Menedżer haseł – bezpieczne zarządzanie hasłami w pigułce

Zarządzanie hasłami, programy do haseł i wszystko, co musisz o nich wiedzieć – sprawdź nasz przewodnik i w prosty sposób zabezpiecz swoje konta.

Z używaniem mocnych i unikalnych haseł jest jak z jedzeniem warzyw lub ćwiczeniami. Każdy wie, że tak trzeba robić, jednak niewiele osób stosuje się do zaleceń. 

Tymczasem przejęte hasła są odpowiedzialne za 81 proc. naruszeń związanych z hakowaniem (dane Verizon Data Breach Investigations Report). Przechwytywanie haseł to ulubiona metoda e-przestępców. Możesz im pokrzyżować plany.

Silny password to jedna z najlepszych sposobów na poprawę cyberbezpieczeństwa. Dodaj, do tego menedżera haseł i masz receptę na bardzo dużą odporność na ataki przestępców, którzy chcą przejąć Twoje konta i wrażliwe dane.

Za chwilę dowiesz się:

• jak w łatwy sposób przestępcy mogą przejąć Twoje dowolne konto,
• jakie są 4 złote zasady tworzenia haseł,
• dlaczego zasada, że mocne hasło powinno zawierać cyfry, wykrzykniki i inne znaki specjalne, nie jest już rekomendowana,
• czym jest i jak działa menedżer haseł,
• które konkretne password managery warto wybrać.

Na koniec zebraliśmy najczęściej zadawane pytania dotyczące haseł i aplikacji, które pomagają nimi zarządzać.

Tworzenie haseł. Dlaczego menedżer haseł jest lepszy

Być może słysząc o menedżerze haseł wzruszasz ramionami.

“Używam tego samego hasła, lub nieznacznie zmienionego od wielu miesięcy, a może lat i nic się nie stało. Po co mam się męczyć z wymyślaniem i zapamiętywaniem skomplikowanych haseł? Po co mi menedżer haseł czyli kolejne utrudnienie?”.

Masz rację. Zdecydowana większość z nas robi, to co wymaga najmniej wysiłku. Badania LastPass z 2018 roku pokazały, że 91 proc. osób wie, że nie należy używać tego samego hasła do różnych serwisów, jednak 59 proc. przyznało: tak, nadal to robię.

Większość z nich bała się, że zapomni zupełnie nowe hasło. Tymczasem menedżer haseł jest bardzo prostą receptą na pozbycie się problemu z zapamiętaniem haseł do wielu serwisów (ponad 70 proc. osób z USA i UK używa ponad 10).

Dlaczego powinniśmy stosować unikalne hasła do każdego miejsca w sieci?

W ten sposób unikniesz ryzyka, że cyberzłoczyńcy przechwycą Twoją skrzynkę pocztową, konto na Facebooku lub w serwisie gamingowym.

Bazy danych zawierające hasła są wykradane lub wyciekają do Darknetu. Tam można je kupić za kryptowaluty. Crackerzy dysponując jednym hasłem użyją go do różnych serwisów – wiedzą, że wiele osób nie używa unikalnych haseł.

Co dalej? Po skutecznym zalogowaniu mogą zresetować stare hasło i wprowadzić nowe, własne. W ten sposób pozbawiają prawowitego właściciela dostępu do konta.

To nie jest puste straszenie. Mniejsze lub większe wycieki/kradzieże haseł z np. serwisów e-commerce zdarzają się regularnie.

Dużo zamieszania wywołało przechwycenie przez przestępców wrażliwych danych w 2016 roku (z m.in. serwisów LinkedIn i Tumblr). Ofiarą miał paść sam Mark Zuckerberg, właściciela Facebooka. Przestępcy wykorzystali jego hasło – “dadada” – do zalogowania się na konta na Twitterze i Pinterest.

Jeżeli nie chcesz być jak Zuckerberg, to zobacz jakie są 4 złote reguły tworzenie haseł. I nie, nie jest to dodawanie kolejnych cyfr do jednego hasła.

Przygotowaliśmy łatwe do użycia zasady oparte na wytycznych National Institute of Standards and Technology (NIST).

4 złote reguły tworzenia silnych haseł:

1. Hasło powinno być długie, bardzo dobre rozwiązanie to 12-15 znaków, a minimum 8 znaków. Liczba znaków jest tutaj kluczowa: im jest ich więcej, tym trudniej złamać hasło. Lepiej mieć hasło dłuższe niż bardziej skomplikowane – tak wynika z matematyki.

“Przyjmijmy, że pula małych i dużych liter, cyfr i znaków specjalnych to 95 różnych znaków, a pula małych liter to 26 znaków. Już 17-znakowe hasło składające się z samych małych liter ma więcej możliwych kombinacji niż 12-znakowe hasło składające się z małych i dużych liter, cyfr i znaków specjalnych. Hasła długie są dużo lepsze niż złożone, bo 95 do potęgi 12 jest mniejsze niż 26 do potęgi 17 – zauważa serwis Zaufana Trzecia Strona.

2. Hasło nie musi zawierać losowych liter, cyfr i znaków specjalnych – okazuje się, że trudniej złamać te złożone z wyrazów. Im więcej rzadko używanych słów w takiej frazie, tym lepiej. Czyli zamiast “Wlazłkoteknapłotek” lepiej użyć “Koliasformatowananapuch”. Przestępcy używający ataków słownikowych będa mieli kłopot z odgadnięciem takiego klucza.

Nie wiesz jaką frazę wymyślić? Możesz rzucić kostkami na https://diceware.dmuth.org/ – dostaniesz losowo dobrane wyrazy (w języku angielskim, do przetłumaczenia w translatorze).

3. Nie zapisuj hasła w przeglądarce – to bardzo słaby pomysł na jego zabezpieczenie. Dostęp do urządzenia mogą mieć osoby trzecie, a to nie wszystko. Przestępcy używają programów do przechwytywania haseł “ukrytych” w przeglądarkach.

4. Regularnie zmieniaj hasło – dobra praktyka mówi, że wystarczy robić to nie częściej niż 3 miesiące i nie rzadziej niż 6 miesięcy. Pamiętaj jednak, że National Institute of Standards and Technology (NIST) usunął zalecenie okresowych resetów. Zapamiętanie jednego dobrego hasła raz na rok jest wystarczająco trudne, a okresowe zmiany kuszą do “oszukiwania systemu” – dodawania pojedynczego znaku lub cyfry na końcu starego hasła.

To złote zasady tworzenia haseł, na których crackerzy połamią sobie zęby. Jednak pozostaje jeszcze znaleźć odpowiedź na jedno pytanie.

Czy jest sposób, abyś uwolnił się od problemu z tworzeniem niepowtarzalnych, odpowiednio mocnych, a jednocześnie łatwych do zapamiętania haseł?

Odpowiedź brzmi: to menedżer haseł czyli aplikacja do zarządzania hasłami.

Password manager – jak działa i dlaczego jest skuteczny

Pamięć bywa zawodna, programy do zarządzania hasłami nie. W dodatku przestępcy nigdy nie wykradli haseł z żadnego menedżera (choć rzeczywiście potrafili wydobyć informacje o klientach).

A teraz najlepsze. Wcale nie musisz samodzielnie wymyślać długich i unikalnych haseł.

Większość menedżerów haseł ma opcję generowania trudnych do złamania haseł.

Oto jak skorzystasz używając menedżera haseł:

• stworzysz trudne do złamania hasła i przechowasz w bezpiecznym miejscu,
• odciążysz swoją pamięć – musisz zapamiętać tylko jedno hasło do skarbca z passwordami.

Pora sprawdzić, jak działa program do zarządzania hasłami.

Jak działa menedżer haseł?

Menedżer haseł to aplikacja, która ułatwia zapanowanie nad tworzeniem i zarządzaniem hasłami do różnych serwisów (email, bankowości online, sklepów, platform sprzedażowych, mediów społecznościowych, kont służbowych czy też na platformach gamingowych).

Użytkownik musi wymyślić i zapamiętać tylko jedno główne hasło do cyfrowego sejfu z pozostałymi hasłami. Nikt oprócz osoby znającej główne hasło – nawet dostawcy aplikacji – nie mają dostępu do zapisanych haseł. 

Zazwyczaj tworzenie i użycie passwordu wygląda podobnie we wszystkich aplikacjach do zarządzania hasłami. Weźmy darmowy program od producenta antywirusów Avira.

Załóżmy, że zakładasz nowe konto na serwisie pocztowym. Po utworzeniu nazwy użytkownika przechodzisz do formularza, w których masz podać hasło.

Jeżeli masz zainstalowany Avira Password Manager to zobaczysz w formularzu symbol oka. Po kliknięciu w niego aplikacja natychmiast podpowie Ci losowo stworzone, silne hasło.

Hasło będzie odpowiednio długie jednak w ustawieniach możesz je zmienić i np. wydłużyć.

Aplikacja informuje, że dobre passwordy zaczynają się od 9 znaków, a ich złamanie zajmie wyspecjalizowanym programom 3 lata. Hasło zawierające 12 znaków to już robota na 3 tysiące lat, a z 15 znakami na 3 miliony lat…

Możesz też sprawdzić ile czasu zajmie sforsowanie krótkiego hasła – takie o długości 6 znaków jest bardzo słabe i do złamania w dzień.

Naturalnie możesz samodzielnie tworzyć hasła – z użyciem fraz – i zapisać w aplikacji.

Podczas kolejnego logowania na skrzynkę pocztową (lub do innego serwisu online) hasło “wklei” się samo.

Stare hasła, które używałeś do tej pory, możesz zmieniać stopniowo – podczas najbliższego logowania.

Menedżer haseł – co musisz o nim wiedzieć?

Wiesz już, jak działa menedżer haseł. Co musisz jeszcze zapamiętać o tych aplikacjach? Oto najważniejsze informacje:

• najlepsze menedżery stosują 256-bitowe szyfrowanie AES,
• Twoje hasła są bezpieczne w menedżerze, a dodatkowo uchronisz się przed niespodziankami stosując weryfikację dwuetapową (2FA) z użyciem np. powiadomienia push na telefon – przechwycone hasło będzie bezużyteczne bez dodatkowego elementu potrzebnego do logowania (dlatego warto wybierać menedżery wspierające 2FA),
• na rynku dostępne są płatne i darmowe aplikacje do zarządzania hasłami, wybierz produkt firmy godnej zaufania, z dużą liczbą pozytywnych ocen i brakiem wpadek – dostępne są warianty dla indywidualnego użytkownika oraz pakiety: rodzinny i firmowy,
• menedżery haseł znajdziesz w wielu programach antywirusowych, zazwyczaj w ich płatnych wersjach,
• password manager chroni przed phishingiem – uzupełni dane do logowania wyłącznie na oryginalnej stronie, podstawione witryny nie mają szans,
• możesz używać menedżera jako aplikacji do pobrania i instalacji, usługi oferowanej przez stronę www lub w formie wtyczki do przeglądarki,
• aplikacje różnią się rozwiązaniami, np. darmowe wersje menedżerów użyjesz tylko na jednym urządzeniu, a synchronizacja na wielu wymaga wykupienia subskrypcji,
• płatne programy do zarządzania hasłami mają dodatkowe opcje, np. szyfrowane miejsce na dysku na ważne pliki, bezpieczne udostępnianie haseł, sieć VPN czy też monitoring haseł, które wyciekły do sieci.

Jaki menedżer haseł wybrać?

Jak już wiesz, menedżerem haseł nie powinien być plik hasla.txt na pulpicie laptopa. Oto najciekawsze aplikacje, które pomogą Ci zarządzać passwordami:

• KeePassXC – darmowa aplikacja open source, hasła można przechowywać w dowolnej lokalizacji, np. na dysku zewnętrznym lub w chmurze – to umożliwi synchronizację, wersje na urządzenia mobilne to Strongbox (iOS) oraz KeePass2Android, można używać uwierzytelnienia dwuskładnikowego w tym klucza bezpieczeństwa (YubiKey), menedżera zintegrujesz z przeglądarką,
• 1Password – płatna aplikacja (z darmowym, 14-dniowym okresem testowym): 1 GB zaszyfrowanej pamięci, opcja bezpiecznego udostępniania haseł oraz innych wrażliwych danych (np. numerów kart kredytowych), monitoring wycieku haseł, funkcja bezpiecznego korzystania podczas podróży, cena od 2,99 dolarów/miesiąc,
• Bitwarden – darmowy i płatny plan z m.in. uwierzytelnieniem dwuskładnikowym i obsługą kluczy bezpieczeństwa (U2F), synchronizacją między platformami, opcją samodzielnego hostingowania haseł, cena: od 10 dolarów za rok, możliwość płatnego testowania planu dla firm,
• Dashlane – wersja darmowa (nieograniczona liczba haseł na jedno urządzenie) i płatna, możliwość uwierzytelnienia dwuskładnikowego oraz udostępniania haseł innym użytkownikom, z dodatków warto zwrócić uwagę na VPN oraz monitoring Darknetu w poszukiwaniu skradzionych danych, cena: 2-8 dolarów.
• Padloc – opcja darmowa (brak limitu haseł) i płatna z m.in. uwierzytelnieniem dwuskładnikowym, 1 GB zaszyfrowanej pamięci, bezpiecznym udostępnianiem haseł oraz przechowywaniem załączników, cena 3,49-5,95 dolarów/miesiąc,
• LastPass – darmowy (na jedno urządzenie, bez limitu haseł z automatyczną synchronizacją, logowanie bez hasła – LastPass Authenticator), dodatkowe funkcje płatne: 2,90-3,90 dolarów/miesięcznie dla użytkowników prywatnych (30-dniowe darmowe testowanie), po wykupieniu subskrypcji m.in. 1 GB zaszyfrowanego miejsca na dysku, monitoring Darknetu oraz osobista pomoc techniczna, dane przechowywane na serwerach firm.

Menedżer haseł – pytania i odpowiedzi (Q&A)

Gdzie można bezpiecznie przechowywać hasła?

Hasła przechowasz bezpiecznie w aplikacji zwanej menedżerem haseł. To najlepszy sposób – hasła przechowywane są w szyfrowanym sejfie, który jest praktycznie niemożliwy do złamania przez cyberprzestępców. Dostęp możliwy jest tylko dla posiadacza hasła głównego.

Czy warto korzystać z menedżera haseł?

Tak, zdecydowanie warto korzystać z menedżera haseł. To doskonałe narzędzie do generowania i przechowywania silnych, trudnych do złamania haseł. Do wyboru masz godne zaufania aplikacje darmowe i komercyjne – znajdziesz je powyżej.

Gdzie są zapisane hasła w Androidzie?

Hasła w Androidzie zapisane są na Twoim koncie Google. Jeżeli masz więcej niż jedno konto, możesz wybrać docelowe.

Czy zapisywanie haseł w Google jest bezpieczne?

Nie, zapisywanie haseł w Google nie jest bezpieczne – to tylko nieco lepsze rozwiązanie niż trzymanie hasła na kartce przyczepionej do komputera lub w niezaszyfrowanym pliku na komputerze. Crackerzy mają do dyspozycji programy, które z łatwością potrafią wydobyć hasła przechowywane w Google lub innych przeglądarkach.

Jaki menedżer haseł wybrać?

Na rynku dostępnych jest wiele menedżerów haseł, podstawowy podział to programy darmowe i płatne. Jeżeli szukasz bezpłatnej aplikacji to jedną z najbardziej cenionych jest KeePassXC. Warte uwagi komercyjne programy to m.in. 1Password, Bitwarden, Dashlane, Padloc. Większość z tych programów jest też dostępnych w wersji freeware.

Jaki darmowy menedżer haseł?

Sprawdzone, godne zaufania i łatwe w obsłudze bezpłatne menedżery haseł to m.in. KeePassXC lub LastPass (z płatnymi dodatkowymi funkcjami).