Jak zarządzać hasłami dobrze i bezpiecznie?
Kont w serwisach internetowych jakie posiadamy, nie da się policzyć na palcach obu dłoni. Za pomocą loginu i hasła dostajemy się do stron rządowych, banków oraz sieci społecznościowych. Jak zapamiętać te wszystkie loginy, hasła i piny? Przecież nie będziemy posiadali jednego hasła do wszystkich serwisów. Prawda?
Spis treści
- Czy muszę się o to martwić?
- Skąd mam wiedzieć, że ktoś zna moje hasło?
- Co mogę zrobić by lepiej zarządzać hasłami?
- Jaki wybrać menadżer haseł?
- Jak tworzyć hasła?
- Czy trzymanie haseł w chmurze jest bezpieczne?
- Czy wymuszanie zmiany hasła jest bezpieczne?
- Pamiętaj o dwuskładnikowym uwierzytelnieniu
- Klucze lepsze od przepisywania kodu
- Logowanie się za pomocą konta Google lub Facebook
- Jak bezpiecznie przekazać komuś hasło?
Czy muszę się o to martwić?
Jeśli posiadasz jedno hasło do wielu serwisów i uważasz, że jest to bezpieczne, możesz je wpisać w komentarzu do tego wpisu, a będzie ono przechowywane w chmurze i zawsze pod ręką.
Jeżeli jednak chcesz zmienić ten stan rzeczy, przeczytaj ten post do końca. Wyobraź sobie, że posiadasz jedno hasło do banku, serwisu do przechowywania zdjęć oraz jakiejś gry przez przeglądarkę. A teraz następuje wyciek hasła i loginu, tylko z jednego z tych serwisów. W tym momencie cyberprzestępcy mają dostęp do pozostałych stron. A to już nie jest fajne.
Ale przecież ja nic tam nie mam ważnego. Nic mi nie ukradną.
Takie zdanie często pada, kiedy sugeruję komuś zmianę hasła na trudniejsze. Faktycznie, z Twojej poczty albo strony nic nie ukradną, poza Twoją tożsamością. Z takiego przejętego maila czy bloga, cyberprzestępcy będą mogli rozsyłać SPAM czy wykorzystać Twoją stronę np. do ataków phishing.
Tłumaczenie się przed sądem, że to nie Ty okradasz ludzi a ktoś Ci się włamał na stronę i wykorzystał ją do wyłudzania pieniędzy, na pewno jest mniej przyjemną rzeczą i bardziej czasochłonną, niż zmiana hasła na trudne i skomplikowane.
Skąd mam wiedzieć, że ktoś zna moje hasło?
Tego nigdy się nie wie w stu procentach, ale można sprawdzić z jakich strony wyciekły twoje dane. Jedną z takich usług jest ';--have i been pwned?. Wystarczy wprowadzić tam adres e-mail (nie koniecznie swój), aby sprawdzić czy doszło do wycieku danych powiązanych z tym kontem.
Serwis ten posiada również możliwość notyfikacji na twój adres e-mail, jeżeli do takiego wycieku dojdzie. Sam się muszę przyznać do tego, że nie pamiętałem w jakich usługach posiadam dany adres e-mail, a przypomniało mi się o tym, dopiero w momencie notyfikacji na temat wycieku haseł.
W takim przypadku, posiadanie różnych haseł do wielu serwisów jest dużo bardziej bezpieczne. Brak posiadania haseł, też jest dobrym rozwiązaniem.
Co mogę zrobić by lepiej zarządzać hasłami?
Jeżeli posiadamy trudne, losowe hasła do wielu serwisów, to trudno będzie nam je zapamiętać. Zapisywanie wszystkich haseł w pliku Excela nie jest dobrym rozwiązaniem, a niestety nadal ma to miejsce. Hasła w takich dokumentach są przechowywane jawnym tekstem i w razie wycieku takiego pliku, każdy będzie miał dostęp do twoich usług.
Inną metodą jest menadżer haseł - specjalnie oprogramowanie, które pozwala w bezpieczny sposób zarządzać hasłami. Na pewno nie jest nim zeszyt schowany w szufladzie z zapisanymi hasłami.
Dobrym rozwiązaniem jest przechowywanie haseł na swoim koncie Google. Korzystając np. z przeglądarki Google Chrome, będziesz mógł zapisać w bezpieczny sposób hasło. Usługa ta umożliwi również sprawdzenie jakości haseł oraz tego czy nie zostały one wykradzione lub złamane.
Jaki wybrać menadżer haseł?
Na rynku mamy naprawdę wiele dostępnych i dobrych programów do zarządzania hasłami. Są takie co działają całkowicie offline oraz takie, które przechowują hasła w chmurze. Do tej pory korzystałem z takich narzędzi jak:
Obecnie korzystam z oprogramowania BitWarden, które jest dostępne na komputery oraz urządzenia mobilne. Umożliwia on synchronizację haseł z wszystkimi urządzeniami, dzięki czemu mamy dostęp do nich praktycznie z każdego potrzebnego nam miejsca.
- narzędzie do sprawdzania jakości haseł,
- monitorowanie czy dane hasło nie wyciekło z jakiegoś serwisu,
- raportowanie, że dane hasło wykorzystujemy na wielu różnych stronach,
- dostęp do haseł z poziomu aplikacji, konsoli lub przeglądarki,
- udostępnianie haseł innym użytkownikom lub grupom - świetnie nadaje się do przechowywania wspólnych haseł w firmach, zamiast pliku Excela,
- logowanie do aplikacji za pomocą Active Directory (LDAP), Azure, G Suite, OneLogin, i Okta,
- dwuskładnikowe uwierzytelnienie
- i wiele innych.
Przez długi czas korzystałem z aplikacji 1Password, dopóki nie zmienili modelu cenowego, który wielu osobom nie przypadł do gustu.
Jak tworzyć hasła?
Skoro posiadasz już menadżer haseł, to wykorzystaj wbudowany w niego system tworzenia losowych i trudnych haseł. Załatwi on za Ciebie tworzenie haseł.
W ten sposób nie trzeba wymyślać skomplikowanych metod tworzenia haseł - robi to za nas oprogramowanie. Jeżeli jednak chcemy sami tworzyć hasła to musimy pamiętać o pewnych zasadach:
- hasło musi być niesłownikowe - qwerty, qazqwe czy luty123!, to hasła występujące w słownikach służących do łamania haseł,
- nie korzystaj ze schematów przy tworzeniu haseł - hasło typu MojeAllegro123, MojeFacebook123, pozwala na domyślenie się kolejnych haseł w przypadku złamania jednego z nich,
- hasło musi być długie i skomplikowane - im dłuższe, zawierające więcej znaków specjalnych, tym jest bezpieczniejsze - atakujący są w stanie sprawdzać miliony haseł na sekundę.
Jak widać na załączonej animacji, złamanie prostego hasła jest naprawdę proste i nie zajmuje dużo czasu. Im bardziej skomplikowane hasło - tym bardziej bezpieczne.
Niestety nie wszystkie serwisy internetowe pozwalają na korzystanie z dowolnie długich haseł lub znaków specjalnych.
Czy trzymanie haseł w chmurze jest bezpieczne?
Tak. I jest napewno bezpieczniejsze niż zapisywanie ich na kartce papieru lub posiadanie jednego hasła do wielu stron. Aplikacje typu BitWarden przechowują hasła w chmurze w bezpieczny sposób np.:
Since all of your data is fully encrypted before it ever leaves your device, only you have access to it. Not even the team at Bitwarden can read your data, even if we wanted to. Your data is sealed with end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256.
Hasła są szyfrowane bezpiecznymi algorytmami - tak przynajmniej zapewniają twórcy. Jeżeli im nie wierzymy, to możemy postawić własny serwer synchronizacji i przechowywania haseł, w przypadku BitWardena.
Czy wymuszanie zmiany hasła jest bezpieczne?
W wielu wymogach dotyczących bezpieczeństwa systemów informatycznych można znaleźć takie oto zalecenia:
Polityka hasłowa, wymuszanie zmiany hasła co 30 dni; jeżeli inne systemy, z których korzystają pracownicy nie wymuszają zmiany haseł pracownik zobowiązany jest do samodzielnej zmiany hasła, przynajmniej co 90 dni.
Zmiana hasła co określony czas ma zwiększyć bezpieczeństwo systemu, jeżeli korzystamy z prostych i krótkich haseł. Kiedy dojdzie do złamania obecnego hasła, Ty już używasz innego w danym systemie.
Niestety ludzie wolą iść na skróty i ułatwiać sobie życie, dlatego wymuszenie zmiany hasła kończy się tworzeniem pewnych schematów, które łatwo odkryć. Użytkownicy, którym wymuszono zmianę haseł, tworzą je coraz prostsze i schematyczne, lub zapisują w niebezpiecznym miejscu. Odkrycie schematu tworzenia danego hasła, ułatwia poznanie kolejnych haseł np.: hasła typu Czerwiec2020!.
Pamiętaj o dwuskładnikowym uwierzytelnieniu
Włączenie dwuskładnikowego uwierzytelnienia pozwala na ochronę twojego konta, jeżeli doszło do wycieku hasła. Dlatego aby podnieść poziom bezpieczeństwa, należy włączać to zabezpieczenie w każdym serwisie jaki je udostępnia np.:
- Gmail
Jeżeli korzystamy z aplikacji BitWarden to poinformuje nas ona, w jakich serwisach jeszcze nie włączyliśmy tej metody uwierzytelnienia.
Najpopularniejszym rozwiązaniem są: aplikacja Google Authenticator lub 2FAS oraz klucze sprzętowe YubiKey. Dwuskładnikowe uwierzytelnienie za pomocą kluczy jest zdecydowanie bardziej bezpieczne i odporne na niektóre ataki. Lista serwisów, które wspierają dwuskładnikowe uwierzytelnienie jest dostępna na stronie twofactorauth.org.
Klucze lepsze od przepisywania kodu
Jeżeli masz już włączone dwuskładnikowe uwierzytelnienie np. za pomocą aplikacji, która generuje jednorazowe kody albo wysyłane są Tobie SMSy, zmień je na klucze sprzętowe. Niestety tego typu rozwiązania mimo, że są bezpieczne, dalej są podatne na ataki typu phishing, na które klucze są odporne.
Cyberprzestępca może zrobić duplikat Twojej karty SIM i przechwycić kod, lub podstawić stronę, na której podasz kod z aplikacji. Z fizycznymi kluczami U2F nie uda mu się tego wykonać.
Dlatego polecam zaopatrzeć się w dwa klucze i dodać je zamiast wyżej wymienionych metod. Dlaczego dwa?
- jeden klucz nosisz zawsze ze sobą i wykorzystujesz go do logowania się normalnie do aplikacji,
- drugi trzymasz bezpiecznie schowany jako zapasowy, w razie gdybyś zgubił pierwszy.
Po dodaniu obu kluczy do systemu, wyłączasz inne metody uwierzytelnienia jak aplikacja czy sms! Klucze, które polecam zakupić to:
A co w przypadku telefonu komórkowego? Oba klucze wspierają NFC, co oznacza, że gdy logujesz się z telefonu, wystarczy że zbliżysz urządzenie do klucza i zostaniesz zalogowany.
Logowanie się za pomocą konta Google lub Facebook
Swojego konta jakie posiadasz w Google albo sieciach społecznościowych możesz używać do logowania się na stronach i w aplikacjach innych firm. Dzięki temu nie musisz pamiętać nazw użytkownika ani haseł do poszczególnych kont.
Jak bezpiecznie przekazać komuś hasło?
Czasami zdarzają się takie sytuacje, że chcesz przekazać dane do logowania, swojemu klientowi lub znajomemu a może pracownikowi? Jak to zrobić w sposób bezpieczny? Najlepiej za pomocą wcześniej wspominanych menadżerów haseł.
Możesz także skorzystać z usługi jaką jest onetimesecret.com. Jest to bezpłatna usługa do przekazywania wrażliwych informacji.
Tajną wiadomość, hasło i login wpisujesz w pole wiadomości a następnie szyfrujesz hasłem. Link do tej wiadomości przesyłasz za pomocą ulubionego komunikatora a hasło do niej innym kanałem np. smsem albo dzwoniąc do odbiorcy.