Zarządzanie hasłami dla opornych. Jak zabezpieczyć je przed złodziejami?

Hasła to zmora każdego z nas. A jednocześnie jedyny sposób zabezpieczenia mnóstwa kont, które mamy w sieci. I chociaż staramy się chronić te informacje, cyberprzestępcy kradną każdego tygodnia dane ok. 250 tysięcy kont internetowych. I to zarówno kont gier, jak i dane uwierzytelniające do zasobów firmowych i kont bankowych

Dlatego wielu z nas używa odmiennych haseł na większości stron i w większości aplikacji. A po wielu latach wbijania do głowy, że hasło powinno być długie, zawierać wielkie oraz małe litery, cyfry i znaki specjalne, nasze hasła stały się długie. I skomplikowane. I zrobiło się ich dużo. Zbyt dużo, żeby wszystkie pamiętać.

Zobacz również:

Jednak dobra wiadomość jest taka, że istnieje całkiem sporo nieskomplikowanych sposobów na zapamiętanie i zadbanie o bezpieczeństwo haseł. Sposobów, które – przy odrobinie dobrej woli – zapewnią nam upragniony spokój.

Menadżer haseł w przeglądarce

Przeglądarki stają się z dnia na dzień coraz bardziej bezpieczne i chwalą się posiadaniem wbudowanych programów do zarządzania hasłami. Co prawda są to bardziej programy do zapamiętywania i podpowiadania haseł. Ale potrafią je skutecznie zaszyfrować i zabezpieczyć hasłem głównym, bez którego nikt nie wyświetli zapisanych w przeglądarce danych.

Na przykład Firefox Mozilli ma Firefox Lockwise z potężnym 256-bitowym szyfrowaniem. Podobne rozwiązania mają też Opera, Microsoft Edge i Safari. Z kolei hasła zapisane w przeglądarce Chrom chronione są jedynie ogólnym hasłem do konta Google.

Rozwiązania te wykorzystują także często generatory, które podpowiadają hasła o dużej mocy. Jest to dosyć cenne w sytuacji, kiedy ma się 200 różnych loginów i wymyślenie kolejnego, oryginalnego hasła staje się nieco trudne.

Co trzeba zrobić, żeby uruchomić menadżera haseł w przeglądarce? Wejść do menu, wyszukać opcję Prywatność i bezpieczeństwo lub Hasła i zaznaczyć opcję zapisywania haseł. A także wpisać odpowiednio silne hasło główne. Od tej chwili przeglądarka przejmie stery i zacznie opiekować się naszym uwierzytelnianiem.

Czy hasła w przeglądarce mogą paść łupem hakerów?

Jeśli przeglądarka używa bardzo silnego 256-bitowego szyfrowania AES lub podobnej metody, jest to bardzo mało prawdopodobne. Potrzeba by naprawdę zaawansowanego komputera, żeby wykraść dane. A nawet wtedy, nie udałoby się ich odszyfrować.

Dużo zależy jednak od mocy hasła głównego. Dlatego warto wysilić się trochę i stworzyć dobre hasło (np. przy pomocy generatora haseł) oraz zmieniać je co jakiś czas. I może zapisać hasło główne w normalnym notesie, w nietypowy sposób, tak by żaden cyberprzestępca nie mógł się do niego dobrać.

Czytaj też: Czy tryb incognito w przeglądarkach naprawdę przed czymś chroni? Sprawdzam!

Programy do zarządzania hasłami

Można się zastanawiać po co komuś osobny menadżer haseł, skoro dostępne są bezpłatne rozwiązania w przeglądarkach. Jednak funkcje zarządzania hasłami w przeglądarkach służą głównie do ich zapisywania i nie oferują prawie żadnych opcji dodatkowych.

Pierwszym zaskoczeniem po zainstalowaniu menadżera haseł był – w moim przypadku – błyskawiczny audyt używanych haseł, który zakończył się awanturką, że w wielu miejscach wykorzystałam podobne pomysły. A potem program bardzo uprościł zrobienie z tym porządku.

Poza tym aplikacje do zarządzania hasłami potrafią zablokować keyloggery i screenloggery przed rejestrowaniem wprowadzanych haseł. Większość menadżerów zawiera też narzędzia do bezpiecznego udostępniania danych. Niektóre z nich monitorują także Internet oraz darkweb i sprawdzają, czy nie pojawiły się tam nasze dane. Robi to np. funkcja Dark Web Monitoring z Dashlane.

Czytaj też: Praca zdalna daje popalić? Skorzystaj z tych aplikacji

Czym różnią się programy do zarządzania hasłami?

Wszystkie programy do zarządzania hasłami muszą mieć oczywiście podobne funkcje podstawowe, takie jak tworzenie nowych haseł, ich szyfrowanie, zapisywanie oraz przechowywanie. A także synchronizację haseł na wielu urządzeniach i weryfikację dwuetapową.

Poza tym różnią się wygodą obsługi, metodą szyfrowania danych, a także dodatkowymi opcjami. Na przykład, niektóre pozwalają użytkownikom, którzy niespecjalnie ufają chmurom danych, zapisywać informacje w lokalnym schowku. Robi tak np. 1Password. Dzięki temu hasła nigdy nie opuszczają lokalnej sieci użytkownika.

Programy instalowane są jako wtyczki do ulubionych przeglądarek. I jest ich sporo. Dlatego poniżej omawiamy tylko kilka najbardziej popularnych – jak przystało na poradnik dla opornych i trochę leniwych.

Menadżer haseł

LastPass

LastPass z reguły znajduje się na szczycie rankingu programów do zarządzania hasłami i nietrudno zrozumieć dlaczego. Jest intuicyjny, elegancki, umożliwia przechowywanie haseł na dowolnej liczbie urządzeń i jest darmowy. Jeszcze przez miesiąc.

Podobnie jak większość innych menedżerów haseł może bezpiecznie przechowywać i udostępniać nie tylko hasła, ale także notatki, dane kart kredytowych oraz inne poufne dane. Aplikacja jest bardzo dobrze zaprojektowana, łatwa w obsłudze i działa na wszystkich popularnych platformach.

LastPass posiada oczywiście generator haseł, a także ostrzega o naruszeniu danych. Program obsługuje uwierzytelnianie jedno- i dwuskładnikowe, pozwala zobaczyć wszystkie przechowywane informacje naraz (i udostępnić je innym w przypadku planu rodzinnego), a także bardzo przydatną funkcję audytu haseł Security Challenge, o której wspomniałam wcześniej.

Niestety od połowy miesiąca LastPass będzie płatny. Przyznajmy jednak, że 4 $ miesięcznie w opcji dla sześciu osób za doskonałe narzędzie do zarządzania hasłami nie jest bardzo wygórowaną kwotą. Program oferuje też 30-dniowy okres próbny.

1Password

1Password to jeden z bardziej popularnych menedżerów haseł i nie bez powodu. Jest nieskomplikowany, szybki, świetnie zaprojektowany i działa praktycznie na wszystkich urządzeniach. Pozwala generować silne hasła, ostrzega o naruszeniach danych i umożliwia uwierzytelnianie dwuskładnikowe.

1Password ma także funkcje udostępniania haseł, danych kart kredytowych i notatek innym użytkownikom. Świetny jest także tryb podróżny, który pozwala tymczasowo zablokować synchronizację niektórych danych podczas podróży. Na wypadek kradzieży lub zgubienia telefonu.

Ciekawą funkcją 1Password jest monitorowanie darkwebu pod kątem ewentualnego wycieku danych.

1Password można wypróbować bezpłatnie przez 30 dni, a plan rodzinny dla 5 osób kosztuje 5 $ miesięcznie.

Dashlane

Dashlane to kolejny, wygodny w obsłudze i wszechstronny program do zarządzania hasłami, który oferuje praktycznie wszystkie funkcje potrzebne użytkownikowi.

Aplikacja pozwala bezpiecznie przechowywać i udostępniać hasła, dane kart kredytowych, dowody osobiste, notatki, dokumenty i załączniki. Dashlane umożliwia uwierzytelnianie dwuskładnikowe i oczywiście powiadamia użytkownika, jeśli którekolwiek z haseł i loginów wycieknie do sieci. Przy czym monitorowanie sieci obejmuje także darkweb. Hasła mogą być przechowywane w zaszyfrowanych skarbcach na każdym urządzeniu lub synchronizowane w chmurze.

Ciekawą opcją Dashlane jest VPN. To nie tylko jedyny menadżer haseł na rynku z własną siecią VPN, ale w dodatku z siecią szybszą niż niektóre usługi VPN oferowane przez operatorów.

Program dostępny jest w wersji bezpłatnej dla jednego urządzenia i 50 haseł. W wersji płatnej, otrzymuje się 30 dni bezpłatnego dostępu do funkcji premium, dokładnie tak samo, jak w przypadku wcześniejszych rozwiązań . A plan dla 6 osób kosztuje 7,5 $ miesięcznie.

NordPass

NordPass to jeden z nowszych menedżerów haseł. Zaprojektowali go twórcy NordVPN i może dlatego aplikacja ma tak doskonale zaprojektowany, intuicyjny interfejs, którego zrozumienie zajmuje kilka sekund.

Program oferuje jedną z najbardziej zaawansowanych metod szyfrowania danych. Zapewnia synchronizację haseł na wielu platformach i umożliwia uwierzytelnianie dwuskładnikowe. Udostępnia też generator haseł, miejsce do bezpiecznego zapisywania notatek, danych kart kredytowych oraz innych informacji.

NordPass ma też funkcję logowania biometrycznego, dzięki której można logować się do magazynu haseł przy pomocy odcisku palca lub opcji rozpoznawania twarzy.

Większość funkcji dostępnych w NordPass jest dostępna bezpłatnie, ale można korzystać z nich tylko na jednym urządzeniu. Ceny NordPass zaczynają się od 4 $ miesięcznie dla sześciu osób, ale firma często oferuje znaczne (np. 70%) zniżki.

RememBear

Menadżer haseł

RememBear ma niezwykle zabawny, prosty i intuicyjny interfejs z animacjami niedźwiedzi, które biorą czynny udział w zarządzaniu informacjami. Jest to bardzo wygodne narzędzie do zapisywania haseł dla początkujących użytkowników. Działa zarówno na urządzeniach mobilnych pracujących pod systemami Android i iOS, jak i komputerach stacjonarnych.

Sticky Password

Sticky Password to menadżer haseł współpracujący z 5 najpopularniejszymi przeglądarkami – Chrome, Firefox, Edge, Opera i Safari. Oraz z 6 innymi, np. Seamonkey, czy Pale Moon.

Ciekawą funkcją Sticky Password jest możliwość zaszyfrowania danych i zapisania ich na USB, co umożliwia dostęp do haseł i danych na dowolnym komputerze pracującym w systemie Windows.

Aplikacja umożliwia oczywiście synchronizację pomiędzy urządzeniami i udostępnianie haseł. A także logowanie biometryczne. A poza tym, znaczna część zysków przekazywana jest klubowi Save the Manatee! i przeznaczana na ratowanie tych niesamowitych stworzeń.

Czytaj też: Apple, wzór prywatności do naśladowania. Czy aby na pewno?

Pamiętajmy jednak, żeby po zainstalowaniu programu do zarządzania hasłami warto:

  1. Zaimportować do niego hasła przechowywane do tej pory w przeglądarce
  2. Wyłączyć zapisywanie haseł w przeglądarce
  3. Usunąć wszystkie hasła przechowywane w przeglądarce.

Powinniśmy też robić co jakiś czas kopię danych i haseł zapisanych w menadżerze haseł lub w przeglądarce i zapisywać ją na oddzielnym, dobrze zabezpieczonym nośniku. Tak na wszelki wypadek.

To tyle. Powyżej przedstawiliśmy najprostsze, a jednocześnie bardzo skuteczne rozwiązania pozwalające chronić nie tylko hasła, ale też inne ważne informacje w Internecie.  Co prawda ktoś kiedyś powiedział, że „jest ryzko, jest zabawa”, ale nie miał chyba na myśli kont bankowych, ani dostępu do zasobów firmowych i innych ważnych danych. Tym bardziej, że inwestując w bezpieczeństwo dostajemy naprawdę zaawansowane funkcje za bardzo niewygórowane pieniądze.

A tak między nami, zaskakujące jest połączenie tak wyrafinowanej technologii z prostotą jej użycia oraz skutkami, które może mieć dla naszego ogólnego dobrostanu i  bezpieczeństwa w sieci. Dlatego zachęcamy do jej użycia.

Subscribe
Powiadom o
guest
15 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
digi
digi
7 dni temu

Tak się składa, że właśnie jestem na etapie wybierania menadżera haseł.

Najbardziej kompleksowo omówił ten temat Kacper Szurek w swoim 1h filmie:
Czy korzystać z Menadżera Haseł? (wady i zalety)
https://www.youtube.com/watch?v=1-3iKtg50Zc

Co brać pod uwagę wybierając menadżera haseł? Moim zdaniem najlepsza odpowiedź jest w poniższym artykule:
Podstawy Bezpieczeństwa: Menedżery haseł – który wybrać i jak go używać
https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-menedzery-hasel-ktory-wybrac-i-jak-go-uzywac/
„Podsumowanie, czyli co brać pod uwagę, wybierając menedżer haseł:
Próbując znaleźć rozwiązanie dostosowane do swoich potrzeb, warto przestrzegać kilku prostych zasad.

  1. Postaw na programy dobrze znane, pozytywnie opisywane w branżowych mediach, istniejące już od dłuższego czasu. Uważaj na takie, o których praktycznie nikt nie słyszał.
  2. Niezależnie od wybranego menedżera, upewnij się, że producent nadal go rozwija. Pamiętaj, aby zawsze korzystać z aktualnej wersji.
  3. Wybierz aplikację, która wspiera uwierzytelnianie dwuskładnikowe. Jeśli używasz klucza sprzętowego, np. YubiKey, poszukaj rozwiązania, które go obsługuje. Dzięki temu zapisane w programie hasła nie dostaną się w niepowołane ręce, nawet jeśli ktoś złamie hasło główne.
  4. Znajdź program dopasowany do twoich preferencji i doświadczenia. Będzie on dobrze spełniał swoją funkcję, tylko jeśli będzie dla ciebie łatwy w obsłudze.
  5. Rozejrzyj się za menedżerem, który poprawnie działa na wszystkich używanych przez ciebie urządzeniach. Upewnij się, że nie będziesz miał problemów z synchronizacją niezbędnych danych.

Zastosowanie się do powyższych wskazówek pozwoli uniknąć rozczarowań, a używanie menedżera haseł znacząco podniesie bezpieczeństwo.”
Mój komentarz:
pkt 5 – chodzi o sprawdzenie jakie menadżer obsługuje systemy operacyjne i przeglądarki.
pkt 3 – jeśli ktoś nie używa/nie posiada klucza sprzętowego to powinien wybrać taki menadżer/plan cenowy, który umożliwia zastosowanie jako 2FA aplikacji generującej TOTP (np. Google Authenticator, Authy, Microsoft Authenticator, Yubico Authenticator – polecam wszystkim posiadaczom yubikey itp.).
Należy również zwrócić uwagę co się dzieje gdy zapomnimy hasło do menadżera lub utracimy nasz drugi składnik. Chodzi o to aby procedury przewidziane na takie sytuacje były bezpieczne – wspomina o tym Kacper Szurek w swoim filmie.

digi
digi
7 dni temu

Jeśli chodzi o recenzje menadżerów haseł to polecam poniższe:
Best password managers in 2021
https://cybernews.com/best-password-managers/
Best free password managers for 2021
https://cybernews.com/best-password-managers/free-password-managers/
What is the best cross-platform password manager?
https://www.slant.co/topics/900/~best-cross-platform-password-manager#45

Z wszystkich menadżerów polecam dwa: KeePassXC (używany i polecany przez redakcję Niebezpiecznik.pl) oraz Bitwarden (używany przez Kacper Szurek).

1) KeePass — jak zacząć swoją przygodę z managerem haseł?
https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
KeePassXC Password Manager Review and Prices
https://www.usnews.com/360-reviews/password-managers/keepassxc
2) Bitwarden Review
https://cybernews.com/best-password-managers/bitwarden-review/

KeePassXC jest programem darmowym, off-line i można go zabezpieczyć kluczem bezpieczeństwa (Yubikey). Jest trochę bardziej skomplikowany w porównaniu z pozostałymi menadżerami.
Bitwarden ma opinię jednego z najbezpieczniejszych, jeśli nie najbezpieczniejszego menadżera haseł. Już w wersji darmowej jako metodę 2FA można wybrać aplikację TOTP (konkurencja pozwala na to dopiero w płatnych wariantach). Aby zabezpieczyć konto BW kluczem U2F wystarczy zapłacić 10 USD rocznie (konkurencja jest dużo droższa). Jeśli zapomnimy hasła do tego menadżera to tracimy dostęp do swojego konta. Na wypadek utraty drugiego składnika trzeba przy zakładaniu konta wydrukować kod odzyskiwania. Procedury te gwarantują duże bezpieczeństwo ponieważ nie bierze w nich udział człowiek, hasło nie jest wysyłane przez sms czy email, więc nie można go przechwycić.

Na koniec artykuł dla osób, które obawiają się trzymać wszystkie swoje hasła w jednym miejscu:
Salting Your Passwords In Your Password Manager: How-To Guide (30.01.2021)
https://passwordbits.com/salting-passwords/

Maciek Samcik
Editor
6 dni temu
Reply to  digi

Dzięki za linki i ciekawą opinię!

digi
digi
6 dni temu
Reply to  Monika Krupska

Zgadzam się, że wymienione w artykule rozwiązania są jednymi z najlepszych na rynku. Przetestowałem kilka z nich i teraz mam zainstalowany KeePassXC oraz Bitwarden i nie wiem, na które rozwiązanie się zdecydować.

Co do LastPass’a to klienci, którzy korzystali z darmowego planu są bardzo niezadowoleni, że zakres oferowanych w tym planie usług zostanie tak bardzo ograniczony. Na http://www.reddit.com/r/Lastpass/ oraz http://www.reddit.com/r/Bitwarden przez kilka ostatnich dni był prawdziwy zalew wpisów przez osoby przechodzące z LastPass do Bitwarden. Dla LastPass nie jest to wielka strata ponieważ Ci klienci i tak nie płacili.

digi
digi
6 dni temu
Reply to  digi

Małe sprostowanie poniższego zdania:
„Już w wersji darmowej (Bitwarden) jako metodę 2FA można wybrać aplikację TOTP (konkurencja pozwala na to dopiero w płatnych wariantach).”
Istnieją menadżery haseł, które również oferują aplikacje TOTP jako 2FA w wersjach darmowych.

Kotek
Kotek
6 dni temu

A jakiś powód, dla którego na liście nie znalazł się keepass? Tym bardziej, że ma bardzo ciekawe funkcje automatyzacji, wpisywania haseł w zależności od wykrytych okien dialogowych i jest całkowicie darmowy. No bo w sumie nie zauważyłem aby w artykule było „tylko dla smartfonow”.

Maciek Samcik
Editor
6 dni temu
Reply to  Kotek

Dziękujemy za uzupełnienie! Zerkniemy nań i może dopiszemy 🙂

Varek
Varek
5 dni temu
Reply to  Monika Krupska

Czyli rozumiem, że jak będzie dla mnie opornych to pojawi się bezpośrednia konkurencja Lastpassa czy Bitwarden.
W odróżnieniu od tego pierwszego otwartoźródłowy. Bez historii wpadek. I dla paranoików możliwość postawienia własnego serwera zamiast korzystania z płatnej/bezpłatnej usługi.

blad201
blad201
9 godzin temu
Reply to  Monika Krupska

jak się w google wrzuci tekst Keepass dla opornych to widać na drugim miejscu tekst z 2010 z di.com.pl – czyli każdy może go używać.
http://di.com.pl/poradnik-do-programu-keepass-password-safe-dla-bardzo-poczatkujacych-30675
Ja to robię już ponad 15 lat w wcześniej miałem płatnego Steganosa i jeszcze jakiś bezpłatny. Mam w pliku KeePass-a (tylko 20Mb) kilkaset fiszek z hasłami, opisami, nr seryjnymi, często z załącznikami i ten sam plik mogę przenieść na dowolną platformę – np. na Macu mam MacPass lub na iOS MiniKeePass. Spokojnie przenoszę go na pendriv lub do chmury – nie boję się, że ktoś złamie jedno długie hasło.

Najnowsze wpisy naszych autorów Wszyscy autorzy
Przyszłość jest tutaj

Podaj swój adres email i odbieraj najświeższe informacje o nowych technologiach i nie tylko.

email-iconfacebooktwitteryoutubelinkedin instagram whatsup