Mocne hasło

Mocne hasło – hasło używane do potwierdzania tożsamości (uwierzytelniania), które cechuje się zmniejszonym prawdopodobieństwem „złamania” lub odgadnięcia, poprzez m.in. zwiększenie jego długości oraz złożoności i utrudnienie ataków słownikowych. W odniesieniu do mocnego hasła często używa się zamiennie określenia silne hasło^[1]. Jedną z metod mierzenia siły hasła jest badanie jego entropii^[2], choć w praktyce wysoka entropia nie jest jednoznaczna z dobrym hasłem^[3].

Zasady tworzenia dobrych haseł

Hasło to zazwyczaj kombinacja liter (małych i WIELKICH), cyfr i znaków specjalnych o odpowiedniej długości^[4]. Według norm NIST dostawcy uwierzytelniania powinni umożliwiać wpisanie przynajmniej 64 znaków i niemal dowolnych znaków, w tym znaków Unicode^[5]. Wbrew dawnym zaleceniom, dostawcy nie powinni wymagać znaków specjalnych i cyfr, chociaż powinna być możliwość ich wpisania^[5][3]. Im więcej różnych znaków w haśle tym większa jest entropia, ale siła hasła rośnie również wraz z jego długością^[2], a przy tym hasło bez znaków specjalnych jest łatwiejsze do zapamiętania^[3].

Entropia nie jest jednak jedynym problemem, hasło musi być trudne do odgadnięcia z innych, łatwiej dostępnych danych. Dobre hasło to takie hasło, którego nie da się łatwo ustalić na podstawie różnych innych, łatwo dostępnych danych, czyli w haśle nie powinno się używać loginu użytkownika, numeru PESEL, daty urodzenia, numer ubezpieczenia itp^[6].

Do tworzenia mocnego hasła można użyć generatorów wbudowanych w menedżer haseł^[7].

Mocne hasła i bezpieczeństwo

Jak wykazano na podstawie wycieków haseł, reguły złożoności haseł nie działają w praktyce, ponieważ ludzie w reakcji na takie reguły tworzą mechanizmy, które są przewidywalne i powtarzalne^[3][8]. W szczególności zamiast hasła „password” dana osoba może ustawić „Password1!”, co nie będzie w zasadniczy sposób bezpieczniejsze^[3]. Dodatkowo złożoność reguł może skłaniać ludzi do używania tego samego hasła w wielu serwisach, co z kolei oznacza, że wyciek haseł z jednego serwisu daje możliwość włamania do wielu innych miejsc^[8].

Organizacje typu National Cyber Security Centre(inne języki) czy NIST zalecają by używać innych metod weryfikacji tożsamości niż statyczne hasła, w tym dodatkowych składników uwierzytelniania (2FA i MFA)^[8][9].

Przypisy

1. Czym jest hasło dostępu? Jak tworzyć bezpieczne i silne hasła? » home.pl [online], Pomoc | home.pl [dostęp 2023-11-04] (pol.).
2. SubhamS. Datta SubhamS., How to Determine the Entropy of a Password? [online], baeldung.com, 2022 [dostęp 2023-11-28] (ang.).
3. Appendix A—Strength of Memorized Secrets, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI: 10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).
4. Mariusz, Co to jest hasło? Jak tworzyć silne hasło? » Domenomania.pl [online], Domenomania.pl, 27 czerwca 2020 [dostęp 2023-11-04] (pol.).
5. 5.1.1 Memorized Secrets, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI: 10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).
6. MarcinM. Maj MarcinM., Jak można było podejrzeć dane osobowe diagnostów? I dlaczego PESEL to zawsze kiepskie hasło… [online], NieBezpiecznik.pl, 12 czerwca 2023 [dostęp 2023-11-28].
7. Password managers: using browsers and apps to safely store your passwords [online], www.ncsc.gov.uk [dostęp 2023-11-28] (ang.).
8. National Cyber Security Center, Password policy: updating your approach [online], www.ncsc.gov.uk [dostęp 2023-11-28] (ang.).
9. Authenticator Assurance Level 2, [w:] NIST Special Publication 800-63B, pages.nist.gov, 2023, DOI: 10.6028/NIST.SP.800-63b [dostęp 2023-11-28] (ang.).