Menedżer haseł: wszystko, co musisz wiedzieć o bezpiecznym zarządzaniu hasłami

Z hasłami jest jeden spory problem. Wszyscy wokół (łącznie ze mną), powtarzają Ci, aby zawsze i wszędzie używać unikalnych haseł. Jedno hasło = jedna strona WWW, serwis czy usługa.

Tylko wtedy, gdy Twoje hasło wycieknie z jednego miejsca, cyberprzestępca nie dostanie się do wszystkich Twoich pozostałych kont internetowych. A hasła wyciekają i będą wyciekać i Ty na to nic nie poradzisz.

W jaki sposób więc tworzyć mocne i trudne do złamania hasła, które będą unikalne i je zapamiętywać?

Nie, tym sposobem nie jest dodawanie nazwy serwisu czy usługi do Twojego podstawowego hasła (tzw. hasło prefiksowe). Jeśli Twoim podstawowym hasłem jest Janusz007 i tworzysz hasła w stylu Janusz007gmail, Janusz007facebook, to nadal nie jest to bezpieczne hasło. Po poznaniu jednego z Twoich haseł każdy zdrowo myślący przestępca z chęcią wypróbuje hasło w innych miejscach, zmieniając tylko prefiks (nazwę strony, na którą się loguje). Twoje hasła muszą być w 100% unikalne i losowe!

Rozwiązanie jest proste: Nie musisz zapamiętywać haseł. Wystarczy, że skorzystasz programu lub aplikacji nazywanej menedżerem haseł.

I w tym artykule pokażę Ci, jak działa menedżer haseł, co oferuje i jak możesz bezpiecznie go używać.

Zapraszam 🙂

Menedżery haseł – jak działają?

Co to jest menedżer haseł? Menedżer haseł to aplikacja, która generuje losowe i unikatowe hasła oraz przechowuje je w bezpieczny, szyfrowany sposób w pamięci komputera lub telefonu.

Umówmy się: program komputerowy wygeneruje lepsze i bezpieczniejsze hasło niż my. Komputer jest także lepszy w zapamiętywaniu od nas.

W czasach, gdy miejsc do których logujemy się używając hasła, jest tak wiele, menedżer haseł to jedyny sposób na używanie naprawdę unikalnych i bezpiecznych haseł w każdym serwisie czy usłudze.

Menedżer haseł może być oferowany w formie:

• programu instalowanego na komputerze (Windows, macOS, Linux)
• aplikacji na telefon lub tablet (iOS, Android)
• usługi działającej 100% online (przez stronę WWW)
• wtyczki/dodatku do przeglądarki (Chrome, Firefox, Brave, Opera, Edge, Safari itd.)

Często jest to jednak połączenie części lub wszystkich wymienionych wyżej opcji, a hasła są synchronizowane pomiędzy urządzeniami i aplikacjami.

Wszystkie hasła w menedżerze są zaszyfrowane i zabezpieczone tzw. hasłem głównym, którego zadaniem jest odszyfrowanie i odbezpieczenie naszego „sejfu” ze wszystkimi hasłami. Dostęp do zapisanych haseł ma więc wyłącznie osoba, która zna hasło główne.

Jaki menedżer haseł wybrać?

Sam od 2012 roku korzystam z 1Password do zarządzania swoimi hasłami (wcześniej korzystałem z LastPass), więc w tym artykule będę posługiwał się przykładem właśnie tego programu.

Jednak większość podstawowych funkcji jest podobna w każdym z menedżerów haseł – każdy tego typu program wygeneruje Ci bezpieczne hasło i każdy w bezpieczny sposób je przechowa. Używaj menedżera haseł, z którym Tobie jest wygodnie. Każdy menedżer haseł jest lepszy od braku menedżera 🙂

Na rynku jest wiele menedżerów haseł, a do najpopularniejszych należą:

• 1Password (używany przeze mnie)
• LastPass (popularna usługa w chmurze)
• RoboForm (wygodny, multiplatformowy program)
• NordPass (narzędzie od producenta popularnego VPN-a)
• PureKeep (od kolejnego dostawcy VPN)
• Keeper (nagradzany menedżer – od użycia personalnego do oferty dla korporacji)
• BitWarden (open source, w chmurze producenta lub własnej)
• Dashlane (kolejna popularna chmurowa usługa)
• KeePassXC (open source i działający lokalnie)

Muszę uczciwie zaznaczyć, że nie testowałem ich wszystkich, więc nie jestem w stanie polecić Ci żadnego poza tym, którego aktualnie od lat sam używam. Może kiedyś uda się mi przygotować jakieś testy i porównanie, ale na ten moment musisz sam dokonać wyboru.

Ile kosztuje menedżer haseł? Zazwyczaj od 1-3 USD miesięcznie za licencję dla jednej osoby do 3-5 USD na miesiąc w pakietach rodzinnych, gdzie menedżera może używać jednocześnie 5-6 osób. Są też programy oferowane bezpłatnie w ograniczonym lub pełnym zakresie.

Jak zacząć korzystać z menedżera haseł?

To, że zainstalujesz menedżera haseł, nie zapewni Ci jeszcze bezpieczeństwa. Nawet jeżeli zapiszesz tam wszystkie swoje hasła i odetchniesz z ulgą, że nie musisz już ich pamiętać. Aby Twoje hasła (i usługi czy strony, które zabezpieczają) były bezpieczne, musisz skorzystać z generatora haseł w budowanego w ten program i z jego pomocą stworzyć bezpieczne, unikatowe hasła dla każdego z serwisów.

Co ja bym zrobił, gdybym dziś zaczynał korzystać z menedżera haseł? Przede wszystkim nie przepisywałbym żadnych swoich starych haseł do programu. Nie siedziałbym też pół dnia nad logowaniem się wszędzie po kolei, aby zmienić hasło na nowe, stworzone przez generator.

No, może w przypadku kilku najważniejszych stron WWW, zmieniłbym hasło od razu, ale w pozostałych zmiany wprowadzałbym stopniowo. Najprostsze możliwe rozwiązanie, to zmiana hasła na nowe przy każdym logowaniu do serwisu, którego nie mamy jeszcze zapamiętanego w naszym menedżerze. 2 minuty, kilka kliknięć i gotowe. Oczywiście hasło zmieniamy na te wygenerowane przez program.

Dzięki temu po jakimś czasie wszystkie hasła będą bezpieczne i zapamiętane w menedżerze haseł.

Generowanie bezpiecznych haseł

Jak wygląda tworzenie bezpiecznego hasła w menedżerze haseł? Przykładowo w 1Password, wystarczy dodać nowe dane logowania, aby hasło zostało automatycznie utworzone. W jego ustawieniach możemy jednak wybrać:

• długość hasła (im dłuższe, tym lepiej, ale w niektórych miejscach maksymalna długość jest ograniczona)
• czy hasło ma mieć symbole (np. !, @, #, $, %)
• czy hasło ma zawierać cyfry

Program umożliwia także utworzenie losowego PINu (same cyfry) czy łatwego do zapamiętania hasła stworzonego metodą Diceware (niestety tylko w j. angielskim). Wszystko sprowadza się do kilku kliknięć myszką. Wygenerowane hasło możemy skopiować do schowka lub uzupełnić automatycznie w formularzu na stronie internetowej.

Mój sposób: 3 hasła w głowie + menedżer

Co się stanie, jeśli zapomnę hasła do menedżera haseł? Wtedy stracisz wszystkie zapisane tam hasła. Dobry menedżer haseł nie ma żadnej furtki czy możliwości odzyskania dostępu. W tym cała jego siła i bezpieczeństwo.

Aby nie doszło do takiej sytuacji, dobrze jest znać hasło do swojej skrzynki e-mail. Dzięki temu, nawet gdy stracisz wszystkie hasła zapisane w menedżerze haseł, jesteś w stanie zrestartować swoje jasła w większości miejsc używając opcji „przypomnij hasło”. Klikasz w link, który przyjdzie w mailu i ustawiasz nowe hasło.

Sam obecnie stosuję metodę 3 haseł „w głowie”, dzięki którym pamiętam tylko trzy hasła:

1. Hasło do komputera (bo bez tego nie dostanę się do menedżera na komputerze)
2. Hasło do skrzynki e-mail (bo to najważniejsze miejsce, które dodatkowo pozwala „zrestartować” resztę haseł)
3. Hasło do menedżera haseł (wiadomo)

Kiedyś, mimo używania menedżera haseł nadal mimo wszystko zapamiętywałem najważniejsze hasła. Jednym z nich było hasło do bankowości internetowej. Ocknąłem się dopiero po dłuższym czasie, gdy zdałem sobie sprawę, że przez to moje hasło do banku jest najsłabszym hasłem, jakie stosuję. A uważałem, że nie dodając go do menedżera haseł, hasło stworzone i zapamiętane przeze mnie jest bezpieczniejsze. Nie było.

Efekt stosowania metody 3 haseł: tylko trzy hasła do zapamiętania – do komputera, do maila i do menedżera haseł. Wszystkie inne hasła bezpieczne.

Jeśli jakiekolwiek hasło wycieknie, to wycieknie tylko to jedno i nic się nie stanie, bo wystarczy, że je zmienię. Jeśli nie zablokowała/zrestartowała go wcześniej firma, z której wyciekło.

Aby po zastosowaniu mojej metody 3 haseł być bezpiecznym, trzeba jednak zadbać o to, aby te wspomniane trzy hasła były bardzo bezpiecznie, unikalne (wiadomo!) i praktycznie niemożliwe do złamania. Tutaj kłania się mój artykuł o tworzeniu trudnych do złamania (ale łatwych do zapamiętania) haseł.

Dodatkowe funkcje managera haseł

Dzisiejsze menedżery haseł często potrafią znacznie więcej niż tylko wygenerować i przechowywać bezpiecznie Twoje hasła. Poniżej kilka przydatnych funkcji, oferowanych przez niektóre z menedżerów haseł.

Ochrona przed phishingiem

Phishing jest metodą oszustwa, która polega na podszywaniu się pod inną osobę (lub instytucję), aby Cię okraść, wyłudzając Twoje dane osobowe, dane logowania czy np. dane karty płatniczej.

Dzieje się tak np. gdy dostajesz linka do zapłaty za zamówienie i masz zalogować się na stronie, która wygląda identycznie jak Twój bank. No, ale czasem zamiast adresu strony banku czy operatora płatności, adres jest trochę inny, a Ty możesz tego nie zauważyć. To nagminne i tak samo wyłudzane są dane do logowania się na Facebooka (aby okraść Twoich znajomych, podszywając się pod Ciebie) czy do innych miejsc w sieci. Jak może tutaj pomóc menedżer haseł?

Menedżer haseł, który ma wtyczkę/dodatek do przeglądarki może automatycznie uzupełniać login i hasło w polu logowania. Ale uwaga, uzupełni dane do logowania się TYLKO na prawdziwej stronie WWW.

Ty możesz nie zauważyć różnicy, ale menedżer haseł zauważy i dzięki temu może Cię skutecznie ochronić przed tego typu atakiem. Hasło nie uzupełnia się samo? Znaczy, że adres strony się zmienił. A to może oznaczać fałszywą stronę.

Sprawdzanie wycieków haseł

Coraz częściej menedżer haseł powiadomi Cię o tym, że Twoje hasło gdzieś wyciekło i należałoby je zmienić. Twórcy programów sprawdzają bazy danych wycieków i powiadomią Cię o potencjalnym (lub faktycznym) wycieku, gdy tylko:

• twój adres e-mail pojawi się w jakiejś bazie danych
• dowolne z Twoich haseł zostanie upublicznione w wyniku jakiegoś wycieku
• serwis, strona czy usługa do której masz zapisane dane logowania ogłosi, ze padła ofiarą ataku, wycieku, lub włamania.

To bardzo wygodne, bo pozwala natychmiast zareagować i wygenerować oraz zmienić hasło na nowe. A jak już pisałem nieraz – wycieki się zdążają i będą zdążały. A Twoje dane na pewno będą wyciekały nie raz

Przy okazji: To czy Twój adres e-mail był w jakiś popularnych wyciekach możesz sprawdzić na stronie haveibeenpwned.com.

Kody jednorazowe 2FA

Niektóre menedżery haseł mogą także ułatwić dwuskładnikowe logowanie (2FA) polegające na przepisywaniu kodów, które zmieniają się co 30 sekund z aplikacji typu Google Authenticator czy Authy.

Dzięki temu niektóre konta internetowe możesz zabezpieczyć dodatkowym hasłem, bez konieczności instalowania osobnej aplikacji na smartfonie. Więcej o takim dodatkowym zabezpieczaniu kont i metodach na 2FA przeczytasz w poradniku: Weryfikacja dwuetapowa (2FA): Jak zabezpieczyć konta w internecie za pomocą uwierzytelniania dwuskładnikowego?

Menedżer (nie tylko) haseł

Wiele menedżerów pozwala przechowywać w swoim zaszyfrowanym sejfie nie tylko loginy i hasła do logowania się online, ale i znacznie więcej prywatnych (i poufnych) danych i informacji. W menedżerze haseł możesz często przechowywać m.in:

• Dane kart płatniczych
• Bezpieczne dokumenty
• Dowolne notatki
• Dane osobowe (PESEL, nr. dowodu, paszportu, daty ważności itd.)
• PINy, hasła do WiFi, hasła do obsługi telefonicznej, kody do domofonów, szyfry do kłódek, walizek itd.

Właściwie wszystko, co musisz z jakiegoś powodu trzymać w bezpiecznym miejscu, ale poza swoją głową.

I na koniec chciałbym zostawić Cię z przemyśleniem: Najbezpieczniejsze jest hasło, którego nie znasz!

Mnie możesz torturować, ale nie wydam Ci mojego hasła do banku czy do Facebooka, bo go zwyczajnie nie znam 🙂

A jeśli uważasz powyższy artykuł za przydatny, to podziel się linkiem do niego w internecie – wyślij go znajomym, udostępnij w mediach społecznościowych. Dzięki temu wszyscy będą bezpieczniejsi. Dzięki!

PS Wiesz, że zarówno forma menedżer haseł, jak i menadżer haseł jest poprawna w j. polskim? 🙂