Ok. Z tytułem może trochę przegiąłem, ale generalnie chodzi o to, że o bezpieczeństwo haseł powinien dbać każdy. Co jednak robić, gdy konta się mnożą? Zapanuj nad nimi całościowo!
Nie chodzi mi tutaj o kontrolę całościową typu 'one pass to rule them all’. To naraża Cię na wiele niebezpieczeństw. Lepiej zdać się na pomoc automatu – menedżera haseł. Nie warto tu ryzykować – wybieraj tylko produkty sprawdzone, polecane przez specjalistów. Fałszywy menedżer haseł to wspaniały sposób, by wykraść hasła od naiwnych użytkowników. Komu więc można zaufać?
Ja wybrałem LastPass. Wiem, brzmi jak tekst z mało ambitnej reklamy, ale to prawda. Po wielu poszukiwaniach, walce i stosowaniu półśrodków zdecydowałem się na ten program… i nie żałuję. A jak było wcześniej
Najpierw był keepass. Plusem była wersja portable trzymana na pendrive – dodatkowe bezpieczeństwo. Ale wygoda użytkowania była średnia. W końcu, po awarii pendrive pożegnałem się z nim bez żalu.
Później przyszedł AI Roboform. Miał on wszystkie zadatki na ideał, a nawet więcej – autouzupełnianie formularzy. Przeważyła jedna drobna wada – jest płatny. W wersji darmowej pamięta zbyt mało.
Jak więc sobie radziłem. Utworzyłem prosty plik tekstowy, w którym trzymałem moje loginy i hasła. Oczywiście plik taki trzeba zabezpieczyć – z pomocą przyszedł TrueCrypt i szyfrowana partycja. Wygoda użytkowania na poziomie keepassa (a nawet ciut lepiej – okno notatnika łatwiej dopasować do odpowiednich wymiarów – mieści się na panoramicznym ekranie obok przeglądarki).
I tak dotarliśmy do LastPassa. Trafiłem na niego przypadkiem, przeglądając rozszerzenia do Google Chrome. Pierwsze co rzuciło mi się w oczy to zweryfikowany autor. Co by to nie znaczyło, w gąszczu rozszerzeń podnosi to reputację. Dalej było trochę googlania na temat i konkluzja – dlaczego nie. Wiele specjalistycznych firm poleca, ze względu na bezpieczeństwo, więc chyba można.
Zadajmy pytanie inaczej – dlaczego tak?
Bezpieczeństwo – hasła są naprawdę solidnie szyfrowane, deszyfrowanie odbywa się tylko lokalnie na komputerze lokalnym. Uważnego czytelnika może to lekko zaniepokoić. Skoro deszyfrujemy tylko lokalnie, to gdzie te hasła wędrują?
Dostępność – otóż zaszyfrowane hasła przechowywane są centralnie na serwerach. Dzięki temu mamy do nich łatwy dostęp z każdego miejsca. Co więcej – dostępne są wtyczki/dodatki do najważniejszych przeglądarek – IE (głupio to trochę wygląda, ale statystycznie jednak tak jest), Chrome, Safari i Firefoxa. Gdy wejdzie na dobre 12. Opera, na pewno i dla niej pojawi się rozszerzenie. Ponadto są dostępny klienty mobilne m. in. dla androida i iphone (aczkolwiek korzystanie z nich wymaga już płatnej subskrypcji).
Wygoda – generator bezpiecznych haseł i autologowanie. Dostępność do bazy haseł ze wszystkich przeglądarek, również przenośnych.
Bezpieczeństwo 2 – jest nawet (jako opcja) coś na kształt karty kodów znanej z banków. Otrzymujemy tablicę dwuwymiarową zapełnioną losowymi wartościami. Podczas logowania system prosi nas o losowe 4 elementy z tej tablicy („adresowane” jak podczas gry w okręty. Tak więc nawet przechwycenie naszego hasła głównego nie da napastnikowi dostępu do naszych haseł.
Czy warto spróbować. Dla mnie, na pewno tak. Przechowywanie haseł w pliku tekstowym jest uciążliwe, a rosnąca liczba zarządzanych stron (klienckich, stowarzyszonych czy zapleczowych) wręcz wymuszała jakiś system.
Pamiętajmy o jednym. Zabezpieczenie naprawdę musi być solidne. Wybierzmy mocne, długie hasło, które zabezpieczy naszą „kryptę”. (disclaimer – wyraz użyty trochę ze względu na haloween, ale jest to najbliższe tłumaczenie ang. vault, choć tam również oznacza podziemia banku, w których jest skarbiec i skrytki depozytowe). Jak pisałem już wcześniej w artykule o przechowywaniu haseł, rewelacyjna jest metoda tworzenia hasła „na wiersz”. Hasło [cci]B,kpH:”Gsmo?”[/cci] jest do złamania tylko metodą brute force co jest bardzo czasochłonne, a my zapamiętamy je łatwo:
Biega, krzyczy pan Hilary:
„Gdzie są moje okulary?”
Leave a Reply