Kategorie
Dla Znajomych

DlaZnajomych03: “Eksperci są w szoku, znalazł 1 prosty sposób na zapamiętanie swoich haseł”, czyli dwie ważne praktyki dot. haseł

Wstęp

Cześć! Dzisiaj wpis typu “jak sobie ułatwić życie” w korzystaniu z Internetu, a mianowicie dwie dobre praktyki dotyczących haseł. Dowiecie się:

  • jak można zapomnieć (prawie) wszystkie hasła i nadal być bezpiecznym w Internecie
  • co to jest dwuskładnikowe/wieloskładnikowe uwierzytelnianie

Chcę dziś zaznaczyć jedynie temat i odesłać Was do świetnych materiałów (w tym darmowego webinaru!).

Kawa gotowa? Zaczynamy 🙂

Przeczytanie zajmie Ci: 5 min.

Hasła są jak… majtki?

Photo by Thomas Q on Unsplash

Dokładnie takie porównanie przez lata funkcjonowało w świecie IT, dlatego że “trzeba mieć własne, zmieniać je często i trzymać w ukryciu” 😉 Ale… od ponad roku zmiana hasła co jakiś czas nie jest zalecana. Dlaczego? Bo “pod przymusem” ludzie ustawiali kolejne hasła łatwe do zapamiętania, różniące się niewiele, na przykład:

  • mojehasloWiosna21@
  • mojehasloLato22#
  • qwertyzxc
  • 12345678
  • itd…

W takim razie, co w zamian?

Najważniejsza zasada bezpiecznych haseł w 2020 roku

Hasła powinny być różne dla różnych kont oraz mieć minimum – uwaga – 20 znaków (np. 4-5 wyrazów), a najlepiej powinny być generowane przez managera haseł.

Najważniejsza zasada dot. haseł w 2020 roku wg autora bloga Uszczelka.IT

Jeśli skorzystacie z managera haseł:

  • wystarczy, że zapamiętacie jedno główne hasło do managera 🙂
  • wszystkie inne hasła macie bezpiecznie przechowane w zaszyfrowanym “sejfie” (managerze haseł)
  • wszystkie inne hasła mogą być generowane różne dla różnych kont – ważne
  • wszystkie inne hasła mogą być generowane w sposób bezpieczny (możecie dać nawet 30 wygenerowanych przypadkowych znaków – i nie musicie ich pamiętać!)
  • dla chętnych możliwa jest integracja z przeglądarką, chmurą lub smartfonem
  • będziecie posiadali rozwiązanie zaufane i popularne w branży IT

Jak to działa w praktyce?

  1. Instalujecie i konfigurujecie główne hasło do managera (najważniejsze, jedyne, więc długie! np. 4-5 wyrazów)
  2. Wchodzicie na dowolną stronę, portal gdzie chcecie się zarejestrować
  3. Generujecie hasło i dodajecie nowy wpis w managerze
Wpisywanie głównego hasła w managerze haseł KeePassXC

A potem na codzień jedynie:

  1. Wpisujecie główne hasło w managerze
  2. Kopiujecie login i hasło dla danego konta (np. Facebook)
  3. Wchodzicie na stronę i wklejacie login i hasło

-> i tak dla dowolnej strony

No dobra, ale jaki w tym zysk? Najważniejszy – różne hasła do różnych serwisów. Ponieważ najczęstszym powodem przejęcia konta jest wyciek danych z serwisu A (np. Spotify) i próba logowania się tymi danymi przez przestępców we wszystkich innych serwisach (np. Facebook, Gmail).

Dzięki temu każde Wasze hasło może mieć 30 znaków, a Wy nie musicie go nawet pamiętać. Pamiętacie tylko jedno główne hasło (tzw. master password).

Uwaga! Życie można sobie jeszcze bardziej ułatwić:

  • można skorzystać z dodatku do przeglądarki, który może sam Wam wpisywać lub podpowiadać hasła na odwiedzanych stronach (jeśli np. tylko Wy korzystacie ze swojego laptopa)
  • można skorzystać z serwisu w chmurze (jeśli zaufacie danej firmie) – wtedy macie te same “sejfy” i na laptopie, i na komórce
  • ale można też skorzystać z bazy “lokalnej” na komputerze i ją wysyłać dowolnym sposobem na komórkę (np. przez Bluetooth, albo Dysk Google)

A ile to kosztuje?

Nie będę dziś przekonywał na siłę, że warto w 2020 korzystać z managera haseł. Ja uważam to za niezbędne, tak jak korzystanie z hm… smsów/kodów z potwierdzeniem w banku (o tym zaraz). Jeśli chcielibyście skorzystać, to ja prywatnie proponuję konkretne darmowe i przetestowane „publicznie” rozwiązanie:

manager haseł KeePassXC + dodatek do przeglądarki KeePassXC-Browser + ew. dla chętnych na smartfony Keepass2Android (Android) / Strongbox (iOS)

Są też inne aplikacje. Serdecznie polecam dwa artykuły: starszy na Niebezpieczniku i jeszcze ciepły (kilka dni, akurat przed moim wpisem :)) na ZaufanejTrzeciejStronie. Krok po kroku super wytłumaczone, a jeśli będziecie mieli problem – piszcie!

MałyWyciek (ciekawostka ze świata IT): VPN

W ostatnich tygodniach może szczególnie obiło się o uszy Wam hasło: VPN, czyli Virtual Private Network. Jest to specjalny rodzaj połączenia w Internecie, który umożliwia m.in.: a) bezpieczne połączenie do siedziby firmy, dla dostępu tak, jakbyście byli w firmie np. dla pracy zdalnej; b) “wyjście” do Internetu zamiast z Polski to z wybranego kraju (np. połączenie z USA dla ichniejszej ramówki Netflixa). Można to rozumieć jako bezpieczny tunel do firmy/do wybranego kraju dla Waszego połączenia z Internetem. Istnieją rozwiązania dla firm (wtedy tzw. klienta VPN, czyli specjalny program musi dostarczyć Wam Wasza firma) lub indywidualne (bezpłatne – których nie polecam – i płatne).

Więcej źródeł dla chętnych: 1 2 3

Czy to wystarczy? A kolejne składniki?

Nie :). Jest to jeden z ważniejszych elementów, ale cała ta seria wpisów jest o tym, żeby Wasze korzystanie z Internetu było bezpieczniejsze. Na blogu proponuje raczej dłuższy dystans, niż sprint z kilkoma instrukcjami w jednym wpisie. Uważam, że warto wprowadzać nowe praktyki krok po kroku, tydzień po tygodniu, może np. w piątki o 13.14? 😉

Więc są jeszcze kolejne składniki bezpieczeństwa… A w przypadku haseł mówimy o tzw. “dwuskładnikowym uwierzytelnianiu (logowaniu)” lub “wieloskładnikowym”, z angielskiego odpowiednio: 2FA – two factor authentication, MFA – multifactor authentication.

Jak to działa? Po wpisaniu (wklejeniu z managera :)) hasła, potrzebujecie dostarczyć na stronie “drugi/kolejny składnik”, czyli np:

  • kod z sms
  • kod z e-maila
  • kod z aplikacji na smartfonie
  • potwierdzenia w powiadomieniu na smartfonie
  • urządzenie na USB tzw. token sprzętowy, najbezpieczniejsze

Dzięki temu, zły haker nawet jeśli przejmie Wasze hasło (jeśli mielibyście takie samo w innym serwisie), będzie miał utrudnione zalogowanie się, ponieważ u siebie nie dostanie np. kodu z aplikacji na smartfonie.

Na marginesie: smsy nie są już uważane za bezpieczny drugi składnik :). Ale lepszy taki niż żaden!

Zadanie dla Was

Wasz krok na ten weekend:

  1. Zarejestrujcie się na darmowy webinar od Niebezpiecznika! Akurat będzie o hasłach i innych dobrych praktykach 🙂 8 kwietnia, środa, 19.00.
  2. Sprawdźcie czy Wasz e-mail kiedyś nie wyciekł na stronie: haveibeenpwned.com

Jest duża szansa, że wyciekł, ale jeśli nie to… kiedyś pewnie wycieknie 🙂 Nie ma się co bać, tylko warto minimalizować ryzyko, o czym pisałem w pierwszym poście. Aha, to jest jedyna słuszna strona do sprawdzania wycieków, nigdy gdzie indziej nie wpisujcie dla sprawdzenia Waszych e-maili, a tym bardziej haseł. Tzn. wpisujcie wyłącznie do zalogowania na stronach, których dotyczy dane konto :).

  1. Przeczytajcie wspomniany wyżej artykuł z Zaufanej Trzeciej Strony i jeśli chcecie to zainstalujcie sobie manager haseł, np. KeePassXC.
  2. Skonfigurujcie dwuskładnikowe uwierzytelnianie na Waszej skrzynce pocztowej i w mediach społecznościowych. Pamiętajcie, że zgadzacie się wtedy udostępnić Wasz numer firmie, z której usług korzystacie (np. Google, Facebook).

Jeśli potrzebowalibyście pomocy w jakimkolwiek kroku – napiszcie do mnie, chętnie pomogę.

Podsumowanie

Najważniejsze na dziś to:

  1. W 2020 roku warto korzystać z managera haseł, ostatecznie z wbudowanego w przeglądarkę (Firefox/Chrome, lepiej taki niż żaden) lub mieć po prostu różne i długie hasła złożone najlepiej z 4-5 wyrazów…
  2. Bardzo zachęcam włączyć wszędzie gdzie się da “2FA/MFA”, czyli dwu-/wielo-składnikowe uwierzytelnianie (logowanie), żeby znacznie utrudnić przejęcie Waszego konta.

Tyle na dziś, jeśli chcecie o coś zapytać lub mogę Wam jakoś w tym temacie pomóc, to piszcie w komentarzu lub mailowo (at to inaczej @).

Do usłyszenia w piątek za 2 tygodnie (po Świętach) o 13.14!

2 odpowiedzi na “DlaZnajomych03: “Eksperci są w szoku, znalazł 1 prosty sposób na zapamiętanie swoich haseł”, czyli dwie ważne praktyki dot. haseł”

Pozostaw odpowiedź Dawid Anuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *