如何保护密码?
Kaj v tem primeru storimo? Najlažja rešitev je, da uporabljamo enako uporabniško ime in geslo za več spletnih strani. Uporabniško ime je pogosto neka različica osebnega imena ali vzdevka z dodanimi številkami, naključnimi velikimi začetnicami in podobno. Čeprav nas na vsakem koraku opozarjajo, da morajo biti gesla dolga, kompleksna in na vsaki spletni strani različna, še vedno prepogosto uporabljamo enostavna gesla, kot na primer geslo, geslo12!, password1 in podobno. Vsak malce bolj izkušen napadalec se bo lahko s surovo močjo dokopal do vaših gesel, takrat pa bo že prepozno.
Tudi na telefonih večina uporablja enostavne PIN kode (123456, 2222, 0000 …) in vzorce (poteg desno in dol …). Biometrično odklepanje, ki je na voljo na skoraj vsakem novejšem telefonu, se v rokah neizkušenega uporabnika niti ne pojavi na seznamu možnih rešitev. Da ne omenjamo možnosti, da je PIN koda enaka tisti za dostop do mobilne banke ali trgovalnih storitev.
Postali smo samozadovoljni. Na podjetja se zanašamo, da bodo naše podatke ohranila varne, čeprav lahko marsikaj postorimo sami. Ne boste si zapomnili več kot sto gesel, razen če imate fotografski spomin. Tudi na list papirja si jih ne boste zapisovali.
Ena izmed rešitev so namenski upravitelji gesel
Nekateri že zdaj uporabljate upravitelje gesel v brskalnikih Chrome, Firefox, Safari … Z njimi lahko ustvarjate zapletena gesla, jih shranite v »trezor« in pustite brskalniku, da jih samodejno izpolni, kadar je to potrebno.
Je Googlov upravitelj gesel varen?
Googlov upravitelj gesel je veliko varnejša rešitev v primerjavi s tem, da uporabljate vedno ista gesla – še vedno pa ni najboljša. Googlov upravitelj gesel ni odprtokoden, zato ne moremo do potankosti vedeti, kako deluje, kako shranjuje gesla in podobno. Sicer pa tudi oznaka »odprtokoden« ne pomeni nujno, da gre za varno rešitev. Na voljo pa je vsaj možnost, da lahko izvorno kodo pregledajo neodvisni strokovnjaki.
Kar vemo je, da Google ne uporablja pristopa šifriranje brez znanja (angl. zero-knowledge), kar pomeni, da Google ve vse o podatkih, ki jih shranjujete na njihovih strežnikih. Na voljo je možnost, da lahko vklopite lokalno šifriranje gesel, preden se shranijo v račun Google. Nimamo podatkov o tem, koliko uporabnikov jo ima vklopljeno, predvidevamo pa lahko, da ne gre za večino. Prav tako ni možnosti nastavitve glavnega gesla za dostop do upravitelja gesel. Poleg transparentnosti je pomanjkljivost tudi nedelovanje izven brskalnika Chrome.
Bi ga torej morali uporabljati? Čeprav ni najboljši in ne ponuja vseh funkcij, kakršne ponujajo nekateri drugi upravitelji gesel, je vseeno varen in predvsem priročen.
Kako Apple shranjuje gesla?
Podobno kot Googlova rešitev je tudi Applova na prvem mestu zelo priročna za uporabnike, saj je privzeto na voljo na vseh Applovih napravah. Z upraviteljem gesel iCloud Keychain lahko ustvarjate naključna gesla, jih shranjujete, hranite številke kreditnih kartic, upravitelj namesto vas izpolnjuje podatke, skratka zelo podobno, kar počno vsi ostali upravitelji gesel. Za kodiranje uporablja 256-bitno šifriranje AES, gesla so sinhronizirana z drugimi Applovimi napravami, na voljo je večfaktorska verifikacija, pred kratkim pa so dodali še možnost uporabe »passkeys«.
Deluje zelo podobno kot Googlov upravitelj gesel in ima tudi enake pomanjkljivosti: transparentnost, nezdružljivost izven Applovega ekosistema, manjkajo naprednejše funkcije …
iCloud Keychain je varen upravitelj gesel in rešitev, ki jo bo na napravah podjetja Apple uporabljala večina – predvsem zaradi priročnosti.
5 % uporabnikov, ki se radi poglobijo v varnost, pa raje izbere namenski upravitelj gesel. Teh je več in delujejo zelo podobno, zato je težko določiti, kateri je najboljši.
Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper … Izbire je kar nekaj in našteti veljajo za najbolj priljubljene. Ni se vam potrebno omejiti samo na enega. Z enim je upravljanje lažje, ni pa drugih razlogov, zakaj ne bi uporabili dveh upraviteljev gesel. Večina teh upraviteljev ponuja brezplačno različico, ki bo za večino zadoščala, po želji pa lahko zakupite eno izmed plačljivih različic za dodatne funkcije, na primer večfaktorsko avtentikacijo z napravami, kot je YubiKey.
Ker imate po vsej verjetnosti gesla že shranjena v Googlovem ali Applovem upravitelju gesel, jih boste morali za uporabo drugih upraviteljev gesel najprej izvoziti.
V brskalniku Chrome pojdite v Nastavitve, izberite razdelek Samodejno izpolnjevanje in gesla, potem Google upravitelj gesel. Na levi strani boste nato opazili še en razdelek Nastavitve, kjer boste izbrali Izvoz gesel v formatu CSV. Če jo boste kdaj potrebovali, imate v teh nastavitvah tudi možnost vklopa šifriranja in uvoza gesel iz drugih brskalnikov ali upraviteljev gesel.
Applovi uporabniki boste gesla v iCloud Keychain najlažje izvozili na Mac računalniku. Pojdite v System Preferences ali Settings, med razdelki izberite Passwords, po vsej verjetnosti boste morali vtipkati svoje geslo ali pa uporabiti Touch ID, potem pa boste lahko med več možnostmi izbrali izvoz vseh gesel. Po naših podatkih je trenutno izvoz gesel na iPhonih brez uporabe tretjih rešitev nemogoč, zato preverite, da imate vklopljeno sinhronizacijo gesel na vseh napravah Apple.
Izvoženo CSV datoteko potem enostavno uvozite v izbrani upravitelj gesel.
Kaj ponujajo namenski upravitelji gesel?
Za primer vzemimo Bitwarden.
Bitwarden je varen in odprtokoden upravitelj gesel. Uporaba je izredno enostavna, funkcije dodelane, od koder izvira tudi njegova priljubljenost med uporabniki. Njegovo neoporečnost so nazadnje preverili zunanji strokovnjaki leta 2022. Dovoljuje tudi, da njihovo storitev namestite na lasten strežnik, če želite upravljati svoj oblak.
Njegova prednost je tudi, da je na voljo na vseh operacijskih sistemih (Android, iOS, MacOS, Windows in tudi Linux) v obliki aplikacije ali spletnega vmesnika. Kot razširitev ga lahko namestite v skoraj vsak brskalnik, združljiv pa je tudi s funkcijama Windows Hello in Touch ID.
Bitwarden podpira preverjanje pristnosti brez gesla, kar pomeni, da se lahko prijavite z enkratno kodo, biometričnim preverjanjem ali varnostnim ključem. Bitwarden ima tudi odlično podporo za passkeys, vključno z možnostjo prijave v Bitwarden s passkeyem, kar pomeni, da vam uporabniškega imena ali gesla ni treba uporabiti niti za odprtje trezorja. Na voljo je tudi nekaj dodatkov, na primer funkcija za varno izmenjavo datotek (Bitwarden Send), aplikacija za avtentikacijo (na žalost plačljiva), vedno pa se lahko zanesete na izjemno aktivno skupnost uporabnikov.
Kaj so passkeys ali ključi za dostop?
Passkeys so nova vrsta poverilnic za prijavo, ki omogočajo prijavo v spletna mesta in storitve, ne da bi morali za to vnesti geslo. Ni si jih potrebno zapomniti, uporabljate pa jih lahko z napravami, ki jih že imate, kot sta pametni telefon ali prenosni računalnik. Passkeys temeljijo na standardih WebAuthentication ali WebAuthn. Oba uporabljata kriptografijo javnega ključa.
Poleg vdorov v podatkovne sisteme ključev za dostop tudi ni mogoče ukrasti v napadih z lažnim pridobivanjem podatkov (angl. phishing). Kibernetski kriminalci pogosto uporabljajo ribarjenje ali socialni inženiring kot način, da pridobijo dostop do uporabnikovega imena in gesla, s katerima se potem dokopljejo do dragocenih podatkov. Passkey je sestavljen iz zasebnega in javnega ključa. Javni ključ ostane na strežnikih podjetja, zasebni ključ ostane v vaši napravi in ga ni mogoče zlahka ukrasti.
Za katerokoli rešitev se boste odločili – ali pa boste ostali na Googlovem ali Applovem upravitelju gesel – naj uporaba različnih gesel in uporabniških imen postane vsakdanja praksa. Gesla prav tako ne shranjujete v Word dokumente, Google Drive ali kaj podobnega. Gesla naj bodo dolga, uporabljajte pa tako znake kot številke. In v nobenem primeru gesel ne zaupajte drugim.
Naslovna fotografija: Image by starline on Freepik