Pierwsze co zapewne przychodzi Wam na myśl, to zapamiętanie miliona unikalnych i silnych haseł do różnych serwisów. Pamiętam tylko jedno z moich haseł, mimo że używam silnego i unikalnego hasła dla każdego konta, które posiadam. Jak tego dokonuję? Jedyne hasło, które pamiętam, jest hasłem do mojego menedżera haseł.
Praktyki użytkowników oraz firm dotyczące haseł i bezpieczeństwa logowania, wydają się być w tragicznym stanie. Dowodem tego, jest fakt, że najczęściej używanym hasłem na świecie jest „password”, a drugim w rankingu popularności jest „123456”. Skąd o tym wiadomo? To dlatego, że wszystkie hasła ujawnione w wyciekach danych są dostępne dla każdego.
Mamy o wiele za dużo kont, aby indywidualnie zapamiętać wszystkie hasła, przez co na wielu stronach wykorzystujemy łatwe do zapamiętania kombinacji albo marnujemy czas korzystając z opcji „zapomniałem hasła”. Używanie słabych haseł lub ponowne używanie ulubionych jest ryzykowne. Wyciek danych na stronie, naraża na niebezpieczeństwo Twoje wszystkie inne konta.
Utknęliśmy z hasłami
Nawet dla osób, które dbają o bezpieczeństwo swoich danych, ostatnie newsy nie są zbyt pozytywne. 1Password, jeden z najbardziej popularnych menedżerów haseł, otrzymał 200 milionów dolarów za sprawą inwestycji venture capital, podczas gdy LastPass jest finansowany w formie private equity.
Konsekwencje tych posunięć mogą nie okazać się złe, ale są szanse, że zostaną podjęte decyzje, które nie będą specjalnie przyjazne dla przeciętnego użytkownika. Wszystko to, z powodu ostrzenia sobie zębów przez inwestorów, na szybki zysk oraz optymalizację wartości swojej inwestycji.
Myślę również, że w nadchodzącej przyszłości nie znajdziemy ucieczki od haseł. Nie widzę, aby w najbliższym czasie pojawiły się jakieś nowe technologie, które mogłyby je zastąpić. Rozsądnym pomysłem jest więc podjęcie środków ostrożności i dodatkowa dbałość o swoje hasła. Poświęć więc kilka minut na przemyślenie sposobu, w jaki przeprowadzasz logowanie na swoje konta i zoptymalizuj ten proces.
Tak sobie z tym radzę, czyli spis treści
- Znam i pamiętam tylko jedno z moich haseł
- Użyj menedżera haseł wbudowanego w przeglądarkę…
- … lub samodzielnego i lokalnego menedżera haseł
- Korzystaj z uwierzytelniania dwuskładnikowego jako dodatkowej ochrony
- Wybierz aplikację 2FA, która obsługuje kopie zapasowe
- 5-stopniowy plan poprawy praktyk w zakresie bezpieczeństwa haseł i logowania
Znam i pamiętam tylko jedno z moich haseł
Używam menedżera haseł, z którego pomocą tworzę i zapamiętuję silne, długie, losowe i niemożliwe do zapamiętania hasła, takie jak to poniżej. Hasła tego typu, są najbardziej bezpieczne.
Pamiętam tylko jedno z moich haseł, mimo że używam silnego i unikalnego hasła dla każdego konta, które posiadam. Jedyne hasło, które pamiętam to właśnie hasło do mojego menedżera haseł. To jedno hasło odblokowuje dostęp do wszystkich moich pozostałych haseł. W czasie pisania tego tekstu, mam w zapisane w swojej bazie 293 hasła – nie muszę pamiętać żadnego z nich. Mój menedżer haseł wykonuje za mnie całą pracę, a wszystko to bez narażania na szwank mojego bezpieczeństwa i ochrony danych.
Zachęcam, abyś również zaczęła/zaczął używać menedżera haseł. W większości przypadków bowiem, pióro, papier i nasza pamięć po prostu nie są wystarczająco wydajne, aby poradzić sobie z „hasłowym” problemem, który tyczy się każdego z nas. Możesz skorzystać z wbudowanych menadżerów haseł, które posiada większość dobrych przeglądarek, takich jak chociażby Firefox, albo z samodzielnego menedżera haseł. Oto dwie najlepsze opcje.
Menadżer haseł w przeglądarce
Najłatwiejszym sposobem na rozpoczęcie używania silnych i unikalnych haseł jest rozpoczęcie korzystania z wbudowanego w przeglądarkę menedżera haseł.
Osobiście korzystam z Firefox’a, który posiada świetny wbudowany menadżer, noszący nazwę „Lockwise”. Jest to stosunkowo nowa funkcja. Oto krótka lista przedstawiająca, co potrafi:
- Zapamiętuje loginy i hasła do wszystkich stron internetowych, na których się zarejestrowałeś.
- Pozwala na ustawienie hasła głównego, które odblokowuje dostęp do pozostałych haseł.
- Możesz synchronizować swoje loginy i hasła pomiędzy różnymi urządzeniami, w tym telefonem komórkowym, lub trzymać je w trybie offline na swoim komputerze.
- Funkcja „Monitor” automatycznie ostrzega, czy i kiedy Twoje dane do logowania zostały ujawnione w przypadku wycieku danych na różnych serwisach, w których jesteś zarejestrowany, abyś mógł zresetować swoje hasło i upewnić się, że nie używasz go w innych miejscach.
- Możesz ręcznie zeskanować swój adres e-mail w poszukiwaniu wycieków, a nawet skonfigurować go tak, aby powiadamiał Cię, jeśli inne adresy e-mail pojawiły się w wyciekach, abyś mógł poinformować o tym nietechnicznych członków swojej rodziny.
W tym celu możesz skorzystać także z serwisu haveibeenpwned.com
~Dopisek tłumacza
- Generuje on silne i unikalne hasła podczas rejestracji nowych kont lub zmiany haseł.
- Możesz nawet zainstalować Lockwise jako samodzielną aplikację na system iOS lub Android i używać jej do logowania w aplikacjach poza przeglądarką Firefox.
- Wszystko to jest bezpieczne, szyfrowane i chronione za pomocą 256-bitowego szyfrowania.
Aby rozpocząć korzystanie z niego, wystarczy pobrać Firefox’a i w zakładkach Opcje > Prywatność i bezpieczeństwo > Loginy i hasła zaznaczyć wszystkie te pola:
Jedynym minusem w „Lockwise”, jest brak opcji importowania i eksportowania danych. Miejmy nadzieję, że deweloperzy pracują nad tym, lecz na ten moment, nie możesz zaimportować swoich haseł z innego menedżera, jak również nie możesz wyeksportować swoich loginów z „Lockwise” i zabrać ich gdzieś indziej.
Samodzielny i lokalny menedżer haseł KeePass
Jeśli chcesz przenieść bezpieczeństwo swoich danych na wyższy poziom, możesz wypróbować KeePass, która jest aplikacją open-source dostępną na wszystkich systemach operacyjnych. Dzięki otwartemu źródłu menadżer ten jest mniej podatny na próby złamania przez kogoś, kto może nie mieć wobec Ciebie najlepszych zamiarów.
Nie jest to pełna usługa jak „Lockwise” – nie oferuje wbudowanej synchronizacji między urządzeniami. Zasadniczo otrzymujesz pojedynczy, bezpieczny i zaszyfrowany plik (w formacie kdbx), który zawiera wszystkie dane dotyczące haseł. Sposób synchronizacji tego jednego pliku zależy od Ciebie. Możesz korzystać z dowolnej usługi (Google Drive, Dropbox, Nextcloud…).
Do synchronizacji pliku kdbx na moim laptopie z Linuxem oraz telefonie z Androidem, korzystam z Syncthing. Dzięki temu rozwiązaniu, nie korzystam z żadnej z chmury należącej do firm trzecich.
Istnieje wiele aplikacji KeePass na najróżniejsze systemy operacyjne, ale poniższe opcje należą do najbardziej popularnych:
| Linux/macOS/Windows | KeePassXC |
| Android | Keepass2Android |
| iOS | Strongbox |
KeePass posiada również szereg rozszerzeń do przeglądarek, dzięki czemu Twoje hasła mogą być automatycznie wypełniane na odwiedzanych stronach. Wśród nich znajdziecie rozszerzenie KeePassXC dla Firefoksa i Chrome.
Jedynym negatywnym aspektem KeePassXC (którego używam na moim laptopie), jest to, że nie ma on najnowocześniejszego wyglądu. Jest to jednak coś, co dla dobra moich danych do logowania, jestem w stanie spokojnie przetrwać.
Jeśli chcecie dowiedzieć się więcej na temat korzystania z KeePass, bądź potrzebujecie bardziej szczegółowego poradnika, szczerze polecam artykuł o tym menadżerze, zamieszczony na portalu niebezpiecznik.pl. Ten właśnie tekst zmotywował mnie do rozpoczęcia przygody z KeePass.
~Dopisek tłumacza
Korzystaj z uwierzytelniania dwuskładnikowego jako dodatkowej ochrony
Kolejną praktyką godną polecenia, jest włączenie dwuskładnikowej autoryzacji (2FA) na każdym koncie, które ją oferuje. Przeprowadzana jest ona za pomocą aplikacji mobilnej bądź numeru telefonu. Dodaje to dodatkowy poziom ochrony do Twoich kont.
Zasadniczo logujesz się za pomocą swojej zwykłej nazwy użytkownika i hasła, a następnie jesteś proszony o wprowadzenie zawsze zmieniającego się i zawsze niepowtarzalnego kodu.
Najczęściej jest on wyświetlany w oknie aplikacji mobilnej bądź wysyłany na twój numer poprzez SMS.
~Dopisek tłumacza
Nawet jeśli użyjesz słabego hasła lub Twoje hasło zostało ujawnione w wyniku wycieku, 2FA powstrzyma każdego przed wejściem na Twoje konto. Osoba, która chciałaby to osiągnąć, musiałaby mieć dostęp do Twojego telefonu komórkowego, aby skutecznie się włamać.
Uważam, że wszystkie firmy powinny zapewnić funkcję 2FA i uczynić z niej wymóg dla każdego konta. Wiele z nich już ją oferuje. Możesz nawet ustawić dwuskładnikowe uwierzytelnianie na swojej stronie WordPressa.
Oto kilka popularnych aplikacji 2FA dla systemu Android i iOS, które możesz przetestować:
| Android | Aegis Authenticator | andOTP | FreeOTP |
| iOS | FreeOTP | Authy | Tofu |
Wybierz aplikację 2FA, która obsługuje kopie zapasowe
Upewnij się, że korzystasz z dwuczynnikowej aplikacji uwierzytelniającej, która umożliwia tworzenie kopii zapasowych, ponieważ może być potrzebna w przypadku zmiany telefonu, jego kradzieży lub uszkodzenia.
Konsekwencje korzystania z aplikacji, która nie zapewnia kopii zapasowej, doświadczyłem na własnej skórze. Moim pierwszym doświadczeniem z uwierzytelnianiem dwuskładnikowym był Google Authenticator, który okazuje się nie oferować łatwego sposobu tworzenia backupu.
Kiedy kilka lat ekran mojego telefonu pękł, zdecydowałem, że czas zainwestować w nowy. Zalogowałem się do Google Authenticator w moim nowym telefonie tylko po to, aby zastać w nim pustkę.
Nie było w nim ani śladu, któregokolwiek z moich kodów 2FA i musiałem znaleźć sposób, by zalogować się do usług, dla których włączyłem dwuskładnikowe uwierzytelnianie, bez posiadania moich kodów 2FA. To nie jest sytuacja, w której chcesz się znaleźć.
O wiele łatwiej jest po prostu zaimportować plik z kopią zapasową do nowego telefonu i przywrócić dostęp do wszystkich kodów 2FA, które posiadasz.
5-stopniowy plan poprawy praktyk bezpieczeństwa haseł i logowania
Oto, jak polecam rozpocząć proces poprawy jakości bezpieczeństwa logowania:
- Wybierz menedżera haseł, który preferujesz (używam KeePassXC na laptopie i Keepass2Android na moim telefonie)
- Wybierz aplikację 2FA (używam Aegis Authenticator na moim telefonie z systemem Android).
- Następnym razem, gdy gdziekolwiek się zalogujesz, przejdź do ustawień bezpieczeństwa i spróbuj zmienić następujące opcje:
- Włącz dwuskładnikowe uwierzytelnianie
- Zmień hasło ze starego i słabego na silne hasło utworzone przez twojego menedżera haseł
- Zapisz nowe wpisy w menedżerze haseł, utwórz kopię zapasową kodów 2FA i zsynchronizuj z różnymi urządzeniami za pomocą chmury lub innej metody (używam Syncthing)
Z początku może wydawać się to nieco niewygodne, ponieważ spędzisz kilka dodatkowych minut na każdej stronie, aby przeszukać opcje. Jednakże, z każdorazowym dokonaniem zmian będziesz w znacznie bezpieczniejszej i pewniejszej sytuacji.
W świecie regularnych wycieków danych, w którym żyjemy, będziesz zadowolony z tego niewygodnego wyboru.
Powyższy tekst jest tłumaczeniem artykułu „How I deal with passwords and login security in the world of data breaches”, autorstwa Marko Sarica. Oryginalny artykuł, możecie znaleźć tutaj. Serdeczne podziękowania dla autora, który pozwolił nam na tłumaczenie powyższego artykułu i publikację na binarnie.pl.
The above text is a translation of the article „How I deal with passwords and login security in the world of data breaches” by Marko Saric. Special thanks to the author, who allowed us to translate the article and publish it on binarnie.pl.
