Hasło to wciąż najpopularniejsza technika potwierdzająca naszą tożsamość. Mamy hasła do smartfona, do komputera, do skrzynki mailowej, konta bankowego, do portali i aplikacji.
Jak zadbać o ich unikalność i bezpieczeństwo, gdy korzystamy z dziesiątek serwisów?
Dziś wyjaśniamy, czym jest manager haseł, który pozwoli na bezpieczne przechowywanie haseł bez konieczności ich zapamiętywania.
Co to jest menadżer haseł? – oprogramowanie, które przechowuje dane uwierzytelniające (potwierdzające tożsamość użytkownika) takie, jak hasła, loginy czy kody PIN. Menadżer haseł wykorzystuje plik, który poddawany jest szyfrowaniu, w którym przechowywane są
w.w. dane. Większość menadżerów haseł posiada funkcje automatycznego uzupełniania formularzy na stronach internetowych czy generowania losowych haseł o wybranej długości, czy złożoności.
Zastosowanie
Zapamiętanie dużej ilości haseł, z którymi spotykamy się na co dzień nie jest łatwe. Istnieje duże ryzyko zapomnienia loginu czy ciągu znaków, dlatego wielu z użytkowników Internetu korzysta z tego samego hasła na kilku stronach internetowych. W przypadku wycieku danych uwierzytelniających w jednym z serwisów, użytkownik zostaje narażony na utratę dostępu do innych usług lub stron, gdzie korzysta z tego samego hasła. W takich sytuacjach z pomocą przychodzi menadżer haseł, który nie tylko służy do przechowywania haseł, lecz także do generowania o odpowiedniej złożoności z zachowaniem wymogów dotyczących siły hasła.
Działanie
Większość aplikacji przechowywujących hasła przed uruchomieniem tworzy plik bazy, który zabezpieczany jest hasłem głównym (master Password) i/lub plikiem klucza (key file). Plik bazy jest wtedy przechowywany lokalnie na dysku użytkownika. Hasło to należy zapamiętać lub w przypadku użycia klucza keyfile, należy odpowiednio ukryć przed nieuprawnionymi osobami. Zalecane jest, aby hasło było tzw. hasłem silnym, gdyż znacząco podnosi to poziom zabezpieczenia utworzonej bazy. Jednocześnie należy pamiętać, że hasło główne jest najważniejszą kwestią podczas korzystania z menadżera haseł. W przypadku zapomnienia/utraty hasła master nie będzie możliwości jego odzyskania. Na rynku istnieją również programy, które zapisują dane uwierzytelniające bezpośrednio na serwerze producenta przy użyciu bezpiecznych mechanizmów szyfrujących.
Bezpieczeństwo
Menadżery haseł korzystają z mocnych i bezpiecznych algorytmów szyfrujących takich jak AES, ChaCha20 i Twofish oraz haszujących SHA-2. Przy obecnych „super komputerach”, złamanie hasła master zajęłoby mnóstwo czasu. Ważną kwestią przy ustanowieniu hasła master jest jego złożoność, siła oraz długość, dlatego zaleca się, aby hasło master posiadało:
- Co najmniej 14 znaków
- Małe i wielkie litery
- Cyfry
- Znaki specjalne
Kolejną kwestią jest unikalność hasła master, oznacza to, że hasło nie powinno być wykorzystywane w żadnym innym miejscu oraz nie wskazywało na dane personalne użytkownika np. M@rcin1989.
Synchronizacja
Najlepszym sposobem synchronizacji danych, np. po zmianie hasła lub dodaniu nowych rekordów, jest ręczne uzupełnienie bazy, co może być uciążliwe, jednakże najbezpieczniejsze. Wiele aplikacji posiada możliwość synchronizacji zmian w hasłach poprzez tzw. Chmurę przy wykorzystaniu bezpiecznego połączenia. Niektóre aplikacje np. 1password posiada możliwość synchronizacji z aplikacjami z jednorazowymi hasłami, takimi jak Authy, kluczami USB, jak YubiKey i Fido, oraz skanerami biometrycznymi (twarzy, linii papilarnych i oczu) dla różnych systemów operacyjnych
Kopia zapasowa
W przypadku kopii zapasowych sugerowane jest korzystanie z zasady 3-2-1. Ilość kopii bazy to co najmniej 3 kopie, w dwóch różnych miejscach tj. dysk przenośny i chmura lub dwie różne chmury, np. Google Drive i ICloud, jedna kopia poza miejscem, z których na co dzień korzystamy z haseł np. pendrive.
Przykładowe aplikacje
- KeePass
- 1password
- StickyPassword
- Remembear
- LastPass
Podsumowanie
Powodów korzystania z managera haseł jest wiele. Oczywiście sam dostęp do managera zabezpieczony jest hasłem, ale w tej sytuacji do zapamiętania zostaje tylko jedna kombinacja, a nie kilkanaście. Warto więc pokusić się o złożony, skomplikowany ciąg znaków, który solidnie zabezpieczy całą resztę. Przy wyborze odpowiedniego menadżera haseł należy wziąć pod uwagę bezpieczeństwo przechowywania haseł, dodatkowe funkcjonalności, które ułatwiają wpisywanie haseł (np. uwierzytelnienie dwuetapowe) oraz synchronizację i kopie zapasowe poświadczeń. Należy pamiętać, aby po wybraniu najlepszej dla nas aplikacji, regularnie ją aktualizować.