Haszło?

https://xpil.eu/JuiFm

Na początek stary ale dobry kawał:

Stoję na przystanku. Lekko już wieczornie, nikogo poza mną. Przychodzi jakiś delikwent, podchodzi do mnie i lekko zachrypłym głosem pyta:
- Haszło?
Myślę, dziwny jakiś. Stoję cicho.
- Haszło?
Odsuwam się lekko, ale facet się nie chce odczepić, podchodzi i pyta, głośniej:
- Haszło?
No to ja mu na to:
- Czerwony Kapturek.
Spojrzał na mnie jakoś dziwnie i odszedł. Dopiero potem się zorientowałem, że pytał o autobus linii "H" ...

 

UWAGA: Ostrzegam, że dalsza część tego wpisu jest nudna dla tych, którzy już używają oprogramowania do zarządzania hasłami i nie potrzebują opinii na ten temat. Autor nie odpowiada za szkody wywołane nagłym zaśnięciem pod wpływem lektury.

Tym razem o hasłach. Temat przewałkowany z milion razy więc niczego nowego nie wymyślę - ale co mi tam.

Bez haseł dziś niezmiernie trudno. Wypłacasz gotówkę ze Ściany Płaczu - hasło. Wchodzisz do serwerowni - hasło. Logujesz się do bloga - hasło. Otwierasz lodówkę... No dobra, tu jeszcze (jeszcze!) haseł nie ma. Natomiast wszelakie usługi online... Wszędzie hasła, piny, kody. A pamięć, z upływem czasu, jakoś się nie chce polepszać. Wręcz przeciwnie. Pamiętam wierszyk z apelu na koniec szóstej klasy a nie pamiętam gdzie położyłem klucze.

Świadom tego wszystkiego, kilka lat temu zacząłem zgłębiać zagadnienie pod kątem ułatwienia sobie życia. Założenie jest takie, żeby było łatwiej, ale bez poświęcania bezpieczeństwa. Przez dość długi czas myszkowałem po forach, testowałem różne programy do zarządzania hasłami, wreszcie osiągnąłem Zen.

Zen wabi się LastPass; przypuszczam, że jest to najpopularniejsze obecnie rozwiązanie do zarządzania hasłami. A nawet jeżeli nie jest, to powinno być 😉

Główna zaleta LastPass (będę pisał LP bo mi tak krócej) jest taka, że działa w chmurze. Chmura, przez naszych pradziadów błędnie rozumiana jako zjawisko atmosferyczne, jest genialnym wynalazkiem ery Internetu. Ma oczywiście kilka wad: nasze (nasze!) dane leżą sobie gdzieś w p*zdu daleko, właściwie to nie wiadomo gdzie, nie wiadomo kto do nich zagląda, a może ktoś tam coś pozmienia albo pokasuje bez naszej wiedzy? Z drugiej strony, operator chmury na ogół jest mocno w temacie i implementuje strategie bezpieczeństwa o wiele skuteczniejsze niż to, co mamy na domowym pececie.

No więc właśnie; twórcy LP zarzekają się, że nasze dane w ichniej chmurze są bezpieczne. Oczywiście nie oni jedni się tak deklarują, a historia pokazuje, że do chmury też da się włamać - niemniej jednak do LastPass włamać się jest cholernie trudno. Wszystko dlatego, że nasze hasła (i inne dane - o tym później) leżą w chmurze zaszyfrowane. Co więcej, nie da się ich zdeszyfrować bez podania hasła, które znamy tylko my. A po zdeszyfrowaniu dane nie wychodzą poza naszą lokalną przeglądarkę.

Zaraz, jakie hasło? Mam sobie ułatwić życie a tutaj kolejne hasło? Bez sensu...

No, niby tak. Z drugiej strony, jak sama nazwa wskazuje (dla nieznających języka Lengłidż: "LastPass" to na nasze coś jakby "OstatnieHas"), to jest ostatnie hasło jakie musimy zapamiętać. Tym samym możemy śmiało zapomnieć resztę haseł do wszystkich naszych serwisów online i używać tylko tego jednego, bezpiecznego hasła. Wada jest taka, że to hasło musi być naprawdę skomplikowane. Zaleta - że jest tylko jedno. Odrobina wysiłku poświęcona na wymyślenie i zapamiętanie tego jednego hasła zwróci się z nawiązką.

Tak to działa. Bez tego hasła nie da się zdeszyfrować naszych pozostałych haseł. Metoda szyfrowania oparta jest nie na jakimś super tajnym algorytmie tylko na czystej, mocnej matematyce. I tak naprawdę, dopóki idea komputerów kwantowych nie zostanie zrealizowana, do naszego sejfu nie da się włamać w sensownym czasie nawet dysponując budżetem całego państwa.

Od tego momentu życie online staje się dużo łatwiejsze. LastPass potrafi wykonać dla nas audyt bezpieczeństwa - na żądanie może przeanalizować wszystkie nasze hasła, sprawdzić czy nie mamy duplikatów, słabych haseł (dla przykładu, 'dupa' to słabe hasło ale już 'dU123p$aH' jest całkiem przyzwoite a '#dŰppA0-0Q' w zasadzie nie do złamania w sensownym czasie).

No dobrze. Fajnie. Mam swoje hasło główne, do wszystkich serwisów poustawiałem bezpieczne, unikalne, niełamalne hasła. Załóżmy teraz, że siadam do komputera w kafejce internetowej a tam jakiś dziadyga zainstalował keyloggera. Albo wpiął cichaczem keyloggera sprzętowego pomiędzy komputer i klawiaturę. Wpiszę swoje hasło główne i dŰppA blada, mogę się pożegnać ze swoimi hasłami...

Tu w sukurs przychodzi logowanie wieloczynnikowe. Dodatkowa warstwa zabezpieczeń uniemożliwiająca zalogowanie się do mojego konta LP z publicznego komputera nawet jeżeli ktoś zna moje hasło (bo, na przykład, wykradł keyloggerem). Otóż LP umożliwia wygenerowanie karty kodów jednorazowych, a następnie zapyta o pięć znaków z tej karty za każdym razem kiedy będziemy się logować z nieznanego komputera. W tym momencie złodziej musiałby nie tylko ukraść hasło ale również kartę kodów. To jest już dość trudne, bo musiałby siedzieć w kafejce cały czas, obserwować czy ktoś używa karty kodów, potem jeszcze zorganizować napad rabunkowy żeby taką kartę ukraść... O ile więc nie jesteśmy prezesem dużej spółki paliwowej, który jawnie używa internetu z kafejki, możemy spać spokojnie.

OK, mam hasło główne, mam logowanie wieloczynnikowe, nie jestem prezesem spółki paliwowej. Jest bezpiecznie? A jest wygodnie?

Otóż jest! Od tej pory LastPass rozpozna stronę na której jesteśmy i wypełni (automatycznie bądź na żądanie) pola loginu / hasła. Rejestrując się do nowej usługi online, skracamy czas na wypełnianie formularzy (LastPass może przechowywać wszystkie nasze dane osobowe i użyć ich do wypełnienia formularza online, a także wygeneruje dla nas nowe, bezpieczne hasło). Możemy tam trzymać numery kart kredytowych, klucze licencyjne do oprogramowania oraz wszelkie poufne dane które normalnie trzymalibyśmy w sejfie. Całość zawsze jest zsynchronizowana z chmurą więc wszystko jest zawsze pod ręką. Mamy kilka loginów do jednego serwisu? LP zapyta którego chcemy użyć. Chcemy się logować automatycznie do poczty? Ustawiamy w LP odpowiednią opcję i gotowe. Mamy osobny zestaw haseł do domu i osobny do firmy? LP umożliwia tworzenie profili ('tożsamości') między którymi można się potem szybko przełączać.

LP jest dostępny w postaci wtyczki do przeglądarki. Obsługuje wszystkie popularne przeglądarki (aczkolwiek są drobne różnice w funkcjonalności, np. Chrome nie pozwala wtyczkom na modyfikowanie menu podręcznego, a Opera dopiero od niedawna dopuściła zewnętrzne wtyczki), wszystkie popularne systemy operacyjne (a także parę egzotycznych: symbian, webos, blackberry...). No i - najważniejsze - jest za darmo. Wyjątkiem są systemy mobilne - za używanie LP w telefonie zapłacimy 1$ (słownie: jednego dolara) miesięcznie. Dość tanio, biorąc pod uwagę konkretne, wymierne korzyści z używania.

Czego LP nie potrafi? Nie wypełni za nas hasła logowania do systemu operacyjnego. Nie zaloguje się za nas do GG, YM czy Skype. Kawy nie zaparzy.

Używam LP od ładnych paru lat. Od niedawna również w wersji Premium (żonka ma srajfona a ja przez chwilę miałem szajsunga, ale niestety jakiś uprzejmy pan dokonał na nim niedawno przekształceń własnościowych i dŰppA). Trzymam tam dane logowania do prawie stu różnych serwisów online, numery seryjne do różnych programów, kilka notatek. Wszystkie hasła mam unikalne i bezpieczne, nigdy nie miałem żadnych problemów, włamań itd. Gorąco polecam.

Jeżeli jednakowoż, miły Czytelniku, używasz do zarządzania hasłami czegoś innego niż LP i jesteś równie zadowolony jak ja, podziel się szczegółami w komentarzu.

Dla wszystkich, którzy dotarli aż tutaj, mały bonusik na koniec. Kawał z długą brodą, ale nieodmiennie śmieszy kolejne pokolenia:

Golgota. Widok na trzy krzyże. Od środkowego słychać:
-Jestem dziś jakiś przybity...

Пока!

https://xpil.eu/JuiFm

7 komentarzy

  1. A ja mam to samo hasło i ten sam pin do wszystkiego… Mój najnowszy mąż puka się po czole ale co tam… nigdy nie zapomnę przynajmniej…

  2. @Nina: dla spokoju podaj swe hasło tutaj. Jak jednak przypadkiem, wypadkiem lub innym padkiem zapomnisz to ci łaskawie przypomnimy 😉

  3. Pomyslu na przechowywanie hasel nie mam ale przypomnialo mi sie jak nam rozdawali klodki szyfrowe do szafek w supervalu i jak szukałem wolnej zeby schowac swoje rzeczy na czas pracy to zauwazylem ze na niektorych klodkach ciagle wisi przyklejona naklejka z kodem (chyba 4 cyfrowym). Po co to pamietac albo gdzies szukac po chmurach jak mozna miec zapisane na widoku.

    1. Mi się bardzo spodobała historia o facecie, który zapisał sobie pin do karty bankomatowej na ścianie obok bankomatu. Sposób niegłupi, bo nie wiadomo czyj to jest pin (o ile nikt nie przyuważy cię w momencie mazania po ścianie) więc jest bezpiecznie. Gorzej, jak znienacka pomalują ścianę… Ponoć facet poszedł na skargę do banku, że go nie uprzedzili o planowanym malowaniu i teraz musi wyrabiać nową kartę 🙂

  4. Muszę to rozważyć, bo jak na razie to do moich otrzeb wystarczają mi 3 hasła na krzyż. Ale fajnie, że o tym napisałeś. A „H” już poszło czy jeszcze nie przyszło gdy stałeś na tym przystanku?

    1. Od czasów tego wpisu zdążyłem się przesiąść na Bitwarden, który kosztuje jedną trzecią tego co LastPass, a nie ustępuje mu funkcjonalnością. Zresztą LastPass już nie jest niezależną firmą, przejął ich jakiś gigant, któremu zależy głównie na dojeniu kasy.

Leave a Comment

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]

Jeżeli zrobisz literówkę lub zmienisz zdanie, możesz edytować komentarz po jego zatwierdzeniu.