Zrzeszenie Amerykańsko-Polskie
Zapamiętywanie loginów i tworzenie silnych haseł jest bardzo ważne w dobie wszechobecnej technologii. Dział informatyczny Zrzeszenia Amerykańsko-Polskiego podpowiada kilka sztuczek pomocnych do tworzenia mocnych zabezpieczeń przed nieautoryzowanym dostępem do naszych plików, aplikacji i innych zasobów informatycznych.
Zacznijmy od anegdot, a właściwie opowieści z życia pracowników i klientów Zrzeszenia Amerykańsko-Polskiego. Pracownicy departamentu Homemakers, czyli opieki nad osobami starszymi i potrzebującymi, zobowiązani są udokumentować swoje godziny pracy elektronicznie. Wyszukują smartfonem lub tabletem odnośną stronę internetową, logują się podając „login” i „password” i klikają przycisk „Check in”, co w tym wypadku znaczy „zaczynam pracę”. Po skończonej pracy klika się na „Check out” – „skończyłem”. System śledzi czas pracy i lokalizację użytkownika, czyli jest to swoiste odbijanie karty pracy w stylu 21 wieku.
Aby pracownik mógł korzystać z systemu, administrator musi utworzyć mu konto podając hasło tymczasowe, które użytkownik zobowiązany jest zmienić na własne, które administratorowi nie powinno być znane ze względów bezpieczeństwa. Pewnego razu nowa pracownica ZAP, kiedy poprosiliśmy ją o wybranie swojego hasła oznajmiła: „Ja tam wszędzie mam to samo, ten sam „password”, bo kto by to spamiętał”. W takiej sytuacji administratorowi systemu włosy ze zgrozą podniosły się na głowie i zabrał się do przekonywania nowej użytkowniczki, że hasła trzeba mieć unikalne, składające się z co najmniej 10 znaków, z małymi i wielkimi literami oraz symbolami.
Mało tego, całe hasło nie powinno składać się z wyrazów ze słownika, tylko być luźną kombinacją liter (dużych i małych), cyfr i symboli, lub co najmniej akronimem lub anagramem ozdobionym tu i ówdzie wielką literą i symbolami. Nową pracownicę przekonaliśmy, że hasło nie może zawierać imienia jej córki wraz rokiem urodzenia (ani imienia pieska i numeru domu, a już broń Boże ostatnich czterech cyfr numeru Social Security, bo i takie się zdarzały) i namówiliśmy na akronim ozdobiony symbolami o długości 12 znaków. „Panie, to teraz mnie sam diabeł nie zhakuje. Chyba, że służby wrogich mocarstw” – skwitowała nasza pani z uśmiechem. Po jakimś czasie zapisała się na kursy komputerowe prowadzone w ZAP.
Generalnie jest kilka zasad powszechnie zalecanych odnośnie tworzenia haseł. Dla przykładu, firma Microsoft zaleca, aby tzw. silne hasło składało się z co najmniej 8 lub więcej znaków. Hasło nie powinno zawierać naszego imienia lub nazwiska ani też żadnej kombinacji znakowej związanej z nazwą użytkownika (user name) ani nazwy firmy. Ponadto silne hasło powinno zawierać znaki z co najmniej trzech z następujących kategorii: wielkie litery, małe litery, cyfry, znaki nie-alfanumeryczne z kategorii tzw. znaków specjalnych (~!@#$%^&*_-+=`|(){}[]:;"'<>,.?/), znaki z tzw. tabeli Unicode. Zawsze powinien przyświecać nam cel maksymalnego utrudnienia odgadnięcia naszego hasła i użycia go w celu nielegalnego, nieautoryzowanego dostępu do plików, aplikacji i innych zasobów informatycznych.
Druga opowieść. Na zajęciach kursu komputerowego prowadzący doszedł do tematu zakładania konta e-mailowego. Po wstępnym wyjaśnieniu jak wypełnić formę na znanej witrynie Yahoo, prowadzący zwrócił uwagę: "A teraz szanowni Państwo, wpiszcie własne hasło, którego ja nie chcę znać i bardzo proszę zapamiętać, co wpisujecie". Wszyscy uczestnicy zajęć z powodzeniem wybrali i wpisali własne hasła, wylogowali się i zalogowali ponownie do własnych kont i rozpoczęli wysyłanie do siebie e-maili, za wyjątkiem pana siedzącego w przednim rzędzie. „Panie – nie działa!” – przywołał gestem prowadzącego. „A co pan wpisał? Proszę przypomnieć sobie, co pan wpisał. Jakie hasło?” – pytał cierpliwie nauczyciel. „Kochany, gdybym ja wiedział, co wpisałem, to na kurs bym nie przychodził.”
Oto kilka strategii, które się zaleca, aby zapamiętać skomplikowane hasło. Można wymyślić unikalne zdanie, które mówi o czymś dla nas ważnym, np. „Moja teściowa gotuje zupy bez smaku, ale muszę ją chwalić”. Następnie można wziąć pierwsze litery z wyrazów wchodzących w skład zdania i ozdobić symbolami, np. "mTgzbsamJc><!" Inna strategia: wybrać dwa słowa znaczące coś istotnego dla użytkownika, np. „zimne” i „flaki”, i przemieszać litery tych słów, dodając cyfry i symbole, np. "$zfilmankei!#@". Inny sposób zapamiętania trudnego hasła to tzw. trik z klawiaturą. Polega on na tym, że wybieramy sekwencję znanych sobie numerów, chociażby kod pocztowy 60641 i pomiędzy cyframi umieszczamy dowolną kombinację liter znajdujących się na klawiaturze pod tymi cyframi, np. "6tfc0okm6thn4esz1qsc". Całość można okrasić symbolami tak, że wyjdzie z tego dość trudna do odgadnięcia kombinacja: "6tfc0okm6thn4esz1qsc!#@".
Używanie tego samego hasła do wielu kont to bardzo zły pomysł, ale przy odrobinie inwencji można tę samą bazę hasłową modyfikować w zależności od serwisu, z którego korzystamy. Przykładowo, jako bazę użyjmy poprzednio opisanego hasła "6tfc0okm6thn4esz1qsc!#@", które możemy używać logując się do konta e-mail, zaś do Facebooka użyjmy je nieznacznie zmodyfikowane: "F6tfc0okm6thn4esz1qsc!#@K", F i K od Facebook. Możliwości są tu oczywiście szerokie.
Na zakończenie trzeba przyznać jednak, że hasła same w sobie są urządzeniem niedoskonałym i podatnym na hakowanie. Uwierzytelnianie dwuskładnikowe (2-factor authentication) robi się coraz bardziej popularne. Pochodzi ono od uwierzytelniania trzyskładnikowego (3-factor authentication) i zawiera dwa z trzech składników: 1. coś, co wiesz (something you know) 2. coś, co masz (something you have) 3. coś, czym jesteś (something you are). Jest to metoda zabezpieczenia kont, która w bardzo dużym stopniu utrudnia hakerom dostanie się do niego. Najbardziej popularną implementacją jest użycie zwykłego „loginu” z hasłem jako składnika pierwszego – coś, co wiesz. Drugim składnikiem jest najczęściej coś, co masz, a dokładniej telefon komórkowy, na który dostajesz wiadomość tekstową z kodem wymaganym do dostania się do konta. Ta opcje można włączyć już teraz w większości kont użytkownika w bankach oraz w wielu serwisach internetowych.
Identyfikacja użytkownika w przyszłości będzie się opierała na cechach biometrycznych (trzeci składnik), takich jak odciski palców, wizerunek twarzy (to jest już w Windows 10, tzw. Windows Hello), skan siatkówki oka. Zawrotną karierę robi przecież sztuczna inteligencja i komputery przyszłości będą kompleksowo rozpoznawać użytkownika na podstawie zespołu cech biometrycznych. Niewykluczone, że przy pomocy odpowiednich sensorów będą badać nasz unikalny zapach, wąchać nas po prostu i stwierdzać: „tak, to Kowalski – proszę bardzo, zapraszamy na zakupy do Amazon.” Hasła pójdą w odstawkę.
Póki co, zapraszamy do Zrzeszenia Amerykańsko-Polskiego, Polish American Association na kursy komputerowe i na kursy języka angielskiego. Do zobaczenia!
Założone w 1922 r. Zrzeszenie Amerykańsko-Polskie (ZAP) jest niedochodową agencją pomocy socjalnej oferującą szeroki wachlarz usług dla Polonii oraz wszystkich tych, którzy potrzebują pomocy. Świadczenia oferowane są w językach polskim i angielskim z pełnym uwzględnieniem różnic kulturowych. W ofercie agencji są programy edukacyjne dla dorosłych, usługi z zakresu pośrednictwa pracy, kompleksowe poradnictwo psychologiczne i leczenie uzależnień oraz usługi imigracyjne. Zrzeszenie Amerykańsko-Polskie (Polish American Association, PAA) działa również na rzecz obrony praw imigrantów. Szczegółowe informacje można uzyskać na stronie www.polish.org albo w jednej z dwóch placówek Zrzeszenia w Chicago: 3834 N. Cicero Ave., tel. (773) 282-8206 oraz 6276 W. Archer Ave., tel. (773) 767-7773.
