mity

Czy zapisywać hasła w zeszycie?

Może Cię to zaskoczy, ale papierowy menadżer haseł może zwiększyć bezpieczeństwo niektórych osób.

Opublikowano 05.03.2023 13:10

Dlaczego korzystamy z menadżera haseł?

  • Mamy konta na dziesiątkach stron internetowych.
  • Na każdej stronie powinniśmy używać innego hasła.
  • Większość osób nie jest w stanie zapamiętać 100 różnych, długich haseł.
  • Zbyt mało serwisów pozwala na logowanie przy pomocy kluczy bezpieczeństwa.

Zapisywanie haseł na kartce kojarzy się nam z takimi zdjęciami jak to poniżej. Gdy ktoś zapisał hasło do laptopa - na laptopie. I to jest zły przykład. Bo laptop to przedmiot, który nosimy ze sobą. Ktoś może nam go ukraść w autobusie. A wtedy kradzież = dostęp do danych. Nawet jeśli były szyfrowane. Bo przecież hasło jest na obudowie.

Co innego zeszyt, który trzymasz w domu. Leży obok Ciebie. I dostęp do niego ma Twoja żona. Albo złodziej, który zapewne prędzej ukradnie laptopa i kosztowności.

Taki papierowy menadżer paradoksalnie może zwiększyć bezpieczeństwo dużej grupy osób.

Dlaczego?

  • Wyciek jednego konta nie oznacza wycieku innych haseł. Hasła w zeszycie mogą być różne. Użytkownik nie musi ich pamiętać - bo teraz ma je zapisane.
  • Złośliwe oprogramowanie uruchomione na komputerze nie powoduje wycieku wszystkich haseł. Nie da się ukraść zawartości fizycznego zeszytu przez Internet. No chyba, że przyłożysz go do uruchomionej kamerki albo zapiszesz zdjęcie jego zawartości na pulpicie.

I nie, nie polecam takiego rozwiązania. Ale nie da się przekonać wszystkich do korzystania z komputerowych menadżerów haseł. W branży bezpieczeństwa próbujemy minimalizować ryzyko. I rozwiązania pośrednie - choć nie idealne - czasami są dobrym rozwiązaniem.

Przykład. Banki wiedzą, że kody SMS do potwierdzania przelewów są takie sobie. Ale działają i chronią. Mają swoje minusy ale i tak są lepsze niż ich brak. Czasami więc idziemy na kompromisy.

Szukasz szkoleń dla swojej firmy? Sprawdź moją ofertę.

Eksperci bezpieczeństwa prześcigają się w wymyślaniu wyrafinowanych ataków, które albo są czysto teoretyczne, albo dotyczą tylko wąskiego grona osób zajmujących wysokie stanowiska.

Moim zdaniem nie ma sensu tłumaczyć bardzo rzadkich przypadków osobom, które korzystają z jednego hasła do wszystkiego. Chcemy ich ochronić przed najpopularniejszym atakiem. Czyli wyciekiem haseł. Bo korzystanie z jednego hasła to proszenie się o kłopoty.

W świecie kryptowalut mianem "zimnego portfela" określa się portfel, który nie ma dostępu do Internetu. Rolę takiego portfela może spełniać kartka papieru. Bądź też metalowa tabliczka z wygrawerowanymi słowami. Internetowy przestępca Ci tego nie ukradnie. Tabliczka przetrwa pożar. A jeśli ktoś Ci się włamie do domu to masz o wiele większy problem.

Chcemy uniknąć ataku przez Internet i takie tanie zabezpieczenie dla większości osób jest wystarczające.

A zastanawiałeś/aś się co po Twojej śmierci? Jeśli nikomu nie przekażesz hasła głównego do swojego menadżera haseł to cóż - nikt się do niego nie dostanie. 1Password - jeden z menadżerów haseł - po instalacji proponuje pobranie zestawu bezpieczeństwa. Znajduje się tam Twój adres email i Secret Key potrzebny do odzyskania danych. Ale jest także miejsce na hasło.

To do użytkownika należy decyzja czy je zapisze. Ale jeśli przechowujemy taką kartkę w domu w dokumentach - to kto ją może odczytać? Żona. Policja. Może złodziej. Ale czy nie szybciej będzie mu zabrać laptopa z biurka? Wiadomo - istnieją inne metody - ale czasami najprostsze rozwiązania bywają najlepsze.

Kartka papieru to też dobry sposób na przechowywanie kodów zapasowych, generowanych podczas uruchamiania 2FA.

  • Jeśli zepsuje Ci się telefon - możesz stracić aplikację do 2FA. Bez niej się nie zalogujesz - chyba, że masz kody zapasowe.
  • Jeśli przechowujesz kody zapasowe w menadżerze haseł to utrata bazy = automatyczny dostęp do wszystkich stron. Bo kod zapasowy pozwala na logowanie tak samo jak kod z aplikacji.

Według badania Mastercard z 2019 roku - 36% ankietowanych zapisuje swoje hasła na papierze.

Zamiast wyśmiewać - pomóż.

  • Zapytaj swoich rodziców czy używają różnych haseł.
  • A może spytaj czy mają taki zeszyt z hasłami.
  • Opowiedz o zagrożeniach zeszytu, że:
    • Nie generuje losowych haseł.
    • Nie chroni przed phishingiem. Samodzielnie sprawdzasz adres strony i możesz nie rozróżnić litery I od l. Bezpieczeństwo opiera się więc na Twojej spostrzegawczości.
    • Zeszyt nie ma wyszukiwarki - ale może mieć indeks po literach.
    • Pewno nie ma backupu i szyfrowania - ale czy to takie ważne jeśli trzymasz go w domu?
    • Nie powinno się go pokazywać innym. Przed imieninami może warto go schować?
    • Raczej nie nadaje się na podróże.

Podsumowując:

  • Sporo Polaków używa jednego hasła do wszystkich stron.
  • Wycieki danych to codzienność. Jeden wyciek takiego hasła może spowodować utratę do Facebooka, Gmaila i innych usług z których korzysta dana osoba.
  • Zeszyt to nie jest idealne rozwiązanie - ale zdecydowanie lepsze niż jedno hasło do wszystkiego.
  • Mówimy tutaj o przypadku gdy zeszyt jest cały czas w domu i ryzyko jego wykradnięcia jest niskie.
  • Zakładamy, że osoby zapraszane do domu nie są złodziejami i nie sprawdzają dokumentów bez pytania.
  • Nie oceniajmy innych. Osoby starsze nie orientują się w technologiach tak bardzo jak młodzi.
  • Podobne informacje znajdziesz w nagraniu webinaru Mity Bezpieczeństwa.

#mity

Poprzedni post Następny post