Zarządzanie hasłami w organizacji

Chociaż używamy obecnie więcej haseł dostępu niż kiedykolwiek, wiele osób wciąż nie bierze na poważnie kwestii tworzenia i zarządzania nimi. W firmie warto stosować menedżery haseł – powinni z nich korzystać wszyscy pracownicy, niezależnie od zajmowanych stanowisk. Podpowiadamy, jak wybrać dobrego menedżera haseł, i polecamy kilka aplikacji.

Zazwyczaj użytkownicy mają ok. 10 różnych loginów i haseł, niemniej specjaliści IT i menedżerowie mogą ich mieć nawet kilkaset. Zapamiętanie wszystkich haseł jest niemożliwe, a jedna z podstaw bezpieczeństwa brzmi: nie stosuj tych samych haseł do wszystkich kont online. Ponieważ takie rozwiązania jak czytniki linii papilarnych czy inne technologie do zabezpieczania dostępu ciągle nie są popularne, musimy polegać na zwyczajnych hasłach i loginach, wpisywanych na klawiaturze lub na ekranie dotykowym.

Aby cieszyć się wysokim poziomem bezpieczeństwa, a jednocześnie nie musieć pamiętać haseł do poszczególnych usług i aplikacji, warto zainstalować menedżera haseł. Jest to specjalne oprogramowanie, które w bezpieczny sposób zarządza i przechowuje nasze loginy i hasła. Jest też bezpieczniejsze niż menedżery haseł domyślnie wbudowane w przeglądarkę www.

Zobacz również:

Przeglądarkowe menedżery haseł nie wystarczą

Przeglądarki internetowe, takie jak: Chrome, Firefox czy Opera, mają zintegrowane menedżery haseł. Kiedy logujemy się na wybraną stronę, przeglądarka wyświetla komunikat, pytając, czy zapisać (zapamiętać) login i hasło. Są to użyteczne funkcje, jednak ich adresatami są raczej konsumenci niż firmy. Dlaczego? Ponieważ większość przeglądarek przechowuje zapisane hasła lokalnie, na dysku komputera, w dodatku w katalogu, który nie jest zaszyfrowany. Jeśli więc ktoś wie, gdzie szukać, bez trudu znajdzie nasze hasła – chyba że samodzielnie szyfrujemy dyski.

Dobrej jakości menedżer haseł nie tylko dba o bezpieczeństwo, ale też wygodę użytkowania. Oznacza to, że może za nas automatycznie wypełniać wszelkie formularze online. Nawet jeśli menedżer ominie jakieś pole z formularza, to przynajmniej pozostałe rubryki zostaną automatycznie wypełnione.

Firefox to jedna z przeglądarek, które mają funkcję „master password”, pozwalającą na zaszyfrowanie wszystkich zapisanych haseł i loginów jednym, głównym hasłem. Wówczas hasła są przechowywane w formie zaszyfrowanej, niemniej menedżer z tej przeglądarki również nie jest bez wad. Nie zawiera m.in. funkcji do generowania bezpiecznych i losowych haseł, brakuje mu także funkcji synchronizacji pomiędzy różnymi platformami (np. pomiędzy Windows a iOS).

Kiedy korzystamy z wyspecjalizowanych menedżerów haseł, nie mamy takich problemów, a dodatkowo możemy liczyć na inne, równie przydatne funkcje. Jedną z nich jest bezpieczne dzielenie się hasłami. Zamiast wysyłania haseł i loginów w wiadomościach e-mail czy SMS, możemy wygenerować specjalne łącze dla współpracownika i następnie je udostępnić. Można też generować dowolną liczbę bezpiecznych haseł, czyli takich, które składają się z nic niemówiących ciągów znaków i cyfr, zawierają znaki specjalne i są odpowiednio długie. Wystarczy jedno kliknięcie i gotowe.

Dwuetapowa weryfikacja wymagana

Najpopularniejsze hasło to 123456

Organizacje DataLossDB, Open Security Foundation oraz Trustwave przeanalizowały, jakie hasła są najpopularniejsze wśród użytkowników, korzystając z baz danych z przejętymi hasłami, które zostały udostępnione publicznie w sieci.

Liczba przejętych haseł:

1. Sony: 77 000 000

2. Evernote: 50 000 000

3. Rockyou: 32 000 000

4. LinkedIn: 6 458 020

5. Nokia: 1 500 000

6. Yahoo!: 453 492

7. Facebook: 318 000

8. Gmail, Google+ i YouTube: 70 500

9. IEEE: 100 000

10. Twitter: 21 700

Wśród przejętych haseł najpopularniejsza dziesiątka to:

1. 123456 – 15 820 użytkowników

2. 123456789 – 4875

3. 1234 – 3135

4. password – 2212

5. 12345678 – 2045

6. admin – 1991

7. 123 – 1453

8. 1 – 1224

9. 1234567 – 1170

10. 111111 – 1046

Producenci menedżerów haseł wykorzystują najczęściej model zero-knowledge, co oznacza, że przechowują na swoich serwerach wyłącznie zaszyfrowaną kopię pliku z hasłami (tzw. skarbiec haseł). Nie mogą więc odkodować pliku, ani tym bardziej podejrzeć, jakie mamy hasła i loginy. Aby następnie użytkownik mógł korzystać z menedżera, zawartość skarbca jest wysyłana w formie zaszyfrowanej, gdzie na jego komputerze jest odszyfrowywana lokalnie za pomocą hasła głównego (master password), które nigdy nie jest wysyłane do internetu i na serwery producenta. Jeśli więc okazałoby się, że cyberprzestępcy włamią się na serwery usługodawcy i przejmą przechowywane dane, i tak nie zyskają dostępu do naszych loginów i haseł, ponieważ ciągle nie będą mieć hasła głównego, które otwiera skarbiec. Model zero-knowledge stosowany jest m.in. przez firmy LastPass iDashlane.

Choć jest to bezpieczne rozwiązanie, zero-knowledge nie zapewni ochrony, jeśli haker włamie się do naszego komputera i uzyska dostęp do hasła głównego. Dla przykładu haker może zdobyć nasze hasło, jeśli zainfekuje komputer oprogramowaniem key jogging malware (pozwala dowiedzieć się, jakie znaki wpisujemy na klawiaturze). Z tego powodu warto się dodatkowo zabezpieczyć i wybrać menedżera haseł, który obsługuje dwuetapowe uwierzytelnianie (ang. two-factor authentication).

Dwuetapowe uwierzytelnianie umożliwia logowanie się do menedżera haseł za pomocą hasła głównego, jak również jednorazowego hasła dodatkowego, które otrzymamy np. SMS-em na nasz telefon. Obecnie większość producentów oferuje już dwuetapowe uwierzytelnianie, niemniej warto się upewnić przed wyborem, czy rzeczywiście tak jest. Korzystając z tego zabezpieczenia, zyskamy pewność, a przynajmniej większą szansę, że haker, nawet jeśli uzyska dostęp do hasła głównego, to i tak nie będzie w stanie zalogować się na nasze konto. Oczywiście, zakładamy, że haker nie zdobędzie też naszego telefonu. Nie trzeba chyba podkreślać, że sam telefon powinien być odpowiednio zabezpieczony.

Na koniec warto pamiętać, że niektóre usługi online (np. Gmail) oferują własną funkcję dwuetapowego uwierzytelniania. Jeśli tak jest, należy z nich korzystać. To dodatkowa warstwa ochronna: nawet jeśli haker zdobędzie dostęp do menedżera haseł, będzie musiał pokonać kolejną zaporę, tym razem konkretnego usługodawcy.

Autouzupełnianie i funkcje dodatkowe

Kiedy zaczniemy używać menedżera haseł, program podświetli wszystkie hasła, które uzna za słabe i łatwe do złamania. Warto je wówczas zmienić na trudniejsze. Niektóre z menedżerów mogą je zmienić za nas w sposób automatyczny, wykorzystując do tego wbudowany generator haseł.

Co ważne, menedżery haseł synchronizują dane pomiędzy platformami Windows, Mac, Android i iOS. Nie trzeba się zatem martwić, że na ekranie smartfona przyjdzie nam wpisywać trudne i niewygodne do wprowadzania hasła, takie jak %3z9L$!xce!. Menedżer haseł przeprowadzi odpowiednią synchronizację danych, a jeśli smartfon ma czytnik linii papilarnych, może nawet zaproponować, aby zamiast wpisywania hasła głównego wykorzystywać do logowania opuszki palców.

Dobrej jakości menedżer haseł nie tylko dba o bezpieczeństwo, ale też wygodę użytkowania. Oznacza to, że może za nas automatycznie wypełniać wszelkie formularze online – zarówno w przypadku logowania do usług, jak i podczas uzupełniania danych kontaktowych, takich jak: imię, nazwisko, nazwa firmy, adres zamieszkania, czy też adres e-mail i nr telefonu. Nawet jeśli menedżer ominie czasami jakieś pole z formularza, to przynajmniej pozostałe zostaną już automatycznie wypełnione. To zawsze miła oszczędność czasu.

Z funkcji dodatkowych warto wymienić jeszcze zarządzanie hasłami aplikacji, nie zaś stron www, czy nawet możliwość przesłania danych logowania do wybranej osoby, jeśli nie wykazujemy przez długi czas żadnych aktywności (opcja nazywana często „na wypadek śmierci...” lub Digital Legacy). Najwięcej funkcji mają wykorzystywane przez wielu użytkowników, istniejące na rynku od szeregu lat menedżery haseł, takie jak LastPass i Dashlane. Jeśli nie zdecydujemy się na którąś z tych aplikacji, pozostałe wymienione w artykule też zapewnią odpowiednią funkcjonalność. Każda z nich obsługuje najważniejsze funkcje i wybór powinien zależeć głównie od tego, czy spodoba nam się interfejs i cena.

Jak wybrać hasło główne?

Hasło główne (ang. master password) jest tak naprawdę kluczowe. Od niego bowiem zależy, jak bezpieczny będzie menedżer haseł. Co z tego, jeśli będziemy używać generatora haseł do poszczególnych serwisów i usług, jeśli hasło główne – odblokowujące dostęp do menedżera – byłoby np. ciągiem znaków 123456?

Wybierając hasło główne, warto trzymać się paru zasad:

• hasło powinno mieć co najmniej 12 znaków, a najlepiej ok. 20;

• powinno składać się z małych i dużych liter, cyfr, a także znaków specjalnych (np. !@#$%^);

• należy unikać powtarzania tych samych znaków (np. 33333);

• nie należy korzystać z wyrazów, które znajdziemy w słowniku

• należy unikać sekwencji znaków występujących w kolejności (np. 123456);

• nie powinno się stosować ciągów klawiaturowych (np. qwerty);

• nie umieszczać osobistych danych, takich jak data urodzin, numer PESEL, inicjały, nazwisko.

Dobre hasło główne jest zarówno trudne do odgadnięcia dla ludzi, jak i dla komputerów korzystających z metody brute force. Aby je stworzyć, należy zacząć od wyboru kilku słów. Dla przykładu, mogą to być takie wyrazy: maserati, olivia, jesień, czerwony. Następnie trzeba dodać do tych wyrazów znaki specjalne i cyfry. Przykład: maserati98, olivia29, jesień2008, czerwony12. Kolejny krok to dodanie znaków specjalnych i połączenie wspomnianych wyrazów w jeden długi ciąg znaków. Trzeba też dodać kilka wielkich liter. W ten sposób powstanie takie hasło, jak: MaSerati98#OlIvia29#JesiEn2008%^CZerW0ny! Mamy tu hasło główne składające się z 41 znaków, które powinno udać się zapamiętać, a jednocześnie jest ono bardzo bezpieczne.

Przydatne narzędzia do automatyzacji

W naszym przeglądzie wybraliśmy najpopularniejsze menedżery haseł. Każdy z nich współpracuje z popularnymi przeglądarkami www i platformami, każdy obsługuje też bezpieczną dwuetapową weryfikację. Niektóre, takie jak: Dashlane, LastPass, LogMeOnce i Keeper, pozwalają bezpiecznie dzielić się hasłami z innymi użytkownikami.

Menedżery haseł to dość kosztowne oprogramowanie, zwłaszcza jeśli chcemy wdrożyć je w dużej firmie, np. dla 100 użytkowników. Podane w tabeli ceny obowiązują dla jednej licencji wykupionej na rok. Niektórzy producenci oferują zniżki, jeśli kupujemy licencje hurtowo (np. od razu 500), inni przygotują indywidualną wycenę. Co ważne, każdy menedżer występuje także w wersji bezpłatnej, niemniej są one pozbawione dostępu do wsparcia technicznego i synchronizacji pomiędzy urządzeniami. Jeśli więc w firmie pracownicy korzystają z różnych urządzeń (np. laptop i smartfon), wówczas łatwiejszą w obsłudze będzie wersja płatna menedżera. Ewentualnie płatne wersje można wykupić tylko dla wybranych pracowników, np. zespołu handlowego, którego członkowie często podróżują i istnieje większe ryzyko, że ich sprzęt może zostać skradziony lub zgubiony.