Menedżery haseł

Opublikowano · Zaktualizowano

W poprzednich tekstach omówiłem prostą metodę na niepowtarzalne hasła oparte o matrycę oraz uwierzytelnianie dwuskładnikowe.
Dzisiaj obiecany ciąg dalszy, w którym pochylę się nad menedżerami haseł.

Czym są owe menedżery?

Najprościej rzecz ujmując są to aplikacje do przechowywania haseł, dzięki którym nie musimy ich pamiętać. Wystarczy, że znamy hasło do samego menedżera.

W czym to rozwiązanie jest lepsze od haseł opartych o matrycę?

W menedżerze haseł możemy przechowywać hasła bez potrzeby zapamiętywania ich – mogą więc one być bardzo skomplikowane. Najlepszą i preferowaną opcją są hasła generowane – w pełni losowe i o dużej długości. Menedżery haseł posiadają wbudowane generatory mocnych haseł. Jedyna rzecz, którą trzeba zapamiętać w tym rozwiązaniu, to hasło główne do samego menedżera. Wszystkie hasła są przechowywane w szyfrowanym magazynie.

Jak to więc wygląda w praktyce?

Dość prosto. W sieci jest mnóstwo testów różnych konkretnych rozwiązań, każdy może więc znaleźć coś dla siebie.
Ja przetestowałem w sumie trzy rozwiązania: Keeper [1], NordPass [2] i Bitwarden [3].

Keepera odrzuciłem ze względu na fakt, że darmowa wersja pozwala korzystać z rozwiązania jedynie przez pierwsze 30 dni, po czym musimy zacząć płacić, by móc korzystać dalej.

NordPass bardzo mi się spodobał ze względu na przejrzystość interfejsu i dostępność w miarę funkcjonalnej darmowej wersji.

Ostatnim sprawdzanym przeze mnie rozwiązaniem był Bitwarden, który ma najbardziej funkcjonalną wersję darmową (w zasadzie w zupełności wystarczającą dla zastosowań domowych), chociaż interfejs użytkownika jest w moim osobistym odczuciu nieco gorszy niż w NordPassie.

Od razu dodam, że wszystkie popularne rozwiązania oferują aplikację na komputery (Windows i Mac), wtyczki do popularnych przeglądarek (Firefox, Chrome, Opera, Edge, czasem też innych), a także aplikacje mobilne na Androida i iOS.

No to zaczynamy!

Początkowe kroki we wszystkich testowanych przeze mnie rozwiązaniach wyglądały podobnie. Na początek konieczne jest utworzenie konta i hasła głównego. To hasło musi być mocne i musimy je zapamiętać, gdyż odzyskanie go może być kłopotliwe, ale o tym nieco później. Następnie usługa zaoferuje nam automatyczne zaimportowanie wszystkich haseł z przeglądarek (Bitwarden wymaga, aby zrobić to ręcznie, co jest niewątpliwie dużym minusem tego rozwiązania). Import istniejących haseł przyspiesza rozpoczęcie korzystania z menedżera – dzięki temu nie musimy ręcznie wprowadzać już zgromadzonych haseł.

Możliwe jest również korzystanie offline bez tworzenia konta – wtedy nasz sejf trzymamy lokalnie na twardym dysku w formie zaszyfrowanego pliku. Ryzykujemy wtedy jednak, że w przypadku awarii komputera (konkretnie właśnie twardego dysku), tracimy nasz sejf bezpowrotnie.

Dla jasności dodam, że mówiąc „sejf”, mam na myśli bazę przechowującą w bezpieczny sposób nasze dane (najczęściej jeden lub kilka zaszyfrowanych plików).

Następnym istotnym krokiem jest zainstalowanie dodatku do przeglądarki, co pozwoli nam na łatwe korzystanie z sejfu w trakcie zwykłego przeglądania Internetu. Wtyczka taka umożliwia nam przede wszystkim szybkie i łatwe korzystanie z haseł zapamiętanych w naszym sejfie. Podczas logowania na jakiejś stronie klikamy po prostu na ikonkę, która się w takim polu pojawia i wybieramy zapamiętany profil, a wtyczka wypełnia nam pola odpowiednimi danymi (W przypadku Bitwardena klikamy w ikonę dodatku na górnym pasku przeglądarki i stamtąd uzupełniamy formularz logowania klikając w odpowiedni wpis na liście).
Kolejną funkcją takiej wtyczki jest generowanie haseł w trakcie tworzenia konta w nowym serwisie. Tak utworzony profil można zapisać w sejfie z poziomu przeglądarki.

Korzystanie z menedżera

Hasłami można zarządzać w aplikacji na systemy Windows i macOS, a w większości przypadków także za pomocą klienta webowego (czyli przez przeglądarkę).

Oprócz tego, jak już wspomniałem wcześniej, wszystkie popularne rozwiązania oferują aplikację mobilną. Ma ona zbliżone funkcjonalności do klienta desktopowego („desktop” to slangowa nazwa komputera stacjonarnego). W przypadku NordPass w wersji darmowej równocześnie można być zalogowanym na tylko jednym urządzeniu, co może być nieco uciążliwe. Pamiętajmy jednak, że na konta na platformach mobilnych zasadniczo logujemy się raz, więc aplikacja mobilna nie musi być w ciągłym użyciu – wystarczy więc raz przepisać te hasła z ekranu komputera stacjonarnego i po kłopocie, lub po prostu raz zalogować się do aplikacji na telefonie, a następnie przy jej użyciu zalogować się wszędzie, gdzie trzeba. Sytuacja komplikuje się, gdy mamy więcej niż jeden komputer i zdarza nam się korzystać z nich równocześnie.

No dobrze, ale czy to jest bezpieczne?

Hasło główne

Podstawowym zabezpieczeniem sejfu menedżera haseł jest hasło główne. Jego utrata wiąże się z niebezpieczeństwem utraty dostępu do zapisanych haseł.

Odzyskanie hasła głównego jest co prawda możliwe, jednak tylko w sytuacji, gdy nie utraciliśmy dostępu do naszej skrzynki pocztowej powiązanej z kontem.

Jeżeli jednak nie nałożyliśmy na nasze konto dodatkowych zabezpieczeń, to sam menedżer haseł jest niewiele bardziej bezpiecznym rozwiązaniem od korzystania z jednego mocnego hasła do wszystkiego (osoba, która uzyska dostęp do naszego hasła głównego, zdobywa dostęp do wszystkich innych haseł).

Warto więc zabezpieczyć się nieco bardziej.

Pytanie pomocnicze

Najprostszym sposobem jest utworzenie pytania pomocniczego do odzyskiwania hasła. Dzięki temu nawet w sytuacji, gdy włamywacz posiada dostęp do naszej skrzynki pocztowej, to w sytuacji próby odzyskania hasła do menedżera haseł, będzie musiał podać odpowiedź na pytanie pomocnicze. Nie wszystkie menedżery udostępniają jednak taką funkcjonalność.

Uwierzytelnianie dwuskładnikowe

Kolejnym dobrym pomysłem jest włączenie uwierzytelniania dwuskładnikowego. Opowiedziałem o nim nieco więcej w poprzednim wpisie [4]. W telegraficznym skrócie: w uwierzytelnianiu dwuskładnikowym oprócz wpisania hasła konieczne jest przepisanie jednorazowego kodu z SMSa lub z aplikacji typu Google/Microsoft Authenticator na telefonie.

Klucz fizyczny

Niektóre menedżery haseł można również powiązać z fizycznym kluczem USB (wymagane jest wtedy posiadanie urządzenia przypominającego pamięć USB, które musi być podłączone do komputera aby odblokować dostęp do bazy haseł – np. YubiKey). Jest to jednak opcja dla zaawansowanych użytkowników, więc póki co nie będę tego tematu mocniej rozwijał (zainteresowanych zachęcam do odwiedzenia strony Niebezpiecznik.pl – np. tutaj [5]).

Szyfrowanie

Same hasła są przechowywane w bardzo dobrze zaszyfrowanym sejfie (najczęściej stosowane jest 256-bitowe szyfrowanie AES). Ryzyko rozszyfrowania takiego sejfu bez posiadania klucza deszyfrującego jest praktycznie zerowe [6].

Inne funkcje menedżerów haseł

Większość menedżerów haseł oprócz przechowywania danych logowania umożliwia również przechowywanie innego rodzaju wrażliwych danych, m.in. informacje potrzebne do wypełniania formularzy internetowych (imię, nazwisko, adres itp.), a także dane kart płatniczych. Jest to oczywiście opcjonalne i nie trzeba tych danych wprowadzać by menedżer haseł spełniał swoją podstawową rolę – przechowywał w wygodny i bezpieczny sposób zapisane hasła.

TL;DR 😉

Jeśli miałbym powyższy tekst streścić w kilku zdaniach, to wyszłoby mniej więcej coś takiego:
Menedżery haseł zdejmują z naszych barków konieczność pamiętania wielu haseł do naszych kont. Pozwala nam to na posiadanie naprawdę trudnych haseł do różnych miejsc, a jedyne co musimy pamiętać, to metodę logowania się do samego menedżera. Hasła są bezpieczne, ponieważ są przechowywane w szyfrowanym sejfie. Dane menedżera haseł można przenosić pomiędzy urządzeniami (również mobilnymi), a więc raz zapamiętane hasło da się odczytać nawet po zmianie komputera czy telefonu.

Na koniec dodam, że pełen komfort korzystania z takiego menedżera uzyskuje się dopiero po nabyciu płatnego planu (w przypadku Keepera korzystanie z darmowej wersji po 30 dniach jest niemożliwe – konieczne jest wykupienie abonamentu). Odblokowujemy wtedy dostęp do nielimitowanych możliwości menedżera haseł (np. NordPass odblokowuje wtedy możliwość bycia zalogowanym na to samo w wielu miejscach równocześnie) oraz do opcji dodatkowych, takich jak np. przeszukiwanie darknetu w poszukiwaniu wycieków naszych haseł i wiele innych. Jednak rozwiązania darmowe są często wystarczająco funkcjonalne dla typowego użytkownika (zwłaszcza Bitwarden). Swoją drogą wydaje mi się, że za bezpieczeństwo wrażliwych danych warto zapłacić parę złotych miesięcznie, jeśli w zamian znacząco zmniejszamy szansę na utratę o wiele większych środków.

Panie, ale drogo…

Osobom, które chcą korzystać z menedżera haseł, lecz nie chcą wydawać na to pieniędzy, polecam sprawdzić Bitwardena – jego darmowa wersja ma wszystkie potrzebne funkcje.

Podsumowanie

Jeśli chcemy komfortowo korzystać z całkowicie losowych haseł, menedżer haseł to jedyna opcja. Aby komfort był pełny, musimy jednak być gotowi wydać nieco pieniędzy na subskrypcję usługi premium.

Jakie jest wasze zdanie na temat menedżerów haseł? Napiszcie w komentarzu!

PS. Jeśli uważasz, że ten wpis jest wartościowy, udostępnij go. Bardzo proszę też o śledzenie mojej strony na Facebooku! Z góry dzięki za zaufanie 😉
PPS. Masz pomysł na kolejny wpis? Napisz temat w komentarzu!

Źródła:

[1] Keeper Security | Najlepszy osobisty i firmowy menedżer haseł

[2] Password Manager: Autosave & Autofill Passwords | NordPass

[3] Bitwarden Open Source Password Manager | Bitwarden

[4] Cyfrowym Okiem – Cyfrowe Bezpieczeństwo: Uwierzytelnianie dwuskładnikowe

[5] Niebezpiecznik – klucz U2F

[6] KryptAll.com – How Safe is AES Encryption? | Advanced Encryption Standard

Udostępnij:

Tagi:

Tomasz

Informatyk z wykształcenia. Programista z zawodu. Hobbystycznie fotograf i grafik komputerowy. Z zamiłowania muzyk grający na instrumentach klawiszowych i gitarze. Entuzjasta nowinek technologicznych. Z wypiekami na twarzy obserwuje kolejne kroki ludzkości w stronę Marsa. W wolnych chwilach słucha różnorodnej muzyki, czyta książki, ogląda seriale i gra w gry komputerowe.

Możesz również polubić…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *