Pytania

1. Jak ten serwis ułatwi mi życie?

2. Dlaczego należy stosować różne hasła do każdej ze stron?

3. W jaki sposób ktoś niepowołany może poznać moje hasło?

4. Jak używać tego generatora?

5. Czy używane w tym serwisie hasła są gdzieś zapisywane?

6. Nie lepiej użyć programu do przechowywania haseł?

7. Jak wygląda sprawa bezpieczeństwa w serwisie nowehaslo.pl?

8. Jakie powinno być dobre hasło?

9. Co się stanie jak będę używać wygenerowanych tutaj haseł, a strona przestanie istnieć?

10. Co to jest pieczęć antyphishingowa?

11. Jak wygenerować całkowicie nowe hasło?

 
 
 

Odpowiedzi

1. Jak ten serwis ułatwi mi życie?

Jeżeli jesteś posiadaczem kilku kont pocztowych, logujesz się na kilkunastu portalach, korzystasz z list dyskusyjnych, forów, e-dysków, komunikatorów internetowych to jesteś użytkownikiem, do którego skierowany jest ten serwis. Nie oszukujmy się. Mało kto do każdej strony www używa dobrego hasła. Często wykorzystujemy jedno hasło do kilku serwisów. I trudno się temu dziwić. Nie sposób tego wszystkiego zapamiętać. I tu przychodzimy Ci drogi użytkowniku z łatwym, prostym i bezpiecznym rozwiązaniem. Ty pamiętasz jedno dobre hasło, a serwis za każdym razem wygeneruje dla Ciebie bezpieczne hasło do każdej strony www.

2. Dlaczego należy stosować różne hasła do każdej ze stron?

Serwisy bankowe zazwyczaj bardzo poważnie podchodzą do kwestii bezpieczeństwa i ze szczególną troską dbają o twoje poufne informacje. Inne strony często nie są już tak skrupulatne w tej kwestii. Jeżeli używasz jednego hasła do uwierzytelniania się na różnych serwisach narażasz się na klasyczny problem "najsłabszego ogniwa". Jeżeli hasło zostanie przejęte przez niepowołane osoby, uzyskają one dostęp do wszystkich kont na których używałeś tego hasła. Najlepszym sposobem zabezpieczenia się od takiej ewentualności jest używanie różnych i silnych haseł do każdego serwisu.

3. W jaki sposób ktoś niepowołany może poznać moje hasło?

Hasła mogą zostać ujawnione na kilka sposobów. Komputer w kafejce internetowej, którego używałeś do przeglądania jakiegoś serwisu mógł mieć zainstalowane szpiegujące oprogramowanie, albo urządzenie, które zbierało informacje o wciśniętych przez Ciebie klawiszach na klawiaturze. Oprogramowanie takie nazywa się keylogger i jego zadaniem jest wykradanie poufnych danych o użytkownikach komputera. Hasła mogą zostać przechwycone na nieszyfrowanych kanałach komunikacji np. techniką ARP Spoofing. Na serwerach serwisów do których się logujesz, hasła mogą być też w nienależyty sposób zabezpieczane, co grozi ich wyciekiem.

4. Jak używać tego generatora?

Na to pytanie odpowiedź znajdziesz w dziale pomocy.

5. Czy używane w tym serwisie hasła są gdzieś zapisywane?

Nie. Co więcej, nie są nawet nigdzie przesyłane. Za każdym razem, gdy wprowadzasz swoją stronę www i hasło główne, serwis wylicza nowe hasło bezpośrednio w pamięci twojego komputera.

6. Nie lepiej użyć programu do przechowywania haseł?

Nie. Największą wadą tych programów jest to, że muszą gdzieś przechowywać zapisane hasła. Archiwa z hasłami mogą zostać wykradzione, ulec zniszczeniu w przypadku awarii dysku, albo zostać przypadkowo skasowane. Po drugie, dostęp do haseł jest możliwy tylko z komputera, na którym jest zainstalowany program do przechowywania haseł. Serwis nowehaslo.pl jest dostepny zawsze, gdy jesteś połączony z Internetem. Hasła znajdują się tylko w nietrwałej pamięci RAM komputera, którego używasz. Nie są nigdzie przesyłane i nie są trwale zapisywane.

7. Jak wygląda sprawa bezpieczeństwa w serwisie nowehaslo.pl?

Przy tworzeniu architektury tego systemu uwzględnionych zostało wiele czynników mających wpływ na bezpieczeństwo użytkowników. Wyróżniającą cechą tego serwisu jest to, że cały proces generowania nowych haseł odbywa się wyłącznie na komputerze użytkownika. Żadne wprowadzone przez użytkownika dane nie są przesyłane przez sieć. Hasła nie są generowane na serwerach przez nieznane algorytmy. Wszystko obliczane jest bezpośrednio w przeglądarce, z której korzysta użytkownik. Każdy może zobaczyć w jaki sposób nowe hasła są generowane i samemu ocenić jakość algorytmu.

W celu wygenerowania nowego hasła, dane wprowadzone przez użytkownika są setki razy przetwarzane w kryptograficznej jednokierunkowej funkcji skrótu. Funkcje takie z założenia projektowane są tak, aby nie było możliwe znalezienie, w rozsądnym czasie, wartości wejściowej na podstawie wartości wyjściowej. Wygenerowane nowe hasło jest właśnie fragmentem takiej wartości wyjściowej. Dane użytkownika są 256 razy przetwarzane algorytmem SHA-512. Długość przetwarzania jest kompromisem pomiędzy mocą szyfrowania, a szybkością działania algorytmu we współczesnych przeglądarkach internetowych. Zwiększona złożoność obliczeniowa algorytmu ma na celu zwiększenie czasu potrzebnego do wygenerowania tęczowych tablic. Hasło użytkownika tworzone jest ze 192 pierwszych bitów wyjścia funkcji SHA-512, co daje dokładnie 6 277 101 735 386 680 763 835 789 423 207 666 416 102 355 444 464 034 512 896 > 6 × 1057 możliwych haseł wynikowych.

Ostatecznie bezpieczeństwo hasła głównego zależy od użytkownika. Jeżeli zostaną wygenerowane tęczowe tablice do zaimplementowanego tutaj algorytmu, pierwszymi hasłami głównymi, które zostaną odkodowane na podstawie przejętych „nowych haseł”, będą te, które są najsłabsze. Im słabsze hasło główne, tym łatwiej można stworzyć tęczowe tablice zawierające takie hasło. Dlatego tak ważną kwestią jest siła hasła głównego.

Strona została zabezpieczona także przed phishingiem. Więcej o tym mechanizmie dowiesz się tutaj.

8. Jakie powinno być dobre hasło?

Bardzo silne. Czyli takie, które trudno zgadnąć oraz trudno odnaleźć metodą przeszukiwania wszystkich możliwości. Cechy silnego hasła to:

  • Długość. Najlepiej kilkanaście lub więcej znaków.
  • Różnorodność. Nie powtarzaj znaków. Stosuj małe i wielkie litery, cyfry, a nawet symbole takie jak wykrzyknik, kropka, myślnik, procent, gwiazdka itp.. Nie zalecane jest stosowanie narodowych znaków, typu „ąŹ€”. Mogą one bowiem nie być bezpośrednio dostępne na klawiaturach używanych w innych krajach.
  • Unikalność:
    • Hasło nie powinno składać się z wyrazów z jakiegokolwiek języka. Dotyczy to także nazw własnych, włączając w to egzotyczne, jak „Kepulauan”. Stosując wyrazy słownikowe w hasłach znacząco ograniczamy liczbę możliwości. Na codzień posługujemy się kilkoma tysiącami wyrazów, a całe języki zawierają ich co najwyżej kilkaset tysięcy. Dla porównania, stosując losowo wybrane, małe litery alfabetu łacińskiego mamy do dyspozycji ponad 200 miliardów haseł 8 literowych. Osoby próbujące złamać nasze hasło na pewno zaczną od sprawdzania słów występujących w słownikach.
    • Hasło nie powinno być wyrazem słownikowym w którym dokonano powszechnie znanej wymiany znaków na cyfry i symbole: o→0, i→1, l→1, Z→2, E→3, A→4, S→5, b→6, B→8, P→9, 1→!, l→!, a→@, S→$ itp.. Np. „h@s1o”. Hasła tego typu znajdują się w słownikach służących do łamania zabezpieczeń.
    • Dodanie kilku cyfr na końcu wyrazu też nie jest dobrym pomysłem. „haslo1” albo „Kepulauan12” to słabe hasła.
    • Niedopuszczalne są jakiekolwiek sekwencje znaków występujących obok siebie na klawiaturze. Najpopularniejsze to: „qwertyui”, „12345678”, „654321”, „qazwsxedc” itp..
    • Hasło w żaden sposób nie powinno wiązać się z Twoją osobą. Nie może to być PESEL, NIP, numer ubezpieczenia, data urodzenia dziecka, czy seria dowodu osobistego.

Hasła najlepiej generować w sposób losowy. Jedną z technik zapamiętywania hasła jest powiązanie go ze zdaniem, którego wyrazy zaczynają się od kolejnych liter hasła. Np. hasło „Ppkp3,amdnwo5r!” można zapamiętać zdaniem „Poprzednią pracę kończyłem po 3, a musiałem do niej wstawać o 5 rano!”.

9. Co się stanie jak będę używać wygenerowanych tutaj haseł, a strona przestanie istnieć?

Pomimo dokładania wszelkich starań, mogą zdarzyć się przerwy w funkcjonowaniu serwisu z przyczyn zupełnie od nas niezależnych, takich jak awarie sprzętu. W takich przypadkach podjęte zostaną wszelkie środki mające na celu usunięcie awarii.

Jeżeli uwarunkowania ekonomiczne zmuszą do zamknięcia serwisu, stosowna informacja zostanie umieszczona w widocznym miejscu na stronie głównej, co najmniej 3 miesiące przed likwidacją.

Użytkownik ma także możliwość wydrukowania wygenerowanych w serwisie haseł. Wydruki te nie powinny być używane do codziennego posługiwania się. Powinny zostać dobrze zabezpieczone przed dostępem osób niepowołanych i być wykorzystywane tylko w sytuacjach awaryjnych.

10. Co to jest pieczęć antyphishingowa?

Jest to prosty system zabezpieczający użytkownika przed phishingiem. Dla danej przeglądarki na danym komputerze generowana jest unikalna pieczęć. Pieczęć wyświetlana jest w postaci czterech symboli. Brak tych symboli, albo zmiana któregoś z symboli powinna być znakiem ostrzegawczym dla użytkownika. Oznaczać może ona próbę wyłudzenia haseł. Przypadki, w których wyświetlane symbole mogą normalnie ulec zmianie to:

  • Wyczyszczenie historii przeglądania stron internetowych:
    • Usunięcie albo wyłączenie obsługi ciasteczek.
    • Przeglądanie serwisu w trybie (oknie) prywatnym.
  • Użycie innej przeglądarki internetowej.
  • Przeinstalowanie przeglądarki internetowej.
  • Przeglądanie serwisu z innego komputera.
  • Przeglądanie serwisu w innym systemie operacyjnym.
  • Przeglądanie serwisu w sesji innego użytkownika systemu operacyjnego.

Jeżeli nie zaszła żadna z powyższych sytuacji to użytkownik najprawdopodobniej znalazł się na witrynie podszywającej się pod oryginalny serwis. W takim przypadku, nie należy wprowadzać żadnych danych i natychmiast opuścić taką stronę.

11. Jak wygenerować całkowicie nowe hasło?

W polu „Strona www” wpisujesz dowolny ciąg znaków. Najlepiej przypadkowy. Następnie wystarczy kliknąć guzik „Losuj hasło główne” znajdujący się z prawej strony pola „Hasło główne”. Wypełni to pole wartościami uzyskanymi z analizy ruchów myszką. Po kilku sekundach wygenerowane zostanie całkowicie nowe hasło.