dodany: 03.12.2012 | tagi: ,

Autor:

Prosty sposób na zabezpieczanie haseł

1

W poprzednim artykule nawiązałem do tematyki szyfrowania dysków i dbania o bezpieczeństwo własnych danych przechowywanych w komputerach. Już po napisaniu porównania dostępnych podejść pomyślałem, że warto też wspomnieć o powiązanym zagadnieniu, czyli o bezpieczeństwie haseł – istotnych elementów wszelkich mechanizmów ochrony dostępu do danych i urządzeń.

Zwykle użytkownicy komputerów korzystają ze standardowych i dostępnych mechanizmów, nie zastanawiając się, czy są one wystarczające i czy nie ma potencjalnego zagrożenia włamaniem. Wielu z nas konfiguruje hasło do profilu, będąc przekonanym, że nie jest możliwe uzyskanie dostępu do konta i kradzież danych. Wydaje nam się, że skoro mamy ustawione „trudne” hasło składające się z liter, cyfr i znaków specjalnych to nic się nie wydarzy.

Niestety, hasła do profili i kont nie są tak bezpieczne jak byśmy chcieli, a najsłabszym ogniwem jest zawsze człowiek. Nawet jeśli ustawimy niesamowicie trudne hasło, zaszyfrujemy dane na dysku i zainstalujemy kilka zabezpieczeń, zawsze ktoś może się domyślić jakie mamy hasło lub wejść w jego posiadanie nielegalnie. Wystarczy chwila nieuwagi, kartka z hasłem przyklejona koło monitora i jesteśmy w kłopocie. Działa to analogicznie do przyklejania numerów PIN do kart płatniczych (lub nanoszenia ich pisakiem na karcie (sic!).

Konto do profilu to jedne z wielu wrót do naszych danych – mamy przecież konta e-mailowe, na portalach społecznościowych, dostęp do konta bankowego przez internet. Zastanówcie się teraz przez chwilę, jak przechowujecie hasła do tych wszystkich usług i miejsc – czy pamiętacie wszystkie? A może notujecie je sobie w plikach tekstowych? Może trzymacie je w notatkach albo w programach pocztowych? Jaki sposób by nie był – po zalogowaniu do konta jest pełny dostęp do tych danych (chyba że zaszyfrujecie plik w którym są zapisane tak jak opisywałem poprzednio).

Przechowywanie haseł jest o tyle niewdzięczne, że często oprócz samego hasła musimy pamiętać także login, lokalizację usługi, nazwę schematu bazy danych czy inne powiązane informacje, bez których samo hasło jest bezużyteczne. Jeżeli wszystkie te dane zapiszemy np. w jednym niezaszyfrowanym pliku tekstowym, to w przypadku niepowołanego dostępu do niego przez inne osoby, będziemy mieli duży problem.

Rozwiązaniem, które jest popularne i odpowiada dokładnie potrzebom przechowywania haseł są programy z grupy „menedżerów haseł” (ang. Password Managers). Część z Was, drodzy Czytelnicy, pewnie wie o co chodzi lub przynajmniej o tym słyszała. Są to proste lub bardziej skomplikowane aplikacje instalowane na komputerze (lub dostarczane np. z systemem operacyjnym lub innymi programami), które umożliwiają bezpieczne zapisywanie wszelkich haseł, numerów kart kredytowych, loginów, PIN-ów itp. i zabezpieczenie dostępu do tych wszystkich danych jednym głównym hasłem (niestety nie da się tego uniknąć :-)).

Oprócz tego istnieją dodatkowe funkcjonalności – generatory haseł, zabezpieczenie przed złośliwym oprogramowaniem typu keylogger, wirtualne klawiatury w trakcie wpisywania hasła i inne opcje, ale przede wszystkim – dane są zaszyfrowane w bardzo bezpieczny sposób.

Przykładem takiego oprogramowania może być program KeePass, który oferuje naprawdę wszystko, co potrzeba i jest wygodny w użyciu. Po zapisaniu haseł możemy je łatwo skopiować do wykorzystania w formularzach, a przechowywane dane można na różne sposoby porządkować i uzupełniać. Sama aplikacja po uruchomieniu prezentuje się tak jak na poniższej ilustracji:

Dodawanie nowego hasła do bazy aplikacji jest trywialne i sprowadza się do wypełnienia jednego ekranu, przedstawionego na poniższej ilustracji:

Jest także dostępny generator haseł, który zapewnia odpowiednią ich zawartość i poziom bezpieczeństwa tak wysoki, jak sami zdecydujemy że ma być:

Powyżej zaprezentowana aplikacja jest jedną z wielu, a opisałem ją dlatego, że do tej pory się na niej nie zawiodłem i sprawdziła się w każdej typowej sytuacji, a co najważniejsze jest darmowa (open source) i zapewnia odpowiedni poziom bezpieczeństwa. Istnieje sporo alternatywnych rozwiązań, zarówno bezpłatnych, jak i komercyjnych i myślę, że warto spróbować także innych aplikacji, zanim powierzymy jednej z nich swoje dane.

Niezależnie od wybranego rozwiązania, warto na pewno skorzystać z jakiegokolwiek „menedżera haseł”. Trudno jest upilnować wszystkie liczne hasła, loginy i inne ważne dane tradycyjnymi sposobami (kartka, notes, plik tekstowy). Dzięki zastosowaniu takiej aplikacji, mamy wszystko w jednym miejscu i pod ręką.

Jak ze wszystkimi rozwiązaniami – to ma jedną naprawdę istotną wadę – jeśli zapomnimy hasło główne do pliku z danymi to możemy się pogodzić z faktem utraty wszystkich zapisanych danych – są zaszyfrowane. Ale to chyba jest mniej prawdopodobne niż zapomnienie połowy z tych haseł, które przechowujemy,  szczególnie, że wiele usług wymusza cykliczną zmianę, hasła np. co 30 dni. Pewnym ułatwieniem może być możliwość wykorzystania hasła do np. profilu w systemie Windows (przykładowo KeePass to oferuje) – wybór należy do użytkownika.

Dla porównania możliwości różnych aplikacji zamieszczam poniżej kilka linków – znajdziecie tam zestawienia i recenzje różnych rozwiązań i będziecie mogli łatwiej znaleźć coś dla siebie:

http://password-management-software-review.toptenreviews.com

http://lifehacker.com/5042616/five-best-password-managers

http://www.pcmag.com/article2/0,2817,2407168,00.asp

http://www.infoworld.com/d/security/review-7-password-managers-windows-mac-os-x-ios-and-android-189597

avatar
IT Project Manager
Kierownik projektu, analityk i projektant z szeroką wiedzą techniczną i doświadczeniem w procesie tworzenia oprogramowania, zdobytymi w trakcie realizacji projektów, także dofinansowywanych z UE.

Jedna odpowiedź do “Prosty sposób na zabezpieczanie haseł”

  1. avatar blad201 napisał(a):

    Popieram – używam KeePass-a od lat i trzymam w nim nie tylko piny, puki, hasła, ale również niewielkie załączniki: np. pliki konfiguracyjne do ruterów, switchy itp.
    Dla kogoś kto chce zacząć pracę z KeePass-em jest wersja polska łopatologicznej instrukcji na: http://di.com.pl/porady/30675,0,Poradnik_do_progr

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *