Seria „zabezpieczamy swoje konta” – part 1
Miałeś/aś kiedyś tak, że podczas tworzenia konta w nowym serwisie i wprowadzając w formularzu rejestracyjnym swoje „standardowe” hasło, to coś tam z tyłu głowy szeptało „to je złe…”? Tak? To super! Oznacza to, że jesteś świadomym użytkownikiem internetów.
Zobaczmy w takim razie, co możemy zrobić z tymi nieszczęsnymi hasłami i czym może grozić używanie wszędzie tego samego hasła. I nie – mnemotechniki (wyguglaj sobie, bo to ciekawa sprawa) i pałace pamięci zostawimy specjalistom potrafiącym zapamiętać unikalne i skomplikowane hasła do swoich wszystkich 1337 stronek.
Specjaliści od cyberbezpieczeństwa lubią zawsze na początku postraszyć i potem podać „magiczne” rozwiązanie problemu. Zakładam jednak, że portal mający „XD” w nazwie pozwoli mi na trochę samowolki i nikt nie będzie krzyczał, jak przejdę od razu do sedna. No i nie oszukujmy się – pewnie temat obił Ci się o uszy, ale coś ciężko było się za niego zabrać. 😉
Jak zapamiętać, ale nie pamiętać?
Większość rzeczy załatwiamy teraz z poziomu telefonu, więc też od niego rozpoczniemy. Poszukajmy czegoś prostego i najlepiej darmowego #cebula. Wszystkie tego typu aplikacje zapewnią podstawową funkcjonalność – zarządzanie hasłami – a będą się one różnić dodatkowymi funkcjonalnościami i „feelem” samej apki. Instalacja będzie wyglądać podobnie na Androidzie i urządzeniach z nadgryzionym jabłkiem. Mój wybór padł na menadżera haseł Bitwarden.
Instalacja (telefon)
Wyszukaj Bitwarden w sklepiku z aplikacjami i zainstaluj.
Upewnij się, że instalujesz aplikację od wystawcy Bitwarden Inc. a nie jakąś z fejkowej reklamy, jak na przykładzie obok.
Pierwsze uruchomienie
Po instalacji otwórz aplikację i zarejestruj nowe konto.
Zwróć uwagę na komunikat przy polu z głównym hasłem – „Głównego hasła nie można odzyskać”. Jest dokładnie tak jak jest napisane, dlatego wybierz długie, mocne i niekoniecznie skomplikowane hasło, takie, które TOBIE będzie łatwo zapamiętać. Pamiętaj też, że to jest główne hasło, które broni Twoją fortecę!
Wstępna konfiguracja
Naszym oczom ukaże się nasz pusty self. Zanim jednak przejdziemy do zapełniania go naszymi kontami, zmieńmy kilka ustawień, aby łatwiej obsługiwało się aplikację.
Po 15 min będziesz wylogowywany z konta, dlatego dla wygody najlepiej aktywować odblokowywanie przez odcisk palca, skan twarzy lub PIN.
Wpisywanie co chwila długiego hasła nie brzmi wygodnie, nie?
Aby aplikacja mogła automatycznie generować, zapisywać i uzupełniać dane logowania na stronach i w aplikacjach – aktywuj wszystkie opcje autouzupełniania.
Bitwarden w akcji
Dodajmy do naszego sejfu pierwsze dane logowania. Ja w tym przykładzie stworze nowe konto na sinsay.com (artykuł nie jest sponsorowany przez Grupę LPP, ale jak macie fajne kupony, to wiecie gdzie mnie szukać 🙂 ).
Przy rejestracji konta i naciśnięciu na pole „hasło”, zobaczysz nowe okienko „Uzupełnij z Bitwarden”, a następnie „Dodaj element”.
Pola z nazwą, adresem strony i użytkownikiem same się uzupełnią. My zaś musimy jedynie stworzyć hasło i najlepiej jak będzie ono losowo wygenerowane (w następnym rozdziale przeczytasz dlaczego warto tak zrobić). Kliknij strzałeczki obok pola z hasłem i zaakceptuj je.
Wybierz teraz nowy pasujący element i tada! – hasło automatycznie się wklei do formularza.
Podczas przyszłych logowań, wykonujesz jedynie dwa ostatnie kroki – czyli kliknięcie w login lub hasło i wybranie danych.
Bitwarden – wersja na komputer
Jeżeli wolisz korzystać z komputera lub z telefonu i komputera, to jest też wersja w formie wtyczki do przeglądarki. Twoje hasła będą dostępne na wszystkich urządzeniach w obrębie tego samego konta. No i to się nazywa wygoda!
Zacznij od pobrania wtyczki dla swojej przeglądarki z https://bitwarden.com/download/#downloads-web-browser. Ja to będę robić na Chrome, ale jeżeli używasz innej przeglądarki, to jest podobnie i na pewno sobie poradzisz. Zwiększymy trochę poziom trudności, bo moja przeglądarka jest w języku angielskim.
Dla wygody możesz przypiąć ikonkę Bitwardena do paska, tak aby zawsze był widoczny.
Po kliknięciu w ikonkę „tarczy”, możesz się zalogować tym samym kontem, które utworzyłeś na telefonie.
Po zalogowaniu zobaczysz też w zakładce „Vault” (Sejf) wszystkie loginy swoich kont.
Na tym podglądzie możesz też zobaczyć, że prócz samych danych logowania, można też przechowywać w Bitwarden numery kart, tajne notatki i inne dane osobiste.
Jak wejdę ponownie na stronę logowania sinsay.com, to po naciśnięciu na pole email/hasło, mogę od razu wybrać zapisane wcześniej konto i się nim zalogować
Czy to bezpieczne?
Porozmawiajmy o tym słoniu siedzącym w kącie. Jak to tak powierzać obcej firmie swoje wszystkie hasła?!
Żadna technologia nie jest w 100% bezpieczna (jeśli ktoś Ci tak powiedział, to kłamie). W poprawie bezpieczeństwa chodzi przede wszystkim o minimalizację ryzyka. Jeżeli używasz tego samego hasła (lub kilku przemiennie) do różnych serwisów, to wystarczy, że dojdzie do włamania na jeden z tych serwisów i Twoje hasełko będzie latało po internecie lub darknecie. Potem tacy „kolekcjonerzy” mając Twój email i hasło, będą próbowali się logować do różnych serwisów tymi samymi danymi (atak credential-stuffing). Jak trafią, to tracisz dostęp do kont i danych, które w nich się znajdowały. W przypadku używania unikalnych haseł – reszta Twoich kont jest bezpieczna.
Dlatego odpowiedź na to pytanie brzmi – „To jest bezpieczniejsze”.
Wszystkie firmy (wiem, odważna deklaracja) oferujące menadżery haseł trzymają Twoje hasła na swoich serwerach w zaszyfrowanej postaci, a kluczem do ich odszyfrowania jest Twoje główne hasło (master password). W najgorszym przypadku nawet jeżeli dojdzie do złamania zabezpieczeń w takiej firmie, to cyberzbóje będą miały duży problem, aby te (losowe) hasła odczytać.
Zobacz ile zajmuje złamanie haseł o różnym stopniu trudności i długości:
Ochrona przed phishingiem
Wiesz o tym, że korzystanie z menadżera haseł może Cię do pewnego stopnia uchronić przed atakiem phishingowym?
Phishing to po prostu próba wyłudzenia jakichś informacji. Najczęściej będą to dane do logowania. Taki atak zazwyczaj rozpoczyna się od wysłania do ofiary linku (przez mail, SMS, chat), który kieruje na fałszywą stronę logowania. Może to być Facebook, Steam, Microsoft lub jakakolwiek inna popularna usługa, portal lub sklep. Strony te są często praktycznie identyczne jak oryginalne, a same adresy do nich prowadzące łudząco podobne. Nawet najlepsi czasami dadzą się nabrać.
A jak w tym przypadku pomaga menadżer haseł? Każda pozycja z zapisanym loginem i hasłem w Twoim Sejfie ma przypisany dokładny adres strony, na której może „wkleić” dane logowania. Jeżeli adres ten choć trochę będzie się różnił, to nie dostaniesz opcji automatycznego uzupełnienia danych logowania. Dodatkowo, jeżeli hasło było wygenerowane losowo, to też nie uzupełnisz go z „palca” (bo go nie nie znasz na pamięć, duh!). Te dwa małe utrudnienia często mogą być wystarczające aby dać Ci znać, że coś jest nie tak ze stroną, na którą próbujesz się zalogować. Pośpiech i rutyna są najczęstszym wrogiem jeżeli chodzi o bezpieczeństwo.
Co jeżeli chcę używać menadżera haseł, ale hasła trzymać lokalnie?
Jeżeli nie ufasz obcym firmom (masz do tego całkowite prawo), to dobrą alternatywą jest KeePassXC. Pamiętaj tylko, że wtedy samodzielnie musisz sobie stworzyć własny ekosystem, jeżeli chcesz synchronizować hasła pomiędzy różnymi urządzeniami i używać ich też w aplikacjach mobilnych.
Po instrukcję, jak skonfigurować KeePassXC, odsyłam do kolegów i koleżanek z Sekurak – https://sekurak.pl/menedzer-hasel-keepassxc-czy-jest-jak-uzywac-poradnik-od-sekuraka/
To nie mogę zapisywać haseł w przeglądarce, w końcu zawsze mi to proponuje po zalogowaniu?
Możesz, ale nie jest to najbezpieczniejsze. Standardowo przeglądarki zapisują hasła w jawnej postaci, bez szyfrowania, czyli po prostu zwykłym tekstem (jak plik txt w notatniku, tylko trochę lepiej schowany). Hasła w takiej postaci jest znacznie prościej odczytać przez inne programy, wirusy, malware (stealery), a nawet niebezpieczne wtyczki do przeglądarki. Pamiętasz jak wspominałem o minimalizacji ryzyka, co nie?
Alternatywne opcje dla Bitwarden
Bitwarden nie jest jedynym tego typu rozwiązaniem dostępnym na rynku. Poniżej podrzucam kilka innych opcji. Sprawdź, przetestuj i wybierz takiego menadżera, który Ci się podoba!
1Password – https://1password.com/
LastPass – https://www.lastpass.com/
NordPass – https://nordpass.com/
DashLane – https://www.dashlane.com/
~Daga, a Ty kiedy w końcu ogarniesz swoje hasła?
Damian Kuźma
Od wielu lat w branży bezpieczeństwa IT, ostatnie lata poświęcił zagadnieniom związanym z bezpieczeństwem aplikacji webowych, API, sieci, zarządzaniem tożsamością i rozwiązaniami CDN. Na swoim koncie ma wiele udanych wdrożeń, m.in. w najbardziej znanych spółkach e-commerce w Polsce. Obecnie pełni rolę Specjalisty ds. Cyberbezpieczeństwa w Advatech, gdzie wspiera klientów od wczesnego etapu analizy problemów, doboru odpowiednich rozwiązań, aż po wdrożenia, ich koordynację i wsparcie powdrożeniowe. Po pracy fan gier planszowych i naprawiania zepsutej elektroniki.
