Jak zarządzać hasłami dobrze i bezpiecznie?

Jak zarządzać hasłami dobrze i bezpiecznie?

Kont w serwisach internetowych jakie posiadamy, nie da się policzyć na palcach obu dłoni. Za pomocą loginu i hasła dostajemy się do stron rządowych, banków oraz sieci społecznościowych. Jak zapamiętać te wszystkie loginy, hasła i piny? Przecież nie będziemy posiadali jednego hasła do wszystkich serwisów. Prawda?

Table of Contents

Czy muszę się o to martwić?

Jeśli posiadasz jedno hasło do wielu serwisów i uważasz, że jest to bezpieczne, możesz je wpisać w komentarzu do tego wpisu, a będzie ono przechowywane w chmurze i zawsze pod ręką.

Jeżeli jednak chcesz zmienić ten stan rzeczy, przeczytaj ten post do końca. Wyobraź sobie, że posiadasz jedno hasło do banku, serwisu do przechowywania zdjęć oraz jakiejś gry przez przeglądarkę. A teraz następuje wyciek hasła i loginu, tylko z jednego z tych serwisów. W tym momencie cyberprzestępcy mają dostęp do pozostałych stron. A to już nie jest fajne.

Ale przecież ja nic tam nie mam ważnego. Nic mi nie ukradną.

Takie zdanie często pada, kiedy sugeruję komuś zmianę hasła na trudniejsze. Faktycznie, z Twojej poczty albo strony nic nie ukradną, poza Twoją tożsamością. Z takiego przejętego maila czy bloga, cyberprzestępcy będą mogli rozsyłać SPAM czy wykorzystać Twoją stronę np. do ataków phishing.

Tłumaczenie się przed sądem, że to nie Ty okradasz ludzi a ktoś Ci się włamał na stronę i wykorzystał ją do wyłudzania pieniędzy, na pewno jest mniej przyjemną rzeczą i bardziej czasochłonną, niż zmiana hasła na trudne i skomplikowane.

Skąd mam wiedzieć, że ktoś zna moje hasło?

Tego nigdy się nie wie w stu procentach, ale można sprawdzić z jakich strony wyciekły twoje dane. Jedną z takich usług jest ';--have i been pwned?. Wystarczy wprowadzić tam adres e-mail (nie koniecznie swój), aby sprawdzić czy doszło do wycieku danych powiązanych z tym kontem.

Wyciek danych przypisanych do mojego maila
Wyciek maili, haseł, loginu, lokalizacji geograficznej, podpowiedzi do hasła czy nawet numeru telefonu komórkowego.

Serwis ten posiada również możliwość notyfikacji na twój adres e-mail, jeżeli do takiego wycieku dojdzie. Sam się muszę przyznać do tego, że nie pamiętałem w jakich usługach posiadam dany adres e-mail, a przypomniało mi się o tym, dopiero w momencie notyfikacji na temat wycieku haseł.

Blank Password

W takim przypadku, posiadanie różnych haseł do wielu serwisów jest dużo bardziej bezpieczne. Brak posiadania haseł, też jest dobrym rozwiązaniem.

Co mogę zrobić by lepiej zarządzać hasłami?

Jeżeli posiadamy trudne, losowe hasła do wielu serwisów, to trudno będzie nam je zapamiętać. Zapisywanie wszystkich haseł w pliku Excela nie jest dobrym rozwiązaniem, a niestety nadal ma to miejsce. Hasła w takich dokumentach są przechowywane jawnym tekstem i w razie wycieku takiego pliku, każdy będzie miał dostęp do twoich usług.

Excel Password Template

Inną metodą jest menadżer haseł - specjalnie oprogramowanie, które pozwala w bezpieczny sposób zarządzać hasłami. Na pewno nie jest nim zeszyt schowany w szufladzie z zapisanymi hasłami.

Dobrym rozwiązaniem jest przechowywanie haseł na swoim koncie Google. Korzystając np. z przeglądarki Google Chrome, będziesz mógł zapisać w bezpieczny sposób hasło. Usługa ta umożliwi również sprawdzenie jakości haseł oraz tego czy nie zostały one wykradzione lub złamane.

Jaki wybrać menadżer haseł?

Na rynku mamy naprawdę wiele dostępnych i dobrych programów do zarządzania hasłami. Są takie co działają całkowicie offline oraz takie, które przechowują hasła w chmurze. Do tej pory korzystałem z takich narzędzi jak:

Obecnie korzystam z oprogramowania BitWarden, które jest dostępne na komputery oraz urządzenia mobilne. Umożliwia on synchronizację haseł z wszystkimi urządzeniami, dzięki czemu mamy dostęp do nich praktycznie z każdego potrzebnego nam miejsca.

BitWarden
Oprogramowanie posiada ciekawe i przydatne funkcje jak:

  • narzędzie do sprawdzania jakości haseł,
  • monitorowanie czy dane hasło nie wyciekło z jakiegoś serwisu,
  • raportowanie, że dane hasło wykorzystujemy na wielu różnych stronach,
  • dostęp do haseł z poziomu aplikacji, konsoli lub przeglądarki,
  • udostępnianie haseł innym użytkownikom lub grupom - świetnie nadaje się do przechowywania wspólnych haseł w firmach, zamiast pliku Excela,
  • logowanie do aplikacji za pomocą Active Directory (LDAP), Azure, G Suite, OneLogin, i Okta,
  • dwuskładnikowe uwierzytelnienie
  • i wiele innych.

Przez długi czas korzystałem z aplikacji 1Password, dopóki nie zmienili modelu cenowego, który wielu osobom nie przypadł do gustu.

Jak tworzyć hasła?

Skoro posiadasz już menadżer haseł, to wykorzystaj wbudowany w niego system tworzenia losowych i trudnych haseł. Załatwi on za Ciebie tworzenie haseł.

BitWarden Password Generator

W ten sposób nie trzeba wymyślać skomplikowanych metod tworzenia haseł - robi to za nas oprogramowanie. Jeżeli jednak chcemy sami tworzyć hasła to musimy pamiętać o pewnych zasadach:

  • hasło musi być niesłownikowe - qwerty, qazqwe czy luty123!, to hasła występujące w słownikach służących do łamania haseł,
  • nie korzystaj ze schematów przy tworzeniu haseł - hasło typu MojeAllegro123, MojeFacebook123, pozwala na domyślenie się kolejnych haseł w przypadku złamania jednego z nich,
  • hasło musi być długie i skomplikowane - im dłuższe, zawierające więcej znaków specjalnych, tym jest bezpieczniejsze - atakujący są w stanie sprawdzać miliony haseł na sekundę.

Jak widać na załączonej animacji, złamanie prostego hasła jest naprawdę proste i nie zajmuje dużo czasu. Im bardziej skomplikowane hasło - tym bardziej bezpieczne.

Niestety nie wszystkie serwisy internetowe pozwalają na korzystanie z dowolnie długich haseł lub znaków specjalnych.

Czy trzymanie haseł w chmurze jest bezpieczne?

Tak. I jest napewno bezpieczniejsze niż zapisywanie ich na kartce papieru lub posiadanie jednego hasła do wielu stron. Aplikacje typu BitWarden przechowują hasła w chmurze w bezpieczny sposób np.:

Since all of your data is fully encrypted before it ever leaves your device, only you have access to it. Not even the team at Bitwarden can read your data, even if we wanted to. Your data is sealed with end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256.

Hasła są szyfrowane bezpiecznymi algorytmami - tak przynajmniej zapewniają twórcy. Jeżeli im nie wierzymy, to możemy postawić własny serwer synchronizacji i przechowywania haseł, w przypadku BitWardena.

Czy wymuszanie zmiany hasła jest bezpieczne?

W wielu wymogach dotyczących bezpieczeństwa systemów informatycznych można znaleźć takie oto zalecenia:

Polityka hasłowa, wymuszanie zmiany hasła co 30 dni; jeżeli inne systemy, z których korzystają pracownicy nie wymuszają zmiany haseł pracownik zobowiązany jest do samodzielnej zmiany hasła, przynajmniej co 90 dni.

Zmiana hasła co określony czas ma zwiększyć bezpieczeństwo systemu, jeżeli korzystamy z prostych i krótkich haseł. Kiedy dojdzie do złamania obecnego hasła, Ty już używasz innego w danym systemie.

Niestety ludzie wolą iść na skróty i ułatwiać sobie życie, dlatego wymuszenie zmiany hasła kończy się tworzeniem pewnych schematów, które łatwo odkryć. Użytkownicy, którym wymuszono zmianę haseł, tworzą je coraz prostsze i schematyczne, lub zapisują w niebezpiecznym miejscu. Odkrycie schematu tworzenia danego hasła, ułatwia poznanie kolejnych haseł np.: hasła typu Czerwiec2020!.

Więcej informacji na ten temat można przeczytać na techinfo.uodo.gov.pl.

Pamiętaj o dwuskładnikowym uwierzytelnieniu

Włączenie dwuskładnikowego uwierzytelnienia pozwala na ochronę twojego konta, jeżeli doszło do wycieku hasła. Dlatego aby podnieść poziom bezpieczeństwa, należy włączać to zabezpieczenie w każdym serwisie jaki je udostępnia np.:

  • Facebook
  • Gmail
  • Twitter

Jeżeli korzystamy z aplikacji BitWarden to poinformuje nas ona, w jakich serwisach jeszcze nie włączyliśmy tej metody uwierzytelnienia.

Najpopularniejszym rozwiązaniem są: aplikacja Google Authenticator oraz klucze sprzętowe YubiKey. Dwuskładnikowe uwierzytelnienie za pomocą kluczy jest zdecydowanie bardziej bezpieczne i odporne na niektóre ataki. Lista serwisów, które wspierają dwuskładnikowe uwierzytelnienie jest dostępna na stronie twofactorauth.org.

Logowanie się za pomocą konta Google lub Facebook

Swojego konta jakie posiadasz w Google albo sieciach społecznościowych możesz używać do logowania się na stronach i w aplikacjach innych firm. Dzięki temu nie musisz pamiętać nazw użytkownika ani haseł do poszczególnych kont.

Jest to bardzo wygodna i bezpieczna metoda logowania i rejestracji do danego serwisu. Warto jednak pamiętać, że jeżeli ktoś przejmie dostęp do naszego konta Google, będzie miał dostęp do usług gdzie za pomocą jego się logujemy. Dlatego warto pamiętać, aby konto z jakiego korzystamy do logowania, zabezpieczyć np. za pomocą dwuskładnikowego uwierzytelnienia.

Newsletter

Dołącz do dyskusji

Skontaktuj się ze mną

Chcesz ze mną porozmawiać?

Zostaw numer telefonu, oddzwonię:

Napisz do mnie

Mój adres email:

[email protected]