Wyjaśniamy· Bezpiecznie w sieci

Menedżer haseł i weryfikacja dwuetapowa: zabezpiecz się na trzech poziomach

Nie musisz od razu zostawać paranoikiem z kluczem sprzętowym na szyi. Bezpieczeństwo kont da się wdrażać etapami: poziom podstawowy zajmuje wieczór, solidny weekend, a pancerny jest dla tych, którzy mają naprawdę coś do stracenia. Wybierz swój.

Ilustracja · fot. Tony Webster / CC BY 2.0, Wikimedia Commons
Materiał własny redakcjiZaktualizowano 16 lipca 20263 min czytania

W skrócie

  • Osiemdziesiąt procent efektu dają dwie rzeczy: unikalne hasła (generuje je menedżer) i drugi składnik logowania na skrzynce oraz w banku.
  • Weryfikacja SMS-em jest lepsza niż nic, aplikacja z kodami lepsza niż SMS, a klucz sprzętowy i passkeys odporne nawet na phishing.
  • Hasło ma być przede wszystkim długie i unikalne: trzy losowe słowa biją kombinację „P@ssw0rd!" pod każdym względem.
  • Passkeys (logowanie odciskiem palca lub twarzą, bez hasła) to kierunek, w którym idzie cały rynek: włączaj je wszędzie, gdzie są dostępne.

W zabezpieczaniu kont najwięcej szkody robi perfekcjonizm: skoro „porządne" bezpieczeństwo wydaje się skomplikowane, większość ludzi nie robi nic i loguje się wszędzie tym samym hasłem z 2015 roku. Tymczasem ochrona kont to nie egzamin zero-jedynkowy, tylko drabina: każdy szczebel wyżej odcina kolejną klasę ataków. Poniżej trzy poziomy do wyboru, każdy kompletny i wewnętrznie spójny. Zacznij od pierwszego choćby dziś wieczorem.

Poziom 1: minimum, które wyprzedza 90% internautów (jeden wieczór)

  • Unikalne, mocne hasło do skrzynki e-mail. To konto-matka: przez nie resetuje się hasła do wszystkiego. Najlepszy przepis na hasło do zapamiętania: 3-4 losowe słowa ze znakiem i cyfrą („KawaLornetkaŻagiel77!"). Długość bije kombinowanie.
  • Weryfikacja dwuetapowa na skrzynce i w banku. Nawet SMS-owa: przy wycieku hasła atakujący odbije się od drugiego składnika. W banku ustaw też limity transakcji i powiadomienia o każdej operacji.
  • Hasła zapisywane w przeglądarce lub telefonie, byle różne. Wbudowane menedżery Google/Apple to nie ideał, ale generują unikalne hasła i ostrzegają o wycieku. Różne słabsze hasła są DUŻO lepsze niż jedno „mocne" wszędzie.
  • Blokada telefonu biometrią lub PIN-em 6-cyfrowym. Telefon z aktywną sesją poczty i banku to klucz do całego Twojego życia.

Poziom 2: solidnie, czyli menedżer haseł i aplikacja z kodami (jeden weekend)

Prawdziwa zmiana jakościowa to dedykowany menedżer haseł: program, który generuje, pamięta i wpisuje za Ciebie losowe hasła do każdego serwisu, a Ty pamiętasz tylko jedno hasło główne. Sprawdzone opcje: Bitwarden (bezpłatny w wersji podstawowej, open source), 1Password (płatny, najwygodniejszy) lub KeePassXC (lokalny, bez chmury, dla nieufnych). Wdrożenie jest nudne, ale jednorazowe: instalujesz wtyczkę i aplikację, a potem przez weekend podmieniasz hasła, zaczynając od poczty, banku, mediów społecznościowych i sklepów z zapisaną kartą. Menedżer przy okazji chroni przed phishingiem: nie podpowie hasła na stronie o podrobionym adresie, co jest cichym, genialnym zabezpieczeniem.

Drugi krok tego poziomu: przenieś kody 2FA z SMS-ów do aplikacji uwierzytelniającej (Google Authenticator, Microsoft Authenticator, Aegis, 2FAS: wszystkie działają tak samo, generując 6-cyfrowe kody offline co 30 sekund). SMS-y bywają przechwytywane przez duplikat karty SIM (SIM swapping) i podglądane na ekranie blokady; kody z aplikacji nie opuszczają telefonu. Przy włączaniu 2FA serwisy pokazują kody zapasowe: zapisz je w menedżerze haseł albo na papierze w domu, bo to one ratują dostęp po utracie telefonu.

Poziom 3: pancernie, czyli phishing przestaje działać

Poziomy 1 i 2 mają jedną lukę: kod z aplikacji można wyłudzić na podrobionej stronie logowania, która przekaże go przestępcy w czasie rzeczywistym. Zamyka ją dopiero uwierzytelnianie odporne na phishing: fizyczny klucz sprzętowy (YubiKey, Nitrokey, od ok. 150-250 zł, standard FIDO2/U2F) albo passkeys. Oba działają na tej samej zasadzie kryptograficznej: odpowiedź jest ważna wyłącznie dla PRAWDZIWEJ domeny serwisu, więc podrobiona strona nie ma czego przechwycić. Klucz warto kupić w parze (drugi jako zapasowy do szuflady) i wpiąć przynajmniej do skrzynki e-mail i menedżera haseł.

Passkeys zasługują na osobny akapit, bo to one w najbliższych latach zastąpią hasła. Passkey to para kluczy kryptograficznych: prywatny zostaje w Twoim telefonie lub komputerze (chroniony biometrią), publiczny trafia do serwisu. Logowanie wygląda tak: strona pyta, Ty przykładasz palec, koniec. Nie ma hasła, które mogłoby wyciec z serwisu, nie ma nic do przepisania na fałszywej stronie, nie ma czego zapomnieć. Google, Apple, Microsoft, Allegro i kolejne polskie banki już je wspierają; opcję znajdziesz w ustawieniach bezpieczeństwa konta pod hasłem „passkey" lub „klucz dostępu". Włączaj wszędzie, gdzie jest: to rzadki przypadek, gdy wygodniejsze jest zarazem bezpieczniejsze.

Najczęstsze pytania

Czy zapisywanie haseł w przeglądarce jest bezpieczne?
To akceptowalne minimum: wbudowane menedżery Google i Apple szyfrują dane i generują unikalne hasła. Dedykowany menedżer (Bitwarden, 1Password, KeePassXC) daje więcej: działa między ekosystemami, przechowuje kody zapasowe i notatki, ma lepsze audyty bezpieczeństwa. Najgorszą opcją pozostaje jedno hasło wszędzie.
Co jest lepsze: kody SMS czy aplikacja authenticator?
Aplikacja. Kody SMS można przechwycić przez wyrobienie duplikatu karty SIM lub podejrzeć na zablokowanym ekranie. Kody z aplikacji (TOTP) są generowane offline i nie opuszczają urządzenia. Jeszcze wyżej stoją klucze sprzętowe i passkeys, odporne także na phishing.
Co to są passkeys?
Nowy standard logowania bez hasła: zamiast niego serwis dostaje klucz publiczny, a prywatny zostaje w Twoim urządzeniu, chroniony biometrią. Logujesz się odciskiem palca lub twarzą. Passkeys są odporne na wycieki (serwis nie ma hasła) i na phishing (działają tylko na prawdziwej domenie).
Co się stanie z hasłami, gdy zgubię telefon?
Menedżery haseł synchronizują zaszyfrowany sejf w chmurze: logujesz się hasłem głównym na nowym urządzeniu. Kody 2FA odzyskasz z kodów zapasowych (dlatego trzeba je zapisać przy włączaniu) albo przez procedurę odzyskiwania konta. Bez kodów zapasowych odzyskiwanie potrafi trwać tygodnie, to najczęstsza kara za pominięcie tego kroku.

Źródła i dalsza lektura

Materiał własny redakcji, oparty na oficjalnych i renomowanych źródłach:

Czytaj dalej