Przechowywanie haseł. Jak robić to bezpiecznie. Najlepsze menedżery haseł – TOP 5 w 2022

Przechowywanie haseł. Jak robić to bezpiecznie

Hasło do skrzynki e-mail lub konta bankowego powinno być trudniejsze niż admin123. To wie każdy. Jednak jak stworzyć mocne hasło i jak je bezpiecznie przechowywać, żeby nie paść ofiarą phishingu? Za chwilę poznasz najlepsze narzędzia, żeby chronić swoje dane.

Gdzie można zapisać swoje hasła?

Dla większości osób zapamiętanie długiego i skomplikowanego hasła jest zbyt trudne. Szczególnie, że nie może się powtarzać czyli dla każdego konta musisz mieć unikatowe.

Zatem w czym przechowywać hasła?

Zapisanie haseł w notatniku na telefonie lub w komputerze jest delikatnie mówiąc mało bezpieczne. Podobnie jak noszenie takiej notatki na kartce w portfelu.

Innym sposobem jest zapisanie hasła w przeglądarce. Taką opcję oferuje np. Chrome i Firefox. Kiedy wpisujesz hasło np. do poczty email, pojawia się okienko z pytaniem czy je zapamiętać. To niezłe rozwiązanie, jednak przestępcy mają narzędzia do wykradania haseł z przeglądarek. Problem pojawia się również jeżeli z jednego komputera korzysta wiele osób.

Optymalnym wyjście są menedżery haseł czyli narzędzia do kreowania długich, trudnych do złamania haseł oraz ich bezpiecznego przechowywania. To najbardziej praktyczne rozwiązanie, nawet jeżelu lubisz trenować swoją pamięć i stosować mnemotechniki.

Jak chronić swoje hasła?

Przede wszystkim musisz wiedzieć, jak działają przestępcy. Załóżmy, że używasz jednego hasła do kilku kont. Bazy danych klientów sklepów internetowych lub serwisów online czasem wyciekają do sieci lub są kradzione.

Przestępcy wystawiają takie bazy na sprzedaż na giełdach w darknecie. Nabywca standardowo sprawdza czy zdobyte hasła pasują do innych kont danego użytkownika. Jeżeli pasują, to nieszczęście gotowe.

Taki test jest prosty: wystarczy kliknąć “zapomniałem hasła” w najpopularniejszych serwisach (np. Google lub FB) i otrzymać szansę na przejęcie konta.

(czy Twoje email lub numer telefonu wypłynął do sieci sprawdzisz na zaufanym serwisie haveibeenpwned.com)

Cyberprzestępcy mają bogaty arsenał środków żeby wykraść Twoje hasło. Wśród nich jest użycie keyloggera (złośliwy program, który przechwytuje wciskane klawisze) czy też wyszukanie pliku z hasłem na dysku. Nie muszą kupować baz danych w sieci, mogą zainfekować komputer ofiary malware służącym do phishingu.

I tutaj wracamy do punktu wyjścia. Jakie powinno być silne hasło? Eksperci mówią, że do stworzenia mocnego hasła potrzebujesz czterech kroków (za serwisem Proton.me):

  1. Usuń stare, nieużywane konta – mogą mieć słabe/powtarzające się hasła.
  2. Wybierz dobrego menedżera haseł – zamiast kilkunastu haseł musisz zapamiętać tylko jedno.
  3. Twórz i zapisuj silne hasła – zaloguj się do każdego posiadanego konta online i zmień hasło na unikatowe i silniejsze.
  4. Używaj uwierzytelnienia dwuskładnikowego (2FA) czyli stosuj weryfikację dwuetapową: podczas logowania oprócz loginu i hasła zostaniesz poproszony o podanie kodu uwierzytelniającego, który dostaniesz SMS-em, na urządzenie z systemu autoryzacji lub z aplikacji (np. darmowych Google Authenticator i Microsoft Authenticator). 

Zwróć uwagę przede wszystkim na punkt nr 4. Wykradzione hasło nie przyda się przestępcy, bo nie będzie miał dostępu do np. klucza U2F (najskuteczniejsze uwierzytelnienie dwuskładnikowe).

Co to jest klucz U2F? To urządzenie przypominające pendrive’a, zazwyczaj z portem USB. Wpięty do komputera służy do generowania kodów do logowania. Najważniejsze: klucz U2F nie można wyłudzić (to fizyczny przedmiot) i nie zadziała na podrobionej stronie. Urządzenie potrzebuje adresu prawdziwej strony, żeby się poprawnie zalogować.

Gdzie najbezpieczniej przechowywać hasła?

Najbezpieczniej przechowywać hasła w menedżerze haseł stosującym szyfrowanie end-to-end.

Menedżer haseł to aplikacja, która służy do generowanie i przechowywania haseł. Podczas logowania wpisze je automatycznie w odpowiedni pasek. Hasła są zabezpieczone w zaszyfrowanej bazie.

Menedżer haseł dostępny jest w formie modułu wbudowanego w przeglądarkę lub jako osobny program. Dostępne są rozwiązania darmowe i płatne, bardziej rozbudowane.

Narzędzia do zarządzania hasłami są też w wielu programach antywirusowych. W większości AV trzeba za nie zapłacić kupując droższy plan, są jednak dostępne antywirusy z darmowym menedżerem haseł.

Czy menedżer haseł jest bezpieczny?

To najważniejsze pytanie: czy warto korzystać z menedżera haseł i czy nasze wrażliwe dane są w nim bezpieczne? Nie ma przecież rozwiązania, które jest kuloodporne i w 100 proc. bezpieczne.

Jednak możliwość tworzenia unikatowych, mocnych i zaszyfrowanych haseł zdecydowanie przemawia na korzyść managera haseł.

Zagrożenia są dwa:

  • zapomnisz hasło główne – musi być unikatowe, silne, a jednocześnie łatwe do zapamiętania,
  • zabezpieczenia menedżera zostaną pokonane przez crackerów – przestępcy nawet po przejęciu bazy danych nie dadzą rady poznać haseł: aplikacje używają silnych algorytmów szyfrowania skarbców, w których przechowują dane.

Korzystanie z oprogramowania do zarządzania hasłami wiąże się z pewnym ryzykiem, jednak korzyści zdecydowanie je przewyższają. Nie ma bezpieczniejszego (i wygodnego) rozwiązania na przechowywanie wrażliwych danych jakimi są hasła do bankowości, poczty elektronicznej czy różnych usług online.

Jeżeli chcesz mieć dodatkową ochronę, to używaj uwierzytelnienia dwuskładnikowego i pamiętaj o zamykaniu programu do zarządzania hasłami, kiedy go nie używasz.

Jaki program do przechowywania haseł? Sprawdź najlepszy menedżer haseł – TOP 5 2022

Jaki manager haseł wybrać w 2022 roku? Jaki darmowy menadżer haseł wybrać na telefon?  Proponujemy pięć aplikacji, które są skuteczne, łatwe w użyciu i zdecydowanie poprawią bezpieczeństwo twoich kont.

1.   KeePassXC

Popularne darmowe narzędzie na licencji open source, które użyjesz na Windows, Mac, Linux, Android i iOS, obsługuje najpopularniejsze przeglądarki (w tym zapewniającą dużą anonimowość Tor Browser). Instalacja KeePassXC jest łatwa, osoby mniej techniczne mogą wykorzystać ustawienia domyślne. Jak w innych menedżerach, najtrudniejsze jest wymyślenie hasła głównego. KeePassXC obsługuje również weryfikację dwuskładnikową (generuje jednorazowe kody). Zaszyfrowane pliki kluczy można udostępniać między urządzeniami za pomocą chmury (np. Dropbox).

Menedżer używa kilku technik szyfrowania typu end-to-end, m.in. AES-256 (o długości klucza 256 bitów) czyli wykorzystywany np. przez wojsko, banki i inne instytucje publiczne. 

2.   Bitwarden

Do wyboru jest wersja darmowa oraz premium (po wykupieniu subskrypcji aplikacja m.in. obsłuży klucz U2F), także dla większej liczby użytkowników i firm. Obsługuje główne systemy operacyjne oraz przeglądarki. Dane szyfrowane są AES-256 i przechowywane w chmurze producenta (można je również hostingować samodzielnie). Zaletą Bitwarden jest synchronizacja między platformami, generator haseł oraz opcja uwierzytelnienia dwuskładnikwego. W wersji bezpłatnej użytkownik może wprowadzić nieograniczoną liczbę haseł dla dowolnej liczby urządzeń.

3.    Padloc

Twórcy menedżera haseł postawili na intuicyjność jego obsługi – to atut dla osób z mniejszą wiedzą techniczną. W ofercie znajdziesz darmowy plan (bez limitu haseł) oraz płatny (z m.in. obsługą zabezpieczenia dwuetapowego oraz 1 GB zaszyfrowanej pamięci na ważne pliki). Padloc oferuje m.in. generator haseł, opcję udostępniania haseł oraz możliwość przechowywania załączników. Użyte szyfrowanie to AES-256.

4.    Dashlane

Dashlane jest łatwy w obsłudze, oferuje kilka planów, w tym darmowy. W bezpłatnej wersji otrzymujesz możliwość używania menedżera na jednym urządzeniu z nieograniczoną liczbą haseł i opcją ich bezpiecznego udostępniania innym osobom korzystającym z Dashlane. Aplikacja ma generator haseł, a w droższych planach również monitoring Darkweb w poszukiwaniu skradzionych danych oraz sieć VPN. Szyfrowanie: AES-256. Program działa na najpopularniejszych platformach z wyjątkiem Linux. Dashlane obsługuje uwierzytelnienie dwuskładnikowe.

5.   1Password

Ta ceniona aplikacja dostępna jest tylko w wersji płatnej, podstawowy plan kosztuje 2.99 dolarów miesięcznie (możliwe jest również 14-dniowy darmowy test). 1 Password oferuje nieograniczoną liczbę przechowywanych haseł, generator silnych haseł, 1 GB w chmurze na ważne dokumenty, dwuetapową weryfikację, bezpieczne udostępnianie haseł, danych kart kredytowych i notatek. Aplikacja oferuje monitoring wycieku danych do sieci oraz opcję “Safe for Travel” (zabezpieczenie banku haseł np. podczas przeszukania na przejściu granicznym). Użyte szyfrowanie: AES-256. Obsługuje największe platformy oraz główne przeglądarki.

Przechowywanie haseł – najczęściej zadawane pytania (FAQ)

Czy lepiej korzystać z managera haseł czy zapamiętywania danych logowania w przeglądarce?

Lepiej korzystać z managera haseł. W sieci (na forach w Darknecie) sprzedawane są narzędzia do wykradania haseł z przeglądarek, danych uwierzytelniających, danych kart płatniczych oraz danych autouzupełniania. Złośliwy program Redline Stealer potrafi nawet kraść informacje związane z portfelami kryptowalut.

Zabezpieczenia menedżerów haseł są o wiele mocniejsze, dodatkowo to narzędzie pozwala tworzyć silne i unikatowe hasła.

Jednak zapamiętywanie danych logowania w przeglądarce jest bezpieczniejsze niż korzystanie z jednego, łatwego do rozszyfrowania hasła dla wszystkich kont.

Czy można bezpiecznie zapisać hasło?

Tak można bezpiecznie zapisać hasło – najskuteczniej przed phishingiem broni użycie menedżera haseł z uwierzytelnieniem dwuskładnikowym z użyciem klucza U2F. To w tej chwili najpewniejszy sposób na ochronę tego typu wrażliwych danych i 100 proc. ochrona przed phisherami.

Gdzie są przechowywane hasła w Chrome?

Hasła są przechowywane w Chrome w zależności od tego czy użytkownik chce z nich korzystać na różnych urządzeniach. Po zalogowaniu się w Chrome można zapisywać swoje hasła na koncie Google. Dzięki temu będa do użycia na innych urządzeniach. Druga opcja to przechowywanie haseł tylko lokalnie na komputerze.

Dlaczego Firefox nie zapamiętuje haseł?

Firefox, podobnie jak inne przeglądarki, ma wbudowany menedżer haseł. Jeżeli hasła się w nim nie zapisały, to mogło dojść do problemów technicznych, zainstalowany jest inny menedżer haseł, który blokuje zapis z poziomu przeglądarki lub odwiedzana witryna uniemożliwia zapamiętanie hasła.

Przewiń do góry