Zasady tworzenia i bezpiecznego korzystania z hasła do konta bankowego

Nie używaj haseł, które łatwo jest złamać

Jeśli nie znajdujesz się w gronie wielbicieli czołówki najpopularniejszych kodów dostępu i nie używasz żadnego z powyższych, zastanów się dobrze, czy na pewno Twoje hasło do bankowości internetowej stanowi dużo większe wyzwanie dla cyberprzestępcy. Banki często wymuszają na nas wymyślenie bardziej skomplikowanego kodu dostępu, z dużymi literami, cyframi, znakami specjalnymi, jednak wielu z nas ułatwia sobie zadanie zapamiętania ich i tworzy kod według wzoru: Dużalitera11! - a więc duża litera na początku, wymagane cyfry i znaki specjalne na końcu. Z tej naszej słabostki zdają sobie sprawę hakerzy, a ta wiedza bardzo ułatwia im pracę.

Czasami też trudno rozstać się nam z hasłami, w których stworzenie włożyliśmy pewien wysiłek albo które mają dla nas jakiś wymiar emocjonalny, jak np. data urodzin, imiona dzieci itp. Unikaj ich - pamiętaj, hasło to nasz „ochroniarz”: ma on chronić Twój dobytek i nie należy się z nim wiązać emocjonalnie.

Pamiętaj: utrudnij dane przestępcom i nie korzystaj z prostych szablonów haseł. Nie używaj także kodów, które w dobie Internetu łatwo jest pozyskać - np. daty swoich urodzin, imion dzieci czy miejsca zamieszkania.

Nie udostępniaj swoich kodów dostępu

Pierwsza porada może wydawać się banalna, ale jest „z życia wzięta”: nigdy nie udostępniaj swoich haseł ani tym bardziej listy kodów jednorazowych osobom trzecim. Jeżeli musisz zapisać swoje hasło (a – nie ukrywajmy – bardziej skomplikowane hasła są w większości bardzo trudne do zapamiętania), trzymaj tę informację ukrytą. Wyjątkową nieprzezornością wykazał się np. pewien przedsiębiorca, które wszystkie niezbędne mu na co dzień hasła do bankowości elektronicznej umieścił na tablicy korkowej nad komputerem w swoim gabinecie. Odwiedzający go pracownicy czy kontrahenci mogli nie tylko podpatrzeć kody dostępu, ale równie dobrze szybko zrobić zdjęcie całej tablicy telefonem. Wbrew pozorom taka nierozważność nie jest szczególnie odosobnionym przypadkiem.

Uważaj na próby wyłudzenia

Żaden bank nigdy nie prosi o podanie hasła, loginu czy kodów jednorazowych w e-mailu lub przez telefon ani w jakiejkolwiek sytuacji awaryjnej, ani tym bardziej przy „promocji”, „okazji”, „nagrodzie” itp. Trudno sobie nawet wyobrazić taką sytuację, gdy rzekomo coś się dzieje w banku, a jego pracownicy nie mogą zareagować bez otrzymania od Ciebie hasła – podejrzane, prawda?

Nie odpowiadaj także na wszelkie wezwania do pilnego uregulowania rzekomego długu, debetu, wyjaśnienia niejasności na koncie i o wszystkich tego rodzaju informacjach powiadamiaj czym prędzej swój bank. Niech Cię nie zwiedzie pozorny „dramatyzm” takich alarmów; cyberprzestępcy wiedzą, że gdy działamy pod presją, mniej zwracamy uwagę na podejrzane szczegóły. Jedyne miejsce, gdzie możesz podać swoje hasło, to strona logowania do Twojego konta (z pewnością nie będzie to w żadnym wypadku infolinia banku). Twoje hasło jest Twoją własnością i tylko Ty powinieneś je znać.

Więcej o tego typu wyłudzeniach piszemy w pierwszej części cyklu, o zabezpieczaniu konta bankowego.

Ważne! Jeżeli przytrafi Ci się włamanie do domu, zawsze jak najszybciej, najlepiej zaraz po przyjeździe policji, zablokuj swoje konta i powiadom o zdarzeniu swój bank. Nigdy nie masz pewności, czy złodzieje nie skopiowali Twoich haseł i nie użyją ich do oczyszczenia Twojego konta – nawet jeżeli komputer wydaje się być nietknięty. Dlatego zawsze po takim wydarzeniu należy zmienić hasła.

Zasady tworzenia bezpiecznych haseł

Podstawowym kryterium tworzenia hasła powinna być jego „siła”. Wszystkie podane wcześniej przykłady były hasłami słabymi (a niektóre można wręcz nazwać otwartą furtką).

1. Umieszczaj w haśle zarówno cyfry, litery, jak i znaki specjalne.
2. Używaj i dużych, i małych liter (może niekoniecznie w układzie: duża litera zaczyna).
3. Podmieniaj niektóre litery czy cyfry na znaki specjalne i ułóż znaki w haśle w taki sposób, aby nie było prosto je odczytać, np.: lU3l&n podane hasło to swobodny zapis nazwy pewnego polskiego miasta.
4. Im więcej znaków w haśle zastosujesz, tym lepiej. Minimalna liczba powinna wynosić 8, ale zdecydowanie najlepiej jest, gdy hasło ma min. 14-15 znaków. Każde hasło można ostatecznie złamać metodą brute force. Metoda ta polega na sukcesywnej weryfikacji wszystkich możliwych kombinacji, z jakich składa się hasło, ale duża liczba znaków w kodzie dostępu może uczynić to zadanie praktycznie niewykonalnym. Dla porównania, czas potrzebny hakerowi na złamanie hasła składającego się z 6 znaków to najwyżej kilka minut; jeżeli jednak zwiększymy liczbę znaków do kilkudziesięciu, wtedy czas ten może liczyć się w życiu kilku pokoleń.
5. Nie stosuj ciągów liter tworzących popularne nazwy oraz wyrazów, takich jak imiona, nazwy własne itp.: (mariola1989 nie jest kodem trudnym do odgadnięcia).
6. Skorzystaj z przypadkowych słów, jakie przyjdą Ci do głowy. Wbrew pozorom coś zupełnie absurdalnego i niepowiązanego ze sobą łatwo jest zapamiętać.
7. Zrezygnuj z cyfr dość „oczywistych”, czyli nawiązujących do daty urodzenia – taką informację haker może łatwo uzyskać choćby z Facebooka. Przy haśle opartym na dacie urodzenia dwie cyfry będą występować powszechnie: 1 i 9, de facto więc ich zastosowanie nie jest większą ochroną.
8. Nie bój się używać jak najbardziej różnorodnych znaków. Duże litery są odczytywane przez system i stanowią dodatkowe utrudnienie dla kogoś, kto chce się włamać na Twoje konto. Warto się również upewnić, czy przy logowaniu możesz używać polskiego alfabetu – jeżeli tak, to dobrze jest sięgnąć po polskie ą, ę, ż, ź, ś itd.
9. Pamiętaj, że do każdego konta, nie tylko bankowego, powinieneś mieć zupełnie inne hasło. Twoje konto na popularnym portalu nie jest chronione w takim samym stopniu, co konto bankowe, i jeżeli hakerowi uda się ustalić do niego kod dostępu, bez większego trudu odkryje także hasło do rachunku bankowego.

Jak zapamiętać trudne hasło?

Jeśli obawiasz się, że będziesz mieć problem z przypomnieniem sobie (kilku) skomplikowanych haseł, możesz skorzystać z technik ułatwiających zapamiętywanie. Jest ich sporo i są naprawdę przydatne.

1. Lubisz szczególnie jakieś powiedzenie lub cytat? Weź pierwsze litery każdego ze słów, np. „Gdyby kózka nie skakała, to by nóżki nie złamała” można zapisać jako: gknstbnnz.
   • W takim haśle możesz również użyć dużych liter, np. wszystkie „z” (gkZstbnnZ).
2. Sięgnij po jedną z ulubionych książek lub filmów i wykorzystaj ich tytuły – usuń z nich wszystkie samogłoski i dodaj rok wydania, ekranizacji lub premiery. Dla przykładu: Dom dzienny, dom nocny → dmdznndmncn1998, Przeminęło z wiatrem → przmnlzwtrm1936-1939 (data wydania powieści i ekranizacji – dodatkowe utrudnienie). Tutaj również możesz zastosować duże litery oraz znaki specjalne, np.: dMdznN,dMncn-1998 itp.
   • Staraj się jednak unikać „oczywistych oczywistości”: jeżeli jesteś zadeklarowanym fanem Gwiezdnych wojen i nawet w pracy na biurku trzymasz kubek z Darthem Vaderem, lepiej sięgnij po inne dzieła popkultury, które zapadły Ci w pamięć.
3. Użyj krótszego słowa wielokrotnie: kubekwkubeknakubku3 (postaraj się jednak, aby ten wyraz zawierał więcej różnych znaków).
4. Pozmieniaj litery na cyfry lub znaki specjalne, które te litery przypominają, np. kR0peLk@$kLe1.

Wskazówka: przy tworzeniu hasła należy zwrócić uwagę, aby nie było ono ani za krótkie, ani za długie. Niektóre banki mogą nie pozwalać na wpisywanie haseł dłuższych niż np. 30 znaków. Warto również zorientować się, czy system banku uwzględnia polskie znaki; jeżeli nie, trzeba z nich zrezygnować, choć niewątpliwie są one dodatkowym utrudnieniem dla przestępcy.

Zasady używania hasła do konta bankowego w Internecie

Skupmy się teraz na stronach logowania, na których musimy podać nasze hasło. Pierwsza i podstawowa zasada przy logowaniu do rachunku bankowego brzmi: zawsze sprawdzaj, czy przy adresie internetowym widnieje symbol kłódki, a adres internetowy banku poprzedza protokół https://. „S” oznacza w tym wypadku szyfrowanie.

Poniżej prezentujemy, gdzie i jak wyświetlane są te informacje w najpopularniejszych przeglądarkach na przykładzie logowania do serwisu transakcyjnego ING Banku Śląskiego.

Logowanie do bankowości internetowej w przeglądarce Chrome

Źródło: ING

Logowanie do bankowości internetowej w przeglądarce Firefox

Źródło: ING

Logowanie do bankowości internetowej w przeglądarce Edge

Źródło: ING

Kłódka i https:// są warunkami koniecznymi przy bezpiecznym logowaniu i nie ma odstępstw od reguły: żadnej awarii systemu, chwilowej aktualizacji, „przebudowy strony” itp. Jeżeli cokolwiek wzbudzi Twoją wątpliwość, jak np.:

• bardzo długi czas logowania,
• brak kłódki oraz zapisu https://,
• nieco zmieniona strona logowania,
• niezgadzający się certyfikat na stronie banku,
• prośby na stronie o podanie danych osobowych,
• dodatkowe pola z żądaniem hasła do autoryzacji,
• niecodzienny komunikat, prośba, ostrzeżenie, nowy wymóg (banki niestety same nieco utrudniają nam to zadanie, ponieważ niektóre z nich wyświetlają nam po zalogowaniu... reklamy, z których trzeba dopiero przejść do panelu własnego konta),
• rzekomy błąd przy wpisywaniu hasła i polecenie wpisania innych znaków w okienkach, niż te, których właśnie użyłeś,

...przerwij logowanie, wyjdź z przeglądarki i jak najszybciej powiadom o tym zdarzeniu swój bank. Nawet jeżeli Twoje obawy okażą się na wyrost, lepiej wyjść na nieco przewrażliwionego niż stracić swoje pieniądze, które później będzie naprawdę trudno odzyskać.

Uwaga! Jedna z popularnych przeglądarek – Opera – nie wyświetla przy adresie protokołu https://. Można to zmienić w zaawansowanych ustawieniach przeglądarki, wybierając odpowiednią opcję. Natomiast bez tej zmiany dopiero po kliknięciu na kłódkę pojawia się komunikat, że połączenie jest potwierdzone i bezpieczne. Twórcy przeglądarki zrezygnowali z informowania o protokole ze względu na przejrzystość adresu w oknie przeglądarki. Brak tej informacji nie oznacza, że strona banku, na którą wchodzimy, nie jest szyfrowana (o szyfrowaniu świadczy również kłódka), niemniej, jeśli strona rzeczywiście NIE BĘDZIE szyfrowana, łatwiej to w Operze przeoczyć.

Programy do przechowywania haseł

Gdy posiadamy konta w różnych bankach, kilka kont poczty e-mail, konto na Facebooku, Twitterze i na Allegro, zapamiętanie loginów i haseł do nich wszystkich staje się w zasadzie niewykonalne. Mimo to nie ulegajmy pokusie korzystania z tych samych loginów i haseł w przypadku każdego konta – odkrycie jednego hasła naraża nas na utratę danych, pieniędzy, wprowadzenie treści, których byśmy sobie nie życzyli itp. na wszystkich kontach i profilach, z jakich korzystamy. 

Nie najlepszym rozwiązaniem jest również zapamiętywanie haseł przez przeglądarki. Po pierwsze, nie wiemy, jakiej jakości zabezpieczenia zostały w nich zastosowane i jak często są one aktualizowane. Po drugie, jeżeli ktoś uzyska dostęp do naszego komputera, będzie się mógł bez problemu zalogować na naszych kontach. Zdecydowanie odradzamy stosowanie takiego rozwiązania w pracy, w komputerze, który do nas nie należy (nawet u znajomych czy rodziny).

Z pomocą w tej sytuacji przychodzą nam programy komputerowe zwane menedżerami haseł. Do najpopularniejszych aplikacji tego rodzaju należą KeePass,  TeamPassword, Dashlane, Keeper, 1Password, Password Manager Pro czy LastPass. Zdecydowana większość z nich jest płatna, ale niektóre oferują także darmowe wersje podstawowe.

Działanie każdego menedżera haseł jest podobne: tworzymy w nim bazę naszych haseł, a dostęp do niej zabezpieczamy jednym, silnym kodem dostępu. Kod ten znamy wyłącznie my, nie jest on zapisywany ani w programie, ani przesyłany do chmury, więc jeżeli go zapomnimy, nigdy nie dostaniemy się do naszej bazy. Z drugiej strony, musimy pamiętać tylko jedno, główne hasło, co jest niewątpliwym ułatwieniem. Podane przez nas informacje są każdorazowo szyfrowane i zabezpieczone głównym hasłem jeszcze przed wysłaniem ich do sieci. Każdy menedżer haseł oferuje możliwość sprawdzenia siły naszego kodu.

Menedżer potrafi sam zapisać w bazie danych hasła, dzięki którym zalogowaliśmy się na naszych kontach bankowych, poczty czy na portalu społecznościowym; po umieszczeniu kodu dostępu w bazie integruje się z przeglądarką i automatycznie wypełnia hasło po podaniu przez nas hasła głównego do naszej bazy. Co ważne, nie ma limitu liczby zapisywanych haseł.

Interesującą funkcją menedżerów jest generowanie silnego hasła, które możemy później wybrać np. do logowania na koncie bankowym. Taki maksymalnie skomplikowany kod dostępu zostaje zapisany w programie i jest automatycznie używany na tej stronie, na której po raz pierwszy go użyłeś. Menedżer haseł najczęściej współpracuje ze wszystkimi dostępnymi przeglądarkami i synchronizuje hasła ze wszystkimi urządzeniami, np. komputer ze smartfonem (w różnych przeglądarkach i dla różnych systemów operacyjnych).

Jeżeli zainstalujesz któryś z tych programów, pamiętaj o usunięciu swoich haseł z przeglądarek – w przeciwnym wypadku nadal będą z nich korzystały. Warto się również zastanowić, czy na pewno chcemy, aby kod dostępu do naszych kont bankowych był zapisany w chmurze; w przypadku innych haseł menedżer jest przydatnym rozwiązaniem.

Podsumowanie: bezpieczne hasło w 6 krokach

Na koniec przypomnijmy podstawowe zasady dotyczące haseł do kont bankowych:

1. Nie używaj haseł „oczywistych”: swojego imienia, daty urodzenia czy nazwy miejscowości.
2. Staraj się możliwie maksymalnie skomplikować swoje hasło (litery, cyfry, znaki specjalne, duże i małe litery), stosuj przypadkowe wyrazy i nie ograniczaj się do ledwie 8 znaków.
3. Nie stosuj takich samych lub podobnych haseł do różnych kont i profili.
4. Nigdy nie podawaj swojego hasła bankowego w sytuacji innej niż logowanie się do konta.
5. Nie udostępniaj swoich haseł osobom postronnym (dotyczy także podawania hasła na urządzeniach dostępnych publicznie, np. w kafejce internetowej).
6. Zmieniaj swoje hasła regularnie.

Stosowanie się do powyższych zasad zwiększy szansę uniknięcia przykrych niespodzianek w rodzaju kradzieży środków z konta, wykradzenia korespondencji czy włamania się na profil na portalu społecznościowym. Pamiętaj, że Twoje bezpieczeństwo w ogromnym stopniu zależy od Ciebie.