Dlaczego warto korzystać z menedżerów haseł?
Niedawno zadzwonił do mnie znajomy. Był załamany ponieważ ktoś włamał się na jego konto na jednym z serwisów społecznościowych. Nie mógł zrozumieć w jakim celu to się stało, skoro nawet nie wrzuca tam żadnych treści. Chwilę później dowiedział się że ktoś zaczął z jego konta wysyłać do bliskich prośby o pilne pożyczki. Niestety jedna z osób nabrała się na ten chwyt. Historia znajomego pokazuje jak pozornie niegroźna rzecz – konto w mediach społecznościowych – może stać się narzędziem w rękach oszustów.
Często spotykam się z sytuacjami, w których znajomi, a nawet partnerzy biznesowi używają tego samego hasła w kilku (a nawet kilkunastu!) różnych serwisach. Kiedy pytam ich, dlaczego tak robią, najczęściej słyszę: „Nie dam rady zapamiętywać kolejnych haseł” albo „Nie mam pomysłu na skomplikowane hasło”. Moja odpowiedź jest zawsze taka sama: „A dasz radę i masz pomysł jak odzyskać skradzione konto albo odbudować reputację? ”
Podczas pracy z klientami, zauważyłem, że wielu pracowników nadal korzysta z prostych haseł, czasem zapisanych na kartkach przyklejonych do monitorów 🫢. Tego, że wyciek danych może mieć poważne konsekwencje dla osób, których dane zostały ujawnione, nie trzeba przypominać – kradzież tożsamości, straty finansowe, naruszenie prywatności czy utrata reputacji. Dla organizacji skutki wycieku mogą być jeszcze bardziej dotkliwe. Na szczęście świadomość zagrożeń wśród użytkowników rośnie, ale podstawowe błędy wciąż są powszechne.
Kiedy je komentuję, słyszę “Ale przecież nie wrzucam tam żadnych prywatnych treści”. Ty nie, ale może masz w znajomych kogoś, kto dzieli się życiem prywatnym, kto ma takie samo nazwisko, albo podaje informację od ilu lat się znacie, oznacza Cię, gdzie spędzasz wieczory, wakacje itp. Może obserwujesz stronę szkoły swojego dziecka, profil kontrahenta, współpracownika, albo banku, w którym trzymasz swoje oszczędności. Niestety każda taka informacja może zostać wykorzystana przeciwko Tobie.
Zaraz podzielę się z Tobą, jak rozwiązują ten problem menedżery haseł. Ale najpierw jeszcze trochę o wyciekach haseł.
Problem z popularnymi hasłami
Już ponad 14 miliardów danych osobowych i haseł trafiły w niepowołane ręce. Statystyki pokazują, że cztery na pięć naruszeń jest częściowo przypisywanych użyciu słabych lub skradzionych haseł.
Najczęściej wykorzystywane hasła w Polsce to ciągi kolejnych cyfr czy liter na klawiaturze np “zaq12wsx”, 123qwe, ale też hasła takie jak “polska” czy “polska1” , imiona np. “monika”, “marcin”, “mateusz”, czy nawet “misiek”, “kochanie” czy “myszka”, a także słowa niecenzuralne, których nie chcę tu przytaczać, ale możecie sprawdzić sami – niezła zabawa 😜.
Czy Twoje hasło jest bezpieczne? – SPRAWDŹ
Istnieją serwisy, w których możesz sprawdzić czy używane przez Ciebie hasła znajdują się wśród haseł, które wyciekły. Najbardziej popularny to haveibeenpwned.com, który zbiera dane o wyciekach na całym świecie. Po wpisaniu swojego adresu email możecie dowiedzieć się gdzie i kiedy nastąpił wyciek waszych danych. Zebrane informacje pokazują również skalę problemu.
Serwis uchodzi za bezpieczny i założony został by chronić użytkowników.
Jednak złotą zasadą jest chronienie haseł i niepowielanie wpisywania ich w różnych serwisach. Dlatego poniżej podaję Ci link do specjalnie przygotowanego narzędzia, które można pobrać i sprawdzić sobie bezpieczeństwo swojego hasła bez konieczności przesyłania go w całości do zewnętrznego serwera. Dzięki temu, że pobierzesz plik na swój komputer, uruchamiasz go lokalnie, więc wpisywane przez Ciebie tam hasła nie mają szans wyciec.
Koniecznie pobierz plik i sprawdź, czy hasła, których używasz znalazły się na liście zagrożonych. Jeśli zobaczysz, że Twoje hasło wyciekło choć jeden raz, natychmiast je zmień, najlepiej zapamiętując w menedżerze haseł.
Pobawiłem się tym narzędziem i zaskoczyło mnie, że hasło:
komornik wypłynęło 740 razy
Komornik – 29 razy
Komornik123 – 100 razy
Komornik123! – 8 razy
Mam nadzieję, że nie używasz żadnego z nich 😉
Zatem jakie hasła są bezpieczne?
Do niedawna panowało powszechne przekonanie, że bezpieczne hasło ma mieć 8 liter, cyfry i znaki specjalne. Według aktualnych badań, to głównie długość hasła stanowi o jego sile.
Powyższy przykład pokazuje nam, że dodanie liter czy znaków specjalnych, a szczególnie tych najbardziej popularnych, nie musi sprawić, że hasło jest bezpieczne.
NIST Password Guidelines to zestaw zaleceń dotyczących tworzenia bezpiecznych haseł, opracowany przez National Institute of Standards and Technology (NIST) w Stanach Zjednoczonych. Zalecenia te są często aktualizowane, aby odzwierciedlać zmieniające się zagrożenia w cyberbezpieczeństwie i postęp technologiczny.
Zalecenia NIST z sierpnia 2024 roku dla weryfikatorów haseł, czyli systemów lub mechanizmów odpowiedzialnych za sprawdzanie i akceptowanie haseł wprowadzanych przez użytkowników są następujące:
Wytyczne dotyczące tworzenia haseł:
- Hasła muszą mieć co najmniej osiem znaków, a zaleca się, aby miały co najmniej 15 znaków. Systemy powinny zezwalać na hasła o długości co najmniej 64 znaków.
- Systemy nie powinny nakładać dodatkowych zasad dotyczących składu haseł, takich jak wymuszanie mieszania różnych typów znaków (np. wielkich i małych liter, cyfr, symboli). Udowodniono, że takie zasady nie zwiększają bezpieczeństwa haseł, a jedynie utrudniają ich zapamiętanie użytkownikom.
- Weryfikatory i dostawcy usług muszą porównywać potencjalne hasła z czarną listą znanych, często używanych, spodziewanych lub naruszonych haseł. Lista ta może zawierać hasła uzyskane z poprzednich wycieków danych, słowa ze słownika, słowa specyficzne dla kontekstu (np. nazwa usługi, nazwa użytkownika). Jeśli wybrane hasło znajduje się na czarnej liście, użytkownik musi wybrać inne hasło.
- Systemy nie powinny wymagać od użytkowników okresowej zmiany haseł. Wymuszona zmiana hasła powinna nastąpić tylko wtedy, gdy istnieją dowody na naruszenie bezpieczeństwa konta.
- Systemy nie powinny zezwalać użytkownikom na przechowywanie wskazówek do haseł dostępnych dla nieuprawnionych osób. Systemy nie powinny również pytać użytkowników o informacje oparte na wiedzy (np. „Jak nazywał się Twój pierwszy zwierzak?”) podczas tworzenia hasła.
Pamiętajmy, że są to zalecenia dla programistów, którzy muszą dbać nie tylko o to, aby wpisane hasło było jak najbardziej bezpieczne, ale także, by było łatwe do zapamiętania przez użytkownika, bo hasło, którego się nie pamięta, zazwyczaj trzeba gdzieś zapisać…
Dlatego warto, aby Twoje hasło składało się z co najmniej 12 znaków, choć im więcej tym bezpieczniej (zalecane są hasła 12 -15 znakowe). Oczywiście może być też dodatkowo kombinacją małych i wielkich liter, cyfr i znaków specjalnych, ale unikajmy zarówno pospolitych schematów jak i tych bardzo skomplikowanych.
Oczywiście najłatwiej tworzy się nam hasła z naszych podstawowych danych takich jak imiona nasze, dzieci, najbliższych, ich daty urodzin etc. Niestety te hasła są też najłatwiejsze do rozszyfrowania.
Wybierając bezpieczne hasło, pamiętaj, że musi być ono mocne i unikalne. W przeciwieństwie do standardowych haseł, warto używać łatwych do zapamiętania, ale trudnych do odgadnięcia fraz.
Dlatego lepsze będzie np. hasło “EfektivoToMojePaliwo40%” niż hasło “Gosia33!”
Pamiętaj – silne hasło to takie, które jest długie, unikalne i trudne do odgadnięcia!
Możesz też wykorzystać cytaty z filmów czy książek, z dodatkiem cyfr lub wielkich liter.
Przykład: „LubieTakiPrzepychJestC0Zajm0wac” – cytat z filmu “Komornik” (który na pewno nie mówi na czym polega praca Komornika ;-)), w którym każdy nowy wyraz jest rozpoczęty wielką literą, a litera “o” zastąpiona jest cyfrą “0”.
Oczywiście najbezpieczniej, jeśli Twoje hasło nie ma żadnego znaczenia, ale składa się z ciągu losowych liter, cyfr i symboli, a do tego tworzonych nie według schematu. Nie można jednak przesadzić ze złożonością hasła, by nie musieć go zapisywać “na karteczce”.
Ale nawet jeśli już znamy zasady tworzenia bezpiecznych haseł, jak zapamiętać ich wiele?
Tutaj z pomocą przychodzi nam menedżer haseł, który zarówno tworzy bezpieczne hasła jak i je zapamiętuje.
Czym jest i jak działa menedżer haseł?
Menedżer haseł to narzędzie, które:
- wymyśla za Ciebie super skomplikowane hasła,
- zapamiętuje je wszystkie,
- automatycznie wypełnia formularze logowania.
- A Ty musisz pamiętać tylko jedno główne hasło.
I wszystko to robi w bardzo bezpieczny sposób. Działa ono na zasadzie sejfu – użytkownik musi zapamiętać tylko jedno główne hasło, które daje dostęp do bazy wszystkich innych haseł. Te hasła są szyfrowane, co oznacza, że nawet jeśli ktoś niepowołany uzyska dostęp do bazy, nie będzie w stanie odczytać zapisanych w niej danych. Po wprowadzeniu głównego hasła, menedżer automatycznie uzupełnia pola logowania na różnych stronach internetowych, co jest nie tylko wygodne, ale także zwiększa bezpieczeństwo, ponieważ hasła generowane przez menedżer są losowe, długie i trudne do złamania, co czyni je znacznie bezpieczniejszymi od haseł tworzonych ręcznie.
Menedżery haseł są zalecane przez NIST, ponieważ zwiększają prawdopodobieństwo, że użytkownicy będą wybierać silniejsze hasła. A to znaczy, że serwisy przygotowywane zgodnie z założeniami i z myślą o Twoim bezpieczeństwie, będą zezwalać użytkownikom na wklejanie haseł, aby ułatwić korzystanie z menedżerów haseł.
Jaki menedżer haseł wybrać?
Sam zdecydowałem się na użycie w mojej firmie 1Password, ale Wy możecie wybrać spośród wielu programów. Część z nich jest bezpłatna (np. KeePass), część płatna. Oczywiście jak to w życiu bywa, te płatne są wygodniejsze w użyciu, zapewniają synchronizację pomiędzy urządzeniami, mają aplikacje dla różnych systemów operacyjnych, przeglądarek i urządzeń mobilnych. Mają też możliwość zarządzania uprawnieniami, np. stworzenia osobnego sejfu z hasłami osobistymi, do których dostęp mam tylko ja oraz osobnego z hasłami do systemów używanych przez pracowników, a także osobnego z hasłami do serwerów tylko dla administratorów.
Na co zwrócić uwagę przy wyborze menedżera haseł?
- Wybieraj narzędzia od sprawdzonych dostawców, które cieszą się zaufaniem użytkowników.
- Menedżer powinien być dla Ciebie prosty w użyciu, w przeciwnym wypadku istnieje ryzyko, że nie wykorzystasz jego pełnego potencjału.
- Sprawdź, czy producent wciąż rozwija swój produkt i pamiętaj, aby zawsze używać aktualnej wersji.
- Sprawdź, czy menedżer obsługuje różne systemy operacyjne i urządzenia.
- Wybierz takie narzędzie, które wspiera uwierzytelnianie dwuskładnikowe. Dzięki temu, nawet jeśli zostanie złamane hasło główne, Twoje dane pozostaną bezpieczne.
- Koszty: Oceń, czy wystarczają Ci funkcje oferowane w darmowej wersji, czy dla Twojej wygody i bezpieczeństwa lepiej zainwestować w płatną.
Wybór narzędzia powinien zależeć od Twoich potrzeb i preferencji – przy czym lepiej korzystać z darmowego menedżera niż z żadnego.
Sugeruję, abyście jak najszybciej wdrożyli menedżera haseł w swojej kancelarii komorniczej. W obecnych czasach, gdy zagrożenia są coraz bardziej zaawansowane, takie zabezpieczenia wydają się niezbędne.
Pamiętaj jednak, że to tylko jeden ze sposobów na zabezpieczenie się przed cyberprzestępczością. Tegoroczna edycja Europejskiego Miesiąca Cyberbezpieczeństwa odnosi się do rosnących ataków socjotechnicznych, wykorzystujących inżynierię społeczną. To sytuacje, w których oszuści podszywają się pod inne osoby, wiadomości e-mail typu phishing lub fałszywe oferty, aby oszukać ludzi i skłonić ich do podjęcia pewnych działań w internecie lub podania poufnych lub osobistych informacji. Znamy sytuacje “na wnuczka”, które w biznesie też znajdują swoje odpowiedniki, gdy cyberprzestępca podszywa się pod kogoś zaufanego – współpracownika czy osobę z firmy zapewniającej wsparcie. Ale ochrona przed takimi jest już osobnym, bardzo szerokim tematem.
Ważne!
Korzystanie z menedżerów haseł znacznie zwiększa bezpieczeństwo Twoich kont internetowych. Jednak kluczowe jest, aby nie zapisywać głównego hasła do takiego menedżera w przeglądarce. To hasło jest jak klucz do skarbca – jeśli go zgubisz, odzyskanie dostępu do wszystkich zapisanych haseł może okazać się niemożliwe. Pamiętanie głównego hasła oraz stosowanie dodatkowych środków bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe, są niezbędne do ochrony Twojej cyfrowej tożsamości.