Používaj všade silné heslá ako do bankového trezoru – jednoducho a bezpečne
Čoraz viac aktivít a vybavovaní robíme priamo z nášho domu cez internet. Prihlasujeme sa na rôzne služby od sociálnych sietí, kde komunikujeme s priateľmi až po platenie účtov cez internet banking. Trend využívania takýchto služieb z pohodlia nášho domova sa stále ešte len rozbieha a môžme očakávať nárast využívania. Do väčšiny z týchto služieb zadávame svoje užívateľské meno a heslo. Prekvapujúco, mnohí z nás stále používajú jedno ľahko zapamätateľné heslo do väčšiny portálov. Na jednej strane to zjednodušuje život používateľom, ale na strane druhej aj zvyšuje pravdepodonosť zistenia a zneužitia údajov. Aj keď sa hovorí, že heslá budú už zanedlho nahradené bezpečnejšími prvkami, zatiaľ si ale na to musíme počkať.
Našťastie existujú možnosti ako sa k tomu postaviť.
Na prihlasovanie do rôznych internetových služieb používam softvér s názvom KeePass. Existuje mnoho takýchto nástrojov, vyskúšal som niekoľko a tento mi vyhovuje momentálne najviac.
Čo je KeePass?
Tento nástroj a nástroje tomu podobné fungujú na nasledovnom princípe. Program v sebe ukladá všetky prihlasovacie údaje a údaje o stránke na ktorú sa registruje. Pomáha zároveň aj generovať bezpečné heslá. Celá databáza hesiel je zabezpečená jedným hlavným „master“ heslom, prípadne iným unikátnym prístupovým údajom (napr. otlačok prsta), ktoré sa zadáva pred otvorením databázy všetkých hesiel. Stačí teda zvoliť a zabezpečiť vstup do celej databázy a o ostatné sa už postará program sám.
Rozdiely medzi ostatnými nástrojmi a KeePass-om, ktorý používam ja, je v prídavných funkciách a zjednodušeniach.
Prečo som sa rozhodol pre KeePass?
- súbor s heslami mám pod kontrolou tým, že je uložený lokálne na PC (žiaden upload na stranu poskytovateľa služby). V tom prípade musím zabezpečiť bezpečné zálohovanie súboru
- generuje silné heslá
- upozorňuje ma na to, kedy je už vhodné zmeniť heslo na konkrétnej internetovej službe
- upozorňuje ma na to, kedy je potrebné zmeniť „master“ heslo
- prihlásenie do internetových služieb je jednoduché pomocou drag&drop mena a hesla do prehliadača
- prehliadač si neukladá žiadne prihlasovacie údaje
- je možné používať tento nástroj na viacerých platformách (v mojom prípade Windows, Android a existuje k tomu aj portable verzia)
- je to open source
Hlavná stránka tohto softvéru je http://keepass.info. Stiahnuť si ho môžte tu: http://keepass.info/download.html. Odporúčam stiahnuť „Professional Edition“. V ponuke je možné stiahnuť aj „Classic Edition“, čo je pôvodná edícia softvéru, ktorá sa ešte stále podporuje, ale neobsahuje už niektoré nové vychytávky.
Software je možné nainštalovať aj v slovenčine. Preklady sú na tejto stránke: http://keepass.info/translations.html. Stačí stiahnuť preklady v ZIP súbore a rozzipovať. Súbor „Slovak.lngx“ je potom potrebné nakopírovať do zložky so spustiteľným súborom „KeePass.exe“ (napr. „c:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe“). Potom spustíme KeePass a v menu vyberieme „View -> Change Language …“. Z ponúknutých možností vyberieme slovenčinu.
KeePass podporuje aj množstvo pluginov na integráciu s prehliadačmi, zálohovanie a synchronizáciu, import a export hesiel a ďalšie. Všetky pluginy nájdete tu: http://keepass.info/plugins.html. Ja osobne nepoužívam žiaden plugin a vyhýbam sa hlavne integrácii s prehliadačmi, pretože môže to znamenať potenciálnu hrozbu ukradnutia údajov v prípade, že prehliadač alebo plugin obsahuje v sebe chybu a ostane tam dostatočne dlho na to, aby sa to dalo zneužiť. Môj prístup je taký, že sa snažím eliminovať maximum potenciálnych hrozieb a zároveň využiť možnosti ktoré sa ponúkajú na zabezpečenie. V tomto prípade to znamená, že ak moje heslá prechádzajú cez čím viac programov, tým väčšia je pravdepodobnosť, že sa niekde môže potenciálne nachádzať chyba, ktorá sa dá zneužiť. Znie to možno paranoide, ale ak sa jedná o databázu prístupových údajov, radšej ostanem paranoidný, pretože tieto sú najchúlostivejšie dáta, aké môžete stratiť.
Ako vytvoriť databázu hesiel
Po inštalovaní programu KeePass 2 a spustení otvorí úvodné okno. Klikneme na tlačidlo „New“ a vyberieme zložku na disku kde uložíme databázu s heslami a pomenujeme tento súbor.
KeePass 2 – Vytvorenie novej databázy hesiel
Následne sa otvorí okno s možnosťami vytvorenia pre tzv. „Master Key“. Master Key je kľúč, ktorý zabezpečuje celú databázu hesiel. Preto je nutné vybrať vhodný a silný kľúč. KeePass ponúka 3 možnosti tohto kľúča:
- Master heslo: je prístupové heslo do celej databázy hesiel. V tomto prípade si stačí zapamätať jedno dostatočne silné heslo. Platí, že silné heslo musí mať minimálne osem znakov a malo by obsahovať veľké a malé písmená, číslice a aspoň jeden nie alfanumerický znak
- Key file: táto možnosť zvyšuje zabezpečenie, pretože heslo nie je len cca 30 znakov v hesle, ale celý súbor, ktorý býva omnoho komplikovanejší. Týmto súborom môže byť aj hocijaký súbor na disku. Hlavné je, mať tento súbor zabezpečený a odzálohovaný. Pretože ak sa stratí, je to akoby sme zabudli heslo. Odporúča sa, mať tento súbor uložený na inom mieste, napr. USB disk, NAS server, FTP, … Pretože ak sa dostane do PC malware, ktorý útočí práve na hľadanie Key file-ov, nebude to až také zložité vyskúšať otvoriť databázu pomocou všetkých súborov na disku. Taktiež odporúčam nazvať tento súbor inak ako „moje_tajny_kluc_do_db_hesiel.key“, alebo podobne, aby pri prípadnom odcudzení média s dátami (napr. USB disku), na prvý pohľad nevzbudil v cudzej osobe záujem
- Windows user account: v tomto prípade, sa databáza hesiel stane závislá od konkrétneho užívateľa na Windowse, tzn. že databázu sa bude dať otvoriť len pod konkrétnym užívateľom na OS Windows.
Ja osobne používam silné Master heslo, pretože sa prihlasujem do internetových služieb niekedy aj z iných PC. Ak niekto nemá na PC naištalovaný KeePass (čo spravidla ľudia nemávajú), mám na USB nainštalovanú „portable“ verziu tohto softvéru (portable verzia, je verzia programu spustiteľná aj z USB kľúča – viac na http://keepass.info/help/v2/setup.html)
KeePass – Autentifikácia
Potom nasleduje druhý krok, a to nastavenie databázy hesiel. Obyčajne nastavujem meno a popis databázy a potom ešte pripomienku na zmenu master hesla v „Advanced“ tab-e.
KeePass – Vytvorenie databázy hesiel
KeePass – Rošírené nastavenia vytvorenia databázy hesiel
Databáza hesiel je v tomto kroku už vytvorená a vyzerá takto:
KeePass – Databáza vytvorená
Ako jednoducho vytvoriť silné prihlasovacie údaje
Pokračujeme vo vytvorení prihlasovacích údajov. Ukážeme si to na príklade vytvorenia hesla do internetového bankovníctva mBank. Najskôr si zvolíme vytvorenie nového záznamu. Je viacero spôsobov, ja osobne to robím tak, že vyberiem hlavnú zložku, kde vytvorím záznam, v tomto prípade „Homebanking“ a použijem klávesovú skratku CTRL+I, alebo pravým klikom v okne so záznamami vyberiem Add Entry.
KeePass – Vytvorenie nového záznamu
Následne vyplním názov, užívateľské heslo, URL na ktorej sa prihlasovací formulár nachádza a prípadne popisky. Potom pokračujem vytvorením hesla kliknutím na ikonku vytvorenia a vyberiem „Open Password Generator“.
KeePass – Generovanie hesla
Podľa odporúčaní mBank nastavujem generovanie na najbezpečnejšie možné heslá. V tomto prípade, maximálna dĺžka hesla je 20 znakov a zaškrtnem všetky povolené znaky uvedené na stránke mBank. Ak by internetová služba neposkytovala žiadne takéto údaje na stránke, začínam so zaškrtnutými všetkými poliami a prípadne redukujem. Tieto nastavenia sa dajú uložiť do profilu, aby pri generovaní ďalšieho hesla v budúcnosti som nemusel znova zisťovať a nastavovať všetky nastavenia.
Ja osobne využívam tento spôsob, ale KeePass ponúka aj ďalšie dve ako generovanie pomocou vzoru alebo iného algoritmu.
KeePass – Generovanie hesla – Nastavenia
Po vygenerovaní hesla ešte nastavujem dobu ukončenia platnosti hesla. To robím len v službách kde pracujem s citlivými údajmi.
KeePass – Nastavenie dátumu vypršania hesla
Po uplinutí tejto doby, sa v aplikácii KeePass zobrazí ikonka s červeným krížikom. V takom prípade sa manuálne prihlásim do služby a zmením heslo na nové.
Kee Pass – Označenie starého hesla
Prihlasovanie na stránky
Na prihlásenie do mBank dvoj-klikneme na URL mBank záznamu. To automaticky otvorí prehliadač s prihlasovacou stránkou.
KeePass – Nový záznam vytvorený
Následne stačí pretiahnuť záznam z „User Name“ do prehliadača a to isté spraviť pre heslo.
KeePass – Prihlásenie do internetovej služby
Prípadne KeePass ponúka aj možnosť Auto-Type, ktorý automaticky vyplní prihlasovacie meno, heslo a následne vykoná aj prihlásenie.
KeePass – Auto-Type
Bezpečnosť
V žiadnom prípade sa nedá tvrdiť, že niečo digitálne je na 100% bezpečné. Existujú totiž „hackerské programy“ na zisťovanie hesiel zamerané priamo na databázy hesiel, napr. aj na KeePass. Je preto dôležité, zvýšiť bezpečnosť natoľko, aby ak sa „štandardné hackerské programy“ dostanú na tvoj PC, nedostali k heslám len tak jednoducho. A pokiaľ nie si Barack Obama, Bill Gates a podobné osobnosti, nie je veľká pravdepodobnosť, že sa na teba hackery zamerajú.
Tipy ako zvýšiť bezpečnosť KeePass-u (vďaka aj za tipy z komentára od Kosťa, ktoré som pridal do tejto časti):
- nainštaluj KeePass do iného priečinka ako sa odporúča pri inštalácii
- zablokovať všetok outbound traffic pre KeePass (tip ako to spraviť napr. tu: http://www.howtogeek.com/112564/how-to-create-advanced-firewall-rules-in-the-windows-firewall/)
- vypnúť automatickú aktualizáciu manažéra hesiel (v prípade KeePass-u to nie je potrebné, pretože KeePass ťa na to najskôr upozorní po tom čo vyjde nová aktualizácia)
- uložiť súbor s heslami na iné miesto ako systémová partícia (v prípade Windowsov to je C:/)
- nepoužívať internetovú synchronizáciu s mobilnou verziou aplikácie
- používať mobilnú aplikáciu od Android verzie 6.0
Ak máš ďalšie tipy na zvýšenie bezpečnosti, napíš ich do komentára.
Alternatívy
Nie každému môže vyhovovať KeePass. Na tejto stránke si prezrite alternatívy k tomuto softvéru: http://alternativeto.net/software/keepass/. Je ich ozaj veľa. Osobne som ešte vyskúšal KeePassX, keď ešte nebola možnosť nainštalovať KeePass na Linux-e a taktiež Sticky Password.
Na tejto stránke si pozrite zoznam základných programov a ich porovnanie: https://en.wikipedia.org/wiki/List_of_password_managers.
Offline Alternatíva – Vlastná Hashovacia Funkcia
Ďalší super tip pre ľudí, ktorí nie sú stotožnení mať všetky heslá na jednom mieste, je vytvorenie si vlastného hashovacieho algoritmu na generovanie hesiel. V praxi to znamená, že všetky heslá si budeš pamätať vo svojej hlave. Znie to príliš technicky a náročne, ale nie je to až také zložité ako sa môže zdať.
Jeden zo spôsobov ako si svoju hashovaciu funkciu vytvoriť je nasledovný?
- zadefinuj si prefix, napr. „W_8“
- nasleduje doména na ktorú sa prihlasuješ, napr. „facebook.com“
- zadefinuj si, ktoré písmená nahradíš iným znakom, napr.: „o“ = „0“, alebo „i“ = „1“
- zadefinuj si suffix, napr. „1.P“
Pri registrovaní nového užívateľa na Facebook vygeneruješ nasledovné ľahko zapamätateľné heslo: „W_8faceb00k.com1.P“
Akčná výzva
Napíš mi pls dole do komentárov či tento článok bol pre teba zaujímavý, či si sa vôbec už s touto témou stretol a či ťa zaujíma téma bezpečnosti na internete. Ak bude viacerých z vás táto téma zaujímať, budem sa venovať bezpečnosti aj naďalej (napr. nastaveniam prehliadačov na zvýšenie anonymity, aplikáciam na zvýšenie anonymity a bezpečnosti a pod.).
Ak sa ti zdá, že tento článok môže byť užitočný aj pre tvojich známych, budem rád, keď ho budeš zdieľať na FB alebo G+. Vďaka 😉
Ahoj Laco, kvalitny password manazer snad ani nexistuje. V prvom rade odporucam kazdemu kto to pouziva aby si zablokoval vsetok outbond traffic pre dany password manazer (a vsetky jeho pluginy) na urovni operacneho systemu, vypol automaticku aktualizaciu managera na pozadi (ktora by aj tak nemala prebehnut kvoli obmedzeniu firewallu), nainstalovat password manazera do ineho priecinka ako sa odporuca pri default instalacii (program files,…), nastavit databazu hesiel na inu particiu ako sa nachadza samotny program (najlepsie nie systemovu), nepouzivat internetovu sychronizaciu s mobilnou verziou aplikacie ale cez importovany subor, na mobilnom zariadeni pouzivat password manager od Android verzie 6.0 Marshmallow (na iOS moze byt aj starsia).
Samotny password manager je ako klucenka na kluce – umoznuje ich stratit vsetky naraz. Samozrejme v dnesnom svete kedy je vsetko zalozene na mene a hesle sa takyto nastroj stava nevyhnutnostou sucastou.
Mozno by bolo dobre spomenut ze je jednoduchsie si vytvorit vlastnu lahko zapametatelnu HASHovaciu funkciu na hesla. Ja to pouzivam a naucil som to aj manzelku ktora si to nevie vynachvalit 😉
Vdaka Kosto za tipy 😉
Ahoj Laci
som spokojny dlhorocny pouzivatel keepasu 🙂
Dakujem za komentar aj od Peta z Presova, ktory vyuziva moznost Auto-Type. Zlepsovak som uz pridal do clanku.
Vdaka 😉
Dakujem za zaujimavy článok, ja zatial nepouzivam nic podobne.
Zaujima ma zivotny cyklus hesiel a tvojich zaloh. Dost casto menis hesla, napr. v internet bankingu. Keypass ti vygeneruje nove heslo, zadas ho do internet bankingu, tam si ale potrebujes pamatat aj stare heslo pri zmene noveho. Po zmene hesla si hned zalohujes cely keypass? Kolko mas zaloh? USB s keypassom nosis stale so sebou? Dakujem za odpovede
Caw Janci,
KeePass ťa len upozorní, že máš vyexpirovné heslo tým, že priamo v okne aplikácie sa v zázname zobrazí ikonka s červeným krížikom.
KeePass automaticky heslá nemení. Heslo je potrebné vygenerovať manuálne v KeePass-e, takže nenastane problém, že staré heslo stratíš a v pohode v napr. v internet bankingu zmeníš heslo tým, že zadáš pôvodné heslo a následne zadáš nové vygenerované. Ja osobne to robím ešte tak, že staré heslo si pre istotu, prekopírujem do poznámok v prípade, ak by náhodou nastal problém pri zmene hesla. Čiže nemám zálohy spravné priamo pre tento prípad.
Zálohy však mám a to aspoň na 2 miestach. Jedna je na USB disku, odkiaľ sa pripájam na služby ak som niekde mimo svojho PC a jeden mam synchronizovaný cez zero-knowledge cloudovú službu SpiderOak, ktorú mám nainštalovanú na svojom PC.
To znie krásne: vlastnú ľahko zapamatatelnu HASHovaciu funkciu 🙂
Na základe vašej spätnej väzby som pridal novú časť o Bezpečnosti a o tom Ako si navrhnúť vlastnú hashovaciu funkciu.