Jak zarządzać hasłami dobrze i bezpiecznie?

Jak zarządzać hasłami dobrze i bezpiecznie?

Kont w serwisach internetowych jakie posiadamy, nie da się policzyć na palcach obu dłoni. Za pomocą loginu i hasła dostajemy się do stron rządowych, banków oraz sieci społecznościowych. Jak zapamiętać te wszystkie loginy, hasła i piny? Przecież nie będziemy posiadali jednego hasła do wszystkich serwisów. Prawda?

Spis treści

Czy muszę się o to martwić?

Jeśli posiadasz jedno hasło do wielu serwisów i uważasz, że jest to bezpieczne, możesz mi je wysłać ma maila i sam będę z niego korzystał.

Jeżeli jednak chcesz zmienić ten stan rzeczy, przeczytaj ten post do końca. Wyobraź sobie, że posiadasz jedno hasło do banku, serwisu do przechowywania zdjęć oraz jakiejś gry przez przeglądarkę. A teraz następuje wyciek hasła i loginu, tylko z jednego z tych serwisów. W tym momencie cyberprzestępcy mają dostęp do pozostałych stron. A to już nie jest fajne.

Ale przecież ja nic tam nie mam ważnego. Nic mi nie ukradną.

Takie zdanie często pada, kiedy sugeruję komuś zmianę hasła na trudniejsze. Faktycznie, z Twojej poczty albo strony nic nie ukradną, poza Twoją tożsamością. Z takiego przejętego maila czy bloga, cyberprzestępcy będą mogli rozsyłać SPAM czy wykorzystać Twoją stronę np. do ataków phishing.

List od prokuratora
List od prokuratury, kiedy Twoja strona okrada nieświadomych kupujących

Tłumaczenie się przed sądem, że to nie Ty okradasz ludzi a ktoś Ci się włamał na stronę i wykorzystał ją do wyłudzania pieniędzy, na pewno jest mniej przyjemną rzeczą i bardziej czasochłonną, niż zmiana hasła na trudne i skomplikowane.

Skąd mam wiedzieć, że ktoś zna moje hasło?

Tego nigdy się nie wie w stu procentach, ale można sprawdzić z jakich strony wyciekły twoje dane. Jedną z takich usług jest ';--have i been pwned?. Wystarczy wprowadzić tam adres e-mail (nie koniecznie swój), aby sprawdzić czy doszło do wycieku danych powiązanych z tym kontem.

Wyciek danych przypisanych do mojego maila
Wyciek maili, haseł, loginu, lokalizacji geograficznej, podpowiedzi do hasła czy nawet numeru telefonu komórkowego.

Serwis ten posiada również możliwość notyfikacji na twój adres e-mail, jeżeli do takiego wycieku dojdzie. Sam się muszę przyznać do tego, że nie pamiętałem w jakich usługach posiadam dany adres e-mail, a przypomniało mi się o tym, dopiero w momencie notyfikacji na temat wycieku haseł.

Blank Password

W takim przypadku, posiadanie różnych haseł do wielu serwisów jest dużo bardziej bezpieczne. Brak posiadania haseł, też jest dobrym rozwiązaniem.

Co mogę zrobić by lepiej zarządzać hasłami?

Jeżeli posiadamy trudne, losowe hasła do wielu serwisów, to trudno będzie nam je zapamiętać. Zapisywanie wszystkich haseł w pliku Excela nie jest dobrym rozwiązaniem, a niestety nadal ma to miejsce. Hasła w takich dokumentach są przechowywane jawnym tekstem i w razie wycieku takiego pliku, każdy będzie miał dostęp do twoich usług.

Excel Password Template

Inną metodą jest menadżer haseł - specjalnie oprogramowanie, które pozwala w bezpieczny sposób zarządzać hasłami. Na pewno nie jest nim zeszyt schowany w szufladzie z zapisanymi hasłami.

Dobrym rozwiązaniem jest przechowywanie haseł na swoim koncie Google. Korzystając np. z przeglądarki Google Chrome, będziesz mógł zapisać w bezpieczny sposób hasło. Usługa ta umożliwi również sprawdzenie jakości haseł oraz tego czy nie zostały one wykradzione lub złamane.

Menedżer haseł Google
Menedżer haseł Google

Jaki wybrać menadżer haseł?

Na rynku mamy naprawdę wiele dostępnych i dobrych programów do zarządzania hasłami. Są takie co działają całkowicie offline oraz takie, które przechowują hasła w chmurze. Do tej pory korzystałem z takich narzędzi jak:

Obecnie korzystam z oprogramowania BitWarden, które jest dostępne na komputery oraz urządzenia mobilne. Umożliwia on synchronizację haseł z wszystkimi urządzeniami, dzięki czemu mamy dostęp do nich praktycznie z każdego potrzebnego nam miejsca.

BitWarden
Oprogramowanie posiada ciekawe i przydatne funkcje jak:

  • narzędzie do sprawdzania jakości haseł,
  • monitorowanie czy dane hasło nie wyciekło z jakiegoś serwisu,
  • raportowanie, że dane hasło wykorzystujemy na wielu różnych stronach,
  • dostęp do haseł z poziomu aplikacji, konsoli lub przeglądarki,
  • udostępnianie haseł innym użytkownikom lub grupom - świetnie nadaje się do przechowywania wspólnych haseł w firmach, zamiast pliku Excela,
  • logowanie do aplikacji za pomocą Active Directory (LDAP), Azure, G Suite, OneLogin, i Okta,
  • dwuskładnikowe uwierzytelnienie
  • i wiele innych.

Przez długi czas korzystałem z aplikacji 1Password, dopóki nie zmienili modelu cenowego, który wielu osobom nie przypadł do gustu.

Jak tworzyć hasła?

Skoro posiadasz już menadżer haseł, to wykorzystaj wbudowany w niego system tworzenia losowych i trudnych haseł. Załatwi on za Ciebie tworzenie haseł.

BitWarden Password Generator

W ten sposób nie trzeba wymyślać skomplikowanych metod tworzenia haseł - robi to za nas oprogramowanie. Jeżeli jednak chcemy sami tworzyć hasła to musimy pamiętać o pewnych zasadach:

  • hasło musi być niesłownikowe - qwerty, qazqwe czy luty123!, to hasła występujące w słownikach służących do łamania haseł,
  • nie korzystaj ze schematów przy tworzeniu haseł - hasło typu MojeAllegro123, MojeFacebook123, pozwala na domyślenie się kolejnych haseł w przypadku złamania jednego z nich,
  • hasło musi być długie i skomplikowane - im dłuższe, zawierające więcej znaków, tym jest bezpieczniejsze - atakujący są w stanie sprawdzać miliony haseł na sekundę.

Jak widać na załączonej animacji, złamanie prostego hasła jest naprawdę proste i nie zajmuje dużo czasu. Im bardziej skomplikowane hasło - tym bardziej bezpieczne.

Bezpieczna polityka haseł według CERT Polska to:

  • Brak wymuszonej okresowej zmiany haseł użytkowników
  • Blokada tworzenia hasła znajdującego się na liście słabych/często używanych haseł
  • Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
  • Minimalna długość hasła – co najmniej 12 znaków
  • Limit znaków w haśle nie mniejszy niż 64 znaki
  • Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter

Niestety nie wszystkie serwisy internetowe pozwalają na korzystanie z dowolnie długich haseł lub znaków specjalnych.

Jak tworzyć silne hasła? Wykorzystaj swoją wyobraźnię!

Budowanie silnego hasła wcale nie musi być trudne. Dobrym sposobem jest tworzenie całych zdań, które łatwo zapamiętać, ale trudno złamać. Uwaga: lepiej unikać znanych cytatów i powiedzonek. Zamiast tego, można zainspirować się własną wyobraźnią i stworzyć coś unikalnego.

Twoje hasło powinno mieć przynajmniej pięć słów. Przykład inspirowany żeglarstwem:

KapitanSzybkoWioslujeWZielonejKeczce

Albo w klimacie nurkowania:

TrzyMorskieSyrenyTanczaPrzyWraku

Inną skuteczną metodą jest opisanie wyimaginowanej, zabawnej sceny, która zapada w pamięć. Najlepiej, żeby zawierała coś absurdalnego lub nierealistycznego — to utrudnia łamanie hasła przez dopasowanie skojarzeń. Przykład:

RekinGraNaGitarzePodLatarniaMorska

Chcesz podnieść poziom bezpieczeństwa jeszcze bardziej? Wpleć w hasło słowa z kilku języków! To dodatkowo utrudnia złamanie takiego hasła, bo większość narzędzi atakujących bazuje na jednym języku. Przykład mieszany:

DiveTresFastNaBlekitnejFali

Pamiętaj: najlepsze hasła to te, które są dla Ciebie łatwe do zapamiętania, a dla innych praktycznie niemożliwe do odgadnięcia.

Czy trzymanie haseł w chmurze jest bezpieczne?

Tak. I jest napewno bezpieczniejsze niż zapisywanie ich na kartce papieru lub posiadanie jednego hasła do wielu stron. Aplikacje typu BitWarden przechowują hasła w chmurze w bezpieczny sposób np.:

Since all of your data is fully encrypted before it ever leaves your device, only you have access to it. Not even the team at Bitwarden can read your data, even if we wanted to. Your data is sealed with end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256.

Hasła są szyfrowane bezpiecznymi algorytmami - tak przynajmniej zapewniają twórcy. Jeżeli im nie wierzymy, to możemy postawić własny serwer synchronizacji i przechowywania haseł, w przypadku BitWardena.

Czy wymuszanie zmiany hasła jest bezpieczne?

W wielu wymogach dotyczących bezpieczeństwa systemów informatycznych można znaleźć takie oto zalecenia:

Polityka hasłowa, wymuszanie zmiany hasła co 30 dni; jeżeli inne systemy, z których korzystają pracownicy nie wymuszają zmiany haseł pracownik zobowiązany jest do samodzielnej zmiany hasła, przynajmniej co 90 dni.

Zmiana hasła co określony czas ma zwiększyć bezpieczeństwo systemu, jeżeli korzystamy z prostych i krótkich haseł. Kiedy dojdzie do złamania obecnego hasła, Ty już używasz innego w danym systemie.

Niestety ludzie wolą iść na skróty i ułatwiać sobie życie, dlatego wymuszenie zmiany hasła kończy się tworzeniem pewnych schematów, które łatwo odkryć. Użytkownicy, którym wymuszono zmianę haseł, tworzą je coraz prostsze i schematyczne, lub zapisują w niebezpiecznym miejscu. Odkrycie schematu tworzenia danego hasła, ułatwia poznanie kolejnych haseł np.: hasła typu Czerwiec2020!.

Pamiętaj o dwuskładnikowym uwierzytelnieniu

Włączenie dwuskładnikowego uwierzytelnienia pozwala na ochronę twojego konta, jeżeli doszło do wycieku hasła. Dlatego aby podnieść poziom bezpieczeństwa, należy włączać to zabezpieczenie w każdym serwisie jaki je udostępnia np.:

  • Facebook
  • Gmail
  • LinkedIn

Jeżeli korzystamy z aplikacji BitWarden to poinformuje nas ona, w jakich serwisach jeszcze nie włączyliśmy tej metody uwierzytelnienia.

Najpopularniejszym rozwiązaniem są: aplikacja Google Authenticator lub 2FAS oraz klucze sprzętowe YubiKey. Dwuskładnikowe uwierzytelnienie za pomocą kluczy jest zdecydowanie bardziej bezpieczne i odporne na niektóre ataki. Lista serwisów, które wspierają dwuskładnikowe uwierzytelnienie jest dostępna na stronie twofactorauth.org.

Klucze lepsze od przepisywania kodu

Jeżeli masz już włączone dwuskładnikowe uwierzytelnienie np. za pomocą aplikacji, która generuje jednorazowe kody albo wysyłane są Tobie SMSy, zmień je na klucze sprzętowe. Niestety tego typu rozwiązania mimo, że są bezpieczne, dalej są podatne na ataki typu phishing, na które klucze są odporne.

Cyberprzestępca może zrobić duplikat Twojej karty SIM i przechwycić kod, lub podstawić stronę, na której podasz kod z aplikacji. Z fizycznymi kluczami U2F nie uda mu się tego wykonać.

Dlatego polecam zaopatrzeć się w dwa klucze i dodać je zamiast wyżej wymienionych metod. Dlaczego dwa?

  • jeden klucz nosisz zawsze ze sobą i wykorzystujesz go do logowania się normalnie do aplikacji,
  • drugi trzymasz bezpiecznie schowany jako zapasowy, w razie gdybyś zgubił pierwszy.

Po dodaniu obu kluczy do systemu, wyłączasz inne metody uwierzytelnienia jak aplikacja czy sms! Klucze, które polecam zakupić to:

A co w przypadku telefonu komórkowego? Oba klucze wspierają NFC, co oznacza, że gdy logujesz się z telefonu, wystarczy że zbliżysz urządzenie do klucza i zostaniesz zalogowany.

Logowanie się za pomocą konta Google lub Facebook

W dzisiejszym świecie, gdzie niemal każda usługa online wymaga założenia konta, łatwo się pogubić w gąszczu loginów i haseł. Na szczęście są rozwiązania, które znacząco to ułatwiają. Mowa o tzw. dostawcach tożsamości (z ang. identity providers).

Dzięki nim zarządzanie tożsamościami użytkowników odbywa się w jednym miejscu, a logowanie do różnych usług staje się szybkie i wygodne. Przykład? Single Sign-On (SSO) – mechanizm, który pozwala na użycie jednego konta, aby uzyskać dostęp do wielu systemów, bez potrzeby ponownego wpisywania hasła.

Swojego konta jakie posiadasz w Google albo sieciach społecznościowych możesz używać do logowania się na stronach i w aplikacjach innych firm. Dzięki temu nie musisz pamiętać nazw użytkownika ani haseł do poszczególnych kont.

Jest to bardzo wygodna i bezpieczna metoda logowania i rejestracji do danego serwisu. Warto jednak pamiętać, że jeżeli ktoś przejmie dostęp do naszego konta Google, będzie miał dostęp do usług gdzie za pomocą jego się logujemy. Dlatego warto pamiętać, aby konto z jakiego korzystamy do logowania, zabezpieczyć np. za pomocą dwuskładnikowego uwierzytelnienia.

Innym popularnym rozwiązaniem jest OAuth. To dzięki niemu możemy zalogować się np. do serwisu z muzyką, korzystając z konta na portalu społecznościowym. Jedno kliknięcie i jesteśmy zalogowani — bez konieczności tworzenia nowego profilu i kolejnego hasła do zapamiętania.

Takie technologie nie tylko oszczędzają czas, ale także zwiększają bezpieczeństwo, bo użytkownik pilnuje tylko jednego hasła — a dobrze zabezpieczone konto to podstawa bezpiecznego korzystania z Internetu.

Biometria zamiast hasła

Biometria to sposób uwierzytelniania, który wykorzystuje coś, czego nie musisz pamiętać – Twoje unikalne cechy fizyczne. Najczęściej spotykamy się z odciskiem palca, skanem twarzy czy obrazem tęczówki oka.

Dzięki szerokiej dostępności urządzeń biometrycznych w telefonach i komputerach, a także wieloletniemu doskonaleniu tej technologii, dziś jest ona nie tylko wygodna, ale i bardzo bezpieczna. Zamiast wpisywać hasła, wystarczy dotknięcie palcem czy spojrzenie w ekran.

Warto jednak pamiętać, że nie wszystkie systemy i urządzenia wspierają uwierzytelnianie biometrią. Poza tym — choć to świetne rozwiązanie w wielu przypadkach — nie zawsze będzie ono najlepszym wyborem, zwłaszcza tam, gdzie wymagany jest najwyższy poziom bezpieczeństwa.

Jak bezpiecznie przekazać komuś hasło?

Czasami zdarzają się takie sytuacje, że chcesz przekazać dane do logowania, swojemu klientowi lub znajomemu a może pracownikowi? Jak to zrobić w sposób bezpieczny? Najlepiej za pomocą wcześniej wspominanych menadżerów haseł.

Możesz także skorzystać z usługi jaką jest onetimesecret.com. Jest to bezpłatna usługa do przekazywania wrażliwych informacji.

Tajną wiadomość, hasło i login wpisujesz w pole wiadomości a następnie szyfrujesz hasłem. Link do tej wiadomości przesyłasz za pomocą ulubionego komunikatora a hasło do niej innym kanałem np. smsem albo dzwoniąc do odbiorcy.

Zobacz podobne artykuły

Procedury, check-listy oraz todo-listy
Blog

Jak procedury i checklisty ułatwiają pracę?

Procedury, checklisty oraz spisywanie zadań, towarzyszą mi na każdym kroku: od pracy, hobby przez różne obowiązków. Te trzy niesamowite narzędzia sprawiają, że doba ma więcej godzin, a rzeczy nudne i powtarzalne zaczęły wykonywać automaty, a delegowanie zadań stało się prostsze.

Jacht na skale
MarTech

Awarie IT zdarzają się każdemu

Od paru godzin trwa awaria komunikatora internetowego Slack. Kilka tygodni temu nie można było korzystać z usług firmy Google, a jeszcze wcześniej spora część Internetu nie działała z powodu awarii usług Cloudflare. Czy to możliwe, że usługi w chmurze są niedostępne?

Macierz Eisenhovera
Biznes

Macierz Eisenhovera, czyli jak zapanować nad priorytetami?

Iść na przerwę a może odpisać na tego maila, czy odebrać telefon od przełożonego? W jakiej kolejności zająć się tymi zadaniami, aby nie utracić nad tym kontroli i nie popaść w bezsilność? Rozwiązaniem tych problemów może być Macierz Eisenhowera (nazywana także Matrycą lub Kwadratem Eisenhowera).