Chciałbyś korzystać z menadżera haseł ale nie jesteś do niego przekonany? Spróbuję obalić pewne mity i obawy. #od0dopentestera
1. Bo jest drogi. To nieprawda. Istnieją całkowicie darmowe rozwiązania (np. KeePassXC, menadżer w Google Chrome) lub też rozwiązania freemium - gdzie tylko zaawansowane funkcje są płatne (np. Bitwarden). 2. Bo szybciej wpiszę hasło ręcznie. Wątpię. Hasło może się uzupełniać automatycznie zaraz po załadowaniu strony (jeśli włączysz odpowiednią opcję - bo zmniejsza ona bezpieczeństwo). Możesz je też uzupełnić skrótem klawiaturowym (np. CTRL+SHIFT+L). Albo dwoma kliknięciami myszki. 3. Bo są skomplikowane w użyciu. Najtrudniejszy krok to instalacja i wymyślenie hasła głównego. Reszta zazwyczaj dzieje się prawie automatycznie. Gdy jesteś zalogowany do menadżera powinien on zapisywać nowe strony, których nie ma w bazie podczas logowania. Potem będzie Ci je podpowiadał. 4. Bo muszę instalować dodatkowe oprogramowanie. Nie musisz. Praktycznie każda przeglądarka posiada wbudowany menadżer haseł. Nie są one jakoś strasznie zaawansowane - ale większości użytkowników powinny wystarczyć. Każdy menadżer haseł jest lepszy niż jego brak. 5. Bo zapomnę hasła głównego i stracę dostęp. Prawda. Ale możesz się przed tym spróbować zabezpieczyć. Możesz podać podpowiedź do hasła. Możesz je zapisać na kartce i schować w domu. Możesz użyć trybu "emergency access". Podajesz osobę/y, którym ufasz i które po określonym czasie mogą uzyskać dostęp do Twojego konta. Możesz użyć algorytmu "Shamir Secret Sharing Scheme" i podzielić hasło na kilka osób. Jeśli x z nich się spotka - będą mogli odtworzyć zapisany sekret. 6. Bo nie ufam chmurze. Ja też. Większość menadżerów działa w trybie "zero knowledge". Firma nigdy nie widzi Twoich haseł. Wszystko co jest przesyłane do ich serwerów jest zaszyfrowane. Bez hasła głównego te dane są bezużyteczne. Można je próbować łamać - ale to przy odpowiednio długim haśle głównym potrwa wieki. Poza tym, jeśli potrafisz - możesz postawić swój własny serwer. 7. Bo dysk mi padnie i stracę dane. Jeżeli używasz menadżera działającego w chmurze to producent dba o backup. Poza tym każde urządzenie na którym się zalogowałeś posiada lokalną zaszyfrowaną kopię haseł. A jeśli Cię to nie przekonuje - zawsze możesz wyeksportować dane z sejfu. 8. Bo autouzupełnianie nie działa. Czasami może się tak zdarzyć. Możesz to: Albo zgłosić producentowi, Albo spróbować naprawić samemu. Służą do tego pola niestandardowe. Menadżer nie zawsze wie gdzie wpisać zapisany login/hasło. Podając nazwę pola - pomagasz mu w tej operacji 9. Bo nie zaloguję się u kolegi. Po pierwsze musisz się zastanowić jak bardzo ufasz swoim znajomym. Czy jesteś pewien, że ich komputer jest wolny od malware? Jeśli używasz menadżera w chmurze - możesz się do niego zalogować na telefonie. Masz wtedy dostęp do wszystkich haseł. 10. Bo złośliwe oprogramowanie może wykraść moje hasła. Jeśli na Twoim komputerze jest malware - masz przechlapane. Bez względu na to czy używasz menadżera czy też nie. Atakujący ma dostęp do wszystkiego. Gdy jest cierpliwy może poznać wszystkie hasła. Nic przed tym nie chroni. 11. Bo ćwiczę pamięć i mam mało haseł. Nie wierzę Ci. Jest wiele serwisów, na których trzeba zakładać konta. Każde konto to nowe hasło. To, że coś pamiętasz dziś - nie znaczy, że będziesz pamiętał za rok. Dostaję wiele maili - jak odzyskać konto na FB bo zapomniałem hasła. Poza tym menadżer haseł to dodatkowa ochrona przed phishingiem. Jeśli menadżer nie podpowiada hasła na stronie, na której powinien - to jest to znak, że być może padłeś ofiarą ataku i znajdujesz się na witrynie, która próbuje wyłudzić Twoje dane do logowania.
To tylko część tego o czym opowiadałem podczas webinaru: "Menadżer haseł - dlaczego warto go używać". Całość to 200 slajdów opowiedziana w 90 minut. Przez kolejne 40 minut odpowiadałem na pytania od widzów. Nie jesteś jedyny/a, który/a ma wątpliwości. Masz pytanie? Zadaj je w komentarzu - spróbuję pomóc.
PS 2 To nie jest wpis sponsorowany przez Bitwarden. Po prostu to jeden z niewielu darmowych menadżerów działających w chmurze i na kilku urządzeniach jednocześnie, którego płatna wersja kosztuje 10$ rocznie.
@KawaJimmiego: Menadżery haseł to miliardowy biznes. Naprawdę sądzisz, że ktoś będzie ryzykował w takim biznesie tylko po to aby poznać hasło jakiegoś Kowalskiego? Poza tym Bitwarden jest open source i możesz sprawdzić źródła. @jacuss: Sprawdź to. @bartpl: Jest droższy niż konkurencja.
@KacperSzurek: A może będziesz wiedział czy istnieje rozwiazanie na Windows które umożliwia wykorzystanie touchid/faceid do autentykacji z poziomu Windows ale z użyciem iPhone? Wpisywanie hasła jest mimo wszystko dość upierdliwe przy świadomości ze obok leży „zaufane” urządzenie ;)
@KacperSzurek: nikt nie pozna kilku moich haseł. Musiałby to być atak na moją osobę konkretnie i zgadywać algorytm. Większa szansa jest na to, że ktoś dostanie się do mojego menadżera haseł.
Naprawdę sądzisz, że ktoś będzie ryzykował w takim biznesie tylko po to aby poznać hasło jakiegoś Kowalskiego?
To jest bardzo źle sformułowany argument. Firma jako byt tego nie zrobi, ale indywidualny pracownik jak najbardziej może odwalić taki szajs. Takie przypadki zdarzają się w tak regulowanych instytucjach jak banki.
No, ale życia bez menedżera haseł sobie nie wyobrażam.
@Pan_Slon: Nie słyszałem o takim rozwiązaniu. @Izanagi013: Wystarczy, że ktoś wykradnie hashe haseł z serwisów, których używasz a następnie je złamie. @AgresywnyKaloryfer: W takich sytuacjach ostateczną linią obrony jest 2FA/U2F. @wrukwiony: ( ͡°͜ʖ͡°)
@KacperSzurek: o, to takie pytanko. łączę się od siebie po rdp na różne vm'ki windowsowe. Normalnie wszystko śmiga, kopiowanie działa jak należy i sobie z keepasa lecę bez problemu. Ale jak czasem muszę zmienić hasło w ekranie logowania do windowsa to nie mogę tak wkleić nowego, wygenerowanego. Nie wiem, czy windows tak ma, czy sobie admin w gpo ustawił. I teraz pytanie: czy ja po prostu nie znam sposobu, czy jak
@kacperski1: @KacperSzurek: @clowncore: @Mikseth: keepassxc z plikiem na dropboxie/gdrive 1. za darmo 2. niezależny od platformy apple sraple/windows/telefony 3. pełna kontrola nad tym co się chce zrobić
@KacperSzurek: a w przypadku serwisów, które wymagają zmiany hasła co miesiąc nie jest to jakoś upierdliwe? Wystarczy, że sam wpisze nowe hasło i manager to zapamięta?
@KacperSzurek: w sensie czy jak mam te opcje (czyszczenia) z punktu widzenia przegladarek wlaczone to nic, bo menadzer to osobny byt, wiex hasla przechowa i bedzie wypelnial?
@KacperSzurek: A jak będę musiał się zalogować na jakimś komputerze publicznym to co zrobić? Mam zainstalować tam menagera haseł czy sprzedać od razu swoje hasło główne a jak nie mam praw admina do instalacji menagera haseł?
@KacperSzurek: Ja przesiadłem się z LastPass na Appla akurat jak wprowadzili okrojone free. Zgrało się to z zakupem tel i łapka od jabłka i naprawdę świetnie działa. Bitwarden nie próbowałem ale kiedyś dashlane i był to wybór gdyby nie przesiadka na inny ekosystem. Btw spoko live wczoraj, idealnie z czasem bo akurat czekałem na żonę bo była u dentysty ( ͡°͜ʖ͡°)
@marian1881: Tak. @mruz12: Tak to powinno działać. Chociaż nie zawsze program automatycznie wykryje zmianę i musisz wtedy edytować hasło ręcznie. Chociaż z drugiej strony - zmiana hasła co miesiąc jest obecnie uznawana za złą praktykę. @peoplearestrange: Tak, menadżer ma własną bazę w której przechowuje pliki. @Wextor: Zalogować się na telefonie zamiast na komputerze publicznym. Bo nigdy nie wiesz czy jest on bezpieczny.
@KacperSzurek: jakieś opinie na temat 1password? Korzystam z niego + pluginu do chrome, żeby robić autofill ale nie jestem pewien czy to jest w miare bezpieczne
1. Bo jest drogi. To nieprawda.
Istnieją całkowicie darmowe rozwiązania (np. KeePassXC, menadżer w Google Chrome) lub też rozwiązania freemium - gdzie tylko zaawansowane funkcje są płatne (np. Bitwarden).
2. Bo szybciej wpiszę hasło ręcznie. Wątpię.
Hasło może się uzupełniać automatycznie zaraz po załadowaniu strony (jeśli włączysz odpowiednią opcję - bo zmniejsza ona bezpieczeństwo).
Możesz je też uzupełnić skrótem klawiaturowym (np.
CTRL+SHIFT+L). Albo dwoma kliknięciami myszki.3. Bo są skomplikowane w użyciu.
Najtrudniejszy krok to instalacja i wymyślenie hasła głównego.
Reszta zazwyczaj dzieje się prawie automatycznie.
Gdy jesteś zalogowany do menadżera powinien on zapisywać nowe strony, których nie ma w bazie podczas logowania. Potem będzie Ci je podpowiadał.
4. Bo muszę instalować dodatkowe oprogramowanie. Nie musisz.
Praktycznie każda przeglądarka posiada wbudowany menadżer haseł.
Nie są one jakoś strasznie zaawansowane - ale większości użytkowników powinny wystarczyć.
Każdy menadżer haseł jest lepszy niż jego brak.
5. Bo zapomnę hasła głównego i stracę dostęp. Prawda.
Ale możesz się przed tym spróbować zabezpieczyć.
Możesz podać podpowiedź do hasła.
Możesz je zapisać na kartce i schować w domu.
Możesz użyć trybu "emergency access". Podajesz osobę/y, którym ufasz i które po określonym czasie mogą uzyskać dostęp do Twojego konta.
Możesz użyć algorytmu "Shamir Secret Sharing Scheme" i podzielić hasło na kilka osób. Jeśli x z nich się spotka - będą mogli odtworzyć zapisany sekret.
6. Bo nie ufam chmurze. Ja też.
Większość menadżerów działa w trybie "zero knowledge".
Firma nigdy nie widzi Twoich haseł.
Wszystko co jest przesyłane do ich serwerów jest zaszyfrowane.
Bez hasła głównego te dane są bezużyteczne.
Można je próbować łamać - ale to przy odpowiednio długim haśle głównym potrwa wieki.
Poza tym, jeśli potrafisz - możesz postawić swój własny serwer.
7. Bo dysk mi padnie i stracę dane.
Jeżeli używasz menadżera działającego w chmurze to producent dba o backup.
Poza tym każde urządzenie na którym się zalogowałeś posiada lokalną zaszyfrowaną kopię haseł.
A jeśli Cię to nie przekonuje - zawsze możesz wyeksportować dane z sejfu.
8. Bo autouzupełnianie nie działa. Czasami może się tak zdarzyć.
Możesz to:
Albo zgłosić producentowi,
Albo spróbować naprawić samemu.
Służą do tego pola niestandardowe. Menadżer nie zawsze wie gdzie wpisać zapisany login/hasło. Podając nazwę pola - pomagasz mu w tej operacji
9. Bo nie zaloguję się u kolegi.
Po pierwsze musisz się zastanowić jak bardzo ufasz swoim znajomym.
Czy jesteś pewien, że ich komputer jest wolny od malware?
Jeśli używasz menadżera w chmurze - możesz się do niego zalogować na telefonie.
Masz wtedy dostęp do wszystkich haseł.
10. Bo złośliwe oprogramowanie może wykraść moje hasła.
Jeśli na Twoim komputerze jest malware - masz przechlapane.
Bez względu na to czy używasz menadżera czy też nie.
Atakujący ma dostęp do wszystkiego.
Gdy jest cierpliwy może poznać wszystkie hasła.
Nic przed tym nie chroni.
11. Bo ćwiczę pamięć i mam mało haseł. Nie wierzę Ci.
Jest wiele serwisów, na których trzeba zakładać konta.
Każde konto to nowe hasło.
To, że coś pamiętasz dziś - nie znaczy, że będziesz pamiętał za rok.
Dostaję wiele maili - jak odzyskać konto na FB bo zapomniałem hasła.
Poza tym menadżer haseł to dodatkowa ochrona przed phishingiem.
Jeśli menadżer nie podpowiada hasła na stronie, na której powinien - to jest to znak, że być może padłeś ofiarą ataku i znajdujesz się na witrynie, która próbuje wyłudzić Twoje dane do logowania.
To tylko część tego o czym opowiadałem podczas webinaru: "Menadżer haseł - dlaczego warto go używać".
Całość to 200 slajdów opowiedziana w 90 minut.
Przez kolejne 40 minut odpowiadałem na pytania od widzów.
Nie jesteś jedyny/a, który/a ma wątpliwości.
Masz pytanie? Zadaj je w komentarzu - spróbuję pomóc.
PS Jeśli uważasz, że ten film jest przydatny - możesz go wykopać.
Interesujesz się bezpieczeństwem - sprawdź mój newsletter.
PS 2 To nie jest wpis sponsorowany przez Bitwarden. Po prostu to jeden z niewielu darmowych menadżerów działających w chmurze i na kilku urządzeniach jednocześnie, którego płatna wersja kosztuje 10$ rocznie.
#technologia #security #bezpieczenstwo #gruparatowaniapoziomu #ciekawostki #swiat #nauka #programowanie #it
Poza tym Bitwarden jest open source i możesz sprawdzić źródła.
@jacuss: Sprawdź to.
@bartpl: Jest droższy niż konkurencja.
To jest bardzo źle sformułowany argument. Firma jako byt tego nie zrobi, ale indywidualny pracownik jak najbardziej może odwalić taki szajs. Takie przypadki zdarzają się w tak regulowanych instytucjach jak banki.
No, ale życia bez menedżera haseł sobie nie wyobrażam.
@Izanagi013: Wystarczy, że ktoś wykradnie hashe haseł z serwisów, których używasz a następnie je złamie.
@AgresywnyKaloryfer: W takich sytuacjach ostateczną linią obrony jest 2FA/U2F.
@wrukwiony: ( ͡° ͜ʖ ͡°)
łączę się od siebie po rdp na różne vm'ki windowsowe. Normalnie wszystko śmiga, kopiowanie działa jak należy i sobie z keepasa lecę bez problemu. Ale jak czasem muszę zmienić hasło w ekranie logowania do windowsa to nie mogę tak wkleić nowego, wygenerowanego. Nie wiem, czy windows tak ma, czy sobie admin w gpo ustawił. I teraz pytanie: czy ja po prostu nie znam sposobu, czy jak
1. za darmo
2. niezależny od platformy apple sraple/windows/telefony
3. pełna kontrola nad tym co się chce zrobić
via Microsoft.
@KacperSzurek: Pomijając funkcje. Czy menadżer w FF jest bezpieczny i można bez obaw z niego korzystać?
Bitwarden nie próbowałem ale kiedyś dashlane i był to wybór gdyby nie przesiadka na inny ekosystem.
Btw spoko live wczoraj, idealnie z czasem bo akurat czekałem na żonę bo była u dentysty ( ͡° ͜ʖ ͡°)
@mruz12: Tak to powinno działać. Chociaż nie zawsze program automatycznie wykryje zmianę i musisz wtedy edytować hasło ręcznie. Chociaż z drugiej strony - zmiana hasła co miesiąc jest obecnie uznawana za złą praktykę.
@peoplearestrange: Tak, menadżer ma własną bazę w której przechowuje pliki.
@Wextor: Zalogować się na telefonie zamiast na komputerze publicznym. Bo nigdy nie wiesz czy jest on bezpieczny.
https://www.wykop.pl/link/6291581/studenci-uczelni-technicznych-nie-rozumieja-struktury-katalogow-w-systemie/