Wstęp
Cześć! Dzisiaj wpis typu “jak sobie ułatwić życie” w korzystaniu z Internetu, a mianowicie dwie dobre praktyki dotyczących haseł. Dowiecie się:
- jak można zapomnieć (prawie) wszystkie hasła i nadal być bezpiecznym w Internecie
- co to jest dwuskładnikowe/wieloskładnikowe uwierzytelnianie
Chcę dziś zaznaczyć jedynie temat i odesłać Was do świetnych materiałów (w tym darmowego webinaru!).
Kawa gotowa? Zaczynamy 🙂
Przeczytanie zajmie Ci: 5 min.
Hasła są jak… majtki?

Dokładnie takie porównanie przez lata funkcjonowało w świecie IT, dlatego że “trzeba mieć własne, zmieniać je często i trzymać w ukryciu” 😉 Ale… od ponad roku zmiana hasła co jakiś czas nie jest zalecana. Dlaczego? Bo “pod przymusem” ludzie ustawiali kolejne hasła łatwe do zapamiętania, różniące się niewiele, na przykład:
- mojehasloWiosna21@
- mojehasloLato22#
- qwertyzxc
- 12345678
- itd…
W takim razie, co w zamian?
Najważniejsza zasada bezpiecznych haseł w 2020 roku
Hasła powinny być różne dla różnych kont oraz mieć minimum – uwaga – 20 znaków (np. 4-5 wyrazów), a najlepiej powinny być generowane przez managera haseł.
Najważniejsza zasada dot. haseł w 2020 roku wg autora bloga Uszczelka.IT
Jeśli skorzystacie z managera haseł:
- wystarczy, że zapamiętacie jedno główne hasło do managera 🙂
- wszystkie inne hasła macie bezpiecznie przechowane w zaszyfrowanym “sejfie” (managerze haseł)
- wszystkie inne hasła mogą być generowane różne dla różnych kont – ważne
- wszystkie inne hasła mogą być generowane w sposób bezpieczny (możecie dać nawet 30 wygenerowanych przypadkowych znaków – i nie musicie ich pamiętać!)
- dla chętnych możliwa jest integracja z przeglądarką, chmurą lub smartfonem
- będziecie posiadali rozwiązanie zaufane i popularne w branży IT
Jak to działa w praktyce?
- Instalujecie i konfigurujecie główne hasło do managera (najważniejsze, jedyne, więc długie! np. 4-5 wyrazów)
- Wchodzicie na dowolną stronę, portal gdzie chcecie się zarejestrować
- Generujecie hasło i dodajecie nowy wpis w managerze

A potem na codzień jedynie:
- Wpisujecie główne hasło w managerze
- Kopiujecie login i hasło dla danego konta (np. Facebook)
- Wchodzicie na stronę i wklejacie login i hasło
-> i tak dla dowolnej strony
No dobra, ale jaki w tym zysk? Najważniejszy – różne hasła do różnych serwisów. Ponieważ najczęstszym powodem przejęcia konta jest wyciek danych z serwisu A (np. Spotify) i próba logowania się tymi danymi przez przestępców we wszystkich innych serwisach (np. Facebook, Gmail).
Dzięki temu każde Wasze hasło może mieć 30 znaków, a Wy nie musicie go nawet pamiętać. Pamiętacie tylko jedno główne hasło (tzw. master password).
Uwaga! Życie można sobie jeszcze bardziej ułatwić:
- można skorzystać z dodatku do przeglądarki, który może sam Wam wpisywać lub podpowiadać hasła na odwiedzanych stronach (jeśli np. tylko Wy korzystacie ze swojego laptopa)
- można skorzystać z serwisu w chmurze (jeśli zaufacie danej firmie) – wtedy macie te same “sejfy” i na laptopie, i na komórce
- ale można też skorzystać z bazy “lokalnej” na komputerze i ją wysyłać dowolnym sposobem na komórkę (np. przez Bluetooth, albo Dysk Google)
A ile to kosztuje?

Nie będę dziś przekonywał na siłę, że warto w 2020 korzystać z managera haseł. Ja uważam to za niezbędne, tak jak korzystanie z hm… smsów/kodów z potwierdzeniem w banku (o tym zaraz). Jeśli chcielibyście skorzystać, to ja prywatnie proponuję konkretne darmowe i przetestowane „publicznie” rozwiązanie:
manager haseł KeePassXC + dodatek do przeglądarki KeePassXC-Browser + ew. dla chętnych na smartfony Keepass2Android (Android) / Strongbox (iOS)
Są też inne aplikacje. Serdecznie polecam dwa artykuły: starszy na Niebezpieczniku i jeszcze ciepły (kilka dni, akurat przed moim wpisem :)) na ZaufanejTrzeciejStronie. Krok po kroku super wytłumaczone, a jeśli będziecie mieli problem – piszcie!
MałyWyciek (ciekawostka ze świata IT): VPN
W ostatnich tygodniach może szczególnie obiło się o uszy Wam hasło: VPN, czyli Virtual Private Network. Jest to specjalny rodzaj połączenia w Internecie, który umożliwia m.in.: a) bezpieczne połączenie do siedziby firmy, dla dostępu tak, jakbyście byli w firmie np. dla pracy zdalnej; b) “wyjście” do Internetu zamiast z Polski to z wybranego kraju (np. połączenie z USA dla ichniejszej ramówki Netflixa). Można to rozumieć jako bezpieczny tunel do firmy/do wybranego kraju dla Waszego połączenia z Internetem. Istnieją rozwiązania dla firm (wtedy tzw. klienta VPN, czyli specjalny program musi dostarczyć Wam Wasza firma) lub indywidualne (bezpłatne – których nie polecam – i płatne).
Więcej źródeł dla chętnych: 1 2 3
Czy to wystarczy? A kolejne składniki?
Nie :). Jest to jeden z ważniejszych elementów, ale cała ta seria wpisów jest o tym, żeby Wasze korzystanie z Internetu było bezpieczniejsze. Na blogu proponuje raczej dłuższy dystans, niż sprint z kilkoma instrukcjami w jednym wpisie. Uważam, że warto wprowadzać nowe praktyki krok po kroku, tydzień po tygodniu, może np. w piątki o 13.14? 😉
Więc są jeszcze kolejne składniki bezpieczeństwa… A w przypadku haseł mówimy o tzw. “dwuskładnikowym uwierzytelnianiu (logowaniu)” lub “wieloskładnikowym”, z angielskiego odpowiednio: 2FA – two factor authentication, MFA – multifactor authentication.
Jak to działa? Po wpisaniu (wklejeniu z managera :)) hasła, potrzebujecie dostarczyć na stronie “drugi/kolejny składnik”, czyli np:
- kod z sms
- kod z e-maila
- kod z aplikacji na smartfonie
- potwierdzenia w powiadomieniu na smartfonie
- urządzenie na USB tzw. token sprzętowy, najbezpieczniejsze
Dzięki temu, zły haker nawet jeśli przejmie Wasze hasło (jeśli mielibyście takie samo w innym serwisie), będzie miał utrudnione zalogowanie się, ponieważ u siebie nie dostanie np. kodu z aplikacji na smartfonie.
Na marginesie: smsy nie są już uważane za bezpieczny drugi składnik :). Ale lepszy taki niż żaden!
Zadanie dla Was
Wasz krok na ten weekend:
- Zarejestrujcie się na darmowy webinar od Niebezpiecznika! Akurat będzie o hasłach i innych dobrych praktykach 🙂 8 kwietnia, środa, 19.00.
- Sprawdźcie czy Wasz e-mail kiedyś nie wyciekł na stronie: haveibeenpwned.com
Jest duża szansa, że wyciekł, ale jeśli nie to… kiedyś pewnie wycieknie 🙂 Nie ma się co bać, tylko warto minimalizować ryzyko, o czym pisałem w pierwszym poście. Aha, to jest jedyna słuszna strona do sprawdzania wycieków, nigdy gdzie indziej nie wpisujcie dla sprawdzenia Waszych e-maili, a tym bardziej haseł. Tzn. wpisujcie wyłącznie do zalogowania na stronach, których dotyczy dane konto :).
- Przeczytajcie wspomniany wyżej artykuł z Zaufanej Trzeciej Strony i jeśli chcecie to zainstalujcie sobie manager haseł, np. KeePassXC.
- Skonfigurujcie dwuskładnikowe uwierzytelnianie na Waszej skrzynce pocztowej i w mediach społecznościowych. Pamiętajcie, że zgadzacie się wtedy udostępnić Wasz numer firmie, z której usług korzystacie (np. Google, Facebook).
Jeśli potrzebowalibyście pomocy w jakimkolwiek kroku – napiszcie do mnie, chętnie pomogę.
Podsumowanie
Najważniejsze na dziś to:
- W 2020 roku warto korzystać z managera haseł, ostatecznie z wbudowanego w przeglądarkę (Firefox/Chrome, lepiej taki niż żaden) lub mieć po prostu różne i długie hasła złożone najlepiej z 4-5 wyrazów…
- Bardzo zachęcam włączyć wszędzie gdzie się da “2FA/MFA”, czyli dwu-/wielo-składnikowe uwierzytelnianie (logowanie), żeby znacznie utrudnić przejęcie Waszego konta.
Tyle na dziś, jeśli chcecie o coś zapytać lub mogę Wam jakoś w tym temacie pomóc, to piszcie w komentarzu lub mailowo (at to inaczej @).
Do usłyszenia w piątek za 2 tygodnie (po Świętach) o 13.14!
2 odpowiedzi na “DlaZnajomych03: “Eksperci są w szoku, znalazł 1 prosty sposób na zapamiętanie swoich haseł”, czyli dwie ważne praktyki dot. haseł”
Dzięki za masę informacji !
Webinar będzie się już oglądał i mam nadzieję praktykował !
Dzięki, polecam poprzednie i kolejne wpisy 😉