- Dołączył
- 26 Maj 2015
- Posty
- 19194
- Reakcje/Polubienia
- 55830
źródło:Wyobraź sobie sytuację w której Twoje hasło do pewnego rozrywkowego portalu — do którego nie przywiązujesz większej wagi — nagle dostaje się w ręce cyberprzestępców. Zdarza się —Zaloguj lub Zarejestruj się aby zobaczyć!. Pech, że identyczne hasło ustawiłeś także do swojej skrzynki e-mail. Cyberprzestępca z wykradzionej bazy serwisu rozrywkowego odczytuje twój adres e-mail i postanawia sprawdzić, czy do e-maila masz takie samo hasło jak to do serwisu rozrywkowego. W ten sposób przestępca uzyskuje dostęp do Twojego konta mailowego, a to oznacza przejęcie całego Twojego wirtualnego życia. Bo wystarczy że przestępca kliknie ‘zapomniałem hasła’ we wszystkich serwisach jakie wpadną mu do głowy, poda twój adres e-mail, a linki do ustanowienia nowych haseł w serwisach w których posiadasz konta zostaną podesłane jeden za drugim, na Twoją skrzynkę do której on ma już dostęp.
3 rady, które pomogą w takiej sytuacji
NaZaloguj lub Zarejestruj się aby zobaczyć!, zawsze doradzamy po pierwsze uruchomienieZaloguj lub Zarejestruj się aby zobaczyć!w każdej usłudze, która je obsługuje. Po drugie stosowanieZaloguj lub Zarejestruj się aby zobaczyć!. A po trzecie, używanie unikalnego hasła dla każdego konta w internecie.
O ile dwie pierwsze rady są całkiem dobrze przyjmowane, o tyle trzecia budzi niemałe poruszenie, zwłaszcza u mniej technicznej części naszych kursantów. I nie ma się co temu dziwić. Wymyślenie i zapamiętanie dziesiątek różnych haseł, to nie lada wyczyn…
Niektórzy próbują więc wymyślić jedno silne hasło, np. ‘B4n4n00w3L00dy’, a później na jego podstawie generują hasła do kolejnych usług, np. ‘B4n4n00w3L00dyFacebook’, ‘B4n4n00w3L00dyGmail’, ‘B4n4n00w3L00dyWykop’ itd. To nie jest dobry pomysł. Przejęcie jednego z takich haseł ujawni “wzór” na stworzenie hasła do pozostałych serwisów.
Tylko używanie haseł unikatowych, czyli naprawdę różnych od siebie, jest poprawną metodą ochrony. Ale jak je wszystkie zapamiętać? Otóż wcale nie musisz ich pamiętać…
Używaj managera haseł
Można powiedzieć nawet więcej: czasami bezpieczniej jest nie znać niektórych swoich haseł — uodpornisz się w ten sposób na kryptograficzny atak za pomocąZaloguj lub Zarejestruj się aby zobaczyć!
Do generowania, bezpiecznego przechowywania i automatycznego wprowadzania haseł na stronach WWW warto wykorzystać managera haseł, czy to w formie osobnej aplikacji czy jako moduł wbudowany w każdą przeglądarkę internetową.
Nie wiesz który manager haseł wybrać? Zdecyduj się na Keepass.
Dlaczego Keepass?
Staraliśmy się znaleźć jedno rozwiązanie, które dogodzi wszystkim, a jednocześnie spełni kilka naszych warunków:
Nasz wybór padł na Keepassa z którego korzystają wszyscy pracownicy naszej redakcji. Najpopularniejszą instalowaną przez nas na komputerach (głównie ze względu na swoją wieloplatformowość) wersją Keepassa jest
- działa na Windowsie, Linuksie i Macu
- współpracuje z Androidem oraz iOS
- potrafi synchronizować swoje dane pomiędzy urządzeniami
- daje możliwość integracji z dowolną (współczesną) przeglądarką internetową
- oferuje mocne algorytmy szyfrowania
- jest aplikacją otwartoźródłową (unikniemy podejrzeń o ingerencje służb w kod)
- najlepiej gdyby rozwiązanie było darmowe
Zaloguj lub Zarejestruj się aby zobaczyć!.
Gdy uruchomisz KeePassa, zobaczysz taki oto ekran logowania. To jedno z trzech haseł, jakie od tej pory będziesz musiał pamiętać — hasło logowania do KeePassa. Dwa pozostałe które warto “wykuć” na pamięć, to hasło do skrzynki e-mail i hasło logowania do systemu operacyjnego.
Podstawy używania Keepassa
Podstawową rzeczą jakiej się musisz nauczyć jest rezygnacja z wymyślania nowych haseł. Za każdym razem gdy zakładasz konto w nowym serwisie, powinieneś użyć opcji “generuj nowe hasło” w Keepass (ikona czarnego sześcianu).
Tworzenie nowego wpisu w KeePassie
Kiedy już stworzysz wpis dla danego serwisu, to za każdym razem gdy będziesz chciał się do niego zalogować, umieść kursor w polu loginu na stronie i wciśnij CTRL+ALT+V. Keepass pokaże Ci parę login i hasło, które pasują do adresu serwisu do którego się logujesz. Kliknięcie na nie spowoduje automatyczne ich wpisanie.
Możesz też, będąc w polu login, przejść do aplikacji Keepass (ALT+TAB) i podświetlić ręcznie wybrane dane logowania których chcesz użyć, a następnie nacisnąć kombinację “CTRL+V” (CMD+V na MacOS). Spowoduje to wklejenie loginu do wybranego pola tekstowego, przejście do kolejnego pola w formularzu, wklejenie hasła i zatwierdzenie enterem.
Zintegruj go z przeglądarką!
Keepassa można też wywoływać z poziomu rozszerzenia do przeglądarki, które samo wyciągnie z bazy Keepassa odpowiednie hasło. Zaleta tego rozwiązania jest taka, że rozszerzenie po prostu nie zadziała na stronie phishingowej, stosującej np. literówki w nazwie domeny.
Rozszerzenie które sugerujemy toZaloguj lub Zarejestruj się aby zobaczyć!– polecamy je ze względu na to, że działa na Chrome, Firefoxie, Operze i Safari, czyli obsługuje wszystkie znaczące przeglądarki. Możesz oczywiście stosować inną wtyczkę na każdej platformie, ale dość szybko przyzwyczaisz się do jednego interfejsu zarządzania hasłami i prawdopodobnie wszędzie będziesz chciał aby wszędzie działało to podobnie.
Po zainstalowaniu wspomnianego rozszerzenia, musisz jedynie wykonać dwie czynności:
- Uruchomić integrację KeePassXC z przeglądarką (patrz screen niżej)
- Skonfigurować rozszerzenie, aby korzystało z połączenia z Twoją bazą (jeśli nie zmieniałeś domyślnych numerów portów, to powinno się to wykonać samodzielnie)
Gdy wszystko będzie już skonfigurowane poprawnie, za każdym razem gdy będziesz chciał użyć bazy Keepassa, klikniesz po prostu na ikonę KeePassHelper na pasku przeglądarki, a rozszerzenie samo podpowie Ci jakiego loginu/hasła powinieneś użyć. Jeśli któregoś dnia zobaczysz, że to okno jest puste (na stronie na której na 100% miałeś konto), to znaczy, że powinieneś zacząć się martwić, ponieważ prawdopodobnie trafiłeś na stronę phishingową.
Pamiętaj, że aby rozszerzenie do przeglądarki działało, Twój KeePass musi być odblokowany, a blokuje się on automatycznie np. po każdorazowym wylogowaniu się, czy zamknięciu klapy laptopa (możesz to zmienić w ustawieniach KeePassa).
Wymieniaj dane między urządzeniami
Doszedłeś już do etapu w którym nie znasz ani jednego swojego hasła z wyjątkiem danych dostępowych do swojego komputera oraz do samego Keepassa. Ale co jeśli jesteś poza domem (bez komputera) i musisz gdzieś zalogować się do jakiegoś serwisu z komórki? Nie pamiętasz hasła, bo jest ono losowe i przechowywane w Keepasie na komputerze.
Ten problem rozwiązuje synchronizacja bazy Keepassa pomiędzy urządzeniami (np. laptopem i smartfonem). Zacznij od instalacji wersji mobilnej Keepassa. Polecane przez nas rozwiązania mobilne:
Aplikację już masz, to teraz czas zadbać o to, aby baza danych z której korzysta mobilna i desktopowa wersja KeePassa była wspólna. Masz w zasadzie trzy wyjścia (z czego dwa działają z Keepassem):
- Keepass Touch (iOS)
- KeePass2Android (Android)
Jeśli chcesz pielęgnować swoją paranoję kosztem wygody obsługi komputera/smartfona, to koniecznie wybierz pierwszą z możliwości.
- każdorazowe wrzucanie bazy Keepassa na urządzenie mobilne gdy coś w niej modyfikujesz (mało wygodne),
- synchronizacja przez chmurę iCloud, Google Drive czy Dropbox,
- korzystanie z usług synchronizacji dostarczonych przez producenta (tylko płatne rozwiązania. Keepass tego nie obsługuje, ale jego konkurencja np. 1Password czy LastPass tak).
Dla reszty polecamy skorzystanie z usługi dowolnej chmury. Może to budzić Twoje obawy, bo jakby nie patrzeć, powierzasz komuś WSZYSTKIE swoje hasła do WSZYSTKICH usług. Pamiętaj jednak, że baza danych którą hostujesz w chmurze jest szyfrowana naprawdę mocnym algorytmem i jeśli tylko ustawiłeś jej dostatecznie mocne hasło dostępowe, to ani dostawca chmury ani ktoś, kto “włamie” się na Twoje chmurowe konto nie pozna zawartości Twojej bazy KeePassa.
Aby korzystać z tej samej bazy na komputerze i smartfonie, bazę na komputerze zapisuj w katalogu, który synchronizujesz z chmurą. A na telefonie, podczas uruchomienia KeePassa wybierz “Import” i wskaż plik z katalogu danej chmury:
Używanie aplikacji mobilnej Keepassa jest stosunkowo proste, ale różni się to od tego, do czego przywykłeś na desktopie. Rozwiązanie mobilne nie wypełni za Ciebie pól login/hasło. Skopiuje za to do schowka dane logowania których masz użyć. Twoim zadaniem będzie tylko wybranie opcji ‘wklej’ w odpowiednim polu (np. hasło). Pamiętaj, aby się pospieszyć z wklejaniem, bo ze względów bezpieczeństwa, zawartość schowka jest czyszczona przeważnie po 15-30 sekundach od skopiowania danych logowania (zależnie od użytej aplikacji).
A co, jeśli stracę bazę lub zapomnę hasła do KeePassa?
“Co się stanie jeśli stracę bazę danych Keepassa?” albo “co kiedy zapomnę hasło do mojego menedżera?”. To najczęstsze czarne myśli towarzyszące początkującym użytkownikom rozwiązań tego typu.
Po pierwsze dbaj o to, aby uwzględnić swoją bazę danych w regularnych backupach. Uchroni Cię to przed jej utratą. Po drugie, hasło do menedżera oraz hasło do Twojej skrzynki pocztowej to dwa hasła, które OBOWIĄZKOWO muszą znajdować się w Twojej głowie. Nawet jeśli utraciłbyś dostęp do wszystkich haseł z bazy Keepassa, a nadal pamiętałbyś jak dostać się na własnego maila, to będziesz w stanie odzyskać hasła dostępowe do większości usług.
Jak wygenerować i zapamiętać hasło do poczty/keepassa? Posłuż się mnemotechniką i wymyśl coś, czego nigdy nie zapomnisz, a co będzie mocne pod względem kryptograficznym. Hasło “TRuDn3!%_” wyglada na skomplikowane i prawdopodobnie je zapomnisz. W praktyce jest ono wielokrotnie prostsze do złamania od hasła “BardzoLubięArtykułyNiebezpiecznikaOrazIchSzkolenia“. To drugie jest złożone, łatwe do zapamiętania i wyraża Twoje prawdziwe przekonania, więc raczej go nie zapomnisz – prawda?
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
