Kategorie
Dla Znajomych

DlaZnajomych03: “Eksperci są w szoku, znalazł 1 prosty sposób na zapamiętanie swoich haseł”, czyli dwie ważne praktyki dot. haseł

Wstęp

Cześć! Dzisiaj wpis typu “jak sobie ułatwić życie” w korzystaniu z Internetu, a mianowicie dwie dobre praktyki dotyczących haseł. Dowiecie się:

  • jak można zapomnieć (prawie) wszystkie hasła i nadal być bezpiecznym w Internecie
  • co to jest dwuskładnikowe/wieloskładnikowe uwierzytelnianie

Chcę dziś zaznaczyć jedynie temat i odesłać Was do świetnych materiałów (w tym darmowego webinaru!).

Kawa gotowa? Zaczynamy 🙂

Przeczytanie zajmie Ci: 5 min.

Hasła są jak… majtki?

Photo by Thomas Q on Unsplash

Dokładnie takie porównanie przez lata funkcjonowało w świecie IT, dlatego że “trzeba mieć własne, zmieniać je często i trzymać w ukryciu” 😉 Ale… od ponad roku zmiana hasła co jakiś czas nie jest zalecana. Dlaczego? Bo “pod przymusem” ludzie ustawiali kolejne hasła łatwe do zapamiętania, różniące się niewiele, na przykład:

  • mojehasloWiosna21@
  • mojehasloLato22#
  • qwertyzxc
  • 12345678
  • itd…

W takim razie, co w zamian?

Najważniejsza zasada bezpiecznych haseł w 2020 roku

Hasła powinny być różne dla różnych kont oraz mieć minimum – uwaga – 20 znaków (np. 4-5 wyrazów), a najlepiej powinny być generowane przez managera haseł.

Najważniejsza zasada dot. haseł w 2020 roku wg autora bloga Uszczelka.IT

Jeśli skorzystacie z managera haseł:

  • wystarczy, że zapamiętacie jedno główne hasło do managera 🙂
  • wszystkie inne hasła macie bezpiecznie przechowane w zaszyfrowanym “sejfie” (managerze haseł)
  • wszystkie inne hasła mogą być generowane różne dla różnych kont – ważne
  • wszystkie inne hasła mogą być generowane w sposób bezpieczny (możecie dać nawet 30 wygenerowanych przypadkowych znaków – i nie musicie ich pamiętać!)
  • dla chętnych możliwa jest integracja z przeglądarką, chmurą lub smartfonem
  • będziecie posiadali rozwiązanie zaufane i popularne w branży IT

Jak to działa w praktyce?

  1. Instalujecie i konfigurujecie główne hasło do managera (najważniejsze, jedyne, więc długie! np. 4-5 wyrazów)
  2. Wchodzicie na dowolną stronę, portal gdzie chcecie się zarejestrować
  3. Generujecie hasło i dodajecie nowy wpis w managerze
Wpisywanie głównego hasła w managerze haseł KeePassXC

A potem na codzień jedynie:

  1. Wpisujecie główne hasło w managerze
  2. Kopiujecie login i hasło dla danego konta (np. Facebook)
  3. Wchodzicie na stronę i wklejacie login i hasło

-> i tak dla dowolnej strony

No dobra, ale jaki w tym zysk? Najważniejszy – różne hasła do różnych serwisów. Ponieważ najczęstszym powodem przejęcia konta jest wyciek danych z serwisu A (np. Spotify) i próba logowania się tymi danymi przez przestępców we wszystkich innych serwisach (np. Facebook, Gmail).

Dzięki temu każde Wasze hasło może mieć 30 znaków, a Wy nie musicie go nawet pamiętać. Pamiętacie tylko jedno główne hasło (tzw. master password).

Uwaga! Życie można sobie jeszcze bardziej ułatwić:

  • można skorzystać z dodatku do przeglądarki, który może sam Wam wpisywać lub podpowiadać hasła na odwiedzanych stronach (jeśli np. tylko Wy korzystacie ze swojego laptopa)
  • można skorzystać z serwisu w chmurze (jeśli zaufacie danej firmie) – wtedy macie te same “sejfy” i na laptopie, i na komórce
  • ale można też skorzystać z bazy “lokalnej” na komputerze i ją wysyłać dowolnym sposobem na komórkę (np. przez Bluetooth, albo Dysk Google)

A ile to kosztuje?

Nie będę dziś przekonywał na siłę, że warto w 2020 korzystać z managera haseł. Ja uważam to za niezbędne, tak jak korzystanie z hm… smsów/kodów z potwierdzeniem w banku (o tym zaraz). Jeśli chcielibyście skorzystać, to ja prywatnie proponuję konkretne darmowe i przetestowane „publicznie” rozwiązanie:

manager haseł KeePassXC + dodatek do przeglądarki KeePassXC-Browser + ew. dla chętnych na smartfony Keepass2Android (Android) / Strongbox (iOS)

Są też inne aplikacje. Serdecznie polecam dwa artykuły: starszy na Niebezpieczniku i jeszcze ciepły (kilka dni, akurat przed moim wpisem :)) na ZaufanejTrzeciejStronie. Krok po kroku super wytłumaczone, a jeśli będziecie mieli problem – piszcie!

MałyWyciek (ciekawostka ze świata IT): VPN

W ostatnich tygodniach może szczególnie obiło się o uszy Wam hasło: VPN, czyli Virtual Private Network. Jest to specjalny rodzaj połączenia w Internecie, który umożliwia m.in.: a) bezpieczne połączenie do siedziby firmy, dla dostępu tak, jakbyście byli w firmie np. dla pracy zdalnej; b) “wyjście” do Internetu zamiast z Polski to z wybranego kraju (np. połączenie z USA dla ichniejszej ramówki Netflixa). Można to rozumieć jako bezpieczny tunel do firmy/do wybranego kraju dla Waszego połączenia z Internetem. Istnieją rozwiązania dla firm (wtedy tzw. klienta VPN, czyli specjalny program musi dostarczyć Wam Wasza firma) lub indywidualne (bezpłatne – których nie polecam – i płatne).

Więcej źródeł dla chętnych: 1 2 3

Czy to wystarczy? A kolejne składniki?

Nie :). Jest to jeden z ważniejszych elementów, ale cała ta seria wpisów jest o tym, żeby Wasze korzystanie z Internetu było bezpieczniejsze. Na blogu proponuje raczej dłuższy dystans, niż sprint z kilkoma instrukcjami w jednym wpisie. Uważam, że warto wprowadzać nowe praktyki krok po kroku, tydzień po tygodniu, może np. w piątki o 13.14? 😉

Więc są jeszcze kolejne składniki bezpieczeństwa… A w przypadku haseł mówimy o tzw. “dwuskładnikowym uwierzytelnianiu (logowaniu)” lub “wieloskładnikowym”, z angielskiego odpowiednio: 2FA – two factor authentication, MFA – multifactor authentication.

Jak to działa? Po wpisaniu (wklejeniu z managera :)) hasła, potrzebujecie dostarczyć na stronie “drugi/kolejny składnik”, czyli np:

  • kod z sms
  • kod z e-maila
  • kod z aplikacji na smartfonie
  • potwierdzenia w powiadomieniu na smartfonie
  • urządzenie na USB tzw. token sprzętowy, najbezpieczniejsze

Dzięki temu, zły haker nawet jeśli przejmie Wasze hasło (jeśli mielibyście takie samo w innym serwisie), będzie miał utrudnione zalogowanie się, ponieważ u siebie nie dostanie np. kodu z aplikacji na smartfonie.

Na marginesie: smsy nie są już uważane za bezpieczny drugi składnik :). Ale lepszy taki niż żaden!

Zadanie dla Was

Wasz krok na ten weekend:

  1. Zarejestrujcie się na darmowy webinar od Niebezpiecznika! Akurat będzie o hasłach i innych dobrych praktykach 🙂 8 kwietnia, środa, 19.00.
  2. Sprawdźcie czy Wasz e-mail kiedyś nie wyciekł na stronie: haveibeenpwned.com

Jest duża szansa, że wyciekł, ale jeśli nie to… kiedyś pewnie wycieknie 🙂 Nie ma się co bać, tylko warto minimalizować ryzyko, o czym pisałem w pierwszym poście. Aha, to jest jedyna słuszna strona do sprawdzania wycieków, nigdy gdzie indziej nie wpisujcie dla sprawdzenia Waszych e-maili, a tym bardziej haseł. Tzn. wpisujcie wyłącznie do zalogowania na stronach, których dotyczy dane konto :).

  1. Przeczytajcie wspomniany wyżej artykuł z Zaufanej Trzeciej Strony i jeśli chcecie to zainstalujcie sobie manager haseł, np. KeePassXC.
  2. Skonfigurujcie dwuskładnikowe uwierzytelnianie na Waszej skrzynce pocztowej i w mediach społecznościowych. Pamiętajcie, że zgadzacie się wtedy udostępnić Wasz numer firmie, z której usług korzystacie (np. Google, Facebook).

Jeśli potrzebowalibyście pomocy w jakimkolwiek kroku – napiszcie do mnie, chętnie pomogę.

Podsumowanie

Najważniejsze na dziś to:

  1. W 2020 roku warto korzystać z managera haseł, ostatecznie z wbudowanego w przeglądarkę (Firefox/Chrome, lepiej taki niż żaden) lub mieć po prostu różne i długie hasła złożone najlepiej z 4-5 wyrazów…
  2. Bardzo zachęcam włączyć wszędzie gdzie się da “2FA/MFA”, czyli dwu-/wielo-składnikowe uwierzytelnianie (logowanie), żeby znacznie utrudnić przejęcie Waszego konta.

Tyle na dziś, jeśli chcecie o coś zapytać lub mogę Wam jakoś w tym temacie pomóc, to piszcie w komentarzu lub mailowo (at to inaczej @).

Do usłyszenia w piątek za 2 tygodnie (po Świętach) o 13.14!

2 odpowiedzi na “DlaZnajomych03: “Eksperci są w szoku, znalazł 1 prosty sposób na zapamiętanie swoich haseł”, czyli dwie ważne praktyki dot. haseł”

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *