Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

7 minut

Pamiętasz jak w poprzednim artykule dotyczącym haseł pisałem o tym, że do każdego z serwisów, absolutnie wszędzie, trzeba mieć różne hasła? Pisałem też, że wyjaśnię dlaczego potrzebne są te wszystkie hasła (i to w dodatku różne!) oraz jak je wszystkie spamiętać. No więc (nie zaczyna się zdania od “no więc”)… 

Myślę, że warto rozpocząć od dwóch pytań, na które postaram się odpowiedzieć w tym artykule:

❓Czy muszę mieć różne hasła do różnych serwisów? 

❓Jak zapamiętać te wszystkie hasła?

Wzorem poprzedniego wpisu z serii, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerdów *ekhem* bardziej zainteresowanych. ← te standardowo będą oznaczone symbolem 🤓

Tysiąc haseł? A na co to komu…

Otóż to, po co różne hasła do każdego serwisu? I to jeszcze w dodatku, każde musi być skomplikowane (o tym, jak sobie ułatwić życie i tworzyć proste do zapamiętania hasła odsyłam do poprzedniego artykułu). Po co mi inne hasło do Facebook’a, inne do banku, inne do jednego e-maila, jeszcze inne do drugiego, inne do Instagrama, inne do YouTube’a itd…?

Odpowiedź na to pytanie jest bardzo prosta – jeżeli będziesz posiadał/a jedno to samo (lub takie samo) hasło wszędzie, to wystarczy, że wycieknie ono raz i tym samym utracisz dostęp do wszystkich swoich serwisów.

To trochę tak, jakby do domu, samochodu, garażu czy sejfu mieć jeden i ten sam zamek, który można otworzyć jednym kluczem. O fizycznych zabezpieczeniach naszego domu myślimy automatycznie, prawda? Dlaczego więc nie potraktować naszych kont w portalach społecznościowych, w banku, czy na poczcie tak samo? 

Pamiętaj, że możesz mieć najbardziej skomplikowane hasło na świecie, ale dojdzie do sytuacji, w której dobrowolnie je komuś przekażesz (o tym, jak można od każdego wyciągnąć dane – przeczytasz w innym artykule na temat inżynierii społecznej, jak już ten artykuł powstanie) albo co gorsza, nie przechowujesz swojego hasła w odpowiedni, bezpieczny sposób. Niestety do wycieków czy ataków na dane do logowania (w żargonie security/privacy mówimy na nie “kredki”, od ang. credentials) dochodzi coraz częściej, co więcej, ich liczba będzie tylko rosnąć. Dlatego właśnie, nawet jedno super-ekstra-skomplikowane hasło nie wystarczy żeby chronić swoje dane i utrzymać je w poufności, w prywatności. Twoje dane mają ogromną wartość, nie tylko dla przestępców, ale też (a może i przede wszystkim?) dla reklamodawców, czy wreszcie – państw.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Tutaj sprawa nie jest jakoś wielce skomplikowana. Jeżeli Twoje hasło wycieknie, to zostanie ono dodane do jednej z wielu baz w Internecie, które można kupić lub po prostu znaleźć. W zależności od tego, kto skorzysta z tej bazy, działania mogą być różne. Jednak pewne jest to, że przestępcy, korzystając z programów komputerowych mogą próbować logować się do różnych serwisów używając Twoich danych do logowania. I to, w zależności od tego, gdzie próbują się zalogować i jakie mają intencje, może mieć różny wymiar. Może to być wysyłanie spamu z Twojej poczty, może to być rozprzestrzenianie złośliwego oprogramowania (z ang. malware), ale wreszcie, może to być również kradzież tożsamości prowadząca do narobienia Tobie ogromnej ilości problemów (np. wyłudzenia pożyczek czy uczestnictwo w przestępstwach).

## Koniec części technicznej 🤓 ##

Potraktuj każde ze swoich kont, gdzie wpisujesz login i hasło, jako taką niezłą patodeweloperkę. W każdym z tych mikroapartamentów spędzasz trochę czasu, a jak go wyłączysz lub minimalizujesz, to go zamykaj na klucz – czyli korzystaj z różnych haseł.

Ale jak to wszystko spamiętać?!

I to jest bardzo dobre pytanie. Pewnie zauważyłeś/aś, że lubię obrazować niektóre kwestie memami, o tu jest kolejny:

Tak. Menadżer haseł (z ang. password manager). Pewnie słyszałeś/aś to już ode mnie nie raz, nie dwa, jak namawiałem Cię do tego żeby z niego skorzystać. Dlaczego?

Wersja krótka:

👉Nie musisz znać wszystkich swoich haseł.

👉Menadżer haseł przechowuje Twoje hasła w bezpiecznym “skarbcu”, który jest zaszyfrowany.

👉Wystarczy, że pamiętasz “tylko” o haśle do skarbca.

👉Menadżer haseł może generować skomplikowane, trudne do złamania hasła.

👉Współczesne menedżery haseł są proste i intuicyjne w użytku.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Menadżer haseł to program, który:

🔐służy do przechowywania określonych danych (najczęściej danych do logowania) w bezpiecznej, zaszyfrowanej formie;

🔐 służy do generowania losowych, skomplikowanych haseł.

Menadżer haseł przechowuje Twoje dane w tzw. sejfie, który korzysta z silnego szyfrowania takiego jak Blowfish, AES lub przechowuje hasła w formie skrótu / hasha (funkcja haszująca / funkcja skrótu = matematyczna, jednostronna funkcja mająca na celu przekształcenie jednego ciągu znaków w inny; każdy ciąg znaków ma swój unikatowy skrót. Więcej na temat funkcji skrótu znajdziesz tutaj ). Obecnie, uważanym za najbezpieczniejszy do przechowywania haseł jest algorytm Argon2id.

Aby dostać się do takiego sejfu, najpierw konieczne jest utworzenie tzw. “master-password”, czyli nadrzędnego hasła, które będzie nie tylko umożliwiało Tobie dostęp do bazy haseł, ale także utrudni hakerom wykradzenie Twoich danych.

Taki sposób przechowywania oznacza, że hasła nie są dostępne od razu i są chronione przez silne środki zabezpieczeń, które zasadniczo raczej nie są obecnie możliwe do złamania. Oczywiście nie dotyczy to jednak sytuacji, kiedy menadżer haseł jest źle skonfigurowany i korzysta ze zbyt słabej kryptografii. Wtedy dochodzi do takich sytuacji, jak w przypadku tego menadżera – LastPass. Pod tym linkiem znajdziesz artykuł na Sekurak’u gdzie opisana jest właśnie sytuacja, gdy menadżer haseł był źle skonfigurowany, co finalnie doprowadziło do uzyskania przez hakerów dostępu do baz haseł użytkowników.

Większość menedżerów haseł posiada również funkcję tworzenia skomplikowanych, losowych haseł, więc wtedy nie musisz się już martwić wymyślaniem ich. Program robi to za Ciebie.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Zatem korzystanie z menedżera haseł ogranicza konieczność pamiętania miliona haseł do wszystkich portali, stron, kont itd. Wystarczy, że utworzymy jedno, super-ekstra silne hasło do sejfu, a reszta jest tworzona i przechowywana za nas. 

Plusy dodatnie i plusy ujemne korzystania z menadżerów haseł

Brzmi ekstra prawda? Można się pozbyć całego problemu z tworzeniem i zapamiętywaniem haseł, bo program będzie to robił za nas!… Jednak nie do końca jest to takie super, bo takie rozwiązanie ma kilka wad:

  1. jeśli jest to menedżer haseł w chmurze (taki jak np. Norton Password Manager, LastPass, 1Pass, Bitwarden itd.), to oznacza to, że “dajesz” właścicielom tych programów potencjalny dostęp do wszystkich Twoich danych. Niezbyt to prywatne, prawda?
  2. jeśli zapomnisz nadrzędnego hasła, to może się okazać, że nie masz dostępu do żadnego ze swoich serwisów, kont itd.
  3. ze względu na swój charakter, bazy danych i bazy haseł są łakomym kąskiem dla tych złych hakerów, więc takie ataki na menedżery haseł będą coraz częstsze (patrzę na Ciebie Nortonie i LastPassie).

Czy to oznacza, że nie powinniśmy z nich korzystać? 

Współczesne rozwiązania technologiczne w dużej mierze opierają się na “zaufaniu”, że ten, kto zapewnia jakieś rozwiązanie, mówi prawdę i nie wykorzysta tego w innym celu niż zadeklarował. Odpowiedź na to pytanie pozostawiam więc każdemu z Was. Ja osobiście uważam, że jest to taki kompromis, na który warto pójść. Przykładowo pierwszą z trzech wątpliwości można wyeliminować korzystając z menedżerów haseł offline (jak np. KeePassXC). Zatem, ja bardzo serdecznie zachęcam do eksperymentowania z różnymi rozwiązaniami. Nie musisz od razu wpisywać wszystkich swoich haseł do jednego menedżera, wypróbuj różne rozwiązania.

🍏 🍏🍏 Dla wielbicieli urządzeń z jabłuszkiem np. mogę zdecydowanie polecić korzystanie z wbudowanego Pęku Kluczy, który dodatkowo jest zsynchronizowany z naszym kontem Apple, więc możemy z haseł korzystać na Mac’u, iPadzie, iPhonie itd. Dodatkowo, Apple nie przechowuje naszego klucza prywatnego (czegoś jak master-password o którym pisałem wcześniej, ale wyjaśnię w innym wpisie o co chodzi z kluczami publicznymi i prywatnymi) na swoich serwerach, a tylko lokalnie, na urządzeniach użytkowników. 🍏🍏🍏

Jak widzisz, menedżer haseł daje bardzo dużo możliwości i możemy na niego przenieść dużą część zmartwień dotyczących bezpieczeństwa i prywatności naszych danych. Niestety jest to okupione różnymi minusami jak m.in. przekazanie wszystkich swoich dostępów jednemu podmiotowi (no chyba, że jesteś paranoikiem, wtedy możesz korzystać z 3 różnych menedżerów, jak ja 🙃). 

Pamiętajmy jednak, że całą bazę szlag trafi, jeśli nasze master-password będzie brzmiało np. tak: MenadzerHasel2023! Tutaj już trzeba skorzystać z jakiegoś rozwiązania do stworzenia skomplikowanego hasła, o których wspominałem w poprzednim wpisie. Można do tego wykorzystać np. techniki mnemoniczne. Zatem, bądźcie prywatni i bezpieczni! Cheers! ✌️


(Dla wytrwałych) bardzo przydatna lista menadżerów haseł z opisem i odnośnikami jest np. tutaj 👉 https://www.privacyguides.org/passwords/