Generator haseł pomaga tylko wtedy, gdy wybierzesz odpowiedni rodzaj zabezpieczenia do danego zadania. W tym miejscu wiele osób czuje się zagubionych. Wiedzą, że chcą czegoś silniejszego, ale nie są pewni, czy powinni wygenerować losowe hasło, zapamiętywalną frazę hasła czy numeryczny PIN.

Najłatwiejszym sposobem na podjęcie decyzji jest zaprzestanie zadawania pytania, która opcja jest abstrakcyjnie najsilniejsza. Lepiej zapytać, która opcja pasuje do kontekstu logowania. Konto w serwisie internetowym, codzienne logowanie mobilne i odblokowanie lokalnego urządzenia nie generują tego samego rodzaju ryzyka.

Jeśli chcesz podjąć szybką decyzję, tryb losowego hasła na stronie głównej jest najlepszym domyślnym wyborem dla większości logowań do kont, podczas gdy tryb zapamiętywalnej frazy hasła oraz generator PIN na stronie głównej mają więcej sensu w bardziej specyficznych przypadkach. Kluczem jest wiedza, gdzie każdy z nich pasuje.

Dlaczego jeden tryb generatora nie pasuje do każdego logowania

Silne zabezpieczenie logowania to nie tylko surowa złożoność. Chodzi również o to, gdzie go używasz i jak często musisz je wpisywać. Zależy to także od tego, czy używasz menedżera haseł oraz czy zabezpieczenie chroni konto zdalne, czy tylko odblokowuje lokalne urządzenie.

Dlatego witryna oferuje trzy tryby zamiast jednego. Losowy, Zapamiętywalny i PIN to nie są kwestie kosmetyczne. Rozwiązują one różne problemy, zachowując ten sam główny cel: wygenerowanie czegoś unikalnego zamiast ponownego użycia starych, słabych danych logowania.

Kiedy losowe hasło jest najsilniejszym domyślnym wyborem

Najlepsze dla logowań do kont, które zapiszesz w menedżerze

Dla większości kont w serwisach i aplikacjach, losowe hasło jest nadal najsilniejszym domyślnym wyborem. Jest trudne do przewidzenia, łatwe do uczynienia unikalnym i nie wymaga polegania na pamięci, jeśli przechowujesz je w odpowiedni sposób.

Pasuje to do aktualnych standardów. NIST SP 800-63B podaje, że hasła używane jako zabezpieczenia uwierzytelniania jednoskładnikowego powinny mieć co najmniej 15 znaków. To jeden z powodów, dla których generator jest tak przydatny w przypadku zapisanych logowań: umożliwia łatwe tworzenie długich, unikalnych ciągów znaków bez wymyślania ich samodzielnie.

Gdzie losowe ciągi znaków powodują więcej problemów niż korzyści

Losowe ciągi znaków stają się mniej wygodne, gdy musisz je często wpisywać na telefonie, tablecie, pilocie do telewizora lub innej niewygodnej powierzchni wejściowej. W takich przypadkach teoretycznie najsilniejszy ciąg może skłonić ludzi do niebezpiecznych zachowań, takich jak przechowywanie haseł w zwykłych notatkach lub ponowne używanie łatwiejszych haseł.

Nie oznacza to, że losowe hasła są złe. Oznacza to, że działają najlepiej, gdy logowanie jest połączone z menedżerem haseł lub innym niezawodnym sposobem ich przechowywania i autouzupełniania.

Kiedy zapamiętywalna fraza hasła jest lepszym rozwiązaniem

Dobre dla logowań, które musisz faktycznie często wpisywać

Zapamiętywalna fraza hasła może być lepszym kompromisem, gdy potrzebujesz zabezpieczenia, które będziesz regularnie wprowadzać i nie zawsze możesz polegać na autouzupełnianiu. Długa fraza złożona z niezwiązanych ze sobą słów jest często łatwiejsza do wpisania i mniej kusi, by zapisać ją w nieodpowiednim miejscu.

NIST wspiera tutaj również dłuższe, bardziej elastyczne zabezpieczenia. Ta sama wytyczna NIST mówi, że systemy weryfikujące powinny akceptować wszystkie znaki ASCII do druku oraz spację. Mówi również, że powinny zezwalać na maksymalną długość co najmniej 64 znaków. Daje to przestrzeń na długie frazy hasła, zamiast zmuszać użytkowników do stosowania krótkich, trudnych do zapamiętania ciągów znaków.

Gdzie frazy hasła nadal wymagają dodatkowej ostrożności

Fraza hasła nie jest automatycznie silna tylko dlatego, że składa się ze słów. Nadal musi być wystarczająco długa, wystarczająco nietypowa i unikalna dla danego konta. Słynny cytat, tekst piosenki lub fraza, której już używasz w innym miejscu, nie są dobrym zamiennikiem dla naprawdę świeżego zabezpieczenia.

W tym miejscu pomaga tryb Zapamiętywalny dostępny w witrynie. Daje Ci sposób na wygenerowanie czegoś łatwiejszego do zapamiętania, bez powracania do osobistych schematów, ponownie wykorzystywanych ulubionych fraz czy przewidywalnych podstawień.

Kiedy PIN pasuje do urządzenia, a nie do strony internetowej

Przydatne w kontekście odblokowywania lokalnego urządzenia

Numeryczny PIN pasuje do kontekstów lokalnego odblokowywania, takich jak telefony lub tablety z limitami prób. To coś zupełnie innego niż używanie krótkiego numerycznego zabezpieczenia jako głównego hasła do konta internetowego.

NIST wyraźnie wyznacza tę granicę. W swoich wytycznych dotyczących zabezpieczeń aktywacyjnych, NIST stwierdza, że lokalne zabezpieczenia typu PIN na urządzeniach muszą mieć co najmniej 4 znaki. Mówi również, że powinny mieć co najmniej 6 znaków. Jest to przydatny punkt odniesienia przy myśleniu o odblokowywaniu urządzeń, a nie powód, by zastępować prawdziwe hasło do konta krótkim kodem PIN.

Dlaczego PIN nie powinien zastępować silnego hasła do konta

Hasło do strony internetowej zazwyczaj chroni zdalne konto, które może być narażone na ataki typu credential stuffing, ataki polegające na ponownym wykorzystaniu haseł oraz szersze skutki naruszeń danych. Krótki numeryczny PIN jest w takim kontekście znacznie łatwiejszy do odgadnięcia i znacznie mniej elastyczny niż pełne hasło lub fraza hasła.

Dlatego tryb PIN w witrynie należy traktować jako konkretną opcję, a nie uniwersalną odpowiedź. Pasuje on do określonych potrzeb odblokowywania lokalnego. Nie zastępuje silnego zabezpieczenia konta poczty elektronicznej, narzędzi pracy, bankowości czy innych logowań o wysokiej wartości.

Jak szybko wybrać odpowiedni tryb na stronie głównej

Dopasuj tryb do typu logowania przed kliknięciem Generuj

Szybka zasada decyzyjna pomaga. Jeśli zabezpieczenie jest przeznaczone do zwykłego konta internetowego i będziesz je przechowywać w menedżerze, wybierz Losowy. Jeśli musisz je często wpisywać i potrzebujesz czegoś bardziej przyjaznego dla człowieka, wybierz Zapamiętywalny. Jeśli zabezpieczenie służy do odblokowania lokalnego urządzenia, wybierz PIN.

Dzięki temu decyzja pozostaje prosta, ale nie lekkomyślna. Nie wybierasz ulubionego formatu. Wybierasz format najmniej ryzykowny dla konkretnego zadania.

Skopiuj, zapisz i unikaj krótkoterminowego ponownego użycia

Generowanie to tylko pierwszy krok. Nawyki związane z przechowywaniem i ponownym użyciem mają równie duże znaczenie. Jeśli hasło jest silne, ale używane ponownie w kilku serwisach, jedno naruszenie danych może rozprzestrzenić szkody.

Wytyczne FTC dotyczące haseł zalecają używanie długich, unikalnych haseł dla każdego konta, ponieważ ponowne użycie haseł może narazić wiele kont na niebezpieczeństwo, gdy jeden serwis zostanie zaatakowany. Dlatego najbezpieczniejszy proces to nie tylko wygenerowanie i skopiowanie. To wygenerowanie, prawidłowe zapisanie i przejście do kolejnego konta z nowym zabezpieczeniem.

Co zrobić dalej przed wygenerowaniem nowego zabezpieczenia

Zacznij od określenia kontekstu logowania. Czy jest to konto zdalne, logowanie wymagające częstego wpisywania, czy odblokowanie lokalnego urządzenia? Gdy odpowiedź na to pytanie stanie się jasna, odpowiedni tryb zazwyczaj staje się oczywisty.

Następnie wygeneruj raz, skopiuj ostrożnie i zapisz w odpowiednim miejscu. Celem nie jest stworzenie najbardziej onieśmielającego ciągu znaków. Celem jest stworzenie zabezpieczenia, które jest wystarczająco silne dla danego ryzyka i wystarczająco użyteczne, abyś nie musiał go później omijać.

To prawdziwa zaleta posiadania trybów Losowy, Zapamiętywalny i PIN w jednym miejscu. Możesz dopasować tryb generatora do problemu, zamiast zmuszać jeden format do każdej sytuacji związanej z bezpieczeństwem.