a close up of a metal plate with numbers on it
Cyberbezpieczeństwo, Technologie

Czym jest i jak działa menedżer haseł? Zarządzaj hasłami jak BOSS

Założę się, że podobnie jak zdecydowana większość użytkowników sieci, posiadasz jedno lub kilka haseł, które stosujesz zamiennie we wszystkich serwisach, które wymagają logowania. Pewnie masz jedno ulubione, jednak z uwagi na dodatkowe wymagania, stosowane przez część serwisów, stworzyłeś kilka jego wariantów  – z wykorzystaniem dużych i małych liter czy znaków specjalnych. Chyba nie muszę Ci wyjaśniać, jak skrajnie nieodpowiedzialne jest to zachowanie? Dziś chciałbym Ci uświadomić skalę tego ryzyka i podpowiedzieć rozwiązanie, które pozwoli Ci prawidłowo zabezpieczyć Twoje dane w sieci.

Wszystko co musisz wiedzieć w temacie haseł

Ataki cyberprzestępców są dziś na porządku dziennym. Wyobraź sobie, że celem ataku jest forum internetowe, na którym posiadasz konto. Pomyślisz pewnie, że żadne to zagrożenie, bo nie byłeś jego aktywnym użytkownikiem, nie podałeś kompletu danych osobowych i nie publikowałeś żadnych kompromitujących czy osobistych postów. I jak najbardziej masz rację, o ile na całą sytuację popatrzysz wyłącznie z tej perspektywy. 

Co jednak w sytuacji, gdy stosujesz jedno uniwersalne hasło do wszystkich serwisów, w których posiadasz konta? Mam tu na myśli nie tylko fora, ale również Twoją skrzynkę pocztową czy konta w serwisach społecznościowych. Może Cię to zaskoczy, ale w takiej sytuacji, włamując się do bazy danych forum, cyberprzestępcy bez większych trudności dostaną się do Twojej skrzynki mailowej. Jak? Przy zakładaniu konta musiałeś bowiem podać swój adres mailowy, a że z lenistwa ustawiłeś takie samo hasło na forum to chcąc nie chcąc „udostępniłeś” przy okazji przestępcom komplet danych do logowania. I to do wielu serwisów jednocześnie!

Tracąc dostęp do skrzynki mailowej w dużej mierze tracisz dostęp do sporej części swojej cyfrowej tożsamości – wszystko zależy od tego, jak wiele kont powiązanych jest z Twoim adresem pocztowym. Sam doskonale wiesz jak to działa, bo z pewnością nie raz to robiłeś – odwiedzasz konkretny serwis, wprowadzasz adres mailowy jako swój login i wybierasz opcję „zapomniałem hasła”. Uwierzytelniasz zmianę klikając w link przesłany w wiadomości mailowej i ponownie cieszysz się dostępem. Cyberprzestępcy doskonale o tym wiedzą i nierzadko korzystają z takich możliwości – testując Twój login i hasło w wielu różnych serwisach, które mogą być dla nich potencjalnie interesujące.

Utrata dostępu do skrzynki pocztowej niesie więc za sobą ogromne ryzyko, przed którym powinieneś się odpowiednio zabezpieczyć. Jak? Odpowiedź jest bardzo prosta:

  • wybierz bezpieczną skrzynkę pocztową (tutaj znajdziesz moje wskazówki na ten temat);
  • włącz dwuskładnikowe uwierzytelnianie (więcej na ten temat przeczytasz tu);
  • korzystaj z unikalnego i trudnego do odgadnięcia hasła.

Kwestie wyboru skrzynki pocztowej oraz zasady działania dwuskładnikowego uwierzytelniania już opisywałem, dlatego dziś chciałbym się skupić na hasłach i sposobach sprawnego nimi zarządzania. Zakładam, że spodziewasz się już, jaka będzie moje główna rada – niepowtarzalne hasło do każdego serwisu. Ba! Nie dość, że niepowtarzalne to jeszcze jak najbardziej skomplikowane – zawierające szereg liter, cyfr i znaków specjalnych. Zapomnij zatem o prostych hasłach, wykorzystujących częściowo Twoje imię czy nazwisko, datę urodzenia, miejsce zamieszkania itd. Zapomnij też o hasłach składających się z 8-10 znaków. Ma być długie i trudne!

Wierz mi, że złamanie prostego hasła jest dla wprawnego cyberprzestępcy kwestią sekund. Nie ułatwiaj mu zadania! Im dłużej będzie „walczył” tym większe prawdopodobieństwo tego, że jego atak uda się udaremnić. Jeśli nawet mu się uda, zaskocz go dwuskładnikowym uwierzytelnianiem – tj. koniecznością podania jednorazowego kodu, jaki otrzymasz chociażby SMS-owo.

Czym jest i jak działa manager haseł?

Przejdźmy jednak do rzeczy i sposobu zarządzania hasłami. Zapewne posiadasz kilka produktów finansowych (konto, karta kredytowa, hipoteka) i tym samym dostęp do kilku różnych systemów bankowości internetowej. Dodajmy do tego ze dwie skrzynki pocztowe, kilka kont społecznościowych (Instagram, Facebook, Twitter), kilka forów internetowych… Dużo haseł do zapamiętania, prawda? Jeśli pracujesz za biurkiem musisz do tego dodać jeszcze kilka dodatkowych. Jak to wszystko ogarnąć? Jak spamiętać tyle unikalnych i trudnych do złamania haseł? Nie ukrywam, że jest to wyzwanie. Na szczęście są skuteczne rozwiązania – wystarczy sięgnąć po manager haseł.

Czym jest manager haseł? Aplikacją czy też programem zaprojektowanym w celu zapamiętywania wszystkich Twoich haseł i ich automatycznego wprowadzania bezpośrednio na stronach internetowych (w większości przypadków). Można powiedzieć, że jest to skuteczny sposób na zautomatyzowanie procesu, który wielu z nas stosuje obecnie – tj. kopiowania loginów i haseł z plików tekstowych lub przepisywania ich z notatnika w formie papierowej. 

Musisz jednak być świadomy tego, że zapisywanie swoich haseł i loginów w jednym miejscu (notatniku w formie papierowej) niesie za sobą spore zagrożenie. Zdaję sobie sprawę z tego, że na każdym kroku Cię straszę, ale niestety w takim, a nie innym świecie przyszło nam żyć. Zagrożenie to materializuje się w momencie, kiedy Twój notatnik ginie lub trafia w niepowołane ręce. Jego utrata uniemożliwia Ci dostęp do wielu kont. Kradzież może się skończyć dużo bardziej boleśnie – możesz stracić wszystkie oszczędności i stracić kontrolę nad swoimi kontami w mediach społecznościowych. Czym może się skończyć przejęcie kont już wiesz, bo niejednokrotnie o tym pisałem.

Może zatem lepiej sprawdzi się plik zapisany gdzieś na dysku Twojego komputera? Jest to jakieś rozwiązanie, ale też nie idealne. Wprawdzie dostępu do Twojego komputera broni hasło, plik tekstowy ze swoimi hasłami również możesz dodatkowo zabezpieczyć, jednak sam w sobie nie będzie on szyfrowany. Oznacza to, że po złamaniu zabezpieczeń cyberprzestępca będzie w stanie bez żadnych trudności odczytać jego zawartość. Między innymi z tego względu najbezpieczniejszą opcją jest manager haseł.

Jakie zatem są najważniejsze zalety managerów haseł? 

Jest ich naprawdę sporo, jednak skupię się na tych, które z mojego punktu są najważniejsze i mają szansę przekonać Cię do stosowania managera haseł. Zaczynamy!

  1. Bezpieczeństwo. To niewątpliwie pierwszy i najważniejszy argument. W dużej mierze wspomniałem o nim powyżej, więc nie będę Cię już dalej przekonywał.
  2. Wygoda. Wiele dostępnych na rynku rozwiązań oferuje tzw. auto login, co oznacza mniej więcej tyle, że jako użytkownik nie musisz kopiować i wklejać haseł z bazy. Wszystko zrobi za Ciebie manager haseł.  
  3. Uniwersalność. Z managera haseł możesz korzystać niezależnie od systemu operacyjnego. Często z jego zasobów możesz również korzystać z poziomu przeglądarki internetowej. Co ważne, szczególnie dla osób mobilnych – baza haseł możesz być również odczytana przez Twój telefon.
  4. Oszczędność czasu. Przyznaj sam, że każda zmiana hasła lub konieczność stworzenia nowego zabiera Ci sporo czasu. Głównie ze względu na konieczność wymyślenia takiego, które będzie zgodne z wymaganiami konkretnego serwisu i jednocześnie takiego, którego nie stosowałeś już w przeszłości. Manager haseł generuje silne i unikalne hasła w ułamku sekundy. I to silne na tyle, że dla większości cyberprzestępców będą nie do złamania.
  5. Brak ograniczeń. Zapisując hasła na kartce z pewnością napotkałeś problem związany z ich aktualizacją. W pewnym momencie zaczyna brakować miejsca na kartce, a kolejne aktualizacje haseł sprawiają, że zapiski stają się mało przejrzyste. Manager haseł radzi sobie z tym problemem doskonale. Nie ogranicza liczby haseł, które możesz przechowywać i nie stwarza innych tego typu ograniczeń.
  6. Brak lub niewielkie opłaty za korzystanie. I choć mogłoby się wydawać, że za taki poziom wygody i bezpieczeństwa przyjdzie nam niemało zapłacić, na rynku dostępnych jest wiele naprawdę dobrych managerów haseł, za które nie zapłacisz ani złotówki!

Co z wadami takich rozwiązań?

No dobra, wiesz już, że manager haseł to super sprawa i szansa na poprawę bezpieczeństwa podczas korzystania z sieci. Musisz jednak wiedzieć, że jak zawsze są też pewne minusy. Największym jest niewątpliwie fakt, że dostęp do swoich haseł zabezpieczasz… hasłem. Innymi słowy – manager zwalnia Cię z obowiązku pamiętania dziesiątek haseł, a nakłada obowiązek pamiętania tylko jednego – do samego managera. Przyznaj sam, że jest to korzystny dla Ciebie układ? 

Ważne jest jednak, byś nie szedł na skróty i nie zabezpieczał managera hasłem typu „1234”. Hasło musi być silne i trudne do złamania. Jego złamanie będzie jednoznaczne z dostępem do innych Twoich haseł. Mając na uwadze powyższe, koniecznie włącz też weryfikację dwuskładnikową. Obowiązek użycia dodatkowo tokena podczas logowania istotnie utrudni ewentualne włamanie.

Utrata hasła do managera haseł to tylko jedne z czarnych scenariuszy. Może się zdarzyć również tak, że utracisz bazę swoich haseł i tym samym nie będziesz mógł się dostać do większości swoich kont. Konieczne jest tym samym, byś pamiętał przynajmniej dwa hasła – do managera haseł oraz do swojej skrzynki pocztowej. Dlaczego? Nawet jak utracisz dostęp do swoich haseł (do managera), mając dostęp do skrzynki pocztowej, będziesz w stanie je zresetować. Będzie to długi i żmudny proces, jednak warto, byś był świadomy takiej możliwości. Musisz też wiedzieć, że przedstawiony powyżej scenariusz możliwy jest jedynie w przypadku managera haseł, który działa online.

Jeśli zdecydujesz się na managera haseł działającego offline, możesz być narażony na nieco inny rodzaj ryzyka – utratę bazy haseł Pamiętaj zatem, by regularnie robić jej backup. Dzięki temu będziesz mógł spać spokojnie. Awaria komputera lub inne zdarzenie, które mogą doprowadzić do utraty bazy to rzadkie zjawiska, jednak warto, abyś i na taki scenariusz był przygotowany. Jak zatem widzisz – stosunkowo łatwo możesz się zabezpieczyć i zredukować ryzyko korzystania z managera haseł do poziomu, w którym przestaniesz postrzegać te niedoskonałości jako wady. 

1password  – manager haseł bliski ideału

Wiesz już, że warto. Ba! Że nawet trzeba pomyśleć o dodatkowym zabezpieczeniu swoich dostępów i że manager haseł doskonale się do tego nadaje. Na rynku dostępnych jest dziś wiele rozwiązań – i to zupełnie bezpłatnych, jak i takich, z które przyjdzie Ci zapłacić niewielkie pieniądze. Nie będę tu ich wszystkich przedstawiał ani porównywał. Zaprezentuję Ci nieco bliżej rozwiązanie, z którego sam korzystam od lat i które sprawdza się w moim przypadku doskonale. Wiesz, że tematy bezpieczeństwa w sieci leżą mi na sercu, więc zakładam, że moja rekomendacja może okazać się dla Ciebie pomocna przy wyborze.

Z czego korzystam? Z 1Password. Być może nie miałeś jeszcze okazji słyszeć o tym konkretnym managerze haseł, jednak jestem przekonany, że spełni on Twoje oczekiwania. Nie ukrywam, że jest to rozwiązanie płatne, jednak miesięczne koszty jego użytkowania na pewno nie zrujnują Cię finansowo. Aktualny na dzień dzisiejszy cennik przewiduje opłatę na poziomie 2.99 dolarów miesięcznie. Nie jesteś przekonany, czy wart jest takich pieniędzy. Bez obaw – jeśli moja recenzja Cię nie przekona, zawsze możesz go osobiście przetestować – za pierwsze 30 dni nie zapłacisz ani grosza.

Dlaczego uważam 1Password za najlepszy manager haseł na rynku? Powodów jest przynajmniej kilka. Osobiście bardzo odpowiada mi sposób w jaki został zaprojektowany. Jest przejrzysty i niezwykle łatwy w użytkowaniu. Bez najmniejszych problemów z jego obsługą poradzą sobie wszyscy użytkownicy Internetu – w tym również Ci początkujący. 

Program ten nadaje się nie tylko do przechowywania haseł do moich kont, ale również kluczy do posiadanego oprogramowania i wielu innych poufnych informacji – danych moich kart kredytowych, prywatnych notatek, kodów do schowków, sejfów, drzwi wejściowych, bram garażowych itd. Możliwości jest naprawdę sporo. Każda notatka czy każde konto posiadają dedykowaną kartę w aplikacji z podstawowymi informacjami – w tym datą utworzenia oraz ostatniej modyfikacji. Możesz również elastycznie modyfikować generowane przez 1Password dla konkretnego konta – zwiększając jego długość czy liczbę znaków specjalnych.

Ogromnym  plusem jest też uniwersalność 1Password –  możesz z niego korzystać na  prywatnym komputerze z systemem operacyjnym Windows, na służbowym Mac-u oraz na telefonach (zarówno z iOS jak i Androidem). Czy można chcieć czegoś więcej?

Oczywiście, że można! Jak już niejednokrotnie wspominałem – niezwykle dziś istotna jest dwuskładnikowa weryfikacja na Twoich kontach. 1Password poinformuje Cię, że jest ona dostępna na konkretnym koncie. Wyobraź sobie, że zakładasz właśnie konto na Amazonie i stosujesz jednoskładnikową weryfikację – login i hasło. 1Password szybko poinformuje Cię, że konto Amazon możesz dodatkowo zabezpieczyć przy pomocy 2FA. Nie musisz dzięki temu tracić czasu i przeglądać opcji każdego konta, by zweryfikować, czy umożliwia ono włączenie dodatkowych warstw zabezpieczenia.

Wspomnieć muszę również o dodatkowej funkcji – Watchtower. To nic innego jak narzędzie, które monitoruje na bieżąco wszelkie problemy związane z zabezpieczeniami oraz wycieki danych. Jeśli okaże się, że jeden z serwisów, na którym masz konto było ostatnio celem ataku, w wyniku którego wyciekły dane użytkowników – szybko zostaniesz o tym poinformowany. Sam na pewno nie będziesz w stanie na bieżąco monitorować wszystkich zagrożeń i wycieków danych w sieci.

Należę do grona ludzi leniwych. A dokładniej rzecz ujmując tych, którzy nie lubią tracić czasu na coś, co może być zautomatyzowane. Między innymi z tego względu tak dobrze korzysta mi się z 1Password, który oferuje autouzupełnianie, a przy tym chroni przed keyloggerami. Co to oznacza? Że inne aplikacje nie widzą, co wpisujesz w okienko logowania i nie mogą tym samym uzyskać Twoich danych dostępowych. Zaletą autouzupełniania jest również ochrona przed phishingiem. Jeśli przypadkowo trafisz na stronę, która podszywa się pod stronę docelową, ale ma inny adres – w takim przypadku hasło nie zostanie wprowadzone, a Ty nie dasz się nabrać. Proste, prawda?

Mam nadzieję, że zainteresowałem Cię możliwościami 1Password na tyle, że sam zdecydujesz się z niego skorzystać, a przynajmniej przetestować jego możliwości podczas miesięcznego wariantu bez opłat. Oczywiście nie jest to jedyna opcja, z jakiej możesz skorzystać. Na rynku dostępnych jest wiele ciekawych rozwiązań, które być może w Twoim przypadku sprawdzą się o wiele lepiej – np. KeePass, LastPass, DashLane czy RoboForm. Sprawdź je koniecznie, wybierz optymalne dla siebie rozwiązanie i koniecznie podziel się swoją opinią!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *