Możesz zacząć bez ryzykowania wartościowych haseł
Jeśli powyższe zagrożenia sprawiają, że niechętnie używasz menedżera haseł do wszystkich swoich kont, rozważ rozpoczęcie od tych haseł, których utratą lub naruszeniem najmniej się martwisz.
Na przykład prawdopodobnie nie obchodzi Cię hasło używane do utworzenia siedmiodniowej subskrypcji próbnej programu komputerowego, artykułów informacyjnych lub badań naukowych. Jeśli robisz zakupy na wielu różnych stronach internetowych, możesz mieć dziesiątki kont, z których każde chroni kopie tych samych informacji: numer karty kredytowej, numer telefonu i adres. Żadna z tych informacji nie jest bardzo tajna, Twoja odpowiedzialność jest ograniczona, jeśli numer karty kredytowej zostanie skradziony i łatwo jest zresetować hasło do większości witryn zakupowych, otrzymując wiadomość e-mail z resetem hasła.
Zaczynając od haseł o niższej wartości, możesz zapoznać się z działaniem menedżerów haseł, podczas gdy konsekwencje błędów są niewielkie. W miarę zdobywania doświadczenia, będziesz również lepiej rozumiał ryzyko i korzyści. Może się okazać, że kiedy nie będziesz już musiał tworzyć, zapamiętywać i wpisywać tych mniej wartościowych haseł, będziesz mógł przeznaczyć część zaoszczędzonego wysiłku na ochronę haseł do kont o wyższej wartości.
Możesz również użyć menedżera haseł do generowania losowych haseł, których nie powinieneś zapisywać. Prawdopodobnie będziesz chciał je zapisać. Powinieneś być w stanie nauczyć się losowych haseł dla kilku kont z czasem, po prostu ich używając.
Większość użytkowników może zacząć bez kupowania lub pobierania nowego oprogramowania. Jeśli korzystasz głównie z Safari lub Chrome, obie przeglądarki mają menedżerów haseł, którzy wygenerują dla Ciebie losowe hasła. Nie zamierzam zajmować się Brave, Edge ani Firefoksem, ponieważ w momencie pisania tego tekstu nie generują one haseł.
Powinniście rozważyć samodzielne menedżery haseł, zwłaszcza jeśli przechowujecie hasła do swoich cenniejszych kont, ale możecie łatwo zaimportować do nich hasła, które zapisaliście podczas wypróbowywania wbudowanych menedżerów haseł w Chrome lub Safari.
Jednym z powodów, dla których warto wyjść poza Chrome, jest to, że nie będzie on identyfikował haseł, które zostały ponownie użyte w różnych witrynach. Audyt w poszukiwaniu ponownie używanych haseł jest niezbędny do uzyskania korzyści związanych z bezpieczeństwem, jakie może zaoferować menedżer haseł. Większość samodzielnych menedżerów haseł oferuje funkcję audytu, a wbudowany w Safari menedżer haseł (Apple’s Keychain) niedawno również ją dodał.
Nawet jeśli starasz się nie przechowywać ważnych haseł w menedżerze haseł, nadal warto okresowo sprawdzać, które hasła zostały zapisane, a które są ponownie używane – niektóre konta, które wydawały się bezwartościowe, gdy je tworzyłeś, mogą z czasem okazać się bardziej wartościowe. Niektóre menedżery haseł zwracają również uwagę na to, czy niektóre z Twoich haseł są ewidentnie słabe (np. czy pojawiają się na listach popularnych haseł). Jeśli chcesz wymienić stare hasła, ilość pracy może być zniechęcająca. Nie musisz czekać, aż będziesz miał wystarczająco dużo czasu, aby zmienić je wszystkie naraz; ustal priorytety i zacznij działać.
Ale menedżery haseł, które sprawdzają, czy ponownie użyłeś hasła, zrobią to tylko wtedy, gdy pozwolisz im przechowywać to hasło. Jeśli przechowujesz tylko hasła do kont o niskiej wartości, menedżer haseł będzie w stanie powiedzieć Ci, które z Twoich haseł o niskiej wartości zostały ponownie użyte. Nie znam żadnego menedżera haseł, który powiadomi Cię, jeśli wpiszesz hasło, które zapisałeś dla innej strony, na bieżącą stronę internetową. There’s no technical reason most password managers could not alert you to such password re-use, so I hope some will soon.
Learn a strong master password
Most password managers protect your passwords with yet another password -commonly called a master password. Samodzielne menedżery haseł poproszą Cię o utworzenie hasła głównego, gdy zaczniesz ich używać. Jeśli używasz przeglądarki Google Chrome do przechowywania haseł i udostępniania ich na różnych urządzeniach, Twoje hasła będą przechowywane przez Google i chronione hasłem do Twojego konta Google (wraz z innymi czynnikami, których możesz używać). Apple iCloud Keychain opiera się głównie na hasłach urządzeń i funkcjach odblokowywania, aby regularnie chronić swoje dane, ale ma awaryjne hasło główne zwane kodem bezpieczeństwa iCloud .
Nie używaj hasła głównego, którego używałeś do czegokolwiek innego. Należy to powtórzyć, ponieważ prawdopodobnie nauczyłeś się ostrzeżeń przed ponownym użyciem hasła po otrzymaniu takiej porady dla kont, na których Ci nie zależy. W przeciwieństwie do tych bezwartościowych haseł hasło główne, które chroni wszystkie inne Twoje hasła, naprawdę powinno być unikatowe.
Jeśli korzystasz z menedżera haseł Chrome synchronizowanego za pośrednictwem konta Google i nie masz 100% pewności, że Twoje konto Google ma silne i unikatowe hasło, utwórz nowe (upewniwszy się, że masz plan odzyskiwania, jeśli zapomnisz tego nowego hasła, jak omówiono poniżej). Jest to również dobry moment, aby ponownie ocenić, czy powinieneś mieć dwuskładnikowe uwierzytelnianie dla tego konta. Podobnie, jeśli używasz iCloud Keychain firmy Apple, nie używaj ponownie hasła jako kodu bezpieczeństwa iCloud.
Twoje hasło główne powinno być generowane losowo i wystarczająco długie, aby chronić Twoje hasło, nawet jeśli napastnicy wejdą w posiadanie listy zaszyfrowanych haseł witryny i spróbują złamać to szyfrowanie. Aby mieć pewność, że Twoje hasło jest naprawdę losowe, pozwól swojemu menedżerowi haseł wygenerować je (lub użyj kostek do gry i listy słów). Wiele osób fałszywie wierzy, że może wygenerować losowość, przywołując litery w umyśle lub uderzając w klawiaturę, ale wiele procesów umysłowych, które uważamy za losowe, w rzeczywistości nie są naprawdę losowe. Dobry menedżer haseł użyje kryptograficznego generatora liczb losowych, aby upewnić się, że Twoje hasło jest wystarczająco losowe (a kości są sprawdzonym źródłem fizycznej losowości, które można sprawdzić pod kątem uczciwości po prostu je tocząc).
Twoje hasło główne powinno składać się z co najmniej 12 małych liter lub pięciu słów. Po co używać małych liter lub słów, skoro prawdopodobnie powiedziano Ci (i wymuszono), abyś używał dużych liter i symboli w przeszłości? Jeśli musisz wprowadzić hasło na urządzeniu z klawiaturą ekranową (np. w telefonie), każda wielka litera lub symbol może wymagać dodatkowego naciśnięcia klawisza. Możesz osiągnąć ten sam poziom bezpieczeństwa i zaoszczędzić sobie wiele frustracji, wprowadzając hasło składające się wyłącznie z małych liter, które będzie o 30% dłuższe niż hasło składające się z dużych liter. Innymi słowy, losowo wygenerowane 13-znakowe hasło małymi literami, które można wprowadzić za pomocą 13 naciśnięć klawiszy, jest tak samo bezpieczne, jak 10-znakowe hasło mieszane, które może wymagać o wiele więcej.
Nie oczekuj, że nauczysz się swojego nowego hasła głównego natychmiast – bardzo niewiele osób może nauczyć się długiego, losowo wygenerowanego ciągu znaków za jednym posiedzeniem. Najlepszym sposobem na nauczenie się hasła głównego jest raczej zapisanie go i częste używanie. Skonfiguruj swojego menedżera haseł tak, aby wymagał od Ciebie ponownego wpisywania hasła przynajmniej raz dziennie, dopóki go nie poznasz, i pozbądź się papierowej kopii dopiero wtedy, gdy będziesz je niezawodnie wpisywać z pamięci przez wiele dni. Chociaż zdolność ludzi do uczenia się losowych haseł nie jest dobrze zbadana, badania przeprowadzone przeze mnie i moich współpracowników sugerują, że zapamiętanie hasła zajmuje od 10 do 30 użyć. (Badania te dotyczą technik, których menedżerowie haseł mogliby użyć, aby pomóc Ci nauczyć się silnych haseł głównych, ale żaden z nich obecnie nie oferuje żadnej pomocy.)
Na koniec, nie zakładaj, że nie stracisz papierowej kopii hasła głównego, zanim je zapamiętasz, lub że nie zapomnisz go później.
Factor recovery into choosing a password manager
Since the one of the biggest differences between password managers is process to recovery your data if you lose your master password, you should not choose a password manager without researching its emergency recovery process. Po dokonaniu wyboru, pierwszą rzeczą, którą powinieneś zrobić, wraz z wyborem hasła głównego, jest skonfigurowanie tego procesu odzyskiwania. Możesz go potrzebować bardzo szybko, ponieważ najprawdopodobniej zapomnisz hasła głównego wkrótce po jego utworzeniu i zanim nauczysz się go przez wielokrotne użycie.
Podczas gdy konsekwencje utraty haseł mogą wydawać się niewielkie, gdy wszystko jest ustawione i nie masz żadnych zapisanych haseł do stracenia, możesz szybko uzależnić się od swojego menedżera haseł. Możesz błędnie założyć, że jak już nauczysz się hasła, to nigdy go nie zapomnisz. Choć najczęściej zdarza się, że zapominasz hasła tuż po jego utworzeniu, to równie często zdarza się, że zapominasz je po pewnym czasie nieużywania. Na przykład, można zapomnieć po tym następnym wakacje masz zaplanowane, lub, jak przyjaciel dowiedział się kilka lat wstecz, po nieplanowanym pobycie w szpitalu.
Dlaczego każdy produkt obsługiwać odzyskiwania inaczej? Po części dlatego, że jest to naprawdę trudny problem, nawet dla firm, które należą do największych na świecie, najlepiej finansowanych i najbardziej znanych z doskonałej użyteczności. Weźmy pod uwagę chmurę iCloud firmy Apple, w której przechowywany jest łańcuch kluczy iCloud Keychain używany w przeglądarce Safari. Jednym ze sposobów odzyskania konta w usłudze iCloud jest skorzystanie z pomocy działu wsparcia klienta, ale hakerzy oszukują agentów wsparcia w celu przejęcia kont użytkowników, w tym jednego z wysoko postawionych reporterów w 2012 roku. Dlatego Apple zaoferował użytkownikom opcję przechowywania losowo wygenerowanego hasła do wykorzystania w celu odzyskania (Apple nazwał to kluczem odzyskiwania) i skonfigurowania konta w taki sposób, aby dział wsparcia klienta nie mógł zmienić hasła. Niewielu użytkowników przyjęło klucze odzyskiwania, a niektórzy, którzy to zrobili, byli zdenerwowani, gdy odkryli, że w rzeczywistości wsparcie klienta nie mogło już im pomóc, gdy tego potrzebowali. Apple przestał oferować klucze odzyskiwania w 2015 roku . Apple obecnie pozwala na resetowanie haseł po zweryfikowaniu klientów za pośrednictwem ich numeru telefonu, pomimo tego, że proces ten jest dość podatny na atak.
Jeśli to nie było wystarczająco złe, wymagania, które określają, czy wsparcie klienta zresetuje hasło użytkownika lub inne dane uwierzytelniające, nie są dostępne publicznie. Spośród firm, które pozwalają obsłudze klienta resetować dane uwierzytelniające użytkowników, nie znam żadnej, która udostępnia zasady, których używa do podejmowania decyzji o tym, co jest wymagane do powrotu. Bez tych zasad, użytkownicy nie mogą wiedzieć, w jakich warunkach będą w stanie odzyskać swoje konto i w jakich warunkach atakujący może przejąć ich konto. Warto to powtórzyć: firmy te oczekują, że zaufasz im ze swoim kontem, ale nie powiedzą Ci zasad, które dyktują, czy nadal będziesz miał do niego dostęp, czy też napastnik będzie mógł Ci je ukraść
Zamiast polegać na nieprzejrzystych zasadach obsługi klienta, wiele menedżerów haseł korzysta z rozwiązań, które są mniej podatne na atak, ale bardziej podatne na przypadkową utratę.
Open source’owe menedżery haseł KeePass i PasswordSafe (oryginalny menedżer haseł) pozostawiają Ci znalezienie sposobu na przechowywanie i tworzenie kopii zapasowych plików zawierających Twoje hasła, wraz z kluczem używanym do ochrony (szyfrowania) danych w tych plikach. Tak więc, jeśli chcesz udostępniać swoje hasła między maszynami, musisz utworzyć konto do przechowywania plików online (np. DropBox). Twoja kopia zapasowa może być pisemną kopią hasła głównego i hasła do konta udostępniania plików. Jeśli korzystasz z dwuskładnikowego uwierzytelniania na tym koncie, również będziesz potrzebować kopii zapasowej.
LastPass, Keeper i Dashlane pozwalają wstępnie autoryzować kontakty w nagłych wypadkach, aby uzyskać dostęp do konta… tak długo, jak mają one również konto w tym samym menedżerze haseł. Wymóg ten został wprowadzony, ponieważ produkty te wykorzystują kryptografię, aby zapewnić, że Twoi przyjaciele, ale nie firmy, będą w stanie uzyskać dostęp do tych danych. To pomaga chronić Cię, jeśli ich usługa jest hacked lub jeśli atakujący skutecznie podszywa się pod Ciebie do ich obsługi klienta. Minusem jest to, że napastnik, który narusza konto Twojego kontaktu może być w stanie naruszyć Twoje. Możesz zmniejszyć szansę, że tak się stanie, wprowadzając opóźnienie czasowe, zanim Twoje informacje zostaną udostępnione kontaktowi awaryjnemu. Jeśli znasz osoby korzystające z jednego z tych produktów, którym powierzyłbyś funkcję kontaktu awaryjnego, produkt ten może być dla Ciebie lepszy niż te, których Twoje kontakty nie używają.
W przypadku 1Password Twój główny sekret składa się z dwóch części: tajnego klucza, który oprogramowanie przechowuje na każdym urządzeniu, na którym umieściłeś swoje hasła, oraz Twojego głównego hasła. Aby używać nowego urządzenia z programem 1Password, musisz przenieść na nie swój tajny klucz. Możesz wykonać kopię zapasową swojego tajnego klucza, generując „zestaw awaryjny” – plik PDF, który możesz wydrukować, zawierający Twój tajny klucz i miejsce na zapisanie hasła głównego. (Mam nadzieję, że Twoje pismo odręczne jest lepsze niż moje.) Podobnie jak LastPass i Dashlane, 1Password zaprojektował swoją usługę online w taki sposób, że nie przechowuje tych sekretów i dlatego obsługa klienta nie może pomóc atakującemu – lub Tobie – uzyskać dostępu do Twoich danych bez nich. W przeciwieństwie do LastPass i Dashlane, proces odzyskiwania danych nie wymaga żadnej interakcji z serwisem ani z nikim innym. To sprawia, że 1Password jest prawdopodobnie najbardziej prywatną opcją, ale każdy klient ponosi koszty takiego poziomu prywatności: 1Password nie może wiedzieć, jaka część klientów wydrukowała zestawy do odzyskiwania haseł, ilu z nich z powodzeniem z nich skorzystało, ani ilu straciło swoje hasła na zawsze. Jedyne dane, jakie otrzymują, aby pomóc im poprawić niezawodność procesu odzyskiwania, pochodzą od użytkowników, którzy dobrowolnie kontaktują się z obsługą techniczną.
Jeśli używasz Chrome’a z kontem Google i uwierzytelnianiem dwuskładnikowym, możesz otrzymać dziesięć jednorazowych haseł odzyskiwania (ośmiocyfrowych numerów, które nazywają kodami zapasowymi), które mogą zastąpić jeden z Twoich dwóch czynników. Google zaleca, aby je „wydrukować lub pobrać”. Google również przechowuje te kody, więc w przeciwieństwie do dobrze zarządzanych haseł generowanych losowo, Twoje kody mogą być zagrożone, jeśli Google dozna naruszenia.
Jeśli używasz wydrukowanego sekretu odzyskiwania z Chrome lub 1Password, lub jeśli tworzysz własne dla KeePass lub PasswordSafe, musisz zdecydować, gdzie przechowywać swoje sekrety odzyskiwania po ich wydrukowaniu. Skrytka depozytowa lub sejf domowy mogą być odpowiednie, zwłaszcza jeśli już je masz lub potrzebujesz. Nie ma technicznego powodu, że nie można udostępniać wydruków swoich tajemnic odzyskiwania z przyjaciółmi. Jeśli miałbyś, możesz nie chcieć, aby arkusz powiedzieć, kto to jest dla, jak wykluczenie tego faktu może zapewnić niewielką ilość obrony, jeśli zostanie skradziony. Inną opcją jest danie dwóm zaufanym kontaktom połowy kodu, lub trzem zaufanym kontaktom dwóch trzecich każdego kodu (tak, że każde dwa kontakty mogą Ci pomóc).
Jeśli nie lubisz żadnej z powyższych opcji, możesz okresowo drukować wszystkie swoje hasła lub zapisywać je. Jeśli drukujesz, będziesz polegać na drukarce, która jest bezpieczna i ma bezpieczne połączenie sieciowe z tą drukarką.
Twoje podstawowe hasło e-mail wymaga również specjalnego rozważenia przy planowaniu strategii odzyskiwania, ponieważ wiele innych haseł może zostać zresetowanych przez e-mail. To może być najważniejsze hasło do zmiany na hasło generowane losowo, ale jest to również hasło, które będzie najbardziej potrzebne w przypadku utraty dostępu do menedżera haseł. Jeśli zmieniasz to hasło, powinieneś rozważyć zapisanie go lub utworzenie jego kopii zapasowej.