
Manager Haseł – nie taki straszny i trudny
Nasze bezpieczeństwo w sieci powinniśmy traktować poważnie. W Internecie podajemy swoje prywatne dane (konta społecznościowe, portale GOV, prywatne konta do usług sieciowych), a także gromadzimy pieniądze na rachunkach bankowych.
Kont, gdzie zakładamy nasze profile z każdym dniem przybywa. Z przyzwyczajenia lub też lenistwa zazwyczaj ustalamy jedno nieskomplikowane hasło do wielu usług. Nie zważamy, że gdyby doszło do wycieku danych na jednym portalu – tak naprawdę zagrożone byłyby wszystkie nasze konta.
Krótki wstęp o bezpieczeństwie i hasłach
Podstawą bezpieczeństwa jest posiadanie unikatowych, silnych oraz długich haseł. Jak wynika z opublikowanej analizy CERT (https://cert.pl/posts/2022/01/co-wycieki-danych-mowia-o-haslach/) ponad połowa haseł ujawnionych w wyciekach miała poniżej 8 znaków i zawierała proste do zapamiętania frazy, jak np. „qwerty123” czy „lol123”. Według CERT o sile hasła w dużym stopniu decyduje jego długość. Nie mniej ważna jest też jego złożoność, abstrakcyjność, stopień skomplikowania (więcej na ten temat przeczytacie tutaj: (https://cert.pl/posts/2022/01/kompleksowo-o-haslach/). Czy jesteśmy w stanie zapamiętać długie ciągi liter, cyfr czy znaków? Zapewne nie, dlatego z pomocą przychodzi narzędzie jakim jest manager haseł.
Czym jest manager haseł?
Manager haseł to wtyczka do przeglądarki internetowej lub program, który przechowuje bezpiecznie nasze hasła. Pomaga nam je również tworzyć, a także weryfikuje za nas autentyczność strony. Powszechnie stosowane są managery haseł wbudowane w przeglądarkę, jednak osobiście rekomendujemy skorzystać z dedykowanej aplikacji na telefonie czy komputerze, która zabezpiecza nas przed utratą dostępu do danych i daje nam pełną kontrolę nad hasłami. Dedykowany program pozwala utworzyć szyfrowany plik zwany bazą danych, przechowywany lokalnie na naszym urządzeniu (nie zaś na serwerze podmiotu tworzącego oprogramowanie). Plik ten możemy przenosić z urządzenia na urządzenie lub zapisać go w chmurze np. na dysku Google (w razie awarii urządzenia, możemy łatwo przywrócić plik na innym urządzeniu). Na rynku istnieje wiele managerów haseł. W niniejszym artykule posłużymy się przedstawieniem jednego z nich, który bardzo lubimy i cenimy tj. KeePassXC.
KeePass XC
Aby pobrać manager haseł powinnyśmy skierować się na stronę developera https://keepassxc.org lub w przypadku urządzeń mobilnych odnaleźć go bezpośrednio w Sklepie Play (KeePass2Android) lub App Store (KeePass Touch). W pierwszej kolejności po zainstalowaniu oprogramowania na swoim komputerze, należy utworzyć nową bazę danych oraz ustawić stopień jej szyfrowania (zalecamy najwyższy, kosztem czasu wczytywania bazy po zalogowaniu się). Baza danych wymaga wprowadzenia klucza i warto w tym miejscu poświęcić dużo czasu, ponieważ będzie to dla nas najważniejsze hasło, które obligatoryjnie należy zapamiętać i nie korzystać z niego nigdzie indziej. Powstały plik bazy danych, powinniśmy trzymać na swoim dysku oraz utworzyć w ramach bezpieczeństwa jego kopie i zachować ją np. w chmurze lub zewnętrznym nośniku pamięci. Od teraz za każdym razem gdy będziemy chcieli skorzystać z wybranych haseł umieszczonych w bazie, będzie należało ją uruchomić i uwierzytelnić się hasłem.




Drugim istotnym krokiem jest stworzenie odpowiedniego wpisu do bazy danych. Należy tam szczegółowo wypełnić każde z pól formularza. W ten sposób podajemy we wpisie jego nazwę dla własnej wygody, login do portalu, hasło oraz adres URL portalu (który przyda się, by manager rozpoznał czy ma do czynienia z właściwą stroną www czy jej fałszywą wersją phishingową). Jeśli chodzi o budowanie haseł do portalu – program posiada wbudowany algorytm tworzenia unikatowych haseł gdzie m.in. może ustanowić preferowaną liczbę znaków oraz rodzaj wprowadzanych znaków. Tak zbudowany wpis musimy zatwierdzić i od tego momentu możemy korzystać z metod autouzupełniania np. w portalu google.com.




Dodatkowym atutem korzystania z managera jest fakt, że możemy połączyć go z większością znanych nam przeglądarek internetowych. Dla przykładu wystarczy pobrać odpowiednia wtyczkę np. KeePass Helper Password Manager i połączyć ją z programem (opcję integracji znajdziesz w programie wchodząc w ustawienia i wybierając zakładkę „integracja z przeglądarką”). Autem tego rozwiązania jest to że manager będzie rozpoznawał czy ma do czynienia z prawdziwą stroną. Porówna on wpisaną przez Ciebie we wpisie logowania stronę www ze stroną, którą masz włączoną w przeglądarce. Jeśli jej nie rozpozna, jest duża szansa, że uchroni Cię właśnie przed podaniem danych na stronie phishingowej.


Bazę danych KeePass łatwo jest też łączyć z samym telefonem w przypadku korzystania zarówno z komputera i telefonu (o tym jak działa on na telefonie możesz zobaczyć w naszym krótkim filmie na TikToku. W wypadku korzystania z bazy na telefonie plik lokalnej bazy należy każdorazowo po jego aktualizacji o nowe wpisy przenieść na telefon lub też korzystać z rozwiązania chmurowego, które pomaga nam integrować ze sobą urządzenia.
Manager haseł w naszym odczuciu obok uwierzytelniania dwuskładnikowego stanowi istotny element w poprawie naszego bezpieczeństwa w sieci. Warto się z nim zaprzyjaźnić i wprowadzić go do swojego arsenału cyberbezpieczeństwa.