Problem zarządzania hasłami, w dodatku różnymi i niepowtarzalnymi widzę u wielu osób. Większość albo nie zdaje sobie sprawy, albo nie chce myśleć o tym jakie ryzyka są z tym związane. Jako że sam posiadam dostępy do kilkuset serwisów, opowiem jak robić to szybko i bezpiecznie.
Zacznijmy od początku.
Po co się tym przejmować?
Jeśli z używanej przez Ciebie strony wyciekły hasła, a zdarza się to cały czas (nawet teraz twój login/hasło może krążyć gdzieś po sieci bo jakaś strona zaliczyła wtopę), to musisz zacząć się zastanawiać gdzie jeszcze użyto tego samego hasła. Wyobraź sobie sytuację że nagle musisz się wyprowadzić i zmieniasz adres korespondencyjny. Nie próbując jak najszybciej zmienić adresu w rożnych usługach po takiej sytuacji po prostu prosisz się o kłopoty i niepotrzebne komplikacje.
Nie mamy niestety wpływu na to co dzieje się z innymi stronami – czy ktoś się do nich nie włamuje lub okrada od środka. Mamy za to wpływ na to jakie będą dla nas tego skutki i jak wpłynie to na nasze bezpieczeństwo.
Można rzecz jasna zapamiętywać i generować losowe hasła „w głowie” ale nie oszukujmy się – nie da się tego robić wygodnie i szybko bez wspomagania się odpowiednim programem. Na krótką metę – tak, ale z biegiem czasu… po prostu nie da się.
Zatem, jakie są możliwości?
Podstawa to zawsze wykorzystywać losowe hasło. By się w nich z kolei nie pogubić mamy do wyboru:
- Zapamiętywać hasła w przeglądarce (nie zalecam)
- Zapisywać hasła w pliku na pulpicie (nie zalecam)
- Zapisywać hasła w usłudze w chmurze (zalecam częściowo)
- Zapisywać hasła w lokalnych managerach haseł (zalecam)
Co w takim razie wybrać?
Hasła w przeglądarce
Jest to rozwiązane ciągle rozwijane przez twórców przeglądarek (forma powoli migruje na usługi w chmurze, np Firefox Sync) lecz trzeba mieć świadomość jak łatwo takie hasła można odczytać, nawet przez osobę która na chwilę dorwie się do naszego laptopa (wystarczy pogrzebać w ustawieniach przeglądarki lub odpalić program WebBrowserPassView). Ponadto w przypadku awarii komputera tracimy te hasła, ciężko je nawet jakkolwiek przenieść/odzyskać.
Zdecydowanie polecam zacząć korzystać chociaż z usług w chmurze które w efekcie działają praktycznie tak samo, a eliminują wszystkie (lub część) powyższych wad.
Hasła w pliku na pulpicie
Problem taki sam jak zapisywanie w przeglądarce (jest nawet gorzej, bo można nawet prościej je odczytać). Identycznie działają menadżery haseł – tez otrzymujemy plik tyle, że zaszyfrowany i dużo wygodniejszy w obsłudze, więc po co korzystać z czystego pliku?
Hasła w usługach online
Działają tak samo jak zapamiętywanie haseł w przeglądarce, z tą różnicą że logujemy się na uprzednio założone konto (np w usłudze LastPass którą polecam) i w formie zaszyfrowanej odpowiedni plugin synchronizuje nasze hasła w chmurą. Dalej posiadamy bardzo wygodne automatyczne uzupełnianie haseł przy logowaniu oraz propozycję zapisania hasła po pierwszej rejestracji/logowaniu. Jest po prostu bezpieczniej.
Gdzie jest haczyk?
LastPass (oraz inne usługi tego typu) w całości polega na chmurze. Nie mając dostępu do internetu (a konkretniej do samej usługi) nie odczytamy swoich haseł. Sam LastPass miewał różne awarie (w tym włamania, które według twórców nie zagrażały danym użytkowników), przez co usługa czasem nie działała. Były to jednak skrajne przypadki i moim zdaniem nie należy przez to całkowicie skreślać tych rozwiązań. Awarie się zdarzają i należy po prostu zwracać uwagę na to jak firma podchodzi do tych incydentów i czy wyciąga z nich wnioski.
Raport z włamania do usługi LastPass
Tak czy inaczej, nie zalecam trzymania bardzo ważnych haseł, np do głównego maila czy banku w usłudze LastPass. Raz że jest to usługa obarczona ryzykiem awarii, a dwa że nie ma co polegać na w teorii bezpiecznym szyfrowaniu po stronie przeglądarki. Twórcy zapewniają ze hasła docierają do ich serwerów już zaszyfrowane więc włamanie do ich systemów nic atakującemu nie da. Niestety, dodanie złośliwego kodu do samego pluginu (np przez pracownika, który technicznie jest w stanie to zrobić) jest już jak najbardziej możliwe. Polegamy zatem na wewnętrznych politykach bezpieczeństwa w firmie LastPass, a to jest jakieś ryzyko.
Z usług online jako jedynego narzędzia zalecam korzystać tylko jeśli nie chcemy się rozdrabniać i wolimy trzymać wszystko w jednym miejscu. I tak jest to rozwiązanie dużo lepsze niż zapisywanie haseł na pulpicie/kartce/w przeglądarce.
Na koniec – jest też alternatywa w postaci 1Password, o której wspominam na wypadek gdyby LastPass (technicznie) komuś nie przypadł do gustu.
Hasła w menedżerze haseł
I tutaj zbliżamy się do najbezpieczniejszego technicznie rozwiązania lecz obarczonego koniecznością robienia kopii zapasowych. Menedżery haseł bo o nich mowa działają jako programy lokalne – nie potrzebują internetu, są bardzo dobrze szyfrowane i są całkiem wygodne w obsłudze. Najlepszy w swojej klasie i zarazem najpopularniejszy jest KeePass.
Spełnia wszystkie standardy bezpieczeństwa jakie potrzebowałby nawet najbardziej wymagający użytkownik. Może sam się zamykać przy wylogowywaniu, lub nawet po czasie nieaktywności, posiada wbudowane wersjonowanie haseł i wiele opcji kosmetycznych ułatwiających użytkowanie.
Nie uzupełni on w przeglądarce automatycznie danych do logowania (tak jak LastPass) – trzeba go uruchomić ręcznie i skopiować hasło. Uważam osobiście to za zaletę bo dzięki temu program może pracować kompletnie odizolowany od reszty programów i wyrabiamy sobie pozytywny nawyk korzystania ze swego rodzaju „sejfu” (i zamykanie go gdy z niego nie korzystamy). Istnieją zewnętrzne dodatki które umożliwiają integrację z przeglądarką ale w tym przypadku uważam, że lepiej zaufać prostocie.
Ponadto plik który tworzy KeePass mamy lokalnie na komputerze. Podobnie jak plik tekstowy z hasłami na pulpicie – trzeba robić jego kopie zapasowe. Najwygodniej w tym celu po prostu trzymać plik z hasłami w folderze Dropbox (lub innego dysku w chmurze) i mieć dzięki temu synchronizację automatyczną po dodaniu nowego hasła. Nie znając głównego hasła do pliku KeePass nie ma opcji by się do niego praktycznie włamać.
Podsumowanie
Najlepiej zatem używać obydwu programów (Lastpass + Keepass). LastPass do mniej ważnych usług typu sklepy/fora ale znacznie przyspieszający logowanie do nich. KeePass do danych bankowych, głównych maili czy danych firmowych. Jeśli ktoś nie chce zbytnio komplikować sobie życia a nadal zapamiętuje hasła w głowie, na kartce, w pliku czy przeglądarce – polecam chociaż zacząć korzystać z usługi LastPass. Wzrost bezpieczeństwa naszych haseł o 300% gwarantowany.
Źródło grafiki: https://commons.wikimedia.org/wiki/File:Steal_password.jpg
Ostatnie zdanie jest trochę chybione. Hasła w głowie są najbezpieczniejsze, a narzędzia typu kee pass umożliwiają dostęp do wielu serwisów zabezpieczonych różnymi hasłami, przy pomocy wspólnego hasła.
Zgadza się, hasła zapamiętane w głowie zawsze będą najbezpieczniejsze (hasło do samego keepasa czy lastpassa np warto mieć tylko w głowie). Problem jest z dziesiątkami innych stron – do nich nie sposób zapamiętać wszystkich haseł, tak by każde było inne i bezpieczne (najlepiej losowe) 🙂 PS: dzięki za pierwszy komentarz na blogu 😛
[…] Jeżeli ktoś nie wie, jak tworzyć i zarządzać hasłami, to polecamy krótki poradnik naszego redakcyjnego kolegi Gerarda Stańczaka: Hasła – jak robić to dobrze i bezpiecznie. […]
[…] ciekawy artykuł na ten temat opublikował Gerard Stańczak na swoim blogu: Hasła – jak robić to dobrze i bezpiecznie. Polecamy się z nim zapoznać, zanim przejdziecie do reszty naszego […]