Na przeczytanie potrzebujesz 5 minut(y).
Według przeprowadzonego w 2020 roku badania przeciętny użytkownik Internetu wykorzystuje około 100 haseł, by logować się do mediów społecznościowych, sklepów internetowych czy serwisów streamingowych. Co zrobić, żeby zadbać o bezpieczeństwo haseł i się w nich nie pogubić?
Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 02/2021.
Dowiesz się
- Co to jest manager haseł i jak z niego korzystać.
- Jak wygenerować losowe hasło.
Potrzebna wiedza
- Jak pobierać i instalować aplikacje na komputerze.
Bezpieczeństwo haseł
Żyjemy w XXI wieku – odcisk palca daje możliwość zalogowanie się do komputera, skan twarzy odblokowuje telefon, a barwa i ton głosu pozwalają na uwierzytelnienie klienta w trakcie rozmowy z konsultantem bankowości elektronicznej. To bardzo wygodne i powszechnie stosowane rozwiązania. Wiele osób zapomina jednak o tym, że jeżeli któraś z tych metod zawiedzie, dalej możliwe będzie skorzystanie z numeru PIN czy ustalonego wcześniej hasła, aby uzyskać dostęp do zasobów komputera, telefonu czy konta w banku. Dlatego ustawienie bezpiecznego hasła, (a gdzie to możliwe - konfiguracja dwuskładnikowego uwierzytelniania) powinno stanowić priorytet dla każdego użytkownika Internetu.
Nowe wytyczne międzynarodowej organizacji związanej z bezpieczeństwem NIST zalecają korzystanie z jak najdłuższych haseł. To właśnie długość hasła jest ważniejsza od jego poziomu skomplikowania. Jak stworzyć silne i łatwe do zapamiętania hasło? Poniżej przykład:
- Wymyśl sobie jakieś zdanie, które będzie dla ciebie łatwe do zapamiętania – na przykład „Mam dwanaście lat i mam dużego brata”.
- Usuń spacje, polskie znaki, zamień słowo „dwanaście” na cyfrę i dodaj znak specjalny (na przykład „kropkę”) na końcu zdania. Otrzymasz hasło: „Mam12latimamduzegobrata.”. W tym momencie mamy 24-znakowe hasło, które zawiera w sobie duże i małe litery, cyfry i znak specjalny w postaci kropki.
Pamiętajmy jednak, że bardzo złą praktyką jest to, aby do każdego serwisu internetowego mieć ustawione to samo hasło, ponieważ w przypadku „wycieku” hasła przestępcy otrzymają dostęp do wszystkich naszych kont. Jak? Przestępcy będą próbowali zalogować się przy pomocy wykradzionych danych do popularnych serwisów. W końcu trafią na taki, w którym mamy założone konto, z hasłem, które już znają. Jeżeli koniecznie chcemy ćwiczyć naszą pamięć, możemy generować za pomocą zaproponowanej metody różne hasła do każdego serwisu internetowego. Możemy również wykorzystać do tego specjalny program nazywany „managerem haseł” (ang. password manager).
Ciekawostka
Niektóre oprogramowania służące do zarządzania hasłami, na przykład 1Password czy Firefox Lockwise, poinformują użytkownika, gdy ich dane znajdą się w internetowym „wycieku”, i poproszą go o zmianę haseł związanych z incydentem. Możesz też samodzielnie sprawdzić, czy twoje dane nie wyciekły, korzystając z darmowego serwisu Have I Been Pwned.
Co to jest manager haseł?
Manager haseł to oprogramowanie komputerowe, które pozwala generować silne (czyli długie, losowe i skomplikowane) hasła, a następnie zapisać je w pamięci komputera, telefonu lub nawet w chmurze. Pomyśl o nim, jak o cyfrowym sejfie, który będzie przechowywał ważne dla ciebie dane. W przeciwieństwie do haseł przechowywanych w formie zwykłego tekstu (ang. plain text, Ilustracja 1) hasła znajdujące się w managerze haseł są zaszyfrowane z wykorzystaniem silnych i sprawdzonych mechanizmów kryptograficznych i aby uzyskać do nich dostęp, musisz znać do nich hasło główne (Ilustracja 2).
Dlaczego warto korzystać z managera haseł? Z kilku powodów:
- Może utworzyć za ciebie unikatowe hasła do każdej witryny lub aplikacji.
- Przechowuje hasła bezpiecznie na twoim komputerze, telefonie lub w chmurze.
- Wszystkie są zaszyfrowane i zabezpieczone przed dostępem innej, niepowołanej osoby (Ilustracja 2).
- Potrafi integrować się z przeglądarką internetową, umożliwiając tym samym wpisywanie haseł z użyciem jednego, wygodnego przycisku lub skrótu klawiszowego.
Warto wiedzieć
Manager haseł może służyć również do przechowywania:
- zapasowych kodów utworzonych w trakcie dodawania aplikacji mobilnej w procesie dwuskładnikowego uwierzytelniania (2FA),
- kluczy licencyjnych do gier i programów,
- wrażliwych danych osobistych (numeru dowodu osobistego czy numeru PESEL),
- małych plików.
Który manager haseł wybrać?
Wszystko zależy od tego, z jakich systemów operacyjnych korzystasz na co dzień na swoim komputerze (Windows/macOS/Linux) oraz na swoim urządzeniu mobilnym (iOS/Android). Na rynku istnieją między innymi takie rozwiązania jak 1Password, LastPass, Bitwarden czy KeePass. Niektóre z nich są płatne i funkcjonują w postaci stron internetowych przechowujących dane w chmurze, inne to programy do zainstalowania na własnym komputerze lub telefonie, zapisujące plik z hasłami na lokalnym urządzeniu.
W ramach ćwiczeń zainstalujemy i skonfigurujemy manager haseł KeePass na systemie Windows. Jest to darmowa aplikacja, którą każdy może zainstalować na swoim komputerze. Plik z hasłami przechowywany jest lokalnie na dysku użytkownika.
Wejdź na stronę https://keepass.info/, wybierz z menu po lewej stronie Downloads i pobierz najnowszą wersję oprogramowania (w momencie pisania artykułu była to wersja 2.47).
Instalując oprogramowanie, będziesz musiał/a wybrać preferowany język oraz ścieżkę instalacyjną.
Zależnie od preferencji, w trakcie instalacji zaznacz opcję „Utwórz skrót na pulpicie”. Jeżeli nie jesteś doświadczonym użytkownikiem, pozostałe opcje pozostaw w domyślnej konfiguracji. Po zakończeniu instalacji uruchom aplikację KeePass.
W lewym górnym rogu, z menu wyboru opcji File wybierz New (lub użyj skrótu klawiszowego Ctrl+N), by stworzyć pierwszą bazę haseł. Aplikacja poprosi o podanie nazwy i wybranie miejsca do przechowywania pliku o rozszerzeniu .kdbx (jest to format obsługiwany przez oprogramowanie KeePass). Kolejnym krokiem jest ustalenie hasła głównego do naszej bazy haseł, która będzie przechowywana w tym pliku. Ja posłużę się hasłem, które zaproponowałem na początku artykułu (Mam12latimamduzegobrata.), ale ty utwórz własne.
Uwaga! Jeżeli zapomnisz hasła do głównego pliku, nie będziesz mógł/mogła uzyskać dostępu do odszyfrowanej zawartości, dlatego dobrze przemyśl i zapamiętaj swój wybór.
Nowe wpisy do bazy tworzymy przez naciśnięcie ikony klucza z zieloną strzałką (lub przez naciśnięcie skrótu Ctrl+i).
Każda nowa pozycja ma losowo wygenerowane hasło, które można modyfikować ręcznie lub przy wykorzystaniu generatora haseł.
Wszystkie dodane rekordy dostępne są w głównym panelu. Dwukrotne kliknięcie na nazwę rekordu powoduje jego otwarcie. Dwukrotne kliknięcie w kolumnie hasła danego wiersza powoduje skopiowanie tego hasła do schowka - skopiowane hasło dostępne będzie w schowku jedynie przez 10 sekund.
Ciekawostka
Możesz dodatkowo zabezpieczyć dostęp do managera haseł, wymagając od użytkownika podania lokalizacji pliku z kluczem (ang. key file). Baza haseł zostanie odszyfrowana, tylko jeśli użytkownik poda prawidłowe hasło oraz wskaże lokalizację wcześniej ustalonego pliku z kluczem. Takie zabezpieczenie często stosowane jest przez osoby, które decydują się na tworzenie kopii zapasowej bazy danych managera haseł w chmurze (ang. cloud).
Naciśnięcie skrótu klawiszowego Ctrl+L powoduje ponowne zaszyfrowanie pliku z hasłami. Plik zostanie również zaszyfrowany, jeżeli zamkniemy aplikację. Po kolejnym otwarciu aplikacji KeePass wymagane jest podanie hasła głównego.
Zainstalowanie managera haseł i utworzenie pliku z bazą haseł to dopiero pierwszy krok, by poznać to rozbudowane narzędzie. KeePass pozwala między innymi na:
- tworzenie notatek do haseł
- przechowywanie plików
- integrację z przeglądarką internetową, umożliwiając tym samym automatyczne wpisywanie haseł do zapisanych stron z użyciem jednego, wygodnego przycisku lub skrótu klawiszowego.
Gorąco zachęcam do zapoznania się z wszystkimi funkcjami i wtyczkami aplikacji KeePass.
Warto wiedzieć
Zrób kopię zapasową pliku, który zawiera bazę haseł wykorzystywanych przez managera haseł. Zapisz ją na innym nośniku danych (na przykład na pendrivie). Wraz z upływem czasu do twojego managera haseł będą dochodziły kolejne pozycje, dlatego regularnie twórz kopie zapasowe bazy.
Zapamiętaj
- Ustaw silne, ale łatwe do zapamiętania hasło do managera haseł.
- Zrób kopię zapasową zaszyfrowanego pliku z hasłami.
Ćwicz w domu
- Wygeneruj losowe hasła za pomocą managera haseł.
- Zacznij od mniej znaczących serwisów, żeby nabrać wprawy w korzystaniu z managera haseł.
Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:
- Nie daj przestępcy ukraść swojego konta gamingowego, czyli co to jest dwuskładnikowe uwierzytelnianie i dlaczego jest ważne?
- Jak rozpoznać phishing?
- Zabezpieczamy domową sieć przed stronami wyłudzającymi od nas dane - gościnny wpis w serwisie Sekurak.pl
- O czym pamiętać konfigurując router
- Jak zabezpieczyć pocztę e-mail?
- Znajdź wirtualną flagę
- Uczymy się szyfrować pliki
- Kopia bezpieczeństwa
- Bezpieczeństwo systemów satelitarnych
- Piractwo komputerowe
- Czym jest honeypot?
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.
Eee... Już na samym początku - po jaki wuj usuwać spacje ze zdania? Spacja świetnie, "wydłuża" hasło będąc znakiem specjalnym.
Dla mnie obecnie KeePass ma wadę w postaci skomplikowanej obsługi na urządzeniach mobilnych. Dlatego zastanawiam się czy dla osób nietechnicznych które dotychczas nie korzystały z managerów haseł, lepszym wyborem nie byłoby korzystanie z managera haseł wbudowanego w przeglądarkę. W tym przypadku zapisywane byłyby wszystkie hasła poza tymi najbardziej wrażliwymi jak np. dane logowania się do banku. Nie wiem tylko czy do tej grupy zakwalifikować także hasła do kont pocztowych i społecznościowych.
Jak Waszym zdaniem wygląda porównanie w kwestii bezpieczeństwa haseł pomiędzy rozwiązaniami chmurowymi np. Bitwarden, a rozwiązaniami stosowanymi w przeglądarkach?
Bardzo ciekawy wpis