Tak, jestem tu, żeby z powagą powiedzieć Ci, że nigdy wcześniej nie korzystałem z menedżera haseł. To nie tak, że nigdy nie zastanawiałam się nad zapisaniem się na taki kurs. Ciągle daję się nabrać na wypróbowanie różnych opcji, ale część mnie zawsze czuje swędzenie, kładąc wszystko jaja w jednym koszyku, zwłaszcza gdy naruszenia danych nieustannie nam przypominają, że może to być coś złego pomysł. Wiem, że nie jestem sam na tej łodzi, bo cóż, stare nawyki trudno wykorzenić. Pomyślałem, że będę „bezpieczniejszy”, jeśli zapamiętam swoje hasła lub gdzieś je zapiszę. Jednak przy rosnącej liście kont internetowych w końcu walczę o utworzenie unikalnych i silnych haseł dla każdego z nich. Dlatego moim postanowieniem technicznym na rok 2023 było dać szansę menedżerom haseł, więc oto jesteśmy.
Wybór dobrego menedżera haseł może być trudny, a sama liczba dostępnych opcji wcale tego nie ułatwia. Podczas mojej podróży sporo się nauczyłem i mam nadzieję, że te wskazówki pomogą także Tobie.
Poszukaj funkcji, które Cię interesują
Większość menedżerów haseł robi znacznie więcej niż tylko wpisywanie haseł w formularzu logowania. Na przykład Keeper to niezwykle bogaty w funkcje menedżer haseł, który może także przechowywać informacje o karcie kredytowej, blokować pliki i zdjęcia w bezpiecznym skarbcu, pomagać w udostępnianiu haseł i wiele więcej. 1Password ma także wiele zalet i może wykonywać dodatkowe zadania, takie jak usuwanie sekretów ze schowka i ostrzeganie o naruszeniach bezpieczeństwa.
Ważne jest, aby zrozumieć, czego oczekujesz od menedżera haseł, chyba że chcesz podążać niekończącą się ścieżką pełną opcji. Przecież nie ma sensu płacić składki za wszystkie dodatki, jeśli nie zamierzasz z nich korzystać. Być może masz już bezpieczny folder na swoim smartfonie, w którym możesz przechowywać ważne pliki i zdjęcia, lub nie musisz płacić za nowości, takie jak monitorowanie Dark Web i alerty. Zamiast tego poszukaj przydatnych funkcji, które są dla Ciebie ważne.
Oto ważne funkcje, których polecam szukać zamiast tego:
- Obsługa wielu platform aby uzyskać dostęp do zapisanych haseł i zarządzać nimi na dowolnym urządzeniu lub platformie
- Uwierzytelnianie wieloskładnikowe aby zabezpieczyć swój magazyn haseł
- Dostęp offline aby mieć pewność, że zachowasz hasło nawet wtedy, gdy nie będziesz online
- Obsługa rozszerzeń przeglądarki aby mieć pewność, że masz dostęp do swojego hasła niezależnie od używanej przeglądarki internetowej
Na przykład szukałem menedżera haseł, który pomógłby mi uniknąć ponownego używania tych samych haseł na różnych kontach. Dotarłem do punktu, w którym zacząłem ponownie wykorzystywać niektóre z moich haseł, pozostawiając w ten sposób otwarte drzwi dla złych aktorów włamujących się na wiele kont. Krótko mówiąc, przedłożyłem prosty i bezpieczny generator haseł zamiast generatora z fantazyjnymi funkcjami, aby uniknąć wydawania więcej, niż chciałem jako nowy klient. Jednak przebieg może się różnić.
Szyfrowanie „z wiedzą zerową” jest ważne
Większość menedżerów haseł korzysta również z bezpiecznego szyfrowania, takiego jak 256-bitowy AES i XChaCha20, aby zablokować hasło, zanim opuści ono Twoje urządzenie. Nawet jeśli korzystasz z usługi menedżera haseł, która zapisuje Twoje hasło na zdalnym serwerze, może nie być ono od razu dostępne dla hakerów próbujących je ukraść. Wszyscy niezawodni menedżerowie haseł stosują złożone techniki szyfrowania w celu zabezpieczenia Twojego skarbca, dzięki czemu nie będziesz w nieświadomości podczas przekazywania ważnych informacji.
Na przykład Bitwarden używa 256-bitowego szyfrowania AES-CBC dla danych w skarbcu i PBKDF2 SHA-256 w celu uzyskania klucza szyfrowania. Wszystkie Twoje dane są szyfrowane lub zaszyfrowane przed wysłaniem na zdalne serwery i można je odszyfrować jedynie za pomocą klucza pochodzącego z hasła głównego. NordPass natomiast wykorzystuje XChaCha20, który jest szybszy i łatwiejszy do wdrożenia niż metody standardowe.
Zalecam wybieranie tylko tych, które korzystają z rozwiązania szyfrującego o zerowej wiedzy, co oznacza, że nie mogą czytać ani udostępniać poufnych informacji. Oczywiście nie ma sposobu, aby zachować 100% bezpieczeństwa w Internecie, ale pomocne będzie, jeśli omówisz podstawy.
Wybierz menedżery haseł z bezpiecznymi kopiami zapasowymi
Ważne jest również, aby wybrać menedżery haseł, które pozwolą Ci utworzyć kopię zapasową wszystkich zaszyfrowanych haseł na wypadek awarii zdalnego serwera zawierającego wszystkie Twoje hasła. Niektóre menedżery haseł tworzą kopię zapasową zaszyfrowanego hasła, podczas gdy inne pozwalają po prostu utworzyć kopię zapasową odszyfrowanych danych w formacie czytelnym dla człowieka. Tak czy inaczej, ważne jest, aby utworzyć kopię zapasową na wypadek utraty dostępu do skarbca z powodu jakiś błąd serwera i znajdziesz się w sytuacji, w której nie będziesz już mógł uzyskać dostępu do swoich kont online.
Patrząc na ostatnia wpadka LastPass i jak sobie poradziła z tą sytuacją, wiem, że nigdy nie zostawię kopii zapasowej moich haseł w Internecie, nawet jeśli jest zaszyfrowana. Zawsze możesz utworzyć ręczną kopię zapasową i przenieść kopię wszystkich swoich haseł, ale pamiętaj, aby je przenosić i przechowywać w bezpieczny sposób, aby zapobiec wpadnięciu w niepowołane ręce.
Sprawdź dane biometryczne i inne sposoby logowania
Jak wspomniałem wcześniej, uwierzytelnianie wieloskładnikowe (MFA) to jedna z najważniejszych funkcji, których należy szukać w menedżerze haseł. Powinieneś spróbować połączyć silne hasło z uwierzytelnianiem dwuskładnikowym (2FA), a nawet uwierzytelnianiem biometrycznym, takim jak odcisk palca lub skan twarzy. Ochrona biometryczna zwykle działa jako dodatkowa warstwa, więc nadal będziesz musiał użyć swojego hasła głównego i dowolnego włączonego dwuetapowego logowania. Nie ma czegoś takiego jak zbyt wiele warstw zabezpieczeń, zwłaszcza gdy tylko jedno hasło/klucz może odblokować skarbiec pełen wrażliwych danych.
Warto również zaznaczyć, że skonfigurowanie uwierzytelniania MFA lub biometrycznego nie jest alternatywa dla hasła głównego. Nadal będziesz potrzebować klucza głównego, aby odszyfrować dane skarbca przed uzyskaniem do nich dostępu po przejściu przez dodatkowe warstwy. Technicznie rzecz biorąc, hasło główne wystarczy wprowadzić tylko raz dla każdego urządzenia, ponieważ dane skarbca z serwera są następnie automatycznie pobierane i przechowywane lokalnie. To prowadzi mnie również do następnego – i prawdopodobnie najważniejszego – punktu.
Nie zapomnij swojego hasła głównego!
Prawie wszystkie nowoczesne menedżery haseł działają w oparciu o szyfrowanie o zerowej wiedzy, więc nie mogą odczytać ani odzyskać Twojego hasła głównego. Niektóre z nich oferują narzędzia umożliwiające odzyskanie hasła w przypadku jego zapomnienia, ale tak naprawdę nie można z nich skorzystać, chyba że wstępnie autoryzowałeś te opcje. Niektóre z tych opcji obejmują:
- Wskazówka dotycząca hasła: Twój menedżer haseł wyśle Ci podpowiedź do hasła (jeśli ją masz) e-mailem.
- Dostęp za pomocą kontaktu alarmowego: Jeśli na Twoim koncie jest włączona opcja dostępu awaryjnego, możesz skontaktować się ze swoim kontaktem alarmowym, aby odzyskać dostęp do swojego skarbca.
- Resetowanie hasła administratora: osoby posiadające konto korporacyjne mogą skontaktować się ze swoimi administratorami, aby zresetować i odzyskać dostęp do swoich kont.
Wymienione powyżej opcje odzyskiwania będą działać tylko wtedy, gdy zostały wcześniej autoryzowane. Niektóre menedżery haseł, takie jak Dashlane, umożliwiają również odzyskanie hasła głównego przy użyciu uwierzytelniania biometrycznego, ale nawet to zadziała tylko wtedy, gdy włączysz je przed zapomnieniem hasła głównego.
Wszystkie nowoczesne menedżery haseł działają w oparciu o szyfrowanie o zerowej wiedzy, więc nie mogą odczytać ani odzyskać Twojego hasła głównego.
Jeśli żadna z tych opcji nie zapewni Ci dostępu, nie będziesz miał innego wyjścia, jak tylko usunąć swoje konto i założyć nowe. Oznacza to również, że utracisz przedmioty przechowywane w skarbcu, więc będziesz musiał zresetować dane logowania dla każdego konta.
Rozpoczęcie pracy dla początkującego
Byłem tak samo przytłoczony, jak prawdopodobnie jesteś teraz, po przeczytaniu wszystkiego. Jeśli nie czujesz się komfortowo, konfigurując menedżera haseł dla wszystkich swoich kont, dlaczego nie zacząć go używać w przypadku niektórych kont podstawowych lub zwykłych? No wiesz, te, które mogłeś utworzyć, aby skorzystać z bezpłatnego okresu próbnego lub przeczytać artykuł za zaporą płatniczą.
Zalecam również przetestowanie wody za pomocą bezpłatnych menedżerów haseł, zanim zdecydujesz się na subskrypcję premium. Jako osoba całkiem nowa w świecie menedżerów haseł zacząłem używać Bitwarden, aby zapoznać się z kontami niskiego ryzyka. Bitwarden zawiera wszystkie niezbędne elementy i nie blokuje niczego ważnego pod zaporą. Jest także całkowicie open source, co oznacza, że możesz przeglądać, kontrolować i współtworzyć kod Bitwarden na GitHubie.
Odnajduję też spokój, wiedząc, że mogę zignorować pamięć masową w chmurze Bitwarden i całą infrastrukturę hosta na wybranej przeze mnie platformie. Ponownie, wszystko sprowadza się do potrzebnych funkcji, więc rozejrzyj się za różnymi opcjami i wybierz tę, która Twoim zdaniem najlepiej pasuje do Twojego przypadku użycia. Zawsze możesz sprawdzić nasze zbiór najlepszych menedżerów haseł kiedy już poznasz tajniki i będziesz gotowy do działania.