ekran wpisywania loginu i hasła

Menedżery haseł – który wybrać?

Fot. Mohamed Hassan
Bezpieczne hasła są długie i skomplikowane. Problem w tym, że gdy mamy ich wiele, nie sposób wszystkie zapamiętać. Pomogą nam w tym menedżery haseł. Przyjrzeliśmy się programom dla Windows, iOS i Androida.

Teoretycznie niemal każdy użytkownik komputera, smartfonu, czy tabletu powinien wiedzieć, że powinien chronić dostęp do usług i danych za pomocą odpowiednio silnego hasła. Jest to o tyle ważne, że często chronią one dostępu nie tylko dodanych zgromadzonych na stronach i w serwisach społecznościowych, ale także często do pieniędzy zgromadzonych w banku i do kont w sklepach internetowych. Tymczasem najczęściej stosowane w 2018 roku hasło to… „123456”.

Tak naprawdę chodzi przede wszystkim o to, by nasze hasło było odpowiednio długie. Nie musi przy tym przypominać niezrozumiałego języka obcych i zawierać mnóstwa znaków specjalnych i nietypowych symboli. Hasło w postaci „#g&6!dfligj(%Ç@” może i jest bezpieczne, tyle że nie sposób go zapamiętać. Owszem, trochę cyfr i np. znaków interpunkcyjnych nie zaszkodzi, ale dobre hasło musi być przecież łaskawe dla naszej, ludzkiej pamięci (jak wiemy pamięć mamy w większości dobrą, ale krótką).

Osiem znaków to za mało

Przez długie lata uważano, że 8-znakowe hasło alfanumeryczne, zawierające dodatkowo znaki interpunkcyjne jest w zupełności wystarczające. Tak niestety już nie jest. Jednak wraz z każdym dodanym do hasła znakiem, trudność jego złamania rośnie wykładniczo, zatem po prostu im więcej znaków tym lepiej. Zamiast haseł 8-znakowych stosuj 16-sto czy nawet 24-znakowe. Oczywiście, trzeba pamiętać o tym, że hakerzy przeprowadzają m.in. ataki słownikowe, zatem nie powinny one być zwykłymi zdaniami. Najlepiej gdy są mieszanką liter, cyfr i znaków specjalnych.

F-secure key
Dobry menedżer haseł powinien zadbać o to, by główne hasło użytkownika do bazy menedżera było odpowiednio silne (graf. Wintermute / CHIP)

Pamiętajmy też, że często administratorzy sieci w wielu firmach narzucają użytkownikom – pracownikom danej firmy – dodatkowe wymogi dotyczące haseł dostępowych do korporacyjnych zasobów. Paradoksalnie taka strategia owocuje często spadkiem jakości haseł, a tym samym słabszym poziomem bezpieczeństwa, niż w przypadku braku takiego wymogu. Hakerzy doskonale wiedzą, że wiele osób zmuszonych do częstej zmiany haseł, modyfikuje je wg łatwego do odgadnięcia klucza, dodając np. do bazowego hasła numer miesiąca itp.

Oddając sprawiedliwość decyzjom administratorów trzeba zauważyć, że wymóg zmiany haseł ma uzasadnienie w przypadku mało zdyscyplinowanych użytkowników. Wiele osób ma tendencję do zapisywania haseł na kartkach, które później gubi. Dzięki wymuszonej zmianie, nawet gdy osoba niepowołana będzie w przyszłości próbowała wykorzystać znalezione hasło, nie uda jej się dostać do zastrzeżonych zasobów.

Menedżer haseł – przydatna, cyfrowa pamięć

Wróćmy do wspomnianych zasad tworzenia silnych haseł. Wiemy, że muszą być długie, zawierać różne znaki, a nie tylko słowa, które można znaleźć w słowniku i przede wszystkim powinny być zapamiętywalne. OK, na tej podstawie możemy sobie utworzyć JEDNO w miarę bezpieczne hasło. Problem w tym, że potrzebujemy w cyfrowym świecie znacznie większej liczby haseł. Stosowanie jednego hasła do wszystkich usług i serwisów internetowych to po prostu głupota. Wystarczy udany atak hakerów na jeden z serwisów, z których korzystamy i hakerzy uzyskają dostęp do wszystkich naszych aktywności. Dlatego każdy dostęp użytkownika do różnych usług powinien być chroniony innym, zawsze odpowiednio silnym hasłem. Jak je wszystkie spamiętać? Nie musimy tego robić – wystarczy że zapamiętamy jedno, odpowiednio długie, silne i skomplikowane hasło – resztą zajmie się menedżer haseł.

Menedżery haseł to oprogramowanie (dostępne w formie usług online lub aplikacji działających lokalnie, bądź połączenie tych dwóch form), które zwalnia użytkowników z konieczności pamiętania wielu haseł dostępowych do usług online i zasobów. Zwykle wystarczy pamiętanie jednego, byśmy mogli uzyskać dostęp do usług i aplikacji. Tym, którzy w tym momencie mogą uznać to za sprzeczność – wszak wcześniej argumentowałem, że absolutnie nie powinniśmy mieć jednego hasła do wszystkiego – wyjaśniam: menedżer haseł sam w sobie nie jest np. e-sklepem czy serwisem internetowym, który może zostać zaatakowany w celu wykradzenia haseł. Menedżer haseł ma za zadanie jedynie podstawiać odpowiednie hasła odpowiednim usługom. Złamanie bazy danych danej usługi online co najwyżej spowoduje odtajnienie hasła stosowanego w tej i tylko w tej usłudze, ale w żaden sposób nie naruszy bezpieczeństwa samego menedżera.

LastPass znakomicie integruje się z przeglądarką i jest niezwykle prosty w obsłudze na każdej platformie sprzętowej (graf. Wintermute / CHIP)

Menedżery haseł oferują szereg użytecznych funkcji. Uwalniają nas od konieczności pamiętania mnóstwa skomplikowanych ciągów znaków do różnych usług. Przechowując je w szyfrowanej bazie i udostępniając na żądanie wyłącznie uprawnionej osoby (automatycznie podstawiając właściwe i często niewidoczne na ekranie hasło konkretnej usłudze). Ułatwiają również generowanie dowolnie skomplikowanych haseł. Sprawdziliśmy grupę różnych menedżerów działających w systemie Windows, iOS, Androidzie, a także funkcjonujących online i podpowiadamy, które rozwiązania powinny was szczególnie zainteresować.

Usługa online czy lokalna aplikacja?

Generalnie możemy się spotkać z dwoma rodzajami menedżerów haseł: działającymi jako usługa online lub funkcjonującymi w formie aplikacji uruchamianych lokalnie na danym sprzęcie użytkownika (komputer, smartfon, tablet itp.). Różnica sprowadza się do koncepcji bezpieczeństwa przyjętej przez producenta danego rozwiązania. Najlepsza trójka w tym teście, czyli LastPass, 1Password oraz Avira Password Manager Pro, jak również kilka innych testowanych rozwiązań zaliczanych jest do frakcji menedżerów haseł oferowanych jako usługa online. W takim przypadku baza danych z zaszyfrowanymi hasłami jest przechowywana na serwerze dostawcy danego rozwiązania. Ściślej rzecz biorąc, nie wszyscy dostawcy przechowują zaszyfrowane bazy danych haseł użytkowników na własnych serwerach (w sensie nie korzystają/nie mają własnego parku maszynowego, czyli własnej serwerowni), niektórzy korzystają z zewnętrznych operatorów chmur obliczeniowych takich jak np. Microsoft Azure.

Reklama

Pamiętajmy jednak, że bez względu na to, gdzie fizycznie zlokalizowana jest baza haseł użytkownika danej usługi, to mamy w tym przypadku do czynienia z szyfrowaniem typu end-to-end. Oznacza to, że żadne hasło ani informacja przesyłana pomiędzy uprawnionym użytkownikiem usługi a serwerami usługodawcy nie jest przesyłana w formie jawnej. Zaletą menedżerów haseł działających w formie usługi online jest to, że bez względu na to z jakiego urządzenia korzystamy, możemy zalogować się do usługi i uzyskać dostęp do wszystkich zapisanych w naszej bazie danych uwierzytelniających. Owszem istnieje ryzyko, że serwery na których przechowywane są bazy danych haseł, zostaną zhakowane. Jednak nawet w takim przypadku prawdopodobieństwo ujawnienia naszych haseł cyberprzestępcom jest niewielkie. Jeśli nawet uzyskają oni w jakichś sposób dostęp do zaszyfrowanych baz haseł, to w dalszym ciągu pozostają one zaszyfrowane. Ponadto, może istnieć ryzyko, że nieuczciwy pracownik danego usługodawcy będzie manipulował danymi – przed tym jednak zabezpiecza się wielu operatorów chmur obliczeniowych stosując złożone protokoły zabezpieczeń i dostępu również dla własnych pracowników.

Jeżeli jednak nie ufacie usługom online, możecie wybrać menedżera haseł w postaci aplikacji instalowanej lokalnie i przechowującej zaszyfrowaną bazę haseł na dysku w komputerze użytkownika. Takim rozwiązaniem jest np. popularny, bezpłatny program KeePass. Szyfrowane hasła są dostępne wyłącznie dla osoby mającej fizyczny dostęp do komputera i oczywiście znającej (lub potrafiącej złamać) odpowiednie hasło główne do bazy menedżera. Wadą lokalnych menedżerów haseł jest znacznie bardziej skomplikowana synchronizacja danych z innymi urządzeniami. Z drugiej strony nic nie stoi na przeszkodzie aby zarówno program jak i szyfrowaną bazę przechowywać w jednej z popularnych usług chmurowych (Dropbox, Onedrive itp.). Zresztą programy ArchiCrypt czy Steganos są zasadniczo rozwiązaniami lokalnymi, ale oferują funkcje synchronizacji danych za pośrednictwem np. Dropboksa.

W dzisiejszych czasach, kiedy używamy często znacznie więcej niż tylko jednego urządzenia, za pomocą którego uzyskujemy dostęp do usług wymagających naszego uwierzytelnienia, funkcja synchronizacji danych haseł jest bardzo wygodna. Tyle, że nawet używając narzędzia pracującego lokalnie, ale umożliwiającego synchronizację w chmurze tracimy zaletę aplikacji lokalnych, czyli wyłącznie lokalne przechowywanie szyfrowanej bazy haseł. Pamiętajmy też, że lokalnie działające menedżery haseł są łakomym kąskiem dla hakerów włamujących się na komputery zwykłych użytkowników. Nic dziwnego – te są najczęściej znacznie słabiej chronione od profesjonalnych serwerowni.

Tabela: usługi w chmurze i narzędzia lokalne

FunkcjaUsługa w chmurzeAplikacja lokalna
Bezpieczne hasło może być przechowywane wyłącznie lokalnie+
Hasła przechowywane w zaszyfrowanej bazie na serwerach+
Łatwa synchronizacja haseł na kilku urządzeniach+
Ochrona bazy danych dodatkowym hasłem w przypadku usterki urządzenia+
Synchronizacja może wymagać dodatkowych kosztów usługi online+
Interesujący cel dla hakerów+
Zarządzanie bazą danych z hasłami możliwe przez przeglądarkę internetową+

Hasło główne nie wystarczy

Najważniejszym kryterium oceny menedżerów haseł jest zapewniany przez te narzędzia poziom bezpieczeństwa. Nic dziwnego, w końcu chronią one niezwykle wrażliwe dane użytkowników, które w niepowołanych rękach pozwalają niemal całkowicie przejąć cyfrową tożsamość konkretnej osoby. Dlatego najwyższe standardy bezpieczeństwa są w tym przypadku nie atutem, lecz obowiązkiem. Wszyscy dostawcy testowanych przez nas rozwiązań korzystają z, uważanego za bezpieczny, algorytmu AES-256 (czyli z 256-bitowym kluczem szyfrującym). Nie jest znany skuteczny atak na ten popularny, dość długo już znany i w pełni jawny algorytm kryptograficzny.

Choć jawność algorytmu szyfrującego może wydawać się jego słabością, to tak nie jest – zgodnie ze sformułowaną jeszcze w XIX wieku zasadą przez holenderskiego kryptologa Augusta Kerckhoffsa (zasada ma nazwę od jego nazwiska) – dobry system kryptograficzny powinien być bezpieczny nawet wtedy, gdy wszystkie szczegóły jego działania – poza oczywiście samym kluczem – są jawne. AES-256 spełnia ten warunek.

Solidne szyfrowanie to tylko jeden z aspektów bezpieczeństwa. Kolejnym, nie mniej ważnym, jest bezpieczne hasło główne, czyli to jedno, jedyne hasło, które użytkownik musi zapamiętać, by dostać się do zaszyfrowanej, własnej bazy wszystkich swoich pozostałych haseł. W tym zakresie możemy zaobserwować już pewne różnice pomiędzy poszczególnymi menedżerami haseł, ponieważ nie wszystkie narzędzia wymuszają ustawienie bardzo silnego hasła głównego.

Reklama

Na przykład najlepszy naszym zdaniem menedżer LastPass, wymusza ustawienie co najmniej 12-znakowego hasła alfanumerycznego (musi ono zawierać zarówno małe, jak i wielkie litery, a także co najmniej jedną cyfrę). Avira i F-Secure również stawiają wysokie wymagania użytkownikom w zakresie siły hasła głównego. Z kolei KeePass, ArchiCrypt, Bitwarden czy Steganos są niestety pozbawione takiego mechanizmu wymuszającego ustawienie odpowiednio silnego hasła. Użytkownicy tych rozwiązań mogą ustawić hasło typu „hasło”, „abc123” czy słynne „123456”. Z oczywistych względów takie działanie nie ma sensu i nie powinno być dopuszczalne przez program mający chronić bezpieczeństwo haseł.

Ważne jest też to, aby hasła główne były chronione przez dodatkowe opcje zabezpieczeń, takie jak np. podwójna weryfikacja, uwierzytelnianie z dodatkowym urządzeniem/tokenem itp. Tutaj jest dobrze, tylko dwa narzędzia są pozbawione możliwości ustawienia takiego dodatkowego zabezpieczenia, co ciekawe są to rozwiązania oferowane przez renomowanych graczy w branży cyfrowego bezpieczeństwa danych: firmy Kaspersky Lab oraz F-Secure. Warto też wspomnieć, że niektóre menedżery haseł – 1Password, KeePass i Dashlane – mogą również korzystać z dodatkowej, biometrycznej warstwy uwierzytelniania w postaci np. funkcji Windows Hello (odblokowywanie odciskiem palca użytkownika czy jego twarzą – w przypadku zgodnego sprzętu z odpowiednio wyposażoną kamerą głębi).


Na następnej stronie dowiecie się, jak radzą sobie poszczególne menedżery haseł.

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.