewidywalne i powtarzalne[3][8]. W szczególności zamiast hasła „password” dana osoba może ustawić „Password1!”, co nie będzie w zasadniczy sposób bezpieczniejsze[3]. Dodatkowo złożoność reguł może skłaniać ludzi do używania tego samego hasła w wielu serwisach, co z kolei oznacza, że wyciek haseł z jednego serwisu daje możliwość włamania do wielu innych miejsc[8].

Organizacje typu National Cyber Security Centre(inne języki) czy NIST zalecają by używać innych metod weryfikacji tożsamości niż statyczne hasła, w tym dodatkowych składników uwierzytelniania (2FA i MFA)[8][9].

Przypisy

[edytuj | edytuj kod]
  1. Czym jest hasło dostępu? Jak tworzyć bezpieczne i silne hasła? » home.pl [online], Pomoc | home.pl [dostęp 2023-11-04] (pol.).
  2. a b Subham Datta, How to Determine the Entropy of a Password? [online], baeldung.com, 2022 [dostęp 2023-11-28] (ang.).
  3. a b c d e Appendix A—Strength of Memorized Secrets, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).
  4. Mariusz, Co to jest hasło? Jak tworzyć silne hasło? » Domenomania.pl [online], Domenomania.pl, 27 czerwca 2020 [dostęp 2023-11-04] (pol.).
  5. a b 5.1.1 Memorized Secrets, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).
  6. Marcin Maj, Jak można było podejrzeć dane osobowe diagnostów? I dlaczego PESEL to zawsze kiepskie hasło… [online], NieBezpiecznik.pl, 12 czerwca 2023 [dostęp 2023-11-28].
  7. Password managers: using browsers and apps to safely store your passwords [online], www.ncsc.gov.uk [dostęp 2023-11-28] (ang.).
  8. a b c National Cyber Security Center, Password policy: updating your approach [online], www.ncsc.gov.uk [dostęp 2023-11-28] (ang.).
  9. Authenticator Assurance Level 2, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).