Podstawy Bezpieczeństwa: Menedżery haseł – który wybrać i jak go używać

dodał 31 marca 2020 o 21:03 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Menedżery haseł – który wybrać i jak go używać

Zapamiętanie wszystkich skomplikowanych haseł, których używamy w internecie, jest w zasadzie niemożliwe, a zapisywanie ich w jakimś pliku na dysku lub na kartce leżącej obok monitora – to zachowanie nierozważne. Na pomoc przychodzą menedżery haseł.

O konieczności używania trudnych do odgadnięcia haseł słyszał chyba każdy mający styczność z internetem. Po wielu latach powtarzania, że dobre hasło powinno zawierać duże i małe litery, cyfry oraz znaki specjalne, eksperci zaczęli coraz większą wagę przywiązywać do jego długości. Z każdym dodanym znakiem trudność złamania wymyślonego przez nas hasła rośnie, stąd prosty wniosek – im więcej znaków, tym lepiej. Istotne jest także nieużywanie tych samych haseł na kilku stronach jednocześnie. Jeśli dojdzie do włamania na jedną z nich i przestępcom uda się wykraść bazę danych, to ktoś na pewno sprawdzi, czy za pomocą zawartych w niej haseł można zalogować się w innych serwisach. To obecnie jeden z najczęściej wykorzystywanych scenariuszy ataku.

Jak jednak zapamiętać te wszystkie skomplikowane hasła, które tworzymy, korzystając z internetu? Bardziej zaawansowani użytkownicy sieci wiedzą, że wcale nie musimy tego robić – wystarczy posłużyć się menedżerem haseł. Na rynku jest wiele tego typu rozwiązań, w tym artykule pokażemy kilka najlepszych, wyjaśniając w przystępny sposób, jak ich używać.

Podstawy Bezpieczeństwa
Artykuł rozpoczyna nowy cykl pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Będziemy w nim radzić, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą.

KeePassXC

Strona WWW: keepassxc.org

Producent: KeePassXC Team

Koncepcja: oprogramowanie open source na licencji GNU GPLv3, dostępne także w wersji portable (niewymagające instalacji); dane przechowywane lokalnie; możliwość synchronizacji haseł pomiędzy urządzeniami za pośrednictwem dowolnej, wybranej przez użytkownika usługi chmurowej (np. iCloud, Google Drive, Dropbox)

Koszt: oprogramowanie całkowicie bezpłatne

Obsługiwane platformy: Windows, macOS, Linux, warunkowo Android i iOS

Obsługiwane przeglądarki: Google Chrome, Mozilla Firefox, Chromium, Vivaldi, Brave, Microsoft Edge, Tor Browser

Szyfrowanie: AES, Twofish, ChaCha20 (we wszystkich przypadkach 256-bit) z funkcją derywacji klucza Argon2 (KDBX 4) lub AES-KDF (KDBX 4/3.1)

Aktualna wersja: 2.5.3 (wyd. 19.01.2020)

KeePassXC wywodzi się od dobrze znanego i szeroko polecanego menedżera haseł KeePass Password Safe, który z biegiem lat doczekał się wielu bardziej i mniej oficjalnych portów:

Oryginalny program, rozwijany od 2003 r. przez Dominika Reichla, został stworzony w środowisku .NET firmy Microsoft. W systemach innych niż Windows można go więc uruchomić tylko za pośrednictwem projektu Mono. Zależało nam na rozwiązaniu, które nie przerośnie użytkowników stopniem skomplikowania, dlatego nasze zestawienie otwiera wieloplatformowy zamiennik KeePassa, znany jako KeePassXC. Można go z powodzeniem używać w systemach Windows, macOS i Linux. W przypadku platform mobilnych najlepsze dopasowanie uzyskamy, instalując Strongbox na iPhone’ach i iPadach oraz KeePass2Android na urządzeniach z Androidem. Jako że program jest rozwijany na zasadach licencji open source, każdy znający się na rzeczy człowiek może zajrzeć do kodu źródłowego i zweryfikować jego bezpieczeństwo. Dla wielu dużym plusem będzie możliwość przechowywania stworzonej bazy danych w dowolnie wybranej lokalizacji – zarówno na urządzeniu podręcznym, jak i w chmurze, jeśli zajdzie konieczność zsynchronizowania haseł pomiędzy urządzeniami.

Z instalacją programu poradzi sobie nawet laik, ze strony projektu można zresztą pobrać wersję portable. Przy pierwszym uruchomieniu będziemy mogli stworzyć nową bazę danych lub otworzyć już istniejącą.

Proces tworzenia nowej bazy jest kilkuetapowy, ale przeciętny użytkownik spokojnie może poprzestać na domyślnych ustawieniach.

Najważniejszym zadaniem, jakie nas czeka, jest wymyślenie hasła głównego – trudnego do odgadnięcia, ale łatwego do zapamiętania. Możemy oczywiście skorzystać z dostępnego w programie generatora, ale w takim przypadku drugi warunek raczej nie zostanie spełniony. Lepszą alternatywą będzie hasło wielowyrazowe, tworzące jakąś frazę, np. Dbaj-o-siebie-i-innych-Zostan-w-domu. Dodatkowym zabezpieczeniem może być wygenerowany na tym etapie plik klucza. Warto też zwrócić uwagę na opcjonalne dwuskładnikowe uwierzytelnianie za pośrednictwem klucza sprzętowego YubiKey (w modelu challenge-response).

Po stworzeniu bazy danych możemy przystąpić do dodawania nowych wpisów i ich grupowania według własnych potrzeb. KeePassXC sprawdzi się też jako klient TOTP (Time-based One-time Password Algorithm), może bowiem generować zależne od czasu jednorazowe kody, służące do weryfikacji dwuetapowej.

Tworząc nowe wpisy, nie musimy zawracać sobie głowy wymyślaniem haseł – najrozsądniejszym wyborem będzie skorzystanie z rozbudowanego generatora. W tym celu musimy kliknąć ikonę czarnego sześcianu obok pola „Powtórz”.

KeePassXC wspiera zarówno logowanie metodą kopiuj-wklej, jak i autowypełnianie pól. Najbardziej efektywnym sposobem wykorzystania menedżera haseł jest jednak zintegrowanie go z przeglądarką. Możemy to zrobić w ustawieniach.

Kolejnym krokiem jest zainstalowanie odpowiedniej wtyczki w wybranych przeglądarkach. Twórcy programu polecają KeePassXC-Browser, którą znajdziemy na stronach z dodatkami Mozilli, Google’a i Microsoftu. Po dodaniu tej wtyczki np. do Chrome’a zobaczymy informację o tym, że trzeba ją sparować z naszym menedżerem haseł. W tym celu klikamy „Połącz”.

KeePassXC poprosi nas wówczas o nadanie połączeniu unikatowej nazwy. Po jej wpisaniu klikamy „Zapisz i zezwól na dostęp”.

Od tego momentu będziemy mogli logować się w odwiedzanych przez nas serwisach, używając zapisanych w bazie loginów i haseł. Co istotne, wtyczka nie zadziała na stronach phishingowych, wykorzystujących w adresie URL literówki i podobnie wyglądające znaki z innych języków.

Do największych wad tego programu można zaliczyć brak wbudowanej synchronizacji haseł między urządzeniami. Problem ten można stosunkowo łatwo rozwiązać, umieszczając plik bazy danych w dowolnej usłudze chmurowej – do wyboru mamy Dropbox, iCloud, Google Drive, OneDrive, Nextcloud itd. Aby móc z tego pliku skorzystać na innym urządzeniu, musimy go po prostu zapisać w katalogu, który synchronizujemy z chmurą.

Nie należy się przy tym obawiać wycieku naszych haseł, ponieważ KeePassXC używa naprawdę mocnych algorytmów szyfrowania. Jeśli więc wymyślimy długie i trudne do odgadnięcia hasło główne, to nic nam nie grozi.

Dashlane

Strona WWW: www.dashlane.com

Producent: Dashlane

Koncepcja: oprogramowanie komercyjne, dane przechowywane na platformie chmurowej Amazon AWS

Koszt: wersja bezpłatna (Free) pozwala zapisać tylko 50 haseł na jednym urządzeniu, opłacenie wersji Premium umożliwia synchronizację dowolnej liczby haseł pomiędzy nieograniczoną liczbą urządzeń, koszt to 3,33 USD/mies. (przy płatności rocznej); istnieje też wersja Business

Obsługiwane platformy: Windows, macOS, Android, iOS

Obsługiwane przeglądarki: Google Chrome, Safari, Mozilla Firefox, Internet Explorer, Microsoft Edge

Szyfrowanie: AES-256 z CBC-HMAC i wybór między Argon2d a PBKDF2-SHA2

Aktualna wersja: 6.2011.0 (wyd. 16.03.2020)

Darmowa wersja Dashlane jest prostym menedżerem haseł, który może się sprawdzić w przypadku osób niezbyt intensywnie korzystających z internetu. Pozostałym bardziej się przyda wersja Premium, która umożliwia m.in. synchronizację haseł między różnymi urządzeniami (program niestety nie działa w systemach z rodziny Linux). Użytkownicy rozszerzonej wersji mogą bezpiecznie współdzielić dane z dowolną liczbą kont, mają ponadto możliwość użycia klucza sprzętowego YubiKey w procesie dwuskładnikowego uwierzytelniania. Warto też wspomnieć o udostępnionej im sieci VPN – w odróżnieniu od innych funkcji nie da się jej niestety przetestować bez opłacenia rocznej subskrypcji, firma udziela jednak 30-dniowej gwarancji zwrotu pieniędzy. Poniżej zamieszczamy porównanie obu wersji menedżera:

Po zainstalowaniu programu – w celu utworzenia konta – musimy podać adres e-mail oraz wymyślić hasło główne (Dashlane pilnuje, by nie było ono zbyt proste).

Od razu otrzymujemy też propozycję dodania wtyczki do przeglądarki Chrome. Konieczne będzie wpisanie specjalnego kodu autoryzacyjnego.

Od tego momentu będziemy mogli logować się na odwiedzanych przez nas stronach za pośrednictwem Dashlane. Warto w tym miejscu wspomnieć o możliwości łatwego importowania haseł z popularnych przeglądarek, innych menedżerów oraz plików CSV. Z poziomu głównego okna programu zainstalujemy też inne wtyczki – zakładka „Extensions”.

Tworzenie nowych wpisów jest banalnie proste. Prócz haseł możemy w programie przechowywać dane osobowe (mniej i bardziej wrażliwe, w tym np. numery paszportów w sekcji „IDs”), szczegóły kart płatniczych, informacje o dokonanych zakupach oraz różne rodzaje notatek. Program został też oczywiście wyposażony w generator silnych haseł.

Hasłami i notatkami bez trudu możemy się dzielić z innymi osobami. Istnieje także możliwość przyznania dostępu do naszych danych zaufanej osobie na wypadek sytuacji awaryjnej – sekcja „Emergency”.

Na szczególną uwagę zasługuje dostępna w wersji Premium funkcja Dark Web Monitoring, która sprawdza, czy zapisywanych w programie haseł nie ma wśród tych, które wyciekły z różnych serwisów i zostały wystawione przez przestępców na sprzedaż.

Po wykryciu naruszeń bezpieczeństwa danych Dashlane wyświetla spersonalizowane ostrzeżenia. Ocenia też przechowywane hasła pod kątem dobrych praktyk, weryfikuje np. czy nie ma wśród nich duplikatów, co w przypadku wycieku umożliwiłoby włamanie na kilka kont naraz.

1Password

Strona WWW: 1password.com

Producent: Agile Bits

Koncepcja: oprogramowanie komercyjne; jeśli synchronizacja nie jest wymagana, dane można przechowywać lokalnie; dostępne są cztery sposoby synchronizacji – za pośrednictwem serwerów firmy zlokalizowanych w Stanach Zjednoczonych, Kanadzie lub na terenie Unii Europejskiej, przy użyciu własnego serwera w sieci WLAN oraz z wykorzystaniem platform chmurowych iCloud lub Dropbox

Koszt: wersja podstawowa – 2,99 USD/mies. (cena netto, rozliczenie roczne), wersja Families obejmująca 5 licencji – 4,99 USD/mies., w obu przypadkach można skorzystać z 30-dniowej bezpłatnej wersji próbnej; dostępne są także trzy wersje dla firm – Teams, Business i Enterprise

Obsługiwane platformy: Windows, macOS, Linux, Android, iOS, Chrome OS

Obsługiwane przeglądarki: Google Chrome, Mozilla Firefox, Safari, Opera, Brave, Microsoft Edge

Szyfrowanie: AES-256-GCM z PBKDF2-HMAC-SHA256

Aktualna wersja: 7.4.759 (wyd. 24.03.2020)

1Password powstał w 2006 r. z myślą o zarządzaniu hasłami na urządzeniach firmy Apple, od tego czasu wyewoluował jednak w rozwiązanie obsługujące wszystkie najważniejsze systemy i przeglądarki. Jest też dostępny jako narzędzie wiersza poleceń, które można uruchomić na dowolnej platformie. Jego mankamentem jest brak darmowej wersji, przed wykupieniem subskrypcji można jednak skorzystać z 30-dniowego bezpłatnego okresu próbnego.

Po zainstalowaniu i uruchomieniu programu zobaczymy okno z przyciskiem „Start my trial”.

Kliknięcie przycisku spowoduje otwarcie w przeglądarce strony producenta – możemy na niej wybrać, którą wersję chcemy przetestować (podstawową czy rodzinną). W kolejnym kroku musimy wpisać adres e-mail i sześciocyfrowy kod weryfikacyjny, który zostanie na niego wysłany. Następnie otrzymamy propozycję dodania karty płatniczej i dowiemy się, że podane na stronie ceny nie miały doliczonego VAT-u. Wybieramy „Add card later” i przechodzimy na stronę, która pozwala ustalić hasło główne do zakładanego konta.

Od razu po tym będziemy mogli pobrać (jako plik PDF) nasz tajny klucz – bez niego nie uzyskamy dostępu do usługi. 1Password obsługuje też uwierzytelnianie dwuskładnikowe za pośrednictwem kluczy sprzętowych YubiKey i Titan.

Z poziomu świeżo założonego konta możemy pobrać odpowiednią aplikację na nasze urządzenie lub rozpocząć dodawanie haseł.

Aplikację już zainstalowaliśmy, pamiętacie? Tym razem na ekranie startowym klikamy „Sign in to 1Password.com”. W kolejnym kroku wybieramy „Scan Setup Code”, a potem „From my Emergency Kit…” (wskazujemy przy tym wcześniej zapisany plik z kluczem), na końcu podajemy hasło główne.

Od teraz możemy na naszym komputerze korzystać z aplikacji, dodając do automatycznie założonej bazy danych nowe wpisy. Nic też nie stoi na przeszkodzie, byśmy stworzyli nowy plik bazy, zabezpieczony tym samym hasłem lub innym – w razie potrzeby będziemy mogli podzielić się nim później np. z rodziną.

1Password, podobnie jak inne aplikacje tego typu, został wyposażony w generator skomplikowanych haseł – warto z niego korzystać.

Nie możemy też zapomnieć o zintegrowaniu naszego menedżera z przeglądarkami, których na co dzień używamy. W ustawieniach znajdziemy przycisk, który przeniesie nas na stronę umożliwiającą zainstalowanie odpowiednich wtyczek. Gdy już to zrobimy, podczas odwiedzin w serwisach, które wymagają logowania, wtyczka sama znajdzie w bazie pasujące wpisy (jeśli oczywiście je wcześniej dodaliśmy).

Warto też wspomnieć o usłudze Watchtower, która monitoruje sieć pod kątem wycieków i może użytkownika powiadomić o naruszeniu bezpieczeństwa jego danych. Dwa lata temu producent menedżera haseł nawiązał w tym celu współpracę z serwisem Have I Been Pwned. Aby skorzystać z usługi, należy ją włączyć w ustawieniach.

Spośród konkurencji 1Password wyróżnia się też funkcją Travel Mode, do której uzyskujemy dostęp po zalogowaniu się na stronie producenta.

Umożliwia ona tymczasowe usunięcie wszystkich wrażliwych danych, które nie zostały oznaczone jako „safe for travel”. Dzięki temu nikt, np. podczas przeszukania na granicy, nie będzie w stanie uzyskać dostępu do pełnego magazynu haseł. Usunięte w ten sposób dane można w dowolnym momencie – po zakończeniu podróży lub wcześniej – przywrócić jednym kliknięciem.

Żadne z opisanych rozwiązań nie spełnia twoich oczekiwań? Poniżej przedstawiamy krótko jeszcze dwa.

Bitwarden

Strona WWW: bitwarden.com

Producent: Bitwarden

Koncepcja: oprogramowanie open source na licencji GNU GPLv3, dane przechowywane na platformie chmurowej Microsoft Azure

Koszt: wersja Free (bezpłatna) z możliwością rozszerzenia do Premium za 10 USD/rok – w wersji tej dodano m.in. obsługę kluczy sprzętowych YubiKey oraz Duo; domyślnie baza haseł może być współdzielona przez dwie osoby, wersja Families dla 5 użytkowników kosztuje 1 USD/mies. przy płatności rocznej; istnieją też wersje dostosowane do potrzeb biznesowych – Teams i Enterprise

Obsługiwane platformy: Windows, macOS, Linux, Android, iOS

Obsługiwane przeglądarki: Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Safari, Vivaldi, Brave, Tor Browser

Szyfrowanie: AES-256 z PBKDF2 SHA-256

Aktualna wersja: 1.17.2 (wyd. 25.03.2020)

LastPass

Strona WWW: www.lastpass.com

Producent: LogMeIn

Koncepcja: usługa w modelu freemium (dostępna za darmo, ale korzystanie z zaawansowanych funkcji jest płatne); dane przechowywane na serwerach firmy, które znajdują się w Stanach Zjednoczonych, Australii oraz na terenie Unii Europejskiej

Koszt: obok wersji bezpłatnej (Free) dostępne są wersje Premium (1 licencja, 36 USD/rok) i Families (6 licencji, 48 USD/rok), wersja bezpłatna umożliwia testowanie edycji Premium przez 30 dni; istnieją też cztery wersje dostosowane do potrzeb biznesowych – Teams, Enterprise, MFA i Identity

Obsługiwane platformy: Windows, macOS, Linux, Android, iOS

Obsługiwane przeglądarki: Google Chrome, Mozilla Firefox, Safari, Internet Explorer, Microsoft Edge, Opera

Szyfrowanie: AES-256 z PBKDF2 SHA-256

Aktualna wersja: 4.44.0 (wyd. 19.03.2020)

Podsumowanie, czyli co brać pod uwagę, wybierając menedżer haseł

Na rynku jest oczywiście o wiele więcej menedżerów haseł, niż pokazaliśmy w artykule. Próbując znaleźć rozwiązanie dostosowane do swoich potrzeb, warto przestrzegać kilku prostych zasad.

  1. Postaw na programy dobrze znane, pozytywnie opisywane w branżowych mediach, istniejące już od dłuższego czasu. Uważaj na takie, o których praktycznie nikt nie słyszał.
  2. Niezależnie od wybranego menedżera, upewnij się, że producent nadal go rozwija. Pamiętaj, aby zawsze korzystać z aktualnej wersji.
  3. Wybierz aplikację, która wspiera uwierzytelnianie dwuskładnikowe. Jeśli używasz klucza sprzętowego, np. YubiKey, poszukaj rozwiązania, które go obsługuje. Dzięki temu zapisane w programie hasła nie dostaną się w niepowołane ręce, nawet jeśli ktoś złamie hasło główne.
  4. Znajdź program dopasowany do twoich preferencji i doświadczenia. Będzie on dobrze spełniał swoją funkcję, tylko jeśli będzie dla ciebie łatwy w obsłudze.
  5. Rozejrzyj się za menedżerem, który poprawnie działa na wszystkich używanych przez ciebie urządzeniach. Upewnij się, że nie będziesz miał problemów z synchronizacją niezbędnych danych.

Zastosowanie się do powyższych wskazówek pozwoli uniknąć rozczarowań, a używanie menedżera haseł znacząco podniesie bezpieczeństwo.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.