menedżer haseł - po prostu go używaj
Menedżer haseł to dość mało popularne narzędzie jeżeli chodzi o nietechniczne osoby. Tak naprawdę większośc ludzi wpisując hasła w przeglądarke jak widzi okienko z Google Chrome czy innej aplikacji klika “Zapisz” i tyle.
Dużo ludzi nie zdaje sobie sprawy, że hasło składające się z jednego słowa, dodanie 123!@# jest tak samo bezpieczne gówniane jak wpisanie ‘haslo’.
każdy się stara
Przeglądarki w tych czasach robią wszystko aby jednak zadbać o bezpieczeństwo użytkownika, FireFox, Chrome czy Safari mają specjalne dodatki do przeglądarek, które potrafią generować bardzo bezpieczne hasła, a do tego je przechowywać, żebyśmy potem po zalogowaniu do konta mieli dostęp do wszystkiego.
Wydaje mi się, że problemem jest to, że ludzie nie są wystarczająco techniczni. Ludzie starszej daty nie mają pojęcia o niebezpieczeństwach w internecie. Widzą linki na facebooku -> klikają link na facebooku, a potem nagle Wy dostajecie telefon od rodziców “Słuchaj.. kliknęłam/kliknąłem to… i coś wyskoczyło”.
Jednak to jest jedno niebezpieczeństwo. Dbanie o hasła jak i ich bezpieczeństwo jest rzeczą także ważną. W dzisiejszych czasach bankowość, dostęp do telefonu, dostęp do skrzynki mailowej, wszystko ma hasła.
Problemem jest to, że większość tych narzędzi czy stron, nie włącza domyślnie wszystkich zabezpieczeń, a większość ludzi nie zdaje sobie sprawy, że muszą wejść do ustawień i poustawiać niektóre dodatkowe rzeczy, aby stać się dużo bardziej zabezpieczonym przed różnymi atakami i próbami złamania hasła.
Bank, facebook, konto na gmailu - kurde, za tym stoją największe firmy ze świata TI, które na 100% dbają o swoje bezpieczeństwo, to czemu miałbym/miałabym się przejmować, że ktoś mi wejdzie na konto?
Tak… te firmy są zabezpieczone na każdy możliwy sposób, jednak to, jak Ty zabezpieczysz swoje konto, to już od Ciebie zależy, te firmy dają Ci tylko możliwości.
twoje hasło nigdy nie jest bezpieczne
Powinniśmy zawsze z góry założyć, że hasło, nie ważne gdzie zapisane, nie jest po prostu bezpieczne. Do tego, jak większość ludzi używa tego samego hasła do każdego konta to tym bardziej nie jest bezpiecznie.
Zapytacie “jak to?” - wyobraźcie sobie, że zakładacie konto na jakimś portalu, bo akurat chcieliście przeczytać jakiś artykuł, ale dało radę to zrobić tylko jak się miało konto. No to używacie swojego (mam nadzieję) maila do spamu i myślicie nad hasłem… Okazuje się, że pierwsze co wam przychodzi do głowy to hasło, którego używacie wszędzie, no bo tak wygodniej, jedno czy dwa hasła do zapamiętania to lajt, po co sobie zaśmiecać głowę większą ilością haseł.
Wasze hasło to może być nawet ‘228!FqPrw556a3PPdJYF^’ jednak co z tego?
nie używaj tego samego hasła
Macie super bezpieczne hasło, ale na portalu gdzie go użyliście doszło do wycieku danych, okazuje się, że firma przechowywała w swojej bazie danych hasła tak jak widzicie -> czyli bez żadnego szyfrowania, jest to zwykły ciąg znaków, a do tego obok widać inne dane, które wpisaliście się rejestrując.
No to teraz, ludzie, którzy zajmują się kradzieżą kont używają specjalne boty, które spróbują wpisać połączenia mail + hasło w setkach różnych witryn internetowych, czy to np. Gmail, konto MIcrosoftu, różne banki, różne inne portale.
Więc jak teraz mieliście tego samego maila i to samo hasło w innym miejscu, to prawie na pewno ktoś kto wykradł hasła ma dostęp. Facebook miał to samo hasło? Ktoś właśnie ma dostęp do waszego konta na facebooku, może czytać wasze wiadomości, czy wysyłać jakieś inne z próbą oszukania Twoich znajomych.
Nie brzmi fajnie, nie?
Dlatego mimo, że nawet jak macie super hasło, ale użyliście go gdzieś indziej, jest szansa, co prawda mała, ale jest, że jak będzie gdzieś kiedyś włam, a firma nie zabezpieczała dobrze danych użytkowników, to i wy możecie dostać rykoszetem.
generuj hasła
Jednym ze sposobów i to aktualnie najlepszym jest po prostu użycie generatora haseł - ale takiego bezpiecznego i sprawdzonego. Wpis domyślnie będzie o zewnętrznych menadżerach haseł, ale nie wszyscy np. Chcą mieć konto na Google Chrome, FireFoxie, czy nie używają Safari.
To nie jest tak, że generator haseł w Chrome, FireFoxie czy Safari jest zły, wręcz przeciwnie, każda z tych firm zadbała o to, aby te hasła były bezpieczne, a do tego zachowują je wam od razu jak wpiszecie - wygoda, prawda?
Tylko teraz wyobraźcie sobie kilka sytuacji:
- Na telefonie używasz google chrome, a komputer masz od Apple i chcesz używać Safari
- Masz iPhona, ale w domu pracujesz na windowsie, na telefonie uwielbiasz safari, ale na komputerze korzystać z FireFoxa
- Masz kilka aplikacji systemowych, gdzie też potrzebujesz wygenerować hasło, a potem je wpisywać jak się logujesz
- Na telefonie masz aplikacje bankowe, gdzie używasz hasła
I wiele innych takich przypadków - w każdym z nich, o ile nie używa się ekosystemu Apple, to wasza przeglądarka i jej hasła wam nie pomogą. Apple jest wyjątkiem, bo ich ekosystem z KeyChainem pozwala na integracje z aplikacjami, które instalujecie, ale do tego wymagany jest telefon jak i komputer od nich.
A co jak w przyszłości w pracy będą wam kazać używać Windowsa, ale chcielibyście tam też mieć bezpieczne hasła zapisane jednak w 1 miejscu, gdzie macie do tego dostęp?
Wtedy już tego nie użyjecie i będziecie musieli zapisywać różne hasła na 2 różnych urządzeniach i używać 2 programów do haseł.
hasła łatwo złamać
Kradzież haseł to jedno, jednak drugą rzeczą jest po prostu bezpośredni atak na wasze konto. Twoje hasło na 8 znaków i są to tylko litery i liczby? Aktualnie komputery, które są na tyle szybkie, że złamanie takiego hasła zajmie im mniej niż 1 sekundę.
8 znaków?! Niektórzy się właśnie zdziwili, bo policzyli na palcach swojej ręki, że ich hasło nie ma nawet tylu. Myślę, że to nie wymaga większego komentarza.
Zastanawiacie się ile czasu potrzeba na jakie hasło? Znalazłem taki obrazek na reddicie, jednak trzeba wziąć poprawkę, że ma on już kilka lat, a teraz te liczby są DUUUŻOOO mniejsze. To co jest na zielono jest już dawno żółte (czyli te ilości lat, zmniejszyly sie kilkunastokrotnie), komputery stały się naprawdę szybkie, a do tego dochodzi łamanie haseł równolegle - co oznacza, że jeden program może działać w tym samym czasie np. Z 8 innymi, które próbują innych zestawów kombinacji, co skraca czas złamania hasła o tyle, ile takich programów chodzi na raz.
Zapytacie jak to się dzieje, że takie programy łamią hasła? Czy one wpisują takie hasła w przeglądarce? Przecież jak się wpisze złe hasło 3 razy to blokuje konto! Coś mi tu nie gra…
Dobra obserwacja, jednak spróbuję to dość prosto wytłumaczyć.
W momencie jak tworzycie gdzieś konto, wpisujecie maila + hasło, to różne platformy mają inne sposoby na zapisywanie hasła i robienie go tak, aby było przechowywane bezpiecznie.
Wygląda to tak, że gdzieś leży sobie klucz szyfrujący, który służy do zaszyfrowania waszego hasła. Jest to specjalny algorytm, który zamienia wasze hasło np. z takiego ciągu znaków:
“ToJestHaslo” na “7aea9ae784676af1be9fe0107599f45f”
Jest to mało rozpoznawalny ciąg znaków i liczb, większość zamienia to na jeszcze trudniejszy i dłuższy ciąg znaków, ale my jako użytkownicy, nigdy nie mamy pewności jak dana firma przechowuje nasze hasła, więc musimy zakładać najgorsze.
Teraz, jak ktoś się włamie do jakiegoś systemu, to widzi wszystkie hasła użytkowników, ale też jest duża szansa, że znalazł algorytm, który spowodował, że wasze hasło wygląda nierozpoznawalne.
Teraz, taka osoba, mając algorytm, który produkuje pewien ciąg znaków i mając wasz wynik, może próbować miliardów różnych kombinacji i przepuszczać je przez ten algorytm, aż wynik końcowy jego prób będzie się równał temu co wykradł od was.
Jak będzie się zgadzało, to w tym momencie osoba, która wykradła hasła znalazła wasze domyślne hasło.
jednak spokojnie
To jest czarny scenariusz, dużo firm nie trzyma nawet w tym samym miejscu algorytmu szyfrującego hasła, więc nawet jak dojdzie do włamu haseł, to jest duża szansa, że te hasła są dla takiego hakera bezużyteczne, bo nie wie jaki algorytm szyfrujący został użyty.
Bez tego wszystkie hasła co wykradnie są bezużyteczne
używaj zdań, a nie słów
Wchodzicie na strone, wpisujecie hasło i widzicie błąd “Twoje hasło musi zawierać minimum 8 znaków, a w tym duże litery, liczby i znaki specjalne”
Myslisz sobie: NO NIE, ZNOWU?!
I tutaj zaczyna się wymyślanie… jednak jest to złe myślenie, trzeba pamiętać o jednej rzeczy, pojedyncze słowa to słabe hasła! Używaj… huh… nie mam pojęcia jak to powiedzieć po polsku, ale chodzi o ‘passphrase’ czyli po prostu wyrażenie jako hasło!
To może być nawet jakieś krótkie zdanie jak np:
Uwielbiam czytać bloga Michała zthreee!
Tak! Można wpisywać takie hasła! Spacje, znaki specjalne, praktycznie każda strona pozwala na takie zabiegi, to będzie dużo lepsze i łatwiejsze do zapamiętania niż wasze wymyślne:
T0h4sl0JestB3zpieczne!
Chcesz wiedzieć jak bezpieczne jest Twoje hasło? Jest taka fajna stronka: How secure is my password?
Wpisujecie hasło i sprawdzacie jak bardzo jest to bezpieczne. Dla przykładu hasło w wyżej, które jest wyrażeniem…
Jeden quattuorvigintillion lat - damn, nawet nie znam takiej liczby 🤯🤷♂️ ale sprawdziłem i jest to 10^75 lat! Czyli 1 z 75 zerami! Powodzenia, nawet jak to się uruchomi na 2000 programach łamiących równoelegle, to trochę lat potrwa zanim złamią takie hasło.
Co prawda, to niżej tez jest niczego sobie…
Dwieście sekstylionów lat to jest 1 z 21 zerami
Jednak, które łatwiej zapamiętacie? Bo to też jest ważne. Wyrażenie, które lubicie, czy jednak jakieś 3 słowa z liczbami zamiast liter?
menedżer haseł
Tutaj wchodzą do gry menedżery haseł. Są to programy, które tak jak i przeglądarki generują hasła, ale też są znane z tego, że są bardzo bezpieczne, a także przechowywane hasła są nie do złamania.
Nie będę wchodził w szczegóły czemu, ale musicie mi zaufać. Większość z dobrych menadżerów haseł ma coroczne audyty od speców bezpieczeństwa, którzy sprawdzają, czy dany program dalej jest praktycznie nie do złamania i hasła tam przechowywane są bezpieczne.
Programy takie działają jako zewnętrzna aplikacja, która działa w systemie (Windows/Android/iOS/Linux/macOS) i wykrywa i pokazuje wam hasła wszędzie -> czy to przeglądarka, czy różne programy.
Do tego, w takich programach można przechowywać karty bankowe, prywatne notatki, adresy i wiele innych -> Takich rzeczy w przeglądarce nie możecie przechować (karty bankowe już chrome czy safari pozwala, ale notatki adresy i wiele innych już nie).
ja używam BitWardena
Opiszę tutaj jak stworzyć konto BitWardena, używam tego programu jako, że jest ‘open-source’ ale ma fajną synchronizację, którą ja nie muszę zarządzać. Na koniec wpisu podam inne warte uwagi programy.
Co oznacza, że jest to ‘open-source’? Otóż BitWarden jako jeden z niewielu udostępnia swój kod źródłowy dla publiki. To znaczy, że ja czy Ty, czy każdy inny, może wejść na ich stronę i jak się zna, przejrzeć kod i np. zgłosić gdzieś błąd. Jednak to nie wszystko, dzięki temu, że jest to open-source, wiemy co tak naprawde dany program robi i jak to robi!
Do tego, BitWarden jest audytowany przez speców, co oznacza, że mamy pewność co do jego bezpieczeństwa.
jak zainstalować?
No więc pierwsze co, to musicie wejśc na stronę internetową BitWardena, klikacie “Create A free Account” i widzicie następujący ekran:
Co do Master-Password, radzę wymyśleć jakiś pass-phrase, który zapamiętacie, bo to jest jedyny słaby punkt menedżera haseł. Dostęp do waszych haseł, tak jak i w przypadku przeglądarek, jest tak zabezpieczony jak wasze główne hasło.
Więc na ten moment tylko tym hasłem musicie się przejmować.
po założeniu konta
Po założeniu konta, jesteśmy na miejscu! Świetnie.
Teraz się zastanawiasz:
No ok, ale przecież nie będę wpisywać wszystkich haseł od nowa? Przecież w Chrome mam ich ponad 100!
Zgadza się, nie musisz 🕺 Konto już masz, to teraz wystarczy zająć się resztą.
Macie 2 opcje, ściągacie BitWardena na komputer/telefon i z tego miejsca importujecie hasła, albo… wchodzicie w zakładkę ‘TOOLS’ na górze jak jesteście zalogowani i po lewej macie ‘Import Data’.
No ok, ale jak wyciągnąć z chrome hasła? Czemu ciągle pisze o Chrome? Wydaje mi się, że jest to najpopularniejsza przeglądarka wśród ludzi, ale w każdej innej będzie to praktycznie identyczne.
najpierw eksport
Tutaj jest instrukcja jak to zrobić, sam BitWarden to opisał.
Jak ktoś nie umie angielskiego to…
- Otwórz Chrome i wpisz chrome: // settings / passwords w pasku adresu i naciśnij Enter. Otworzy się strona ze wszystkimi zapisanymi hasłami do Chrome.
- Znajdź opcję Eksportuj hasła u góry listy zapisanych haseł. Jest ukryty pod ikoną opcji (…) obok nagłówka Zapisane hasła.
- Kliknij opcję Eksportuj hasła w menu opcji. Może zostać wyświetlony monit o wprowadzenie hasła komputera w celu autoryzacji.
- Zostaniesz poproszony o zapisanie haseł w pliku CSV na komputerze. Zapisz ten plik na pulpicie jako chrome_passwords.csv (lub jakkolwiek chcesz go nazwać).
teraz import
Po tym, jak już macie wyeksportowane wszystkie wasze hasła z przeglądarki wybierzcie ten plik w “Select the import file”:
Następnie klikamy już tylko ‘Import Data’ i dzieje się magia.
Teraz w waszym sejfie, będziecie mieli wszystkie hasła… teraz jest to, czego nikt nie lubi -> Porządek w hasłach. Niestety, niektóre hasła nie będą miały tytułu, ale to nic nie szkodzi, bo najważniejsze, że jest napisane z jakiego portalu jest hasło.
Ja jednak lubię porządek, więc sobie to wszystko posegregowałem, porobiłem foldery, dodałem karty, dokumenty jak i notatki.
Wiem, że to trochę czasu może zająć, więc jak się wam nie chce - nikogo zmuszać nie będę, to w końcu wasza wygoda i bezpieczeństwo.
teraz już tylko dodatki
Na koniec, jak już macie swoje hasła zapisane w BitWardenie wystarczy ściągnąć aplikację na telefon, a także dodatek do przeglądarki.
Wszystko znajdziecie na stronie BitWardena -> czy to link do ściągnięcia aplikacji na windowsa/linuxa/macOs czy też jako dodatek do przeglądarki - wszystkie możliwe są obsługiwane.
dodanie nowych loginów/haseł
Dodawanie nowych haseł czy loginów jest bardzo proste. Klikacie na roszerzenie w przeglądarce, lub robicie to na stronie, a także możecie to zrobić w aplikacji systemowej.
Najwygodniej, przynajmniej mi, jest to robienie w przeglądarce, bo tam przeważnie 90% haseł czy innych rzeczy się wpisuje.
Jeżeli chodzi o wpisywania hasła, to w Opcjach, macie możliwość zaznaczenia autouzupełniania hasła -> Ja osobiście tego nie używam.
Macie za to skróty klawiszowe, które te hasło wypełnią:
Windows: Ctrl + Shift + L
Linux: Ctrl + Shift + L
macOS: Cmd + Shift + L
Safari: Cmd + 8 lub Cmd + Shift + P
Hasła możecie też wpisać poprzez kliknięcie prawym na dane miejsce i tak jak jest to pokazane na stronie BitWardena - polecam przeczytać całą instrukcję jak chcecie znać więcej tips&tricks.
inne warte uwagi menedżery haseł
BitWardena używam bo mi się podoba jego interfejs graficzny jak i także mam pewność, że jest bezpieczny (jest opensource). Jest jednak kilka innych wartych uwagi, które można śmiało sprawdzić.
Jednym z takich przyjemniejszych i wiem, że dużo ludzi uwielbia go za prostotę, a także ładny design (mi osobiście nie przypadł do gustu) to:
Inne, które możecie sprawdzić:
KeePassXC jest najbardziej uwielbiamy przez osoby mocno techniczne, bo można samemu postawić serwer samemu i przechowywać hasła u siebie - jednak to samo można zrobić w BitWardenie jak ktoś chce. No i niestety, ale moim zdaniem to jak wygląda interfejs graficzny KeePassaXC skreśla go u mnie na początku - a starałem się mu dać szansę.
1Password to też jeden z komercyjnych produktów jak LastPass, sam go długo używałem, bo rok temu na Black Friday była super zniżka i kupiłem abonament na rok do dawało kilka fajnych benefitów, jednak teraz jak używam BitWardena to mi bardziej ‘leży’
Jest jeszcze kilka fajnych, ale nigdy ich nie testowałem, więc nie mogę się wypowiedzieć i też nie czytałem o ich bezpiczeńśtwie.
jeszcze jedna super ważna kwestia!
Zapomniałem o najważniejszym… wiem, ze jest długo, ale obiecuję, że to ostatnia kwestia.
Autentykacja dwupoziomowa! Nie będę się rozpisywał, ale teraz praktycznie każda platforma ma taką opcję. Chodzi o to, że po wpisaniu hasła dostajecie smsa czy powiadomienie na telefon, czy to na pewno Ty się logujesz.
Jeżeli chcecie być naprawdę bezpieczni, to taka rzecz to jest po prostu MUSS.
Ja osobiście na telefonie używam aplikacji DuoMobile i tam mam dodane kilkanaście portali, gdzie generuje kody/dostaje powiadomienia do takiej autentykacji.
Po prostu włączcie to w banku, facebooku, gmailu, a także w menedżerze haseł, wtedy macie pewność, że dopóki ktoś nie ukradnie wam telefonu i jakimś cudem nie dostanie w swoje ręce takiego narzędzia, to szansa na dostanie się do waszego konta, mimo złamania hasła będzie naprawdę bardzo mała!