Bezpieczne hasło

Hasło to najsłabsze ogniwo systemu kontroli dostępu do serwisów internetowych. Można je wykraść za pomocą prostego ataku phishingowego czy trojana. Taki program po przejęciu kontroli nad komputerem ma dostęp do wszystkich loginów zapisanych w przeglądarce, co otwiera cyberprzestępcom drzwi do cyfrowego życia ofiary.

Coraz częściej hasła są także łamane za pomocą metod kryptograficznych. Hakerzy mają dostęp do bardzo dużych baz danych złożonych z prawdziwych haseł zdobytych przy okazji różnych włamań. Umożliwia to, w połączeniu z mocą obliczeniową komputerów do łamania haseł, które można zbudować niewielkim kosztem ze zwykłych komponentów PC, przede wszystkim mocnych kart graficznych, skuteczne włamywanie się do kont użytkowników, którzy nie zadali sobie trudu wymyślenia oryginalnego hasła.

W artykule pokazujemy sposoby zabezpieczenia haseł dostępu do serwisów internetowych. Podstawowe zasady ochrony haseł znajdziesz w ramce „Jak się bronić”.

• System operacyjny i wszystkie programy, które kontaktują się ze światem, muszą być zaktualizowane.
• Na pececie trzeba zainstalować skuteczny program antywirusowy, najlepiej wielofunkcyjny pakiet typu internet security. Możesz w tym celu skorzystać z zamieszczonego w tym numerze pakietu AVG, uzupełnionego programem wykrywającym malware – Mamutu z poprzedniego wydania PC Formatu.
• Hasło musi mieć co najmniej 8 znaków. Wśród nich powinna być choć jedna cyfra, jedna wielka litera oraz jeden znak typu #, & itp. Dzięki temu pula prób niezbędnych do złamania hasła za pomocą analizy kryptograficznej staje się tak duża, że odgadnięcie frazy jest praktycznie niemożliwe.
• Korzystając z autoryzacji przez Facebook i Google, warto włączyć bezpieczniejsze, dwustopniowe logowanie z użyciem jednorazowego kodu przesyłanego SMS-em. Nawet jeśli haker zarejestruje hasło Google’a czy Facebooka, np. za pomocą keyloggera na publicznym komputerze, nie będzie mógł wejść na twoje konto ani logować się do innych serwisów korzystających z tego mechanizmu autoryzacji.
• Korzystaj z menedżera haseł. Tworzy on zaszyfrowany pęk silnych haseł, chroniony hasłem głównym. Polecamy użycie menedżera LastPass opisywanego w tym artykule.

Zarówno Google, jak i Facebook oferują mechanizm logowania dwuetapowego z wykorzystaniem telefonu, które zwiększa ochronę konta przed nieautoryzowanym dostępem. Mechanizm zabezpiecza dane w chmurze, nawet w przypadku kradzieży hasła dostępu.

Zaloguj się do konta Google i kliknij ikonę użytkownika w prawym górnym rogu. Na dymku, który się pojawi, kliknij Ustawienia konta. W panelu ustawień konta przejdź do zakładki Bezpieczeństwo.

Znajdź opcję Weryfikacja dwuetapowa i kliknij przycisk Edytuj. Na kolejnej stronie kliknij Konfiguruj. W formularzu podaj numer swojego telefonu i naciśnij Wyślij kod. W następnym kroku wpisz otrzymany kod i kliknij Dalej. Jeśli korzystasz z własnego peceta, w kolejnym kroku zaznacz Ufaj temu komputerowi by uniknąć autoryzacji przy każdym logowaniu.

Kod dostępu SMS będziesz musiał podawać, logując się z niezaufanego komputera. Kreator zakończ, klikając Potwierdź. Weryfikacja dwuetapowa działa tylko z niektórymi aplikacjami. Dla innych, np. dla synchronizacji Chrome czy odbierania poczty w telefonie, będziesz musiał utworzyć tzw. hasła aplikacji.

Nie trzeba ich pamiętać, bo w każdej chwili można wygenerować nowe. Gdy Google wykryje konieczność utworzenia haseł aplikacji, pojawi się okienko z informacją. Kliknij w nim Utwórz hasła. Następnie w polu Nazwa wpisz (w celu późniejszej identyfikacji) nazwę aplikacji, dla której przeznaczone jest hasło, i kliknij Generuj hasło.

W zakładce Bezpieczeństwo (patrz kroki 1 i 2) możesz dodać kolejne numery telefonów, wydrukować rezerwowe kody weryfikacyjne, a także pobrać aplikację do generowania kodów, na Androida i iOS-a. Pamiętaj tylko, że po instalacji aplikacja staje się domyślnym sposobem generowania kodów, a SMS zapasowym.

Gdy już się zalogujesz do profilu, kliknij strzałkę w prawym górnym rogu i z listy wybierz Ustawienia konta. Przejdź do zakładki Bezpieczeństwo, znajdź sekcję Zatwierdzanie logowania i kliknij Edytuj. Następnie zaznacz pole Żądaj wpisania kodu zabezpieczającego przy każdej próbie .... Decyzję potwierdź, klikając Skonfiguruj teraz pod komunikatem w wyskakującym okienku.

Serwis wyśle kod na telefon podany w ustawieniach konta. Wpisz go w oknie i kliknij Wyślij kod. Później wpisz nazwę urządzenia, które autoryzujesz. Po zakończeniu autoryzacji Facebook zaproponuje instalację generatora kodów do smartfonu z iOS-em lub Androidem. Możesz go zainstalować później z poziomu ustawień bezpieczeństwa Facebooka.

Podobnie jak w przypadku Google’a niektóre aplikacje Facebooka nie obsługują dwuetapowej autoryzacji. Wówczas musisz wygenerować hasło dla aplikacji. W tym celu w zakładce Bezpieczeństwo kliknij w linii Hasła do aplikacji link Generowanie haseł do aplikacji. W okienku potwierdź polecenie kliknięciem przycisku Wygeneruj hasła do aplikacji i na żądanie podaj swoje hasło do Facebooka.

W kolejnym oknie podaj nazwę aplikacji, dla której chcesz wygenerować hasło, np. Android, i kliknij Wygeneruj hasło. Wyloguj się z Facebooka na smartfonie i zaloguj się ponownie, używając wyświetlonego hasła. Jeśli nie potrzebujesz kolejnych haseł aplikacji, kliknij Zakończ. Hasłami możesz zarządzać na stronie ustawień bezpieczeństwa.

W warsztacie pokażemy, jak zabezpieczyć hasła przed kradzieżą za pomocą menedżera haseł LastPass, który w przeciwieństwie do popularnego desktopowego narzędzia KeePass, działa w chmurze. Dzięki temu nie musisz się martwić o tworzenie kopii zapasowej pęku kluczy. Poza tym program synchronizuje hasła między przeglądarkami i komputerami, więc niezależnie od tego, na którym komputerze pracujesz, masz dostęp do wszystkich loginów. Warsztaty z LastPass bazują na przeglądarce Mozilla Firefox. Opisywane funkcje są podobnie zaimplementowane w Google Chrome i innych przeglądarkach.

Haseł do krytycznych serwisów, np. konta bankowego, PayPala czy innych usług, w których przechowujesz numer swojej karty kredytowej, nie zapisuj w przeglądarce, bo malware jest w stanie je wykraść. Gdy zostaniesz zapytany, czy przechować hasło, odpowiedz odmownie. Zapisane już loginy usuń.

Po uruchomieniu przeglądarki kliknij kolejno: pomarańczowy przycisk Firefox, Opcje, Opcje. W panelu przejdź do zakładki Bezpieczeństwo i kliknij przycisk Zapamiętane hasła. Następnie zaznacz hasło do skasowania i kliknij Usuń. Jeśli chcesz oczyścić przeglądarkę ze wszystkich zapisanych haseł, naciśnij Usuń wszystkie.

Jeżeli współdzielisz komputer z innymi użytkownikami na jednym koncie w Windows i nie chcesz, by mogli oni podglądać twoje hasła i logować się do twoich usług za pomocą funkcji automatycznego wypełniania haseł, po wykasowaniu zapisanych loginów wróć do okna Opcje, odznacz pole Pamiętaj hasła do witryny i potwierdź, klikając OK.

Innym sposobem na zabezpieczenie loginów jest ustawienie hasła głównego. W oknie Opcje, w zakładce Bezpieczeństwo zaznacz Używaj hasła głównego i kliknij przycisk Zmień hasło główne. W nowym oknie wprowadź tajną frazę, kliknij OK i zrestartuj przeglądarkę. Przed automatycznym wypełnieniem loginu przeglądarka zażąda hasła głównego.

Aby móc skorzystać z usługi LastPass, musisz zainstalować wtyczkę do przeglądarki, a także założyć konto w serwisie przeznaczonym do synchronizacji haseł.

Po uruchomieniu przeglądarki wejdź na stronę https://lastpass.com, kliknij przycisk Download LastPass. Instalator dla Windows jest uniwersalny i instaluje pluginy dla wszystkich popularnych przeglądarek (Chrome, Firefox, IE, Opera).

Kreator przeprowadzi cię przez proces instalacji. Aby uruchomić program w naszym języku, kliknij Polish na etapie wyboru ustawień narodowych. W odpowiedzi na pytanie o konto w serwisie LastPass zaznacz opcję Nie mam konta w LastPass, załóż je dla mnie i kliknij przycisk Następny.

W kolejnym kroku wpisz w formularzu adres e-mailowy i hasło. Musisz także zgodzić się na wysłanie zaszyfrowanych haseł do LastPass – opcja Rozumiem, że moje szyfrowane dane będą wysyłane do LastPass co jest niezbędne do synchronizacji loginów między komputerami.

Pojawi się kolejne okno z przypomnieniem, że hasło główne LastPass nie jest znane właścicielom serwisu, w związku z tym nie będą w stanie go przypomnieć. Informacje potwierdzasz ponownie, wpisując wybrane hasło. W kolejnym kroku instalatora LastPass zaproponuje import zapisanych w przeglądarce loginów:

Dane będą przesłane do sieci w formie zaszyfrowanej i administratorzy nie będą mieli do nich wglądu. Aby rozpocząć import, pozostaw wybraną domyślnie opcję i kliknij przycisk Następny. Program przeskanuje teraz wszystkie przeglądarki i pobierze zapisane w nich loginy. Przy każdym znajduje się pole wyboru, które pozwala pobrać lub po odznaczeniu pominąć dany login:

W następnym oknie LastPass proponuje wymazanie zaimportowanych haseł z przeglądarek. Jest to wskazane z punktu widzenia bezpieczeństwa, jednak gdy zrezygnujesz z LastPass, będziesz musiał ponownie wpisać hasła do przeglądarki. Dlatego zalecamy pozostawienie haseł – wybierz Nie, nie usuwaj żadnych niezabezpieczonych pozycji i usuń je ręcznie, jeśli zdecydujesz się na przejście na LastPass na stałe.

W ostatnim kroku określasz, czy LastPass ma zachować aktywną sesję po zamknięciu okna przeglądarki: Jeśli tylko ty używasz komputera, pozostaw domyślne ustawienia. Jeśli ktoś inny będzie z niego korzystał, zaznacz opcję Automatycznie wyloguj mnie z LastPass. Wówczas przy pierwszej próbie uzupełniania loginu program będzie pytał o hasło główne.

Funkcje wtyczki LastPass są takie same we wszystkich przeglądarkach. W tej części warsztatu wykorzystaliśmy przeglądarkę Google Chrome.

Po instalacji program zaloguje cię do konta LastPass. W przyszłości, aby odblokować sejf, musisz kliknąć ikonę LastPass na pasku narzędzi przeglądarki i w wyskakującym okienku wpisać hasło główne. Zwróć uwagę na kolor ikony. Jeśli jest szara, to znaczy, że jesteś wylogowany. Po wpisaniu hasła głównego zmienia kolor na czerwony.

Po zalogowaniu zyskujesz dostęp do menu LastPass. Znajdują się tam narzędzia ułatwiające korzystanie z serwisu. Jeśli chcesz przejrzeć zawartość konta i sprawdzić, czy hasła zostały poprawnie zaimportowane podczas instalacji, kliknij ikonę LastPass i z menu wybierz Mój sejf LastPass.

W nowym oknie pojawi się lista haseł. Aby zobaczyć jedno z nich, kliknij ikonkę z długopisem, a w karcie parametrów loginu naciśnij Pokaż. Jeśli jest to hasło do serwisu, który chcesz zabezpieczyć w sposób szczególny, kliknij opcję Wymagaj ponownego wprowadzenia hasła. Wówczas LastPass przy próbie logowania zawsze będzie żądał hasła głównego, dzięki czemu nikt nie ukradnie twoich informacji, gdy na chwilę odejdziesz od komputera.

W podręcznym menu znajdziesz także funkcje automatyzujące logowanie. Odnośniki do wszystkich serwisów znajdują się w zakładce Strony, skrócona lista jest w zakładce Ostatnio używane. Kliknięcie skrótu uruchamia sekwencję czynności związanych z logowaniem. Po chwili jesteś na głównej stronie danej witryny zalogowany do własnego konta.

Ciekawostką są tzw. Bezpieczne notatki. Last Pass, wykorzystując szyfrowaną bazę danych na hasła, pozwala na zapisywanie informacji, które podobnie jak hasła są synchronizowane miedzy komputerami i przeglądarkami. Do notatki można dołączyć plik (ikona spinacza). Jeśli zawiera szczególnie poufne informacje, można zażądać ponownego wpisania hasła.

W zakładce Narzędzia znajdziesz funkcje importowania i eksportowania haseł. Jeśli będziesz chciał przenieść loginy do innego serwisu, kliknij: ikonę LastPass, Narzędzia, Eksportuj do i z listy wybierz Plik CSV. Loginy będziesz mógł pobrać w formie otwartego tekstu. Z kolei w menu Importuj z są narzędzia do pobierania loginów z podobnych narzędzi.

W LastPass możesz zarówno zachować wymyślone przez siebie hasło, jak też użyć generatora bezpiecznych haseł. Wygenerowane hasła są trudne do zapamiętania, ale to nie problem, bo frazy trafiają prosto do sejfu LastPass.

Jeśli logujesz się do serwisu, do którego wcześniej nie zapisałeś hasła, nad stroną pojawi się pasek LastPass. Aby zachować login, kliknij Zapisz stronę. Jeśli nie chcesz zapamiętać hasła, kliknij Nigdy. Po zapisaniu hasła pojawi się karta loginu, w której możesz zmienić opis i aktywować dodatkowe zabezpieczenia. Na końcu kliknij Zapisz.

LastPass asystuje także przy tworzeniu nowych kont. Wtyczka w przeglądarce inteligentnie wykrywa pole na hasło w formularzu rejestracyjnym. Pojawia się wtedy pasek z propozycją wygenerowania unikatowego i trudnego do złamania hasła do tego serwisu. Jeśli chcesz z tej możliwości skorzystać, kliknij przycisk Generuj.

W zakładce przeglądarki pojawi się interfejs generatora haseł z gotową frazą. Jeśli chcesz, możesz wygenerować inną, zaznacz Wyświetl opcje zaawansowane, dobierz zestaw znaków i długość hasła. Następnie kliknij Generuj, a gdy się okaże, że hasło jest poprawne – Akceptuj. Hasło automatycznie pojawi się w formularzu i zostanie zapamiętane w sejfie LastPass.

Po wysłaniu formularza rejestracyjnego i dokończeniu wszystkich kroków związanych z tworzeniem nowego konta przejdź do strony logowania. Wpisz login, następnie ustaw kursor w polu przeznaczonym na hasło. Kliknij prawym klawiszem myszy, z menu kontekstowego wybierz kolejno: LastPass, AutoUzupełnianie, Wygenerowano hasło dla ....

Aby aktywować funkcję automatycznego wypełniania hasła, musisz wejść do sejfu, kliknąć ikonę LastPass, Mój sejf LastPass, znaleźć na liście wygenerowane hasło, kliknąć ikonę ołówka. Na stronie edycji znajdź pole URL i zastąp widoczny tam link odnośnikiem do strony logowania danego serwisu. Na końcu kliknij Zapisz.

Z generatora możesz także skorzystać w menu pluginu w przeglądarce. Najpierw kliknij ikonę LastPass, następnie Narzędzia i Generuj bezpieczne hasło. Gdy pojawi się dymek generatora haseł z gotową frazą, kliknij Kopiuj, by skopiować hasło do schowka. Możesz je wkleić do formularza. Jednocześnie hasło pojawi się w sejfie LastPass. Aby aktywować automatyczne uzupełnianie, postępuj według wskazówek z kroku 5.

LastPass obsługuje także superbezpieczne hasła jednorazowe, których możesz użyć do logowania się do sejfu z hasłami z publicznych komputerów. W tym wypadku keyloggery nie są zagrożeniem, bo po logowaniu hasło jest unieważniane. Aby utworzyć hasło jednorazowe, kliknij po zalogowaniu się do sejfu LastPass strzałkę w dół obok nazwy użytkownika w prawym górnym rogu strony. Z menu wybierz Hasła jednorazowe.

Teraz kliknij Dodaj nowe hasło jednorazowe tyle razy, ilu haseł potrzebujesz. Następnie wydrukuj listę, klikając Drukuj, i schowaj ją w bezpiecznym miejscu. By zalogować się za pomocą takiego hasła, kliknij po wejściu na stronę logowania przycisk HASŁA JEDNORAZOWE, wpisz adres e-mailowy i jedno z haseł.