Skoro już wiecie, że warto mieć długie i unikatowe hasła, to czas zadbać o ich bezpieczne przechowywanie. Czy zeszycik z hasłami to zły pomysł? Czy można zapisywać hasła w przeglądarce? Czy menedżer chmurowy to zło? Odpowiedzi poniżej.
Przez kolejne dni będziecie mogli przeczytać nasze rekomendacje na temat tego, jak hasła tworzyć, jak je przechowywać, czym je najlepiej wzmocnić i jak zabezpieczać urządzenia mobilne, a ostatniego dnia odpowiemy na wasze najczęstsze pytania z tego obszaru. W poniedziałek pisaliśmy o tworzeniu haseł, dzisiaj z kolei opowiemy o ich przechowywaniu
Cały cykl znajdziecie tu:
- Część 1, czyli jak tworzyć hasła,
- Część 2, czyli jak przechowywać hasła,
- Część 3, czyli które metody uwierzytelnienia dwuskładnikowego mają sens,
- Cześć 4, czyli jak zabezpieczać urządzenia mobilne i czy ufać biometrii,
- Cześć 5, czyli najczęściej zadawane pytania.
Karta, zeszyt i notesik
Być może trafiliście kiedyś na zdjęcie „zeszytu do przechowywania haseł”, który był wyśmiewany w sieci. Nie śmiejcie się z zeszytów do przechowywania haseł. To dobra metoda – chociaż nie dla wszystkich. Ale jeśli wasi rodzice lub dziadkowie mają mieć różne hasła w różnych serwisach (pamiętacie porady z pierwszego odcinka?), to prawdopodobnie zeszyt będzie najprostszym rozwiązaniem. Jeśli możecie ich nauczyć używania menedżera haseł, to super. Ale jeśli nie, to pamiętajcie, że do zeszytu haker się nie włamie.
Oczywiście zapisywanie haseł na żółtych karteczkach i chowanie ich pod klawiaturą (lub przyklejanie do monitora) to zła praktyka – ale pozwólcie innym używać zeszytów, jeśli miejsce, gdzie przechowują zapisane na papierze hasła, nie jest odwiedzane przez osoby mogące wyrządzić im szkodę. Korzyść z posiadania różnych haseł w różnych miejscach jest o wiele większa niż ryzyko, że włamywacz wejdzie do mieszkania i po znalezieniu zeszytu z hasłami waszych dziadków włamie się im na pocztę i ukradnie zdjęcia z wakacji.
Pamięć (nie)ulotna
Są osoby, które wolą swoje hasła powierzać wyłącznie swojej pamięci. To ambitne zadanie i optymistyczne spojrzenie w przyszłość. Posiadanie osobnego hasła do każdego serwisu oznacza często konieczność posiadania od kilkudziesięciu do kilkuset haseł (autor ma ponad 500) – jest zapewne w Polsce kilka osób, które potrafią je zapamiętać, ale reszta potrzebuje innych rozwiązań. Niektórzy próbują stosować schematy tworzenia haseł (np. stały ciąg znaków plus domena serwisu), ale to niezbyt sensowna metoda. Po pierwsze powoduje, że średnio inteligentny haker zauważy wzorzec i użyje go, by odgadnąć hasło w innym serwisie, po drugie wiele serwisów ma tak absurdalne wymagania wobec haseł, że hasło utworzone tą metodą może ich nie spełniać – i co wtedy? Nie polecamy tej metody.
Mniej ortodoksyjnym podejściem jest zapamiętywanie 2-3 haseł, np. hasła do szyfrowania dysku twardego, hasła do logowania w systemie operacyjnym i hasła do odblokowania menedżera haseł. To podejście brzmi sensownie, ale nie uwzględnia istotnego ryzyka, jakim jest ulotność pamięci czy to wskutek upływu lat, czy np. choroby lub urazu. Warto mieć to na uwadze i zastosować metodę „zapasową”, np. zapisane istotne hasła schować w oczywistym dla siebie miejscu lub powierzyć w zamkniętej kopercie zaufanej osobie. Tu już każdy musi problem rozwiązać zgodnie ze swoją oceną ryzyka.
To może w przeglądarce?
Dzisiaj (chyba) wszystkie popularne przeglądarki oferują możliwość zapamiętywania haseł. To rozwiązanie ma wiele zalet, jedną dużą wadę i budzi wiele emocji wśród ekspertów bezpieczeństwa. Używać czy nie używać?
Zacznijmy od zalet. Po pierwsze, ta metoda jest dostępna od ręki, dla każdego użytkownika przeglądarki a do tego za darmo. Jest wygodna, zarówno zapisywanie, jak i późniejsze użycie haseł jest zintegrowane z przeglądarką, więc nie wymaga prawie żadnej edukacji użytkownika. Posiadanie tej samej przeglądarki na różnych urządzeniach umożliwia łatwe włączenie automatycznej synchronizacji haseł, np. między komputerem a telefonem. Menedżer haseł wbudowany w przeglądarkę może także proponować złożone, losowe hasła. Ponadto menedżer haseł w przeglądarce ułatwia rozpoznanie phishingu – jeśli adres strony będzie nieprawidłowy, nie zaproponuje automatycznego wpisania hasła. Brzmi świetnie, prawda?
Niestety ta wygoda wiąże się także z dużą wadą. Z uwagi na fakt, że wielu użytkowników chętnie zapisuje hasła w przeglądarkach, twórcy złośliwego oprogramowania chętnie „obsługują” przeglądarki. Dedykowane narzędzia, tzw. „stealery”, wyciągają zapisane hasła z przeglądarek i innych programów (np. klientów FTP, VPN, komunikatorów itp.) i przesyłają na serwery przestępców. Oznacza to, że nawet jednokrotne uruchomienie złośliwego oprogramowania na naszym komputerze może powodować utratę wszystkich zapamiętanych w przeglądarce haseł naraz.
Często w tym miejscu natrafiamy na pytanie „no i co z tego, skoro malware jest na komputerze, to może też ukraść bazę menedżera haseł, podsłuchać wpisywane hasła na poziomie przeglądarki czy przez zwykłego keyloggera”. To prawda, jednak wymaga to więcej pracy po stronie atakującego. Kradzież haseł z przeglądarki jest procesem zautomatyzowanym, przeprowadzanym dzisiaj na masową skalę. Z drugiej strony „stealery” próbujące wyciągać dane z dedykowanych menedżerów haseł są rzadkością. Te najpopularniejsze zadowalają się prostszymi atakami na przeglądarki i inne programy. Oczywiście zawzięty, niewykryty napastnik może wykraść plik danych menedżera haseł, podsłuchać hasło główne i dobrać się do repozytorium sekretów – ale to dużo trudniejsze zadanie niż rozesłanie e-maila ze stealerem.
Podsumowując ten akapit: przechowywanie różnych haseł w przeglądarce jest dużo lepsze, niż posiadanie wszędzie tego samego hasła i trzymanie go w pamięci. Jednocześnie lepszym (choć bardziej skomplikowanym) rozwiązaniem jest używanie dedykowanego menedżera haseł.
Trochę więcej o przechowywaniu haseł w przeglądarkach i różnicach między Chrome’em a Firefoksem możecie przeczytać z jednym z poprzednich artykułów tego cyklu.
Menedżery haseł
Dedykowany menedżer haseł jest powszechnie uznawany za najlepsze rozwiązanie problemu przechowywania haseł. Szczegółowy opis kilku najpopularniejszych rozwiązań znajdziecie w świetnym artykule Ani. My postaramy się spojrzeć na wady i zalety całej kategorii tych rozwiązań.
Jak uzasadnialiśmy wyżej, dedykowany menedżer haseł daje większy poziom bezpieczeństwa dzięki temu, że hasła przechowuje w bezpieczny sposób, chronione hasłem głównym i nie jest domyślnie obsługiwany przez złośliwe oprogramowanie wykradające dane. Z drugiej strony jego niezależność od przeglądarki powoduje, że szukając wygody musimy jego działanie uzupełniać dodatkowymi wtyczkami, które go z przeglądarką zintegrują lub odpowiednio konfigurować, by rozpoznawał okno aplikacji i miejsce, gdzie powinien wpisać za nas hasło. To właśnie konieczność konfiguracji jest jedną z jego istotnych wad. Do tego nie każdy lokalny menedżer taką wtyczkę do przeglądarki posiada.
Drugą wadą jest połączenie problemu wygody z problemem odpłatności. Wcześniej wskazywane rozwiązania są bezpłatne. Istnieją też darmowe menedżery haseł (lub wersje bezpłatne komercyjnych programów o ograniczonych funkcjach), lecz najczęściej wymagają one ręcznej konfiguracji synchronizacji haseł między różnymi urządzeniami. Rozwiązania wygodniejsze, z automatyczną synchronizacją i wygodną integracją z przeglądarką, kosztują kilka-kilkanaście złotych miesięcznie.
Menedżery z automatyczną synchronizacją danych budzą także obawy części użytkowników w stylu „ale jak to, dane w chmurze, po moim trupie”. Oczywiście mając jedno urządzenie, na którym używamy haseł, możemy nie przejmować się ich synchronizacją, jednak pewnie mało kto nie potrzebuje swoich haseł przynajmniej na dwóch urządzeniach. W przypadku lokalnych menedżerów haseł możemy to rozwiązać za pomocą usług takich jak Google Drive czy Dropbox (lub samodzielnie postawionego hostingu), gdzie zapiszemy nasz zaszyfrowany sejf z hasłami. Z kolei w przypadku menedżerów „chmurowych”, takich jak Dashlane czy 1Password, trzeba zaufać zabezpieczeniom stosowanym przez producenta menedżera. Jak do tej pory incydent, który doprowadził do wycieku haseł klientów, dotknął tylko producenta mniej popularnego menedżera haseł Passwordstate. Oceniamy, że szanse na podobny incydent u dużych dostawców są niewielkie (ostatni incydent w LastPass nie dotknął haseł klientów), jeśli zatem menedżer chmurowy spełnia wasze wymagania funkcjonalne, a koszt wam nie przeszkadza, to nie widzimy przeszkód, by z niego korzystać. Oczywiście podobny efekt możecie osiągnąć, wkładając nieco pracy w konfigurację lokalnego menedżera, np. KeepassXC.
No dobrze, a co z rozwiązaniami typu „pęk kluczy” Apple?
Pęk kluczy Apple to tak naprawdę wbudowany dedykowany menedżer haseł na platformy iOS, iPad OS i MacOS. Co ciekawe, jest także dostępny na platformie Windows poprzez aplikację iCloud i odpowiednie wtyczki do przeglądarek.
Podsumowanie
Każde rozwiązanie, które pozwoli wam używać unikatowych haseł, jest dobre. Dla osób bez umiejętności technicznych zeszyt czy zapamiętywanie haseł w przeglądarce to dobry pomysł, osobom bardziej uzdolnionym polecamy dedykowany menedżer haseł. Róbcie z niego dobry użytek – generujcie nowe, inne hasło w każdym miejscu i bezpiecznie je zapamiętujcie.
Macie pytania dotyczące haseł? Piszcie je od razu w komentarzach, odpowiemy w kolejnych odcinkach.
Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.
Komentarze
Ignorujecie Bitwardena. W wersji darmowej ma wystarczająco dużo funkcji, żeby zaspokoić proste potrzeby, w płatnej więcej funkcji. W dodatku jest open source i można go postawić na swoim vps czy domowym serwerze.
Nie ignorujemy – został uwzględniony w podlinkowanym artykule, opisującym menedżery haseł bardziej szczegółowo: https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-menedzery-hasel-ktory-wybrac-i-jak-go-uzywac/
Pytanie:
Jestem ciekawy stopnia ryzyka różnych sposobów uzupełniania haseł do bankowości internetowej i innych ważnych kont. Który z poniższych sposobów jest najmniej i najbardziej bezpieczny?
Wpisywanie haseł na zwykłej klawiaturze, wpisywanie haseł na klawiaturze wirtualnej, uzupełnianie za pomocą wtyczki menedżera haseł, ręczne skopiuj i wklej z menedżera haseł, włączenie hasła maskowanego …
Dzięki, bardzo fajny poradnik, zgodny również z moimi ocenami ryzyka :)
Poruszyłbym jeszcze jedną kwestię związaną z korzystaniem z manadżerów, czyli kopiowanie haseł do schowka. Na ile realne jest zagrożenie wykradzenia hasła i czy lepiej skorzystać ze wspomnianych wtyczek w przeglądarce?
Jestem ciekaw też Waszej oceny zabezpieczania menadżera haseł poprzez MFA (np. z wykorzystaniem U2F lub dodatkowego pliku .key wgranego lokalnie na urządzenie lub w innej chmurze niż baza danych z hasłami).
Nie wiem jak inne managery, ale KeePassXC potrafi czyścić schowek po zdefiniowanym czasie (np. 5s)
Niestety żadne z tych rozwiązań nie jest dobre. W artykule piszą że niestety ale zawsze na kogoś trzeba liczyć i zaufać. To tak jak z dużą firmą – czym większa firma tym większy bałagan w firmie. Czy jest jakieś rozwiązanie tego problemu – odpowiedź brzmi – tak jest tylko jedno rozwiązanie tego problemu ale nie podane w tym artykule jak i poprzednim artykule.
Może znajdzie się w kolejnym tekście z tego cyklu ;-)
Głosują za KeePassem XC, nie jest problemem przegrać plik bazy danych z komputera na telefon i tablet, a dodatkowo zrobić kilka kopii na dyskach i pendrive czy u rodziny na komputerach.
Dodatkowo zyskujemy fajny generator haseł, układanie haseł w grupy, podgląd, kiedy dane hasło było modyfikowane, tak aby hasła dawno nie zmieniane zmieniać itp. Możliwość używania hasła z kluczami typu Youbikey i wiele więcej ciekawych rzeczy.
A to wszystko open source i za darmo.
Głosuję oczywiście miało być
a co z adblockerami które sczytują każde naszą aktywność wciśnięcie klawisza czy to wpisując czy wklejająć hasła i loginy na oknie przeglądarki widać wszystko co darmowe ma swoją cene ?
Pomyliłeś adblocka z keyloggerem.