Jestem zwykłym użytkownikiem internetu, tak jak Wy – z tą różnicą, że od kilku lat pasjonuję się tematyką bezpieczeństwa w sieci. Dziś podzielę się wiedzą o tym, jak chronić nasze hasła przed wpadnięciem w niepowołane ręce.
Naszym celem jest pokazanie, dlaczego bezpieczeństwo haseł dotyczy każdego z nas. Nie trzeba być informatykiem, żeby paść ofiarą ataku – hakerzy często celują właśnie w przeciętnych użytkowników. Wyobraźcie sobie, że budzicie się pewnego ranka, a Wasze konto e-mail zostało przejęte, Facebook zablokowany, a na dodatek ktoś wyczyścił Wam konto bankowe. Brzmi jak horror? Niestety, takie rzeczy się zdarzają, często przez błahe zaniedbania w kwestii haseł.
Na rozgrzewkę opowiem krótką historię prawdziwego wycieku danych i jego konsekwencji. W 2018 roku doszło do ataku na popularny polski sklep internetowy Morele.net – wyciekły dane 2,5 miliona użytkowników, w tym adresy e-mail i hasła. Haker zażądał okupu, a gdy go nie otrzymał, opublikował skradzione dane w internecie. Co to oznaczało dla zwykłych ludzi? W praktyce tysiące osób musiało na gwałt zmieniać hasła do różnych serwisów, bo wielu z nich używało takiego samego hasła jak w Morele. Niektórzy stracili dostęp do swoich kont, pojawiły się też próby oszustw – na przykład wiadomości phishingowe wysyłane na przejęte adresy e-mail. Ta historia uświadamia, że wyciek haseł może mieć lawinowe konsekwencje.
Chciałbym, aby po przeczytaniu tego artykułu każdy z Was wiedział, jak się przed takimi sytuacjami uchronić. Nie będzie straszenia bez rozwiązania – pokażę Wam proste kroki, które możecie podjąć od razu, żeby znacząco poprawić swoje bezpieczeństwo online. No to zaczynamy!
Najczęstsze błędy popełniane przy tworzeniu i przechowywaniu haseł
Przejdźmy do najczęstszych błędów, jakie wszyscy – przyznajmy – czasem popełniamy w zarządzaniu hasłami. Spisałem 10 grzechów głównych i teraz je wszystkie krótko po kolei omówimy:
• Jedno hasło do wszystkiego – to prawdopodobnie najczęstszy i najgroźniejszy błąd. Kuszące jest pamiętać tylko jedno hasło – wiadomo, łatwiej – ale to jak używanie jednego klucza do domu, samochodu, biura i sejfu. Jeśli klucz wpadnie w niepowołane ręce, tracicie wszystko. W świecie cyfrowym oznacza to, że wyciek czy złamanie jednego hasła daje przestępcom dostęp do całego Waszego "królestwa" online. Niestety wiele osób tak robi, przez co jedno udane włamanie gdziekolwiek może skutkować przejęciem wielu kont naraz.
• Bardzo proste hasła – druga kategoria błędów to hasła tak banalne, że aż proszą się o złamanie. Mam tu na myśli takie "klasyki" jak "123456" czy "password". Brzmi absurdalnie, ale wciąż setki tysięcy osób używają takich haseł! Według analizy firmy NordPass, od lat najpopularniejszym hasłem na świecie jest właśnie "123456" – używa go ponad 3 miliony ludzi do kont osobistych. Nietrudno się domyślić, że złamanie takiego hasła zajmuje hackerowi ułamek sekundy. W raporcie stwierdzono wręcz, że dowolne z 10 najczęściej używanych słabych haseł można złamać w mniej niż sekundę. To przerażające, bo takie hasła nie zapewniają absolutnie żadnej ochrony. To trochę tak, jakbyście założyli kłódkę na drzwi, ale zostawili ją otwartą – pozory bezpieczeństwa, a złodziej i tak wejdzie.
• Zapisywanie haseł na kartkach – chyba każdy kiedyś widział przyklejoną żółtą karteczkę z hasłem do komputera na monitorze, albo notesik z listą haseł w szufladzie biurka. Rozumiem, że łatwiej tak zrobić niż zapamiętać, ale pomyślcie: czy schowalibyście klucze do mieszkania pod wycieraczką przed drzwiami? Pewnie nie – bo wszyscy wiedzą, że to pierwsze miejsce, gdzie zajrzy włamywacz. Tak samo kartka z hasłem przyklejona do ekranu to dla złodzieja danych jak zaproszenie. Jeśli już musicie zapisać hasło, bo jest bardzo skomplikowane – nie trzymajcie go na widoku ani w portfelu. Za chwilę opowiem o lepszych sposobach radzenia sobie z dużą liczbą haseł.
• Przechowywanie haseł w przeglądarce – wiele osób polega na tym, że Chrome czy Firefox "zapamięta" za nich hasła. Owszem, to wygodne – ale domyślnie, gdy nie ustawicie hasła głównego do bazy przeglądarki, ktoś kto siądzie przy waszym komputerze może względnie łatwo podejrzeć te hasła. Albo jeśli macie zsynchronizowane hasła z kontem w chmurze (np. Google), a nie zabezpieczyliście go porządnym hasłem i weryfikacją dwuetapową, to wyciek takiego konta odsłoni wszystkie Wasze zapisane loginy. Dlatego ufajmy przeglądarkom tylko pod warunkiem dodatkowego zabezpieczenia (np. hasłem głównym lub logowaniem biometrycznym do menedżera haseł wbudowanego w przeglądarkę). W innym razie jest to dość ryzykowna praktyka.
• Dane osobowe w hasłach – kolejnym błędem jest tworzenie haseł na bazie informacji o nas: imienia, nazwiska, daty urodzenia, imienia dziecka lub psa, ulubionej drużyny piłkarskiej itd. Takie hasła wydają się łatwe do zapamiętania, ale niestety również łatwe do odgadnięcia. W dobie mediów społecznościowych nasze prywatne informacje są często publiczne. Przestępcy mogą bez trudu zdobyć takie dane z Facebooka czy Instagramu, a potem próbować różnych kombinacji. Jeśli ktoś ma na imię Anna i urodziła się w 1990, to spróbują "Anna1990", "Ania90" itd. Dodanie znaku specjalnego czy cyfry niewiele tu pomoże, bo hasło wciąż zawiera przewidywalny rdzeń. Dlatego unikajmy słów związanych z naszą osobą.
• Oczywiste wzorce klawiatury – to w zasadzie odmiana prostego hasła. Kto z Was kiedyś nie ustawił hasła "qwerty" albo czegoś typu "qazwsx" (znaki obok siebie na klawiaturze)? Wydaje się losowe, ale wystarczy spojrzeć na klawiaturę i widać wzór. Programy łamiące hasła też to wiedzą – mają w słowniku takie proste sekwencje znaków. Podobnie jest z powtarzaniem jednej litery ("aaaaaa") lub prostymi kombinacjami "abc123". Komputer sprawdzi takie warianty błyskawicznie.
• Hasła różniące się jednym znakiem – to częsty trick, gdy ktoś próbuje być sprytny. Używa tego samego hasła wszędzie, tylko dodaje na końcu np. inną cyfrę lub nazwę serwisu. Np. mamy hasło bazowe "MojeSuperHaslo", a do Facebooka "MojeSuperHasloFB", do Gmaila "MojeSuperHasloGM" itd. Wydaje się, że dzięki temu jak jedno wycieknie, to inne są bezpieczne… Niestety, dla doświadczonego atakującego taki schemat to żadna zagadka. Jeśli zdobędzie jedno z takich haseł, łatwo zauważy wzór i zautomatyzuje odgadnięcie pozostałych. To samo dotyczy zmieniania hasła co miesiąc przez dopisanie kolejnej liczby – "Haslo1", "Haslo2" – jeśli haker zna "Haslo1", to sprawdzi też "Haslo2", "Haslo3" bez mrugnięcia okiem. Starajmy się więc, by hasła do różnych usług nie były od siebie zależne ani przewidywalnie podobne.
• Pozostawianie domyślnych haseł – mowa tu np. o hasłach typu "admin"/"admin" lub "password", które czasem są fabrycznie ustawione w nowych urządzeniach czy usługach. Ten błąd dotyczy może mniej kont internetowych, a bardziej naszych urządzeń: routerów Wi-Fi, kamer IP, kont firmowych. Wiele ataków na skalę masową polega właśnie na tym, że bot przejmuje np. tysiące routerów, bo ludzie nigdy nie zmienili domyślnego loginu i hasła administratora. W domu również – jeśli kupiliście nowy router i nie zmieniliście hasła "admin", to ktoś spoza może wejść do sieci i przejąć nad nim kontrolę. To samo dotyczy nowych kont – zawsze po pierwszym logowaniu zmieniajcie hasło na własne, silne.
• Udostępnianie hasła innym – czasem zaufamy przyjacielowi czy partnerowi i podamy mu nasze hasło, np. do Netflixa czy do Wi-Fi. O ile do wspólnego Netflixa to pół biedy (choć lepiej używać oficjalnego udostępniania w ramach konta), o tyle nigdy nie wiadomo, gdzie to hasło dalej trafi. Kolega może niechcący zapisać je w przeglądarce, ktoś inny usłyszy, itp. Zasada jest taka: hasła nie powinny opuszczać naszej głowy (lub bezpiecznej bazy). Jeśli już musimy komuś przekazać hasło, zróbmy to w sposób bezpieczny i potem je zmieńmy. W firmach to szczególnie ważne – ile to razy pracownicy przekazują sobie e-mailem dostęp do czegoś, a potem ten e-mail gdzieś wycieka.
• Ignorowanie informacji o wycieku – ostatni punkt, równie istotny. W dzisiejszych czasach wycieki się zdarzają i będą zdarzać. Ważne jest, jak my na nie reagujemy. Jeśli słyszymy w wiadomościach albo dostaniemy maila od serwisu "przepraszamy, nastąpił wyciek danych, zalecamy zmianę hasła" – to nie zwlekamy. Wiele osób machnie ręką: "Eee, jakoś tam będzie, nie chce mi się zmieniać, moje dane pewnie i tak nikogo nie obchodzą". To błąd! Jeśli serwis informuje o incydencie, hasło natychmiast trzeba zmienić, nawet jeżeli było unikalne. A jeżeli używaliśmy je gdzie indziej (co nie powinno mieć miejsca, ale bywa) – to już absolutnie wszędzie indziej też zmienić. Istnieją strony takie jak HaveIBeenPwned.com, gdzie po wpisaniu swojego maila można sprawdzić, czy nasze dane pojawiły się w znanych wyciekach. Warto od czasu do czasu to sprawdzić dla własnego spokoju.
Uff, trochę tego wyszło – ale chciałem Wam uświadomić, jak powszechne są te błędy. Nie po to, by kogokolwiek zawstydzać – prawie każdy z nas kiedyś któryś z nich popełnił. Chodzi o to, żebyśmy zdali sobie sprawę, jakie to ryzykowne i spróbowali wyeliminować te złe nawyki.
Zanim przejdziemy dalej, spójrzmy jeszcze na ranking "najgorszych haseł" – czyli tych najczęściej używanych i zarazem najmniej bezpiecznych. Jeśli przypadkiem jakieś z Waszych haseł znajduje się na tej liście, to… cóż, czas na natychmiastową zmianę! 😉
Niektóre pozycje są wręcz legendarne w swojej słabości: "123456" to absolutny numer jeden od lat – ciągle króluje jako najpopularniejsze hasło na świeci. Dalej mamy jego dłuższe wariacje: "123456789", "12345", "12345678" – ludzie chyba myślą, że dodanie kolejnych cyferek czyni hasło bezpieczniejszym, a tak naprawdę wszystkie te ciągi są równie przewidywalne. "qwerty" – czyli pierwsze litery górnego wiersza klawiatury – to też hit. "password"(czyli po angielsku po prostu "hasło"). Widzimy też "admin" – to często zostawiane domyślne hasło, o którym mówiłem, i miliony urządzeń z nim chodzą po sieci. Jest "111111", "123123" – same powtarzalne lub prościutkie wzory. No i "iloveyou" – niby romantyczne wyznanie, ale jako hasło kompletnie nie chroni.
Dlaczego te hasła są takie niebezpieczne? Bo właśnie ich przestępcy próbują w pierwszej kolejności. Istnieją listy słownikowe używane przy atakach, zawierające tysiące najpopularniejszych haseł – te z listy są zawsze na czele. Program do łamania haseł sprawdzi je w kilka sekund i odgadnie bez wysiłku. Wspominałem wcześniej: każde z top10 najgorszych haseł pęka pod naporem ataku w mniej niż sekunde. Dlatego, jeśli rozpoznajecie tu swoje hasło – obiecajcie sobie je zmienić najpóźniej zaraz po przeczytaniu tego artykułu! Żadne konto nie jest bezpieczne z hasłem z tej listy, nawet jeśli wydaje się mało ważne.
Żeby nie być gołosłownym, opowiem Wam krótką historię użytkownika, który stracił dostęp do konta przez złe praktyki. Mój znajomy – nazwiemy go Marek – kilka lat temu miał bardzo proste hasło "marek123" i używał go praktycznie wszędzie: do poczty, do Facebooka, do ulubionego forum dyskusyjnego. Pewnego dnia okazało się, że to forum padło ofiarą ataku i wszystkie loginy oraz hasła (niestety, niezbyt dobrze zabezpieczone) wyciekły do internetu. Marek, nieświadomy niczego, nadal używał swojego hasła. Po jakimś czasie zauważył, że nie może zalogować się na Facebooka – jego hasło nie działało. Potem przestała działać poczta Gmail. Co się stało? Otóż ktoś znalazł w wycieku forum jego dane: login (e-mail) i hasło "marek123". Ponieważ takie hasło jest banalne, spróbowano nim zalogować się do popularnych serwisów – i bingo, do Facebooka weszło bez problemu. Atakujący przejął konto, zmienił hasło na FB, a mając dostęp do e-maila (bo tam też to samo hasło), potwierdził zmiany i jeszcze dobrał się do poczty. Marek w panice musiał odzyskiwać konta przez support, udowadniać swoją tożsamość. Na szczęście nie miał podpiętych kart płatniczych do tych usług ani nic cennego w poczcie, ale i tak stracił mnóstwo nerwów i czasu. Wszystko dlatego, że używał jednego, łatwego do zgadnięcia hasła wszędzie. To przykład z życia, który pokazuje, że nie mówimy tu o teoretycznym zagrożeniu – to się dzieje naprawdę.
Ale spokojnie – jest też pozytywna strona: Marek po tej lekcji zmienił absolutnie wszystkie hasła na unikalne i zaczął używać menedżera haseł (o czym opowiem za moment) i dziś śpi znacznie spokojniej 😉
Podsumowując ten segment: unikajmy powyższych błędów i haseł jak ognia. To fundament naszego bezpieczeństwa online. Nawet jeśli wdrożycie tylko jedną rzecz z tego całego artykułu, to niech to będzie przegląd Waszych haseł i wyeliminowanie tych "grzechów głównych". Dalej opowiem, jak tworzyć lepsze hasła i jak sobie radzić, by nie zwariować od ich zapamiętywania.
Silne hasło – jak?
Skoro wiemy już, czego nie robić, czas porozmawiać o tym, jak tworzyć naprawdę bezpieczne hasła. Wbrew pozorom, dobre hasło nie musi być losowym ciągiem typu "X?~1fGz$9", którego za Chiny nie da się spamiętać. Klucz tkwi w znalezieniu równowagi między siłą a wygodą.
Po pierwsze, długość ma znaczenie. Krótkie hasła da się złamać metodą brute-force (czyli metodą siłową, sprawdzając wszystkie kombinacje) stosunkowo szybko. Każdy dodatkowy znak wydłuża wykładniczo czas potrzebny do odgadnięcia. Dlatego obecnie zaleca się, by hasło miało co najmniej 12 znaków, a jeszcze lepiej w okolicach 16 czy więcej. Hasło 4- czy 6-znakowe dzisiaj to praktycznie brak hasła.
Druga sprawa: różnorodność znaków. Idealnie, jeśli w haśle występują zarówno duże, małe litery, cyfry, jak i znaki specjalne (np. ! @ # $ % ^ & itp.). Dzięki temu liczba możliwych kombinacji rośnie, a hasło staje się trudniejsze do złamania atakiem słownikowym. Oczywiście, uwaga: użycie samej litery na początku i cyfry na końcu to typowy schemat (np. "Haslo1!") – lepiej pomieszać bardziej losowo, bo napastnicy znają te sztuczki.
Trzecia cecha: żadnych oczywistych słów ani danych. Unikamy tego, o czym mówiłem – imion, dat, słów ze słownika. Jeśli hasło musi zawierać słowo, zróbmy z nim coś kreatywnego: np. literówki, celowe błędy, zmiana kolejności liter – byle nie było to słowo wprost. Hasło nie powinno być czymś, co można o nas zgadnąć mając informacje z Facebooka.
Czwarta: unikalność dla każdego konta. To jest absolutnie krytyczne. Nawet jeśli wymyślimy genialne, długie i złożone hasło – nic nam to nie da, jeśli będziemy używać go wszędzie. Pamiętajcie przykład Marka: jedno hasło = jedno konto. W idealnym świecie każdy nasz serwis ma inne hasło. Wiem, że to trudne do ogarnięcia (kto spamięta dziesiątki takich potworków?), ale za chwilę powiem, jak to ugryźć. Niemniej zasada jest jasna: hasła NIE POWINNY się powtarzać między serwisami.
Piąta cecha dobrego hasła, może najmniej oczywista: powinno być łatwe do zapamiętania dla Was, a trudne do odgadnięcia przez innych. Brzmi jak oksymoron, prawda? Jak coś ma być jednocześnie proste i skomplikowane? Tu dochodzimy do pewnego mitu o "łatwym do zapamiętania, ale silnym" haśle. Często słyszy się hasło "wymyśl sobie hasło łatwe do zapamiętania, ale trudne do zgadnięcia" – no fajnie, tylko jak to zrobić? Czy to w ogóle możliwe?
Powiem tak: częściowo to mit, bo większość naprawdę silnych haseł z definicji jest trudna do zapamiętania, jeśli podejdziemy do tematu tradycyjnie. Jeśli spróbujemy tworzyć hasło metodą "wezmę znane słowo i zamienię parę literek na cyfry", to może będzie ciut lepsze, ale wciąż dość łatwe do złamania – bo hakerzy znają te podstawienia (np. że "a" -> "@" albo "o" -> "0"). Z kolei jak wygenerujemy totalny losowy ciąg "G7%ks!9ZQ#" to jest bezpieczny, ale zwykły człowiek tego nie zapamięta.
Na szczęście jest sposób, by hasło było i mocne, i zapamiętywalne – nazywa się to metoda passphrase, czyli hasła-frazy. Zamiast jednego słowa czy dziwnego ciągu, weźcie kilka losowych słów i połączcie je w jedno długie hasło. Przykład: spójrzcie na obiekt na biurku, pomyślcie o jakimś kolorze i o ostatnim filmie, jaki widzieliście – z takich trzech słów możecie złożyć frazę. Załóżmy: "kubek", "niebieski", "Matrix". Możemy stworzyć hasło "NiebieskiKubekMatrix". To hasło ma już 18 znaków, co jest świetne, zawiera duże litery na początku każdego słowa. Można dodać jakiś symbol między słowami, np. "Niebieski!Kubek!Matrix!". Wyobraźcie sobie teraz taką scenkę (żeby utrwalić w pamięci): niebieski kubek z logo Matrixa na półce – i już nie zapomnicie tej frazy 😉. Dla kogoś postronnego takie połączenie słów jest praktycznie niemożliwe do odgadnięcia, bo to bardzo osobista asocjacja. A dla Was – całkiem przystępne do zapamiętania.
Inny sposób: możecie wziąć jakieś zdanie, które łatwo zapamiętać, np. pierwszą linijkę ulubionej piosenki, i wziąć pierwsze litery każdego wyrazu. Przykładowo, z piosenki "Wlazł kotek na płotek i mruga" wziąć litery: "wknpim" – i potem poprzetykać to cyframi/symbolami: "Wk1Np!Im" (tu już kombinuję wielkość liter oryginalną i dodaję cyfry, ale pomysł jest jasny). Dostajemy pozornie losowy ciąg, ale w naszej głowie jest zakodowane logiczne zdanie. Ważne, żeby to nie było super znane zdanie typu cytat z "Gwiezdnych Wojen", bo takie też mogą trafić do słowników atakujących – lepiej coś unikalnego dla nas, np. jakieś zabawne powiedzonko babci 😉
Takie hasło-frazę czy hasło z trickiem łatwiej zapamiętać niż całkiem randomowy zbiór znaków. Jednak – muszę tu zaznaczyć – to działa dobrze, dopóki macie do zapamiętania ograniczoną liczbę haseł. Jeśli ktoś ma np. 100 różnych kont internetowych (a policzcie: forum, sklepy, social media, bank, urząd, praca itd. – zbiera się tego), to wymyślenie i pamiętanie 100 unikalnych długich fraz jest właściwie niewykonalne. Można próbować stosować jakiś własny system, np. do hasła bazowego doklejać skrót nazwy serwisu – ale jak mówiłem, to staje się przewidywalne.
Tu dochodzimy do kolejnego tematu: jak zapamiętać te wszystkie bezpieczne hasła, nie zapisując ich na kartce? O jednym sposobie już powiedziałem – wymyślić sprytne reguły lub frazy, które tylko Wy znacie. Ale to działa do pewnego momentu. W praktyce, większość ekspertów zgadza się dziś, że nie da się manualnie zarządzać dziesiątkami czy setkami silnych, unikalnych haseł bez pomocy z zewnątrz. I tu wkraczają menedżery haseł – temat naszej kolejnej sekcji.
Zanim tam przejdę, jeszcze obalę/wyjaśnię mit: Czy istnieje "łatwe do zapamiętania, ale super silne" hasło? Częściowo tak – dzięki metodzie passphrase można uzyskać hasła długości 20-30 znaków, które są względnie łatwe do zapamiętania i bardzo trudne do złamania. Tylko pamiętajcie, że nawet najlepsze hasło używane w wielu miejscach naraz traci swoją moc. No i wciąż nie rozwiązuje to problemu, gdy mamy tych haseł całą masę.
Podsumowując ten fragment: Twórzcie hasła długie, unikalne i kreatywne. Kombinujcie z metodami, które Wam pasują – byle nie iść na skróty typu "Janek1985" albo "Password!23". A za chwilę pokażę Wam narzędzie, które sprawi, że nie będziecie musieli pamiętać prawie żadnego z tych haseł 🙂
Menedżer haseł
Menedżer haseł to aplikacja lub usługa, która bezpiecznie przechowuje nasze hasła w zaszyfrowanej bazie danych, a także potrafi generować silne, unikalne hasła i automatycznie wypełniać loginy na stronach. Dostęp do menedżera chroniony jest jednym hasłem głównym (master password) – tylko je musimy zapamiętać.
No dobrze – dotarliśmy do momentu, gdzie mogę zaprezentować superbohatera dzisiejszego spotkania: menedżer haseł. To naprawdę zmienia życie, jeśli chodzi o bezpieczeństwo online. Ci, którzy już używają, pewnie potwierdzą, a dla tych, którzy nie używają – mam nadzieję, że Was przekonam, by spróbować.
Zacznijmy od wyjaśnienia, czym właściwie jest menedżer haseł. Najprościej mówiąc, to aplikacja (na telefon, komputer ewentualnie rozszerzenie przeglądarki), która przechowuje wszystkie Wasze hasła (oraz inne poufne informacje, np. numery kart kredytowych, notatki) w zaszyfrowanym "sejfie". Dostęp do tego sejfu macie tylko Wy, za pomocą jednego hasła głównego. To hasło główne to jedyne, które musicie zapamiętać. Cała reszta haseł może być totalnie losowa i nie do zapamiętania – bo nie musicie ich pamiętać, menedżer je pamięta za Was. Dodatkowo wiele menedżerów umożliwia logowanie biometryczne – czyli zamiast wpisywać hasło główne za każdym razem, możecie użyć odcisku palca lub rozpoznawania twarzy (np. na smartfonie), by odblokować dostęp. Dane w menedżerze są mocno zaszyfrowane – najczęściej algorytmem AES-256, który jest uważany za bardzo bezpieczny standard. To znaczy, że nawet jak ktoś wykradnie Waszą bazę haseł, to bez znajomości hasła głównego nie odczyta nic, będzie to bełkot.
Co więcej, menedżer nie tylko przechowuje – on też może generować nowe hasła. Kiedy zakładacie konto na jakiejś stronie, nie musicie już wymyślać hasła – klikacie opcję "wygeneruj hasło" w menedżerze, i otrzymujecie np. 16-znakowy losowy ciąg pełen różnych znaków. Taki password-generator od razu zapisuje to hasło w swojej bazie, przypisane do danej strony. Wy nawet nie musicie go widzieć na oczy (choć możecie). Przy następnym logowaniu, menedżer automatycznie uzupełni pole loginu i hasła na tej stronie, oszczędzając Wam fatygi. W praktyce korzystanie z sieci staje się wygodniejsze – paradoksalnie silne hasła zwiększają wygodę, bo nie trzeba ich pamiętać, przepisywać, resetować co chwila.
Wiele osób pyta: "Czy mogę zaufać takiemu menedżerowi? Czy trzymanie wszystkich jajek w jednym koszyku nie jest ryzykowne?". To naturalne pytanie. Odpowiedź brzmi: dobrze zaprojektowany menedżer haseł jest bardzo bezpieczny, a na pewno bezpieczniejszy niż nasza ludzka pamięć czy kartka papieru. Oczywiście kluczowe jest wybranie zaufanego menedżera i ustawienie do niego silnego hasła głównego (tego jednego, które trzeba zapamiętać – tu akurat możecie użyć Waszej kreatywności i np. hasła-frazy, bo to hasło nigdzie nie będzie zapisane, musi być w głowie).
10 powodów, dla których warto używać menedżera haseł
Spójrzcie teraz na listę z 10 powodami, dla których warto używać menedżera – omówię je pokrótce, chociaż myślę, że część z nich już sama Wam się nasunęła:
1. Tylko jedno hasło do zapamiętania – to chyba największa ulga. Koniec z listami kilkudziesięciu haseł. Pamiętacie swoje hasło główne i to wszystko. W praktyce po pewnym czasie nawet i tego hasła tak często nie wpisujecie, bo na własnym urządzeniu menedżer jest odblokowany biometrycznie. Ale UWAGA: hasło główne musi być mocne i nie wolno go zapomnieć. Jeśli je zgubicie, większość menedżerów nie ma jak Wam odzyskać dostępu (bo to właśnie jest ta zaleta – nawet firma od menedżera nie zna Waszego hasła). Więc to jedno hasło warto sobie dobrze przemyśleć i np. zapisać offline w bardzo bezpiecznym miejscu.
2. Generowanie silnych haseł – menedżer sprawi, że Wasze nowe hasła będą praktycznie nie do złamania, bo są losowe i mocne. Już nie musicie kombinować, wymyślać – klik i jest. To eliminuje problem słabych haseł.
3. Mniej błędów – ile razy wpisywaliście ręcznie długie hasło i zrobiliście literówkę? Menedżer automatycznie wkleja hasło – nie pomyli się. Przypomni też, gdy czas zmienić hasło (niektórzy ustawiają sobie co X miesięcy zmianę ważnych haseł). Krótko mówiąc, automatyzacja zmniejsza szansę, że ludzki błąd osłabi bezpiecze hasło.
4. Szyfrowanie – jak już wspomniałem, dobre menedżery używają silnego szyfrowania do przechowywania baz danych. W praktyce jest to znacznie bezpieczniejsze niż np. zapisywanie haseł w pliku Worda (dobrze słyszałeś, ludzie właśnie tak robią) czy gdzieś w notatniku telefonu. Tamto jak ktoś znajdzie, to odczyta od razu. Tu – zobaczy tylko ciąg bez sensu.
5. Ochrona przed phishingiem – to ciekawy bonus. Phishing to podszywanie się pod prawdziwą stronę (np. przyjdzie mail "Zaloguj się do swojego banku" z linkiem do fałszywej strony banku). Jeśli używacie menedżera, on rozpoznaje domeny. Jeśli strona wygląda jak Facebook, ale adres to fecebook.com z lekko zmienioną literówką, to menedżer nie wypełni automatycznie hasła, bo nie rozpozna domeny jako zaufanej. To daje Wam sygnał ostrzegawczy – "hej, sam muszę wpisać, czemu mój menedżer nie działa? Może coś nie tak z tą stroną". Dobry menedżer potrafi więc niechcący ostrzec Was przed wprowadzeniem hasła na fałszywej stronie. Oczywiście nie zastąpi to zdrowego rozsądku, ale pomaga.
6. Audyt haseł – wiele menedżerów ma funkcje typu Security Challenge czy Password Health, które analizują Wasze zapisane hasła i mówią: "Hej, te dwa są takie same – zmień jedno", albo "To hasło masz od 5 lat, może pora odświeżyć", albo "To hasło wygląda słabo, bo jest krótkie". Niektóre integrują się z bazami wycieków (haveibeenpwned) i alarmują: "to hasło/email pojawił się w wycieku, natychmiast zmień!". Taki osobisty trener bezpieczeństwa haseł.
7. Bezpieczne udostępnianie – wspominałem, żeby nie podawać haseł innym, ale czasem jest taka potrzeba (np. współdzielimy z żoną konto do banku albo z kolegą dostęp do firmowego profilu social media). Menedżer umożliwia udostępnienie wpisu hasła drugiej osobie, często poprzez dodanie jej do naszej "rodziny" lub wysłanie zaszyfrowanym kanałem. Dzięki temu nasz znajomy może użyć tego hasła bez poznawania go – np. menedżer u niego też wypełni formularz. A my w razie potrzeby możemy potem cofnąć dostęp lub zmienić hasło. To dużo lepsze niż wysyłanie hasła SMS-em czy zapisywanie na kartce.
8. Synchronizacja – chyba każdy z nas korzysta z internetu na wielu urządzeniach. Menedżery haseł mają wersje na komputery, na smartfony i przeglądarki, które się ze sobą synchronizują (oczywiście w bezpieczny, zaszyfrowany sposób). To znaczy, że jak stworzycie nowe konto na laptopie i zapiszecie w menedżerze hasło, to gdy później będziecie logować się przez telefon – to hasło już tam będzie gotowe do użycia. Wygoda przede wszystkim.
9. Kopie zapasowe – jeżeli używamy menedżera chmurowego, nasze dane są przechowywane na ich serwerach (zaszyfrowane). Jeśli zgubimy telefon czy spali nam się dysk – nie tracimy haseł, bo możemy je pobrać z chmury po zalogowaniu się. To jest ogromna ulga – pamiętam czasy, gdy ludzie trzymali hasła tylko lokalnie w programie KeePass i jak padł im dysk bez kopii zapasowej, to mieli problem. Teraz przynajmniej jest jak odzyskać (o ile pamiętamy hasło główne!). Można też zazwyczaj wyeksportować swoją bazę i zachować gdzieś na własnym dysku kopię (też dobrze zaszyfrowane).
10. Lepsze nawyki – zauważyłem to po sobie: od kiedy używam menedżera, w naturalny sposób moje hasła są unikalne i silne, bo czemu by miały nie być? Już nie ciąży nade mną to, że muszę zapamiętać – więc śmiało generuję totalnie długie i mocne hasła. W efekcie, nawet jak gdzieś nastąpi wyciek, śpię spokojniej, bo wiem, że to hasło nie jest używane nigdzie indziej. Menedżer niejako wymusza dobre praktyki – bo ułatwia ich stosowanie. To tak jak automatyczna skrzynia biegów w samochodzie – niby możesz jeździć na manualu i też dojedziesz, ale automat robi to za Ciebie wygodniej, więc czemu nie 😉.
Mam nadzieję, że powyższe powody brzmią przekonująco. Dla równowagi wspomnę: oczywiście żadne rozwiązanie nie jest 100% bezpieczne. Menedżery haseł też mają potencjalne ryzyka – np. jeśli ktoś pozna Wasze hasło główne, ma dostęp do wszystkiego. Albo gdyby była jakaś luka w oprogramowaniu menedżera (choć te dobre są audytowane i testowane). Były też przypadki ataków na menedżery – np. niedawno głośno było o włamaniu do LastPass (jednego z popularnych menedżerów) – wykradziono zaszyfrowane bazy użytkowników. Ktoś mógłby powiedzieć: "Ha! Widzisz, trzymali w menedżerze i im ukradli". Tylko że te bazy są bezużyteczne bez haseł głównych. Jeśli użytkownicy mieli silne hasło główne, ich dane nadal są bezpieczne (do dziś nie słychać, by z tego wycieku ktoś odczytał czyjeś hasła). To potwierdza, że kryptografia zadziałała jak należy. Niemniej – warto wybierać renomowane menedżery i stosować w nich też np. uwierzytelnianie dwuskładnikowe do naszego konta. W skrócie: zaufany menedżer + silne hasło główne i wtedy nasze hasła są znacznie bezpieczniejsze niż bez menedżera.
Przykładowe menedżery haseł
Na rynku jest wiele menedżerów haseł. Najpopularniejsze to komercyjne rozwiązania jak LastPass czy 1Password, są też darmowe i open-source’owe jak KeePass czy Bitwarden. Większość przeglądarek ma też wbudowane menedżery – np. Google Password Manager, – one też działają przyzwoicie, choć zwykle są mniej zaawansowane niż dedykowane aplikacje.
Chciałbym jednak zwrócić uwagę na moją aplikację - Szyfron.pl. Jest to polski menedżer haseł, który pojawił się na rynku kilka miesięcy temu i zbiera same pozytywne opinie. Jeśli wolicie wsparcie w języku polskim i produkt dostosowany do lokalnych realiów, warto mu się przyjrzeć. Szyfron przede wszystkim łączy standardy bezpieczeństwa na światowym poziomie z intuicyjnym interfejsem w języku polskim. Pozwólcie, że krótko opowiem, co oferuje Szyfron:
• Bezpieczeństwo: Najważniejszy punkt, czyli bezpieczeństwo Twoich danych. Szyfron używa silnego szyfrowania end-to-end (czyli dane szyfruje u Was, a dopiero potem leci na serwer). Hasło główne oczywiście znacie tylko Wy. Obsługuje też dwustopniową weryfikację przy logowaniu oraz monitoruje w sieci, czy dane nie wyciekły (powiadomi Was, jeśli jakieś Wasze hasło trafi do bazy wycieków).
• Wygoda: Aplikacja jest prosta w obsłudze, ma polski interfejs – co dla niektórych może być barierą w zagranicznych menedżerach. Działa na wszystkich urządzeniach – jest wersja webowa, mobilna, komputerowa.
• Dodatkowe funkcje: Generowanie haseł – oczywista sprawa. Szyfron pozwala też prowadzić notatki szyfrowane, kategoryzować i tagować hasła. Oprócz tego blokować dostęp na różnych urządzeniach, czy też śledzić historię Twojej aktywności. Także wszystko możesz dostosować pod Twoje preferencje.
Być może najważniejszy dla nas jest fakt, że to polski produkt – czyli wsparcie techniczne po polsku, polska dokumentacja, a nasze dane podlegają polskim/europejskim przepisom (RODO itp.). Dla tych, co wolą trzymać dane "na miejscu", to plus.
Sam testowałem przez wiele miesięcy tę aplikację i wiem, że to obecnie numer 1 na rynku. Konkurencja na rynku jest duża, ale trzymam kciuki za kazdą inicjatywę, bo im więcej ludzi będzie używać menedżerów, tym bezpieczniej wszyscy będziemy funkcjonować online.
Chciałbym przytoczyć jeszcze jedną historię użytkownika – tym razem pozytywną – który dzięki menedżerowi uniknął problemów. Moja koleżanka, nazwijmy ją Kasia, padła ofiarą ataku phishingowego. Dostała e-mail rzekomo od banku, kliknęła w link – strona wyglądała identycznie jak logowanie do banku. Kasia próbowała się zalogować, ale… jej menedżer haseł nie uzupełnił hasła automatycznie. Zdziwiło ją to – zwykle wchodziła na stronę banku i menedżer od razu podstawiał login i hasło. Musiała ręcznie wpisać dane. W tym momencie nabrała podejrzeń – spojrzała na adres strony i zauważyła drobną różnicę w URL. Natychmiast przerwała, zadzwoniła do banku – potwierdziło się, że to atak phishing. Dzięki menedżerowi, który "nie rozpoznał" fałszywej strony, Kasia nie podała swoich danych złodziejom i uchroniła się przed potencjalnie poważnymi konsekwencjami (kradzież pieniędzy z konta). Gdyby wpisywała hasło z pamięci, pewnie by je tam wpisała bez zastanowienia. To pokazuje, że menedżer nie tylko ułatwia, ale może realnie zwiększyć bezpieczeństwo w takich sytuacjach.
Inny przykład: mój znajomy Piotr miał telefon zabezpieczony PIN-em, na którym zainstalowany był menedżer haseł (z hasłem głównym). Niestety telefon został skradziony. Zła sytuacja, ale Piotr był mądry – jego menedżer haseł miał dodatkowo ustawione odblokowanie tylko hasłem głównym, którego nie przechowywał na telefonie. Złodziej telefonu nie dostał się do jego bazy haseł. Piotr zalogowal się na swoje konto z poziomu komputera i usunał skradziony telefon z zaufanych urządzeń, dzięki temu wszystkie jego dane pozostały bezpieczne. Gdyby natomiast Piotr trzymał np. kartkę z PIN-ami i hasłami w etui telefonu – no to katastrofa. W tym przypadku menedżer + świadomość zagrożeń uchroniły go od większych strat (telefon się nie znalazł, ale przynajmniej to tylko urządzenie, a nie tożsamość).
Mam nadzieję, że te przykłady pokazały praktyczny wymiar korzystania z menedżerów. Szczerze zachęcam każdego z Was: spróbujcie! Wiele menedżerów jest darmowych albo ma darmową wersję. Nasz Szyfron.pl również oferuje opcję wypróbowania za darmo (jest plan podstawowy bez opłat). Instalacja i skonfigurowanie takiego menedżera to kwestia kilkunastu minut, a może zaoszczędzić Wam mnóstwo kłopotów.
Oczywiście, decyzja należy do Was – ale pamiętajcie jedno: nawet najlepszy menedżer nie pomoże, jeśli będziecie używać słabego hasła głównego lub zignorujecie podstawowe zasady bezpieczeństwa (np. nie instalujcie lewych aplikacji – bo złośliwe oprogramowanie może podejrzeć, co robicie, choć to już ekstremalne przypadki). Na szczęście przy zdrowym rozsądku menedżer haseł to naprawdę potężny sojusznik.
Podsumowanie
Dotrwaliśmy do końca naszej podróży po świecie haseł. 🏁 Czas podsumować najważniejsze wnioski:
Po pierwsze, hasła to wrota do naszej cyfrowej tożsamości – warto poświęcić chwilę, by dobrze je zabezpieczyć. Proste zmiany w naszych nawykach mogą uchronić nas przed bardzo niemiłymi przeżyciami.
Najważniejsze, co chciałbym, żebyście zapamiętali: używajcie unikalnych i silnych haseł wszędzie. Jeżeli do tej pory mieliście jedno hasło do wielu usług – potraktujcie ten artykuł jako sygnał alarmowy i zmieńcie to jak najszybciej. Hasło do maila inne, do Facebooka inne, do banku absolutnie inne, itd. To minimum higieny. Jak ktoś kiedyś powiedział: "Hasła są jak szczoteczki do zębów – nie używaj tej samej co ktoś inny i zmieniaj co pewien czas". W kontekście haseł dodałbym: nie używaj tej samej szczoteczki (hasła) do wszystkich zębów (serwisów) 😅.
Po drugie, wystrzegajcie się słabych haseł. Jeśli gdziekolwiek macie "123456" albo "haslo" – zmiana natychmiast. Mam nadzieję, że po dzisiejszym rankingu nikt z Was już nie będzie chciał ryzykować z takim czymś.
Po trzecie, menedżer haseł to naprawdę przydatne narzędzie. Serio – ułatwia życie i czyni je bezpieczniejszym. Zachęcam: wypróbujcie choćby przez tydzień. Możecie zacząć od darmowego Szyfron.pl. Importujcie tam parę haseł, ustawcie generowanie nowych przy zakładaniu następnego konta – zobaczcie, czy Wam to pasuje. Jest duża szansa, że już nie będziecie chcieli wrócić do "ręcznego" zarządzania hasłami. Ja osobiście czuję się trochę jakbym miał osobistego ochroniarza do moich kont – to naprawdę daje komfort.
Po czwarte, śledźcie informacje o wyciekach (przynajmniej te większe) i reagujcie. Lepiej dmuchać na zimne – nawet jak nie jesteście pewni, czy Was to dotyczy, zmieńcie hasło profilaktycznie. Lepsza zmiana hasła raz za często niż raz za późno.
Po piąte, dwuskładnikowe uwierzytelnianie – tak, wiem, powtarzam się, ale to ważne. To trochę poza temat hasła, ale ściśle powiązane z bezpieczeństwem kont. Hasło to pierwsza linia obrony, a dwuskładnikowe uwierzytelnianie to druga. Naprawdę warto – to często jedno kliknięcie w ustawieniach, a potrafi zablokować atak nawet gdy hasło wpadnie w niepowołane ręce.
I na koniec: bądźcie czujni i świadomi. Technologia technologią (mamy menedżery, szyfrowanie i inne cuda), ale nasz zdrowy rozsądek to ostatnia bariera. Jeśli coś wygląda podejrzanie (np. mail od "banku" z literówką w adresie, albo nagła prośba od "znajomego" o hasło) – zastanówcie się dwa razy. Pomyślcie o wszystkich historiach, które dziś opowiedziałem. Dzięki temu łatwiej Wam będzie rozpoznać potencjalne zagrożenie.
