Forum

Menadżer haseł: jaki polecacie?

Od wielu lat stosuję Norton Password Manager - jako "dodatek" do jednego z najlepszych antywirusów.

Ja osobiście polecam trzymanie haseł na kartkach i nie zapisywanie ich na komputerze.Kartka papieru to moim zdaniem najlepszy i najbezpieczniejszy menedżer haseł jaki można mieć.

Najczęściej moim menadżerem haseł jest mój mózg, póki co mam dobrą pamięć. Chociaż też korzystałem z 1Password

Aby stosować bezpieczne hasło, po pierwsze należy używać dużych i małych znaków, dobrze jest dodać cyfrę i jakiś znak specjalny. Oczywiście słowa - nie wchodzą w grę, bo możliwy jest atak słownikowy na dane hasło i usługę. Kolejnym zaleceniem jest używanie różnych haseł do różnych stron i usług. Każdy z nas obecnie posiada ich kilkanaście, a dodatkowo 2-4 razy tyle zapomnianych stron na których nie logowaliśmy się od iluś miesięcy czy lat.
Pamiętajmy, że w chwili obecnej największym problemem jest atak na daną usługę i z niej wyciągnięcie hasła. Jeśli mamy taki sam login i hasło w kilku popularnych usługach - mamy problem gdy jedna z tych usług zostanie złamana.

Są różne metody przechowywania haseł.

Jakieś słowa powiązane z domeną, dzięki czemu każde jest unikalne. Po jakimś czasie można to zapomnieć. Jeśli to inne hasło niż do poczty - to dużego problemu nie ma, można odzyskać hasło. Jeśli jednak, hasło jest do strony, na której użyliśmy adres mailowy który od 5 lat jest nieaktualny - problem rośnie.

Rozwiązaniem takiego problemu są menadżery haseł. Są to programy, które zapamiętują nasze hasła i je za nas przechowują. Czy jest to usługa bezpieczna? Z tym bywa różnie. Różne aplikacje do przechowywania haseł, w swojej historii, miały wycieki naszych haseł.

Podstawowym takim menadżerem jest przeglądarka - każda aktualnie oferuje możliwość zapisywania haseł. Można też dodać je w ten sposób do chmury, dzięki temu na kilku komputerach możemy mieć swoje hasła. Jest to rozwiązanie zapewniające średni poziom bezpieczeństwa. Musimy zaufać przeglądarce i administratorom, że mają odpowiedni poziom bezpieczeństwa. Jest za to bardzo prosty w konfiguracji - klikamy na "zapisz hasło" i jest. Oczywiście wadą tego jest przenośność między przeglądarkami. Jeśli w pracy używamy X, a w domy Y - synchronizacja haseł nie będzie możliwa.

Kolejną opcją są zewnętrzne menadżery haseł. Tych jest bardzo duża ilość. Oferują mniejszą lub większą konfigurację. Można zapisać aby przechowywały hasła lokalnie, albo można wysłać do chmury (swojej lub dostawcy menadżera). Są projekty otwarte, są również zamknięte. Odpowiednio skonfigurowany menadżer jest bardzo bezpieczną alternatywą dla zapisywania haseł w przeglądarce.

W obu tych przypadkach można zastosować dodatkowe hasło główne, które (w zależności od programu) jest też wykorzystywane do szyfrowania naszych haseł. Bez tego hasła nie mamy możliwości odczytać żadnego z haseł.

Ja osobiście polecam zestawienie: KeePass + owlCloud. Menadżer haseł, jest otwarto źródłowy, możemy sami przejrzeć całość kodu i sprawdzić co się w nim kryje. OwnCloud, również jest otwarto źródłowym projektem, możemy serwer zainstalować na naszym serwerze i sami zarządzać, kto i w jakich warunkach ma dostęp do plików. Daje to bardzo duże bezpieczeństwo, ale jest obarczone skomplikowaną instalacją - zwłaszcza owncloud. Zamast tego, można wykorzystać dropbox lub onedrive - ale pamiętajmy, te pliki wtedy mogą być odczytana przez inne osoby, należy zastosować silne hasło główne!

Dla haseł wyjątkowo ważnych (przykładowo dostęp do banku), polecam zeszyt. Tak właśnie robię ja. Dla wszystkiego mam keepass, a dla bankowości - zeszyt. Wiem, że w takiej sytuacji do banku nie ma opcji aby hasła się wydostały, ale jest to znowu obarczone problemem mobilności. Taki zeszyt łatwo zgubić (zostawić w teczce, zostawić w hotelu, zawieruszyć w kawiarni). Dlatego też nie warto z nim podróżować, ma tylko leżeć w domu.

Ze względu na różne wycieki haseł i brak zaufania do producentów takich programów używam metody analogowej. Osobny notes na takie hasła bez loginów czy emaili tylko nazwa serwisu i hasło. Moim zdaniem najskuteczniejsza metoda, kartki mogą się pogubić a gdy zapomnę hasła to po zerknięciu w notes za którymś razem wpisuje je już automatycznie.

Ja korzystam z LastPass.
Jest on bardzo wygodny i łatwy w użyciu. Wgrałam go w przeglądarkę i działa jak każda wtyczka. Zapisuje on hasła do danego portalu, a w momencie rejestracji jest też możliwość wygenerowania hasła przez niego (można ustawić też stopień trudności hasła).

Polecam też KeePass, jest bezpieczniejszy, ponieważ baza danych jest na serwerze użytkownika, a nie firmy.

Najlepiej myślę, że jest działać hybrydowo - najbardziej krytyczne hasła lepiej trzymać w KeePassie, a te mniej krytyczne w LastPassie (np. hasło administratora domeny - KeePass, a hasło do poczty w LastPassie).

Ten automatyczny z chrome

Proste.
Teściowa i/lub żona Ci zapamięta login i pin do konta bankowego twojego. Konto zawsze będziesz musiał uzupełniać od nowa. Żaden Mendżer nie jest potrzebny.
Ale jak już, to Norton z Symantec-a - używam i polecam.
Pozdro.
PS.
Ja chyba muszę naprawdę rozjeździć na rowerze ten stan nerwowy z kwarantanny, bo mnie szlag trafi.

Ja osobiście preferuje postawić swoją instancje Bitwardena w dockerze . Bitwarden jest to bardzo ciekawy menedżer haseł który pozwala nam na łatwy dostęp do naszych haseł z różnych urządzeń nawet tych mobilnych nie martwiąc się o to żeby robić ręcznie kopie naszej bazy danych. Normalnie Bitwarden posiada swój serwer i na ich serwerze możemy sobie założyć konto i przechowywać tam hasła posiadając dostęp do nich w łatwy komfortowy sposób. Plus posiadania własnej instancji Bitwardena jest taki że baza danych będzie u nas więc żadne osoby trzecie za bardzo nie mają dostęp + nie będziemy musieli się martwić o to że w pewnym momencie Bitwarden zniknie lub padnie ofiarą hakerów. Warto sobie załatwić jeszcze jakiś mechanizm tworzący backupy naszej instancji i wtedy będziemy porządnie zabezpieczeni na wiele scenariuszy jak np. awaria naszego serwera