MENEDŻER HASEŁ

Menedżer haseł to aplikacja przeznaczona do przechowywania poświadczeń online i zarządzania nimi. Zazwyczaj hasła te są przechowywane w zaszyfrowanej bazie danych i zablokowane za hasłem głównym. 

GENERATOR HASEŁ

Czym jest menedżer haseł?

Dawno, dawno temu, we wczesnych latach Internetu, mogłeś mieć garść haseł do kilku podstawowych aplikacji internetowych, których używałeś do robienia zakupów, nauki, pozostawania w kontakcie i wykonywania pracy. Dziś sprawy są znacznie bardziej skomplikowane. Przeciętnie ludzie muszą pamiętać około 100 haseł.

Podczas gdy technologia obiecuje ułatwić nam życie i generalnie tak jest, każda nowa strona internetowa i aplikacja, w której się rejestrujemy, to kolejne hasło, które musimy zapamiętać. Dla większości zapamiętanie ich wszystkich staje się niemożliwe. Pomyśl o sobie - czy ponownie używasz swoich haseł na wielu kontach (podobnie jak dwie trzecie użytkowników Internetu)? To duży błąd.

Korzystając z gigantycznych list skradzionych haseł (zwanych również "zrzutami") zakupionych w ciemnejsieci, cyberprzestępcy mogą brutalnie wymuszać dostęp do innych witryn lub wykorzystywać stare hasła do wyłudzania informacji od użytkowników. Jest to efekt domina naruszeń danych. Jedno naruszenie prowadzi do kolejnego, kolejnego i tak dalej.

Według doniesień, większość naruszeń bezpieczeństwa danych jest spowodowana przez złamane, słabe i wielokrotnie używane hasła. 1234567, anyone? 

Jak więc znaleźliśmy się w tym miejscu i co możemy z tym zrobić?

komiks o sile hasła

Słynny komiks internetowy xkcd "Password Strength" wyjaśnił to najlepiej: "Przez 20 lat wysiłków udało nam się wyszkolić wszystkich w używaniu haseł, które są trudne do zapamiętania przez ludzi, ale łatwe do odgadnięcia przez komputery".

To prawda. 20 lat temu specjaliści ds. cyberbezpieczeństwa upominali konsumentów za niezmienianie domyślnych haseł na urządzeniach IoT (takich jak router internetowy) lub używanie łatwych do odgadnięcia haseł, takich jak "12345" lub "hasło". W ten sposób powstało długie i silne hasło, z którego żartuje xkcd: popularne słowo zawierające mieszankę wielkich i małych liter, co najmniej jedną cyfrę i jeden symbol.

Podczas tworzenia nowego konta strony internetowe wymagają, abyśmy tworzyli długie i silne hasła. W przeciwnym razie nie możemy nawet założyć konta. Zakładając, że uda nam się przejść przez fazę tworzenia konta, szybko zapomnimy szyfr maszyny Enigma, który właśnie stworzyliśmy i zrezygnujemy z używania linku "Zapomniałeś hasła?" jako codziennej opcji logowania.

Na szczęście nie musisz pamiętać wszystkich tych haseł. Menedżer haseł może zapamiętać je za Ciebie.

Malwarebytes Labs definiuje menedżera haseł jako "aplikację przeznaczoną do przechowywania poświadczeń online i zarządzania nimi. Generuje również hasła. Zazwyczaj hasła te są przechowywane w zaszyfrowanej bazie danych i zablokowane za hasłem głównym".

Po wprowadzeniu wszystkich nazw użytkowników i haseł do skarbca, hasło główne jest jedynym, które należy zapamiętać. Wprowadzenie hasła głównego odblokowuje skarbiec haseł, z którego można następnie pobrać dowolne hasło.

Jakie są zalety korzystania z menedżera haseł?

Nie musisz już zapamiętywać wszystkich swoich haseł. Wystarczy zapamiętać hasło główne, które odblokowuje skarbiec haseł. A jeśli zdecydujesz się na menedżera haseł opartego na chmurze, możesz uzyskać dostęp do swojego magazynu haseł w dowolnym miejscu i z dowolnego urządzenia.

Mogą one automatycznie generować wysoce bezpieczne hasła. Menedżery haseł zazwyczaj pytają, czy chcesz użyć automatycznie wygenerowanego hasła za każdym razem, gdy tworzysz nowe konto w witrynie lub aplikacji. Te losowe hasła są długie, alfanumeryczne i zasadniczo niemożliwe do odgadnięcia.

Mogą one ostrzegać przed witryną phishingową. Oto krótki przegląd oszustw phishingowych. Spamowe wiadomości e-mail są sfałszowane lub podrobione, aby wyglądały, jakby pochodziły od legalnego nadawcy, takiego jak przyjaciel, członek rodziny, współpracownik lub organizacja, z którą współpracujesz. Linki zawarte w wiadomości e-mail kierują do podobnie sfałszowanych złośliwych stron internetowych zaprojektowanych do zbierania danych logowania. Jeśli korzystasz z menedżera haseł opartego na przeglądarce, nie uzupełni on automatycznie pól nazwy użytkownika i hasła, ponieważ nie rozpoznaje strony internetowej jako powiązanej z hasłem.

Mogą one pomóc beneficjentom, gdy odejdziesz. Nazywa się to cyfrowym spadkiem. W przypadku Twojej śmierci, Twoja rodzina lub ktokolwiek, kogo wyznaczysz do zarządzania Twoim majątkiem, uzyska dostęp do Twojego skarbca haseł.

Menedżery haseł oszczędzają czas. Oprócz przechowywania haseł, wiele menedżerów haseł automatycznie uzupełnia dane uwierzytelniające, zapewniając szybszy dostęp do kont online. Ponadto niektóre z nich mogą przechowywać i automatycznie uzupełniać imię i nazwisko, adres, adres e-mail, numer telefonu i dane karty kredytowej. Może to być ogromna oszczędność czasu, na przykład podczas zakupów online.

Wiele menedżerów haseł synchronizuje się z różnymi systemami operacyjnymi. Jeśli jesteś użytkownikiem Windows w pracy i Mac w domu, korzystasz z Android od poniedziałku do piątku i korzystasz z iOS w weekendy, będziesz w stanie szybko uzyskać dostęp do swoich haseł niezależnie od platformy, na której się znajdujesz. To samo dotyczy wszystkich najpopularniejszych przeglądarek internetowych, tj. Chrome, Firefox, Edge, Internet Explorer i Safari.

Pomagają chronić tożsamość. W pewnym sensie menedżery haseł pomagają chronić przed kradzieżą tożsamości, a oto dlaczego. Używając unikalnego hasła dla każdej witryny, zasadniczo segmentujesz swoje dane w każdej witrynie i aplikacji, z której korzystasz. Jeśli przestępca włamie się na jedno z twoich kont, niekoniecznie będzie w stanie dostać się do któregokolwiek z pozostałych. Nie jest to niezawodne, ale jest to dodatkowa warstwa bezpieczeństwa, którą z pewnością docenisz w następstwie naruszenia danych.

Czy menedżery haseł są bezpieczne?

Menedżery haseł zostały zhakowane, ale ich ogólne osiągnięcia w zakresie zabezpieczania danych użytkowników są bardzo dobre. Menedżer haseł LastPass doświadczył kilku naruszeń danych - podobnie jak kilka innych narzędzi do zarządzania hasłami. Istnieje wiele renomowanych menedżerów haseł, które wykorzystują szyfrowanie i są bezpieczne w użyciu w 2023 roku. Jednym z przykładów jest NordPass Password Manager, który znajduje się również na liście najbezpieczniejszych menedżerów haseł według Cyber News.

Ważne jest, aby pamiętać, że jeśli telefon jest zainfekowany złośliwym oprogramowaniem, menedżer haseł może również zostać naruszony. W związku z tym konieczne jest aktualizowanie oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem.

Jakie są rodzaje menedżerów haseł?

Menedżery haseł oparte na komputerach stacjonarnych przechowują hasła lokalnie na urządzeniu, takim jak laptop, w zaszyfrowanym skarbcu. Nie możesz uzyskać dostępu do tych haseł z żadnego innego urządzenia, a jeśli zgubisz urządzenie, stracisz wszystkie przechowywane tam hasła. Lokalnie zainstalowane menedżery haseł są świetną opcją dla osób, które po prostu nie chcą, aby ich dane były przechowywane w czyjejś sieci. Niektóre lokalnie instalowane menedżery haseł zapewniają równowagę między prywatnością a wygodą, umożliwiając tworzenie wielu skarbców haseł na urządzeniach i synchronizowanie ich po podłączeniu do Internetu.

Menedżery haseł oparte na chmurze przechowują zaszyfrowane hasła w sieci usługodawcy. Dostawca usługi jest bezpośrednio odpowiedzialny za bezpieczeństwo haseł. Główną zaletą menedżerów haseł opartych na chmurze, takich jak 1Password i NordPass, jest to, że można uzyskać dostęp do skarbca haseł z dowolnego urządzenia, o ile masz połączenie z Internetem. Internetowe menedżery haseł mogą występować w różnych formach - najczęściej jako rozszerzenie przeglądarki, aplikacja komputerowa lub aplikacja mobilna.

Pojedyncze logowanie (SSO). W przeciwieństwie do menedżera haseł, który przechowuje unikalne hasła dla każdej używanej aplikacji, SSO pozwala na użycie jednego hasła dla każdej aplikacji. Pomyśl o SSO jak o cyfrowym paszporcie. Wjeżdżając do obcego kraju, paszport mówi urzędnikom celnym i imigracyjnym, że kraj, którego jesteś obywatelem, potwierdza twoje obywatelstwo i że powinieneś mieć pozwolenie na wjazd przy minimalnych kłopotach. Podobnie, gdy używasz SSO do logowania się do aplikacji, nie musisz weryfikować swojej tożsamości. Zamiast tego dostawca SSO ręczy za twoją tożsamość. Firmy preferują SSO zamiast menedżerów haseł z kilku powodów. Przede wszystkim, SSO to bezpieczny i wygodny sposób dla pracowników na dostęp do aplikacji, których potrzebują do wykonywania swojej pracy. SSO skraca również czas poświęcany przez dział IT na rozwiązywanie problemów i resetowanie zapomnianych haseł.

Najlepsze praktyki dotyczące haseł

Nie używaj ponownie haseł. Nawet przy użyciu menedżera haseł. Zamiast tego utwórz unikalne hasła dla każdej witryny i pozwól menedżerowi haseł robić to, do czego został zaprojektowany. Użyj bezpiecznego generatora silnych haseł, aby utworzyć unikalne hasła dla wszystkich swoich kont.

Twórz złożone hasła. Wiele menedżerów haseł automatycznie sugeruje silne hasła za każdym razem, gdy tworzysz konto w nowej witrynie. Jeśli tak nie jest, spróbuj użyć losowej kombinacji liter i cyfr oraz zmieniaj wielkie i małe litery. Im bardziej skomplikowane i bezsensowne hasło, tym lepiej - zwłaszcza, że nie będziesz musiał go zapamiętywać. Zrobi to menedżer haseł. Jedną kluczową różnicą jest tworzenie hasła głównego (tego, które odblokowuje wszystkie inne hasła). To hasło będziesz musiał zapamiętać, więc jeśli nie masz pamięci ejdetycznej, spróbuj wymyślić coś, co zapadnie ci w pamięć, ale nie będzie łatwo powiązać z twoją tożsamością. Następnie dodaj kilka wielkich liter, kilka liter i kilka fantazyjnych znaków, a otrzymasz dobrze chroniony skarbiec haseł.

Używaj hasła. Jeśli chodzi o tworzenie hasła głównego (tego, które odblokowuje inne hasła), spróbuj użyć hasła; tj. serii słów, które są łatwe do zapamiętania, ale trudne do odgadnięcia. Coś znanego z dziwnym akcentem, na przykład: "bean burrito ice cream split". Lub po prostu kilka przypadkowych rzeczy, które człowiek może łatwo zwizualizować, ale komputer nie: "fantazyjny szczur neonowy samochód awokado". Użyj swojej wyobraźni! Zwierzęta domowe, dzieci lub inne imiona rodzinne, lub wersy takie jak "Wpuść mnie!" są zbyt powszechne, a zatem łatwe do rozszyfrowania przez cyberprzestępców.

Włącz uwierzytelnianie dwuskładnikowe (2FA) lub wieloskładnikowe (MFA). Jednym z najlepszych sposobów zabezpieczenia dowolnego konta, menedżera haseł lub nie, jest włączenie uwierzytelniania wieloskładnikowego. Dzięki menedżerowi haseł z obsługą MFA będziesz musiał zweryfikować swoją tożsamość za pomocą dwóch lub więcej czynników uwierzytelniania, które obejmują coś, co wiesz, coś, co posiadasz i coś, czym jesteś. Coś, co znasz, to zazwyczaj hasło, ale może to być również numer PIN. Coś, co posiadasz, może być telefonem komórkowym, kartą bankową lub tokenem bezpieczeństwa na pamięci USB. Wreszcie, coś, czym jesteś, można zweryfikować za pomocą danych biometrycznych, takich jak rozpoznawanie twarzy, głosu lub tęczówki i identyfikator odcisków palców. Można również zastosować biometrię behawioralną, taką jak naciśnięcia klawiszy.

Ta dodatkowa warstwa zabezpieczeń oznacza, że każdy, kto próbuje zalogować się na konto (w tym Ty), będzie musiał kontrolować te dodatkowe czynniki uwierzytelniające poza nazwą użytkownika i hasłem. Przykładem tego może być: Po wprowadzeniu hasła głównego w celu uzyskania dostępu do menedżera haseł, na telefon komórkowy zostanie wysłany kod, który należy wprowadzić przed uzyskaniem dostępu do skarbca. Jedna rzecz, o której należy pamiętać podczas korzystania z telefonu jako czynnika uwierzytelniającego - numery telefonów mogą zostać przejęte.

Nazywa się to SIMjacking (inaczej SIM-swapping) i ma miejsce, gdy cyberprzestępca, podszywając się pod ciebie, przekonuje twojego operatora telefonicznego do ponownego przypisania twojego numeru telefonu do jego telefonu, pomyślnie odpowiadając na twoje pytania bezpieczeństwa. Oszustom często wystarczy pobieżne przeszukanie mediów społecznościowych, aby uzyskać potrzebne odpowiedzi. A gdy przestępcy przejmą kontrolę nad telefonem, mają wszystko, czego potrzebują do kradzieży tożsamości. W związku z tym, w przypadku krytycznych kont, warto skorzystać z oprogramowania uwierzytelniającego, takiego jak Authy lub Google Authenticator.

Zastanów się dwa razy nad darmowymi menedżerami haseł. Wiele z najpopularniejszych darmowych menedżerów haseł w rzeczywistości działa w modelu biznesowym freemium, co oznacza, że musisz zapłacić, jeśli chcesz korzystać z najlepszych - czasem niezbędnych - funkcji. Czy potrzebujesz synchronizacji haseł między przeglądarkami i urządzeniami? Czy potrzebujesz cyfrowego dziedziczenia? Czy musisz udostępniać loginy rodzinie? Czy potrzebujesz uwierzytelniania wieloskładnikowego? Menedżery haseł Free zazwyczaj nie zawierają tych funkcji. W szczególności MFA jest koniecznością. W debacie między darmowym a płatnym, wybierz płatny menedżer haseł.

Stwórz politykę menedżera haseł. Oto wskazówka dla małych i średnich firm: Stwórz politykę menedżera haseł i poinformuj pracowników, że korzystanie z menedżera haseł w celu zabezpieczenia ich kont służbowych jest w porządku. Twoi pracownicy już korzystają z wielu potencjalnie niezabezpieczonych metod, aby zarządzać wieloma hasłami, a większość naruszeń danych zaczyna się od słabego lub ponownie użytego hasła. Oficjalna polityka menedżera haseł jest pierwszą linią obrony przed cyberatakiem na sieć.

Zobacz także: Klucz dostępu

Najczęściej zadawane pytania

Czym jest menedżer haseł?

Menedżer haseł to aplikacja przeznaczona do przechowywania poświadczeń online i zarządzania nimi. 

Jaki jest sens korzystania z menedżera haseł?

Menedżer haseł pomaga generować i bezpiecznie przechowywać długie, unikalne hasła do wszystkich kont online. Powinieneś używać różnych haseł do wszystkich swoich kont i trudno jest je wszystkie zapamiętać.