Publicystyka - ngo.pl

Nim przejdę do konkretnych porad, mam dla Ciebie pewną propozycję. Zróbmy szybki audyt bezpieczeństwa Twoich danych. W tym celu przeczytaj poniższą listę – znajdziesz w niej dziewięć stwierdzeń, odnoszących się do haseł.

• Nie korzystam z żadnego managera haseł.
• Przesyłam swoje hasła mailem lub innymi komunikatorami (np. SMS-em lub Messengerem).
• Zapisuję swoje hasła w notesie lub w niezabezpieczonym pliku na swoim komputerze.
• Korzystam z możliwości zapamiętania hasła w przeglądarce.
• Zignorowałem/zignorowałam mail z wiadomością o konieczności zmiany hasła w usłudze lub serwisie, z którego korzystam.
• Nie wiem, co to uwierzytelnienie dwuskładnikowe (lub z niego nie korzystam).
• Tworząc hasło, koncentruję się na tym, aby było ono łatwe do zapamiętania i szybkie do wpisania.
• Zdarzyło mi się udostępnić swoje hasło lub PIN innej osobie.
• Używam tego samego hasła w różnych serwisach lub usługach.

Czy przynajmniej jedno z powyższych zdań, opisuje Twoje zachowanie? Spokojnie, nie musisz się przyznawać! Ale jeśli tak, to lepiej przeczytaj ten artykuł do końca.

Nawet jeśli nie wiesz, co to jest! Ale już wyjaśniam o co chodzi. Manager haseł, to oprogramowanie, które pozwoli Ci zarządzać swoimi hasłami oraz bezpiecznie je przechowywać. Na rynku dostępnych jest wiele takich programów, zarówno na komputery, jak i na urządzenia mobilne. Znajdziesz rozwiązania darmowe, jak i płatne. Oczywiście na każdy system operacyjny. Dlatego nie masz wymówek – musisz mieć managera haseł!

Manager haseł to program, któremu możesz powierzyć nie tylko wszystkie hasła i loginy, ale również dane kart płatniczych, numery kont, klucze licencyjne do oprogramowania, czy też zabezpieczone notatki. Z pewnością zastanawiasz się teraz, czy to aby na pewno bezpieczne rozwiązanie?

Manager zapewnia szyfrowanie przechowywanych danych oraz automatyzuje proces tworzenia, zapisywania i używania haseł. Eliminuje też najsłabszy punkt w całej układance – czyli nas, naszą zawodną pamięć i złe nawyki. Bo przecież głównym problemem haseł jest to, że mamy ich całe mnóstwo. Skrzynki mailowe, konta bankowe, serwisy społecznościowe i cała masa innych usług, z których korzystamy na co dzień. Dlatego wiele osób idzie na skróty i bagatelizuje konieczność stosowania trudnych i skomplikowanych haseł, często łamiąc też inne zasady bezpieczeństwa.

I tu z pomocą przychodzą nam podstawowe funkcje managera, czyli:

• bezpieczne przechowywanie i katalogowanie haseł;
• generowanie haseł trudnych do złamania;
• automatyczne i bezpieczne wklejanie haseł podczas logowania.

Olbrzymim plusem jest to, że dzięki managerowi nie musisz znać żadnego z używanych haseł! Wszystko wygenerujesz, zapiszesz i bez podglądania wkleisz do formularza podczas logowania. Od teraz jest już tylko jedna rzecz, o której musisz pamiętać, czyli… hasło do managera. Zadbaj o to, aby było długie i skomplikowane. Od tego momentu, to od niego zależy bezpieczeństwo wszystkich Twoich danych. 

To jednak nie wszystko, bardziej zaawansowane managery oferują o wiele więcej. Opowiem Ci o tym, na podstawie funkcji programu 1Password, z którego sam korzystam od bardzo dawna.

1Password dostępny jest na wszystkie najpopularniejsze systemy operacyjne (macOS, Windows, Linux, Chrome OS) oraz na urządzenia mobilne (iOS, Android) i jest rozwiązaniem płatnym. W najtańszym pakiecie kosztuje 2,99$ miesięcznie, co nie jest wysoką ceną, jeśli chodzi o bezpieczeństwo naszych danych. Ale na początek warto skorzystać z 30-dniowego okresu próbnego. Przejdźmy jednak do jego głównych funkcji.

• Przypomina nam o wygasających hasłach.
• Pozwala skorzystać z uwierzytelnienia dwuskładnikowego w wielu usługach (np. Facebook, Instagram, Dropbox).
• Pokazuje strony, które nie korzystają z zaszyfrowanego protokołu https://, przez co Twoje dane mogą zostać przechwycone podczas logowania.
• Informuje Cię o hasłach, które są zbyt słabe i należy je zmienić. Do tego celu najlepiej wykorzystaj generator haseł wbudowany w program. Możesz stworzyć tam hasło składające się nawet z 64 znaków (chociaż nie każdy serwis pozwala na korzystanie z tak długich haseł).
• Wskazuje na miejsca, gdzie używasz tego samego hasła. A skoro masz już managera haseł, to poświęć chwilę na ich zmianę.
• Analizuje bazę narażonych haseł prowadzoną przez havpibeenpwneed.com. Jeśli Twoje hasło zostało złamane, dostaniesz monit z odpowiednią informacją.
• Powiadamia nas o wyciekach danych z serwisów, do których masz zapisane hasła i loginy. Jeśli dostaniesz taki alert – jak najszybciej zmień hasło!

Oprócz tego, że 1Password porządkuje zapisane dane w odpowiednich kategoriach (np. konta mailowe, hasła do Internetu, karty płatnicze itd.), pozwala je również tagować i przechowywać w oddzielnych sejfach, sejfy z kolei możemy udostępniać współpracownikom (w planie biznesowym) lub członkom rodziny (w planie rodzinnym).

Korzystanie z programu na komputerze jest banalnie proste i przyjemne. Kiedy będziemy logowali się do jakiegoś serwisu, 1Password zaproponuje nam zapisanie w nim tych danych. Tak, że nie musimy poświęcać czasu na mozolne zapisywanie każdego kolejnego hasła i loginu. Potem hasła nie będziemy musieli już pamiętać, ponieważ przy włączonym programie wystarczy użyć skrótu klawiaturowego, który uzupełni za nas dane logowania. Dzięki temu hasło nie jest przechowywane w schowku systemowym (miejsce, w którym znajdują się rzeczy, których używamy podczas opcji „kopiuj/wytnij + wklej”, skąd mogą zostać przechwycone przez złośliwe oprogramowanie). A nawet jeśli skorzystamy z klasycznego kopiowania, 1Password po chwili wyczyści schowek (domyślnie po 30 sekundach). Natomiast kiedy będziemy rejestrować się w nowej usłudze, program wygeneruje nam odpowiednio trudne hasło. Oczywiście mamy wpływ na jego długość i strukturę, np. liczby, czy znaki specjalne.

Ponadto, nie musimy się bać o to, że ktoś usiądzie do naszego komputera i wejdzie do programu, ponieważ po chwili bezczynności jest on automatycznie blokowany, a do ponownego użycia konieczne jest ponowne wpisanie głównego hasła. Jeszcze wygodniejsze jest korzystanie na urządzeniu mobilnym, gdzie aplikację możemy zabezpieczyć poprzez uwierzytelnienie biometryczne, czyli np. Touch ID lub Face ID.

Jeśli nie możesz lub nie chcesz płacić za udogodnienia, jakie daje 1Password lub inne płatne managery haseł, możesz skorzystać z jednej z licznych alternatyw. Osobiście polecam Ci program Keepass, z którego z powodzeniem korzystałem w przeszłości.

Tak samo jak 1Password, działa on na każdej platformie, oraz synchronizuje dane pomiędzy urządzeniami, z których korzystasz. Zapewnia też silne szyfrowanie, oraz pozwala na integrację z popularnymi przeglądarkami internetowymi. Dla części użytkowników, mocnym argumentem za Keepasem, może być również to, że jest on oparty na otwartym kodzie.

Więcej informacji nt. Keepassa wraz z szczegółową instrukcją, jak rozpocząć korzystanie z narzędzia znajdziesz na blogu Niebezpiecznika: KeePass — jak zacząć swoją przygodę z managerem haseł?

Jak już pisałem na wstępie, nawet najlepsze i najlepiej strzeżone przez nas hasło nie gwarantuje nam bezpieczeństwa. Punktem ataku może być przecież sam serwis, z którego korzystamy, nasze urządzenie lub sieć (zwłaszcza jeśli korzystamy z niezaszyfrowanego połączenia).

Uwierzytelnienie dwuskładnikowe (2FA) dodatkowo zabezpiecza nas w sytuacji, w której ktoś wykradnie nasze hasło. Jest bowiem dodatkowym elementem, który musimy podać podczas logowania. Zazwyczaj jest to jednorazowy kod, który dostajemy SMS-em lub który generujemy w specjalnej aplikacji. Kiedyś popularnym rozwiązaniem stosowanym przez banki, były również jednorazowe kody na kartach zdrapkach lub specjalne tokeny sprzętowe. Oczywiście i to nie zabezpiecza nas w stu  procentach przed włamaniem na nasze konto (możemy przecież utracić nasz telefon, możliwe jest też przechwycenie SMS-a z kodem), ale na pewno zdecydowanie podwyższa poziom naszego bezpieczeństwa.

Najwyższym poziomem zabezpieczenia, jaki możemy zastosować, są klucze bezpieczeństwa (U2F), które jako jedyne chronią nas przed phishingiem*. Są to urządzenia, które wyglądają jak pendrive i działają jako tokeny, które automatycznie generują jednorazowe hasło logowania. Same w sobie nie przechowują jednak żadnych danych. Ich użycie jest banalnie proste. Zamiast logować się standardowym hasłem, wystarczy naciśnięcie przycisku na kluczu. Oczywiście urządzenia współpracują z wieloma popularnymi serwisami, ich listę znajdziecie tutaj. Polecane w wielu serwisach o bezpieczeństwie klucze YubiKey można kupić już za nieco ponad 100 zł.

Zbliżają się święta. Może warto wspomnieć o abonamencie 1Password lub kluczu YubiKey, w liście do Św. Mikołaja? A może sam, sama sprezentujesz sobie jedną z opcji lub poświęcisz godzinę świątecznego czasu, by rozpocząć korzystanie z bezpłatnego Keepassa? To naprawdę niewielka cena za bezpieczeństwo Twoich danych.

*Phishing, to oszustwo mające na celu wyłudzenie informacji, takich jak np. dane logowania do konta bankowego lub dane kart płatniczych. Metoda polega na wysłaniu maila podszywającego się pod zaufaną i znaną ofierze instytucję (np. bank), bądź przekierowanie jej na sfabrykowaną stronę internetową, która nakłania do podania danych.
Ochrona przed takim oszustwem jest wyjątkowo trudna, ponieważ oprócz technologii, przestępcy posługują się również socjotechniką, której ulec mogą nawet najbardziej ostrożne osoby.