Zapisywanie czy zapamiętywanie hasła to zmora każdego z nas. Każdy gdzieś trzyma zapisane hasła! Menedżer haseł przechowuje hasła w postaci bazy danych (w języku angielskim to Password Manager). Który menedżer haseł jest najlepszy w praktyce? Jak prowadzić zarządzanie hasłami? W końcu hasło to jedyny sposób zabezpieczenia mnóstwa kont, które mamy w sieci. I chociaż staramy się chronić te informacje, cyberprzestępcy kradną każdego tygodnia dane ok. 250 tysięcy kont internetowych. I to zarówno kont gier, jak i dane uwierzytelniające do zasobów firmowych i kont bankowych.
Może mieć ponadto dodatkowo takie funkcje jak automatyczne wypełnianie formularzy (np. na stronach internetowych) lub generowanie silnych, losowych haseł.
Dlatego wielu z nas używa odmiennych haseł na większości stron i do logowania większości aplikacji i do hasła głównego. A po wielu latach wbijania do głowy, że hasło powinno być długie, zawierać wielkie oraz małe litery, cyfry i znaki specjalne, nasze hasła stały się długie. I skomplikowane. I zrobiło się ich dużo. Zbyt dużo, żeby wszystkie pamiętać.
Jednak dobra wiadomość jest taka, że istnieje całkiem sporo prostych sposobów na zarządzanie hasłami i zadbanie o bezpieczeństwo haseł. Sposobów, które – przy odrobinie dobrej woli – zapewnią nam upragniony spokój.
Menedżer haseł w przeglądarce
Przeglądarki stają się z dnia na dzień coraz bardziej bezpieczne i chwalą się posiadaniem wbudowanych programów do zarządzania hasłami. Co prawda są to bardziej programy do zapamiętywania i podpowiadania haseł. Ale potrafią zapisane hasła skutecznie zaszyfrować i zabezpieczyć hasłem głównym, bez którego nikt nie wyświetli zapisanych danych do logowania w przeglądarce. Systemy te przechowują nasze hasła, nasze dane do logowania w chmurze.
Na przykład Firefox Mozilli ma Firefox Lockwise z potężnym 256-bitowym szyfrowaniem. Podobne rozwiązania mają też Opera, Microsoft Edge i Safari. Z kolei hasła zapisane w przeglądarce Chrome (czyli menedżer haseł Google) chronione są ogólnym hasłem do konta Google i hasłem do logowania do komputera.
Aktualizacja: Ostatnio Google umożliwił dopisywanie własnych haseł ręcznie, czyli manualnie – co było pewną uciążliwością w niektórych sytuacjach.
Rozwiązania te wykorzystują także często generatory, które podpowiadają hasła o dużej mocy. Jest to dosyć cenne w sytuacji, kiedy ma się 200 różnych loginów i wymyślenie kolejnego, oryginalnego hasła staje się nieco trudne.
Jak działa menedżer haseł w przeglądarce? Jak zapisywać dane do logowania Wejść do menu, wyszukać opcję Prywatność i bezpieczeństwo lub Hasła i zaznaczyć opcję zapisywania haseł. A także wpisać odpowiednio silne hasło główne. Od tej chwili przeglądarka przejmie stery i zacznie opiekować się naszym uwierzytelnianiem.
Czy zapisane hasła w przeglądarce mogą paść łupem hakerów?
Jeśli przeglądarka używa bardzo silnego 256-bitowego szyfrowania AES lub podobnej metody, jest to bardzo mało prawdopodobne. Potrzeba by naprawdę zaawansowanego komputera, żeby wykraść dane. A nawet wtedy, nie udałoby się ich odszyfrować.
Dużo zależy jednak od mocy hasła głównego do systemu operacyjnego. Dlatego warto wysilić się trochę i stworzyć dobre hasło (np. przy pomocy generatora haseł) oraz zmieniać je co jakiś czas. I może zapisane hasło główne w normalnym notesie, w nietypowy sposób, tak by żaden cyberprzestępca nie mógł się do niego dobrać.
Czytaj też: Czy tryb incognito w przeglądarkach naprawdę przed czymś chroni? Sprawdzam!
Programy do zarządzania hasłami
Można się zastanawiać po co komuś osobny menedżer haseł, skoro dostępne są bezpłatne rozwiązania w przeglądarkach. Jednak funkcje zarządzania hasłami w przeglądarkach służą głównie do ich zapisywania i nie oferują prawie żadnych opcji dodatkowych.
Pierwszym zaskoczeniem po zainstalowaniu menedżera haseł był – w moim przypadku – błyskawiczny audyt używanych haseł, który zakończył się awanturką, że w wielu miejscach wykorzystałam podobne pomysły. A potem program bardzo uprościł zrobienie z tym porządku.
Poza tym aplikacje do zarządzania hasłami potrafią zablokować keyloggery i screenloggery przed rejestrowaniem wprowadzanych haseł. Większość menedżerów haseł zawiera też narzędzia do bezpiecznego udostępniania danych. Niektóre z nich monitorują także Internet oraz darkweb i sprawdzają, czy nie pojawiły się tam nasze dane. Robi to np. funkcja Dark Web Monitoring z Dashlane.
Czytaj też: Praca zdalna daje popalić? Skorzystaj z tych aplikacji
Czym różnią się programy do zarządzania hasłami?
Wszystkie programy do zarządzania hasłami muszą mieć oczywiście podobne funkcje podstawowe, takie jak tworzenie nowych haseł, ich szyfrowanie, zapisywanie oraz przechowywanie. A także taki menedżer haseł synchronizuje na wielu urządzeniach i zapewnia weryfikację dwuetapową oraz używa hasła głównego.
Poza tym różnią aplikacje menedżerów haseł się wygodą obsługi, metodą szyfrowania danych, a także dodatkowymi opcjami. Na przykład, niektóre pozwalają użytkownikom, którzy niespecjalnie ufają chmurom danych, zapisywać informacje w lokalnym schowku. Robi tak np. 1Password. Dzięki temu hasła nigdy nie opuszczają lokalnej sieci użytkownika.
Programy instalowane są jako wtyczki do ulubionych przeglądarek. I jest ich sporo. Dlatego poniżej omawiamy tylko kilka najbardziej popularnych – jak przystało na poradnik dla opornych i trochę leniwych.
LastPass
LastPass z reguły znajduje się na szczycie rankingu programów do zarządzania hasłami i nietrudno zrozumieć dlaczego. LastPass jest intuicyjny, elegancki, umożliwia przechowywanie haseł na dowolnej liczbie urządzeń i jest darmowy. Jeszcze przez miesiąc.
Podobnie jak większość innych tego typu aplikacji może bezpiecznie przechowywać i udostępniać nie tylko hasła, ale także notatki, dane kart kredytowych oraz inne poufne dane. Aplikacja jest bardzo dobrze zaprojektowana, łatwa w obsłudze i działa na wszystkich popularnych platformach.
LastPass posiada oczywiście generator haseł, a także ostrzega o naruszeniu danych. Program obsługuje zgodnie z zasadami bezpieczeństwa uwierzytelnianie jedno- i dwuskładnikowe, pozwala zobaczyć wszystkie przechowywane informacje naraz (i udostępnić je innym w przypadku planu rodzinnego), a także bardzo przydatną funkcję audytu haseł Security Challenge, o której wspomniałam wcześniej.
Niestety od połowy miesiąca LastPass będzie płatny. Przyznajmy jednak, że 4 $ miesięcznie w opcji dla sześciu osób za doskonałe narzędzie do zarządzania hasłami nie jest bardzo wygórowaną kwotą. Program oferuje też 30-dniowy okres próbny.
(przypis red.) Niestety, polski Niebezpiecznik chyba nie poleca już więcej LastPass. zobacz tu .
1Password
1Password to jeden z bardziej popularnych menedżerów haseł i nie bez powodu. Jest nieskomplikowany, szybki, świetnie zaprojektowany i działa praktycznie na wszystkich urządzeniach. Pozwala generować silne hasła, ostrzega o naruszeniach danych i umożliwia uwierzytelnianie dwuskładnikowe.
1Password ma także funkcje udostępniania haseł, danych kart kredytowych i notatek innym użytkownikom. Świetny jest także tryb podróżny, który pozwala tymczasowo zablokować synchronizację niektórych danych podczas podróży. Na wypadek kradzieży lub zgubienia telefonu.
Ciekawą funkcją 1Password jest monitorowanie darkwebu pod kątem ewentualnego wycieku danych.
1Password można wypróbować bezpłatnie przez 30 dni, a plan rodzinny dla 5 osób kosztuje 5 $ miesięcznie.
Dashlane
Dashlane to kolejny, wygodny w obsłudze i wszechstronny program do zarządzania hasłami, który oferuje praktycznie wszystkie funkcje potrzebne użytkownikowi.
Aplikacja pozwala bezpiecznie przechowywać i udostępniać hasła, dane kart kredytowych, dowody osobiste, notatki, dokumenty i załączniki. Dashlane umożliwia uwierzytelnianie dwuskładnikowe i oczywiście powiadamia użytkownika, jeśli którekolwiek danych logowania wycieknie do sieci. Przy czym monitorowanie sieci obejmuje także Darkweb. Hasła mogą być przechowywane w zaszyfrowanych skarbcach na każdym urządzeniu lub synchronizowane w chmurze.
Ciekawą opcją Dashlane jest VPN. To nie tylko jedyny menedżer haseł na rynku z własną siecią VPN, ale w dodatku z siecią szybszą niż niektóre usługi VPN oferowane przez operatorów.
Program dostępny jest w wersji bezpłatnej dla jednego urządzenia i 50 haseł. W wersji płatnej, otrzymuje się 30 dni bezpłatnego dostępu do funkcji premium, dokładnie tak samo, jak w przypadku wcześniejszych rozwiązań . A plan dla 6 osób kosztuje 7,5 $ miesięcznie.
NordPass
NordPass to jeden z nowszych menedżerów haseł. Zaprojektowali go twórcy NordVPN i może dlatego aplikacja ma tak doskonale zaprojektowany, intuicyjny interfejs, którego zrozumienie zajmuje kilka sekund.
Program oferuje jedną z najbardziej zaawansowanych metod szyfrowania danych. Zapewnia synchronizację haseł na wielu platformach i umożliwia uwierzytelnianie dwuskładnikowe. Udostępnia też generator haseł, miejsce do bezpiecznego zapisywania notatek, danych kart kredytowych oraz innych informacji.
NordPass ma też funkcję logowania biometrycznego, dzięki której można logować się do magazynu haseł przy pomocy odcisku palca lub opcji rozpoznawania twarzy.
Większość funkcji dostępnych w NordPass jest dostępna bezpłatnie, ale można korzystać z nich tylko na jednym urządzeniu. Ceny NordPass zaczynają się od 4 $ miesięcznie dla sześciu osób, ale firma często oferuje znaczne (np. 70%) zniżki.
RememBear
RememBear ma niezwykle zabawny, prosty i intuicyjny interfejs z animacjami niedźwiedzi, które biorą czynny udział w zarządzaniu informacjami. Jest to bardzo wygodne narzędzie do zapisywania haseł dla początkujących użytkowników. Działa zarówno na urządzeniach mobilnych pracujących pod systemami Android i iOS, jak i komputerach stacjonarnych.
Sticky Password
Sticky Password to menedżer haseł współpracujący z 5 najpopularniejszymi przeglądarkami – Chrome, Firefox, Edge, Opera i Safari. Oraz z 6 innymi, np. Seamonkey, czy Pale Moon.
Ciekawą funkcją Sticky Password jest możliwość zaszyfrowania danych i zapisania ich na USB, co umożliwia dostęp do haseł i danych na dowolnym komputerze pracującym w systemie Windows.
Aplikacja umożliwia oczywiście synchronizację pomiędzy urządzeniami i udostępnianie haseł. A także logowanie biometryczne. A poza tym, znaczna część zysków przekazywana jest klubowi Save the Manatee! i przeznaczana na ratowanie tych niesamowitych stworzeń.
Czytaj też: Apple, wzór prywatności do naśladowania. Czy aby na pewno?
Pamiętajmy jednak, żeby po zainstalowaniu programu do zarządzania hasłami warto:
- Zaimportować do niego hasła przechowywane do tej pory w przeglądarce
- Wyłączyć zapisywanie haseł w przeglądarce
- Usunąć wszystkie hasła przechowywane w przeglądarce.
Powinniśmy też robić co jakiś czas kopię danych i haseł zapisanych w menedżerze haseł lub w przeglądarce i zapisywać ją na oddzielnym, dobrze zabezpieczonym nośniku. Tak na wszelki wypadek.
To tyle. Powyżej przedstawiliśmy najprostsze, a jednocześnie bardzo skuteczne rozwiązania pozwalające chronić nie tylko hasła, ale też inne ważne informacje w Internecie. Co prawda ktoś kiedyś powiedział, że „jest ryzko, jest zabawa”, ale nie miał chyba na myśli kont bankowych, ani dostępu do zasobów firmowych i innych ważnych danych. Tym bardziej, że inwestując w bezpieczeństwo dostajemy naprawdę zaawansowane funkcje za bardzo niewygórowane pieniądze.
A tak między nami, zaskakujące jest połączenie tak wyrafinowanej technologii z prostotą jej użycia oraz skutkami, które może mieć dla naszego ogólnego dobrostanu i bezpieczeństwa w sieci. Dlatego zachęcamy do jej użycia.
Tak się składa, że właśnie jestem na etapie wybierania menadżera haseł.
Najbardziej kompleksowo omówił ten temat Kacper Szurek w swoim 1h filmie:
Czy korzystać z Menadżera Haseł? (wady i zalety)
https://www.youtube.com/watch?v=1-3iKtg50Zc
Co brać pod uwagę wybierając menadżera haseł? Moim zdaniem najlepsza odpowiedź jest w poniższym artykule:
Podstawy Bezpieczeństwa: Menedżery haseł – który wybrać i jak go używać
https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-menedzery-hasel-ktory-wybrac-i-jak-go-uzywac/
„Podsumowanie, czyli co brać pod uwagę, wybierając menedżer haseł:
Próbując znaleźć rozwiązanie dostosowane do swoich potrzeb, warto przestrzegać kilku prostych zasad.
Zastosowanie się do powyższych wskazówek pozwoli uniknąć rozczarowań, a używanie menedżera haseł znacząco podniesie bezpieczeństwo.”
Mój komentarz:
pkt 5 – chodzi o sprawdzenie jakie menadżer obsługuje systemy operacyjne i przeglądarki.
pkt 3 – jeśli ktoś nie używa/nie posiada klucza sprzętowego to powinien wybrać taki menadżer/plan cenowy, który umożliwia zastosowanie jako 2FA aplikacji generującej TOTP (np. Google Authenticator, Authy, Microsoft Authenticator, Yubico Authenticator – polecam wszystkim posiadaczom yubikey itp.).
Należy również zwrócić uwagę co się dzieje gdy zapomnimy hasło do menadżera lub utracimy nasz drugi składnik. Chodzi o to aby procedury przewidziane na takie sytuacje były bezpieczne – wspomina o tym Kacper Szurek w swoim filmie.
Bardzo dziękuję za cenne uwagi.
Wszystkie wymienione w tekście programy spełniają powyższe założenia i działają na różnych platformach umożliwiając synchronizację danych pomiędzy urządzeniami. To cenne. Wszystkie też mają uwierzytelnianie dwuskładnikowe.
Sama używam Lastpass i jestem bardzo zadowolona.
Oraz bardzo mi się podoba, że coraz więcej osób dba o swoje bezpieczeństwo w sieci.
Jeśli chodzi o recenzje menadżerów haseł to polecam poniższe:
Best password managers in 2021
https://cybernews.com/best-password-managers/
Best free password managers for 2021
https://cybernews.com/best-password-managers/free-password-managers/
What is the best cross-platform password manager?
https://www.slant.co/topics/900/~best-cross-platform-password-manager#45
Z wszystkich menadżerów polecam dwa: KeePassXC (używany i polecany przez redakcję Niebezpiecznik.pl) oraz Bitwarden (używany przez Kacper Szurek).
1) KeePass — jak zacząć swoją przygodę z managerem haseł?
https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
KeePassXC Password Manager Review and Prices
https://www.usnews.com/360-reviews/password-managers/keepassxc
2) Bitwarden Review
https://cybernews.com/best-password-managers/bitwarden-review/
KeePassXC jest programem darmowym, off-line i można go zabezpieczyć kluczem bezpieczeństwa (Yubikey). Jest trochę bardziej skomplikowany w porównaniu z pozostałymi menadżerami.
Bitwarden ma opinię jednego z najbezpieczniejszych, jeśli nie najbezpieczniejszego menadżera haseł. Już w wersji darmowej jako metodę 2FA można wybrać aplikację TOTP (konkurencja pozwala na to dopiero w płatnych wariantach). Aby zabezpieczyć konto BW kluczem U2F wystarczy zapłacić 10 USD rocznie (konkurencja jest dużo droższa). Jeśli zapomnimy hasła do tego menadżera to tracimy dostęp do swojego konta. Na wypadek utraty drugiego składnika trzeba przy zakładaniu konta wydrukować kod odzyskiwania. Procedury te gwarantują duże bezpieczeństwo ponieważ nie bierze w nich udział człowiek, hasło nie jest wysyłane przez sms czy email, więc nie można go przechwycić.
Na koniec artykuł dla osób, które obawiają się trzymać wszystkie swoje hasła w jednym miejscu:
Salting Your Passwords In Your Password Manager: How-To Guide (30.01.2021)
https://passwordbits.com/salting-passwords/
Dzięki za linki i ciekawą opinię!
Dzięki za mnóstwo informacji.
W tekście postawiliśmy na dobre, ale bardzo intuicyjne i przyjazne dla użytkownika rozwiązania.
Jak pisałam powyżej, sama używam LastPass i jestem bardzo z niego zadowolona.
Zgadzam się, że wymienione w artykule rozwiązania są jednymi z najlepszych na rynku. Przetestowałem kilka z nich i teraz mam zainstalowany KeePassXC oraz Bitwarden i nie wiem, na które rozwiązanie się zdecydować.
Co do LastPass’a to klienci, którzy korzystali z darmowego planu są bardzo niezadowoleni, że zakres oferowanych w tym planie usług zostanie tak bardzo ograniczony. Na http://www.reddit.com/r/Lastpass/ oraz http://www.reddit.com/r/Bitwarden przez kilka ostatnich dni był prawdziwy zalew wpisów przez osoby przechodzące z LastPass do Bitwarden. Dla LastPass nie jest to wielka strata ponieważ Ci klienci i tak nie płacili.
I to wziąwszy pod uwagę niewielkie miesięczne kwoty – abonament na Spotify kosztuje podobnie, a jakoś nikt nie marudzi.
Przyzwyczailiśmy się wszyscy do darmowych rozwiązań. A stoi przecież za nimi chociażby solidna praca i utrzymywanie serwerów (chmura). Niewielki abonament po prostu im się należy. Moim zdaniem, oczywiście.
(Ale ograniczenie bezpłatnych opcji i żądanie abonamentu ze strony Evernote już mnie wkurzyło 😀 😀 😀 )
PS. Ciekawa jestem co wybierzesz. I dlaczego. 🙂
Małe sprostowanie poniższego zdania:
„Już w wersji darmowej (Bitwarden) jako metodę 2FA można wybrać aplikację TOTP (konkurencja pozwala na to dopiero w płatnych wariantach).”
Istnieją menadżery haseł, które również oferują aplikacje TOTP jako 2FA w wersjach darmowych.
A jakiś powód, dla którego na liście nie znalazł się keepass? Tym bardziej, że ma bardzo ciekawe funkcje automatyzacji, wpisywania haseł w zależności od wykrytych okien dialogowych i jest całkowicie darmowy. No bo w sumie nie zauważyłem aby w artykule było „tylko dla smartfonow”.
Dziękujemy za uzupełnienie! Zerkniemy nań i może dopiszemy 🙂
Hej, w tekście postawiliśmy na proste i bardzo intuicyjne programy, które niezależnie od prostoty obsługi oferują zaawansowane funkcje, działają na większości platform i synchronizują się pomiędzy urządzeniami. Po prostu „hasła dla opornych”.
Ale może, w przyszłości, powstanie drugi tekst o hasłach dla mniej opornych.
Jednak cieszy, że menadżery stają się coraz bardziej popularne i wszyscy zaczynam zwracać uwagę na bezpieczeństwo swoich danych.
Czyli rozumiem, że jak będzie dla mnie opornych to pojawi się bezpośrednia konkurencja Lastpassa czy Bitwarden.
W odróżnieniu od tego pierwszego otwartoźródłowy. Bez historii wpadek. I dla paranoików możliwość postawienia własnego serwera zamiast korzystania z płatnej/bezpłatnej usługi.
Tak, jeśli powstanie.
Sęk w tym, że w sieci jest mnóstwo tekstów o tego typu programach. Pisane są jednak dla ludzi, którzy doskonale sobie radzą i są w stanie przebrnąć przez bardziej skomplikowane treści.
A co z tymi, którzy są lekko oporni i nie chcą wgryzać się w hermetyczny język? Czy oni nie potrzebują rozwiązań, które zapewniłyby im podstawowy chociaż poziom bezpieczeństwa? Potrzebują. I to nawet bardziej niż Ci oblatani. I dlatego będą pojawiać się u nas tego typu teksty.
jak się w google wrzuci tekst Keepass dla opornych to widać na drugim miejscu tekst z 2010 z di.com.pl – czyli każdy może go używać.
http://di.com.pl/poradnik-do-programu-keepass-password-safe-dla-bardzo-poczatkujacych-30675
Ja to robię już ponad 15 lat w wcześniej miałem płatnego Steganosa i jeszcze jakiś bezpłatny. Mam w pliku KeePass-a (tylko 20Mb) kilkaset fiszek z hasłami, opisami, nr seryjnymi, często z załącznikami i ten sam plik mogę przenieść na dowolną platformę – np. na Macu mam MacPass lub na iOS MiniKeePass. Spokojnie przenoszę go na pendriv lub do chmury – nie boję się, że ktoś złamie jedno długie hasło.
Dzięki za info. Sęk w tym, że on nie jest tak intuicyjnie prosty, jak reszta.
Ale ok, przyjrzę mu się jeszcze raz, bo jego fani bardzo za nim obstają 🙂
Stay tuned!
Polecam artykuł:
Twoje hasła w końcu bezpieczne! Poradnik bezpieczeństwa haseł komputerowych
https://kwestiabezpieczenstwa.pl/hasla/
Dobry! Dzięki wielkie.