Ilość chronionych hasłem narzędzi i kont, którymi posługujesz się na co dzień w pracy zdalnej, potrafi przytłoczyć. Nie da się ich wszystkich zapamiętać … no, chyba że uprościsz sobie życie i wszędzie zastosujesz to samo hasło, z drobną modyfikacją. Większość z nas postępuje właśnie w ten sposób. Osłabiając hasła, narażamy jednak wszystkie nasze konta, prywatne i firmowe. Pomocnym narzędziem może okazać się menedżer haseł. 

Menedżer haseł – co to jest i czy notes nie lepszy?

Czym właściwie jest menedżer haseł? To program umożliwiający generowanie haseł, zarządzanie nimi i bezpieczne przechowywanie. Wirtualny sejf, chroniony jednym hasłem głównym.

W tym miejscu od razu możesz się zastanowić, czy warto instalować kolejny program, w którym, na komputerze, telefonie lub w chmurze, będziesz przechowywać wszystkie cenne hasła? Ten program też przecież chroniony będzie hasłem, zaś w razie włamania możesz utracić wszystkie zabezpieczenia za jednym zamachem.

W praktyce takie sytuacje się nie zdarzają. Bardzo porządne zabezpieczenia managerów haseł bardzo trudno złamać. W przypadku jednego z opisanych niżej programów, LastPass, doszło do czterech incydentów związanych z bezpieczeństwem. W roku 2015 doszło nawet do masowej kradzieży zabezpieczonych przez program treści. Były one jednak zaszyfrowane w ten sposób, że odczytać dało się je jedynie na komputerach użytkowników. W efekcie nikt nie poniósł szkody.

Z drugiej strony, możesz użyć fizycznego notesu. Taki notes możesz zgubić, może też zostać skradziony, a zawarte w nim hasła w żaden sposób szyfrowane już prawdopodobnie nie będą. Ponadto, ludzie nie tworzą, generalnie, mocnych haseł. Jeżeli Twoja praca wymaga logowania do kilku różnych kont, będziesz zmuszony do stworzenia kilku mocnych haseł – czyli na przykład składających się z 36 znaków, zawierających losowe kombinacje liter, cyfr i znaków specjalnych. Jeśli tak robisz, to faktycznie, menadżer haseł za bardzo Ci nie pomoże. Mało kto jednak postępuje tak na co dzień. Opisywane programy generują bardzo mocne, unikalne hasła. Możesz też przechowywać w nich tych haseł choćby kilkadziesiąt.

Co jeszcze kryje w sobie menedżer haseł?

Jakie więc jeszcze zalety posiada menedżer haseł? 

Większość dobrych programów tego typu umożliwia integrację z przeglądarką lub programem i wprowadza te hasła za Ciebie.

Menedżer haseł może je także importować z innych manedżerów, plików excell lub bezpośrednio z przeglądarki. Oczywiście może mieć też funkcję eksportu. 

Porządny program powinien też zawierać uwierzytelnianie wieloskładnikowe. Co to jest? To dodatkowy poziom zabezpieczeń, poza hasłem głównym. Działa to w ten sposób, że otwarcie menedżera haseł wymaga nie tylko podania hasła głównego, ale również np. wpisania kodu, który przychodzi smsem albo użycia klucza USB. 

Kolejna funkcja poprawiająca bezpieczeństwo danych zgromadzonych w menedżerze haseł danych to hasła jednorazowe. Przypuśćmy, że z jakichś powodów musisz zalogować się do swojej poczty na komputerze kogoś z domowników. Nie masz żadnej pewności co do bezpieczeństwa tego komputera. Jest co prawda uwierzytelnianie wieloskładnikowe, nie uśmiecha Ci się jednak narażanie hasła głównego. Jeśli Twój menedżer haseł posiada funkcję hasła jednorazowego, nie ma problemu – to znaczy, jeśli wcześniej, na własnym komputerze, takie hasło ustawiłeś. Jak sama nazwa wskazuje, hasła tego użyć można tylko raz, nic więc nikomu nie przyjdzie z jego poznania.

Przydatną funkcją jest też automatyczne wychwytywanie wpisanych w przeglądarkę haseł. Za każdym razem, kiedy wpisujesz na jakiejś nowej stronie hasło, program powiadomi Cię o możliwości dodania go do bazy. 

Menedżer haseł może też pomóc w ich zmianie. Podczas zmiany hasła skieruje Cię wówczas automatycznie do właściwej sekcji strony, na której dokonujesz zmiany. Może nawet przeprowadzić ją całkowicie za Ciebie.

Kolejną, niebagatelną zaletą menedżera haseł jest alert bezpieczeństwa. Jeśli serwis, do którego hasło przechowujesz w managerze, padnie ofiarą włamania, manager automatycznie wyśle Ci powiadomienie o tym fakcie. Możesz wówczas szybko zmienić powiązane z serwisem hasło.

Twoje bezpieczeństwo może być cyklicznie monitorowane, jeśli menedżer haseł ma wbudowaną opcję audytu bezpieczeństwa. Funkcja ta przydatna okaże się w szczególności, jeśli samodzielnie wymyślasz sobie hasła. Program przeskanuje swoją bazę i wskaże słabe lub dublujące się hasła.

Menedżer haseł może też pomóc Ci … narazić bezpieczeństwo haseł, za to ułatwić życie. Niektóre z nich pozwalają na współdzielenie haseł z innym użytkownikiem.

Jak widać – całkiem spora konkurencja dla notesu :).

Menedżer haseł może funkcjonować jako aplikacja typu stand alone lub w chmurze. Wersje cloudowe mają tę zaletę, że synchronizują się z wszystkimi Twoimi urządzeniami, również mobilnymi, jeśli dany program ma swoją apkę.. Tu zapewne znów zapala Ci się czerwona lampka. Wszystkie Twoje hasła gdzieś tam, w nieznanym bliżej Cloudzie … Sensowny menedżer haseł bazuje na tzw. zero knowledge encryption, co, w skrócie, oznacza, że twórcy programu nie znają ani nie przechowują Twojego hasła głównego. Niektórych cloudowe rozwiązania w kwestii bezpieczeństwa jednak zniechęcają. Jeśli należysz do takich osób, wybierz opcję stand alone. Twoja baza danych przechowywana będzie wówczas na komputerze lub pamięci flash. W tym wypadku idealnie byłoby, gdyby Twój menedżer haseł nie musiał być instalowany, tylko działał na zasadzie portable.

Na rynku dostępnych jest kilkadziesiąt menedżerów haseł. Spośród nich, postanowiliśmy przybliżyć Ci trzy, mocno zróżnicowane przykłady.

LastPass najpopularniejszy darmowy menedżer haseł

Bardzo często określany jako najlepszy darmowy menadżer haseł. Z pewnością jeden z najpopularniejszych. Zastosowane w nim rozwiązania znajdziesz zapewne w innych programach, jednak to właśnie Last Pass był bardzo często pionierem w ich wdrażaniu. 

Popularność LastPass wynika z jednej strony z prostoty i intuicyjności obsługi, z drugiej zaś z ilości funkcji i udogodnień, które oferuje. Trzecia strona to fakt, że większość możliwości LastPass udostępnia w planie darmowym. Plan darmowy to właściwie pełne “LastPass experience”.

Bardzo nowoczesny interfejs programu sprawia, że tworzenie dowolnie zaawansowanych haseł, przechowywanie ich, dodawanie nowych obsługiwanych stron, automatyczne wypełnianie haseł podczas logowania jest banalnie proste. Program zaprojektowano tak, aby kwestie bezpieczeństwa nie spowalniały Cię w pracy i nie wytrącały z rytmu. 

LastPass posiada praktycznie wszystkie opisane wyżej zalety, które dobry menedżer haseł posiadać powienien. O automatycznym wprowadzaniu haseł już napisaliśmy. Bez problemu przeprowadzisz tu zarówno import, jak i eksport haseł. Logowanie do programu uwzględnia uwierzytelnianie wieloskładnikowe. Posiada opcję stosowania haseł jednorazowych. Wychwytuje zmiany haseł na stronach. Posiada funkcję alertu bezpieczeństwa w przypadku złamania zabezpieczeń użytkowanej strony. Audyt bezpieczeństwa jest bardzo prosty w obsłudze i pozwala łatwo wzmocnić hasła, zidentyfikowane przez program jako słabe. Umożliwia współdzielenie haseł (w planie darmowym z jednym użytkownikiem).

Jeśli spodobał Ci się LastPass, jest jeszcze jedna rzecz, która musisz o nim wiedzieć. LastPass działa online, w chmurze. Program jest w głównej mierze rozszerzeniem Twojej przeglądarki. Nie powinno Cię to jednak odstraszać. W pewnych aspektach działa bowiem offline. Twoja baza danych nie jest przechowywana w chmurze, program przesyła wszystko na Twoje urządzenie i tam je szyfruje. Oznacza to nie tylko zwiększony poziom bezpieczeństwa, ale także dostęp do haseł w trybie offline, jeśli tylko zalogowałeś się do chmury i pobrałeś hasła przed utratą połączenia. Plusem takiego rozwiązania jest z pewnością dostęp do bazy danych haseł z dowolnego urządzenia, bez konieczności instalacji czegokolwiek, gdziekolwiek – naturalnie z zachowaniem wszystkich wymogów bezpieczeństwa, jeśli logujesz się z nie swojego urządzenia (uwierzytelnianie wieloskładnikowe, hasło jednorazowe).

Poziom szyfrowania wykorzystywany przez LastPass to AES 256-bit.

Wspomnieliśmy o planach LastPass. Cóż, plan darmowy sprawia, że większość użytkowników nie będzie widziała sensu w wydawaniu grosza na cokolwiek więcej.  Już tu otrzymujesz możliwość przechowywania nielimitowanej ilości haseł ze wszystkich możliwych urządzeń oraz wszystkie opisane funkcjonalności.

Plan Premium, w cenie 2.82 Euro miesięcznie, dorzuca do tego współdzielenie konta z więcej niż jednym użytkownikiem, rozbudowane opcje uwierzytelniania wieloskładnikowego, możliwość udostępnienia, w trybie alarmowym, haseł wyznaczonej, zaufanej osobie, obsługę nie tylko stron www, ale i aplikacji. Bardzo ciekawą opcją jest udostępnienie 1GB szyfrowanej przestrzeni dyskowej na pliki. Dochodzi też Dark Web Monitoring, czyli aktywna ochrona Twoich kont email.

LastPass oferuje też plan Families. W cenie 3.76 Euro miesięcznie dodaje 6 licencji w standardzie Premium, możliwość współdzielenia haseł i plików w folderach oraz rodzinnego menedżera.

KeePass – menedżer haseł dla zaawansowanych

…. i to jest w sumie łagodnie powiedziane. KeePass to taki wczesny Linux wśród menedżerów haseł. Z lastPass łączy go tylko to, że jest darmowym, uznanym programem, oferującym bezpieczeństwo i dużo możliwości. 

KeePass to menedżer haseł typu stand alone. Ta cecha spodoba się każdemu, kto nie chce, żeby jakiekolwiek dane związane z bezpieczeństwem przechowywane były w chmurze. Nie wymaga instalacji, działa na zasadzie portable. Ponadto, jest to program typu open source. Oznacza to, że nawet jeśli w podstawowej wersji nie ma jakichś funkcji, gdzieś w sieci istnieje zapewne wtyczka, napisana przez członka społeczności, która taką funkcję dodaje.

Przykładowo KeePass, jako program stand alone, nie oferuje synchronizacji z wieloma urządzeniami. Istnieje jednak wtyczka, która tę kwestię rozwiązuje. Uwierzytelniania dwuskładnikowe również wprowadza jedna ze wtyczek, tak samo jak tworzenie kopii zapasowych i  odzyskiwanie, automatyczny import haseł, autouzupełnianie formularzy. Program współpracuje z wszystkimi popularnymi przeglądarkami – również dopiero po zainstalowaniu wtyczki. 

Po zainstalowaniu programu właściwego te wszystkie funkcjonalności będziesz musiał pobrać i zainstalować samodzielnie. Beż żadnych automatycznych setupów. 

Już sam główny ekran strony internetowej, z której pobieramy menedżer haseł, nie pozostawia złudzeń co do tego, jak będzie wygladała współpraca z programem:

Nie ma, przynajmniej na tę chwilę, wtyczek włączających alert bezpieczeństwa, brak audytu haseł. Program nie wychwyci też haseł wpisywanych na stronach i nie doda do bazy, nie ma też obsługi aplikacji. Oczywiście, nie ma też żadnego wsparcia producenta. 

Jednak – jest to wciąż bardzo solidny i bezpieczny menedżer haseł. Brak mu może wszystkich ułatwień i funkcjonalności jak płatna przestrzeń w cloudzie, audyty, czy plany rodzinne. Jego generator haseł jest jednak bardzo rozbudowany, z punktu widzenia przeciętnego użytkownika posiada wręcz nadmiar opcji, pozwala też na bezpieczne przechowywanie ich na komputerze.

Jeśli dodać do tego cechę wszystkich programów open source, to znaczy możliwość całkowicie indywidualnej konfiguracji funkcjonalności przy pomocy wtyczek – otrzymujesz bardzo solidny menedżer haseł. Dla naprawdę zaawansowanych użytkowników, którzy wiedzą, czego od programu chcą i nie potrzebują przesadnej automatyzacji.

DashLane – więcej niż menedżer haseł 

Ostatni z przykładów to menedżer haseł, który do niedawna zostawiał w tyle konkurencję. Do czasu wielkiego update’u, nawet LastPass nie mógł się z nim równać pod względem czytelności i estetyki interface’u. 

Jeśli mowa o możliwościach, funkcjonalnościach i opcjach, DashLane posiada wszystkie – oraz więcej – funkcjonalności, o których pisaliśmy wyżej. Dla niektórych najważniejsze może być to, że oferuje wybór – możesz używać go w chmurze, lub jako aplikację stand alone. 

Do tego, dorzuca funkcjonalności, których nie ma u konkurencji. DashLane oferuje własny VPN oraz zaawansowaną ochronę przed kradzieżą tożsamości, system single sign – on bazujący na SAML, czyli zarządzanie dostępem poprzez weryfikację tożsamości, bez konieczności podawania wielu haseł. Właściwie jest to już nie tyle menedżer haseł ile rozbudowany system bezpieczeństwa.

Nie wszystko znajdziesz jednak w podstawowym planie darmowym. DashLane to obecnie chyba najdroższy menedżer haseł na rynku, jeśli zamierzasz korzystać z wszystkich oferowanych funkcjonalności. Plan darmowy pozwala na przechowywanie jedynie 50 haseł na 1 urządzeniu. Program wypełni automatycznie formularze na stronach, zgłosi też alerty w przypadku naruszenia bezpieczeństwa stron. Zapewnia uwierzytelnianie wieloskładnikowe i umożliwia dzielenie danych z 5 różnymi kontami. Ograniczenie do jednego urządzenia i 50 haseł mocno ogranicza przydatność programu w tym planie.

Plan premium to koszt 3.33 USD miesięcznie lub też 39.99 USD, jeśli zdecydujesz się na rozliczenie roczne. Tu oczywiście nie ma już limitu haseł ani urządzeń, dochodzi też VPN. Tu też pojawia się ochrona kont email, czyli Dark Web Monitoring, można więc przyjąć, że ochrona tożsamości zaczyna się w planie Premium.

Na tym kończą się plany osobiste.

Plan Family kosztuje 4.99 USD miesięcznie lub też 59.99 rocznie. Plan obejmuje 5 osób i oferuje dostosowane do tej grupy narzędzie zarządzania. Każdy z członków rodziny posiada tu własne konto. 

Ale na tym nie koniec, DashLane posiada bowiem jeszcze plany business. Plan Team kosztuje 5 USD za użytkownika i tu zaczynają pojawiać się unikalne cechy tego menedżera haseł, “U.S. – patented security architecture”, zarządzanie polityką bezpieczeństwa, raporty bezpieczeństwa, integracja całych katalogów, dzielenie grupowe. 

Ostatni plan Business to koszt 8 USD miesięcznie za użytkownika. Na tym dopiero poziomie dochodzi SSO oraz plan rodzinny dołączany do każdego konta.