Podaj datę urodzenia, a powiem jaki masz PIN do karty

Żaden z polskich banków nie zakazuje używania dat urodzenia, czy nr pesel jako pin kodów i haseł dostępowych do internetu. A powinien.

Password, 123456, 12345678, data urodzenia, numer dokumentu tożsamości to najczęściej wybierane hasła do bankowości internetowej, albo do PIN kodu do karty. Łatwo je zapamiętać. Łatwo też złamać. Ale trudniejsze hasła… też nie są bezpieczniejsze.

Sprawa jest już znana od jakichś dwóch lat i była opisywana, ale ostatnio pojawiły się nowe elementy. W 2009 r. z jednego z amerykańskich serwisów z grami sieciowymi wyciekło 35 mln haseł użytkowników. Joseph Bonneau, Sören Preibusch and Ross Anderson przebadali je pod kątem powtarzalności, używanych najczęściej wyrazów, kombinacji cyfr i liter. Dodatkowo wzięli  warsztat badawczy 200 tys. złamanych kodów do iphonów, a potem na dokładkę zrobili badania na reprezentatywnej grupie,  by zapytać jak wybierają PIN kody do kart. Wnioski są takie, że wybierany najprostsze kombinacje alfanumeryczne.

Oto najpopularniejsza 20 haseł:

  • password
  • 123456
  • 12345678
  • qwerty
  • abc123
  • monkey
  • 1234567
  • letmein
  • trustno1
  • dragon
  • baseball
  • 111111
  • iloveyou
  • master
  • sunshine
  • ashley
  • bailey
  • passw0rd
  • shadow
  • 123123
  • 654321
  • superman
  • qazwsx
  • michael
  • football


Z pin kodami sprawa jest jeszcze prostsza, bo przy czterech cyfrach nikomu niech chce się wysilać i często jest to ciągi: 1234,1111, albo fragment daty urodzenia. Autorzy badań wyliczyli, że złodziej ma szanse złamać 1 na 11 pinów do skradzionych kart posługując się najprostszymi kombinacjami cyfr.

Na Zachodzie część banków zakazuje klientom używania ciągów cyfr 1234, 1111, 2222 itp. oraz dat urodzin i fragmentów numerów ID dokumentów. W Polsce takich zakaz nie ma.


Jakim hasłem zabezpieczyć rachunek, żeby złodziej go nie złamał? Okazuje się, że nadmiar zapobiegliwości o bezpieczeństwo też może być szkodliwy. W latach 2004-06 Peter Brooks i Michael Armstrong z HSBC wspólnie z Dawidem Jacquesem i Brattem Kingiem testowali z udziałem klientów różne sposoby zabezpieczeń dostępu do konta. Wprowadzili  dwa hasła, hasło maskowane, hasło z dodatkowymi pytaniami. W teorii wszystkie te rozwiązania są bardzo dobre i zwiększają bezpieczeństwo konta, ale słabo sprawdzają się w praktyce. Słabym ogniwem jest ludzka pamięć. Co z tego, że bank wprowadzi podwójne hasło. Klient zapamięta jedno a drugie zapisze zwykle w pliku na komputerze. Podobnie jest z hasłem maskowanym. Konia z rzędem temu, kto przy kombinacji liczbowo-literowej składającej się z 14-16 znaków nie posługuje się ściągawką, zazwyczaj trzymaną gdzieś pod ręką.


Przy mnogości haseł do skrzynki pocztowej, facebooka, do allegro, pinów do telefonów i kart, trudno wymyślać skomplikowane hasło a jeszcze trudniej je spamiętać. W przypadku dostępu porachunku internetowego, problem rozwiązuje token, hasła smsowe, ale jeszcze wiele banków w Polsce nie chroni w ten sposób klientów. Token jest jedną z opcji, może powinien być obowiązkowy? Kolejna sprawa: tylko kilka banków informuje przy ustalaniu hasła jaka jest jego siła, a wydaje się że powinien to być obowiązek, żeby użytkownik wysilił mózg i wymyślił coś więcej niż własne imię i nazwisko. Zupełnie nieliczne banki wymagają i wymuszają zmianę hasła co pewien określony czas. Sam mam kilka rachunków, założonych kilka lat temu, do których wciąż mam te same hasła. Niby wygodniej, bo nie muszę wciąż zapamiętywać nowych. Ale lubię, kiedy Millennium przypomina mi, że nadszedł czas zmiany hasła, bo wiem że robi to w moim interesie. mBank nigdy nie zaprzątał sobie ani mnie głowy tym problemem, a mam tam rachunek z najdłuższą metryką. To jeszcze i tak nic, bo w dwóch bankach mam hasła do kont składające się z daty urodzenia, albo pesel. W innym to po prostu moje imię i nazwisko. Sam się proszę o kłopoty i nie usprawiedliwia mnie, że mam jakieś 16 kont i trudno byłoby mi spamiętać bardziej skomplikowane hasła.

 

Dobrze by było, gdyby banki zaczęły wymuszać na klientach, by lepiej dbali o bezpieczeństwo rachunków. Nie tylko jeśli chodzi o hasła, chociaż to sprawy podstawowe. Mam badania DB Research, z których wynika, że Polacy są w ogonie UE pod względem stosowania programów antywirusowych w bankowości internetowej. Wkrótce je opublikuję.


Przydałaby się kampania na rzecz zwiększania świadomości zagrożeń ze strony hakerów.  A będą one rosły. W użycie masowo zaczynają wchodzić smartfony i coraz więcej osób używa ich do zarządzania rachunkiem bankowym. Ilu z nich stosuje programy antywirusowe? Nie znam badań dla rynku polskiego, ale z amerykańskiego Consumer Reports wynika, że 30 proc. Amerykanów używa komórki do gromadzenia informacji bankowych, zdrowotnych oraz innych wrażliwych danych, podczas gdy ich telefony nie są chronione żadnymi zabezpieczeniami przed włamem hakerów.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Eugeniusz Twaróg

Polecane

Inspiracje Pulsu Biznesu