Menadżer haseł to program służący jednemu celowi – zarządzaniu hasłami użytkownika, a więc generowaniu ich i zapisywaniu w bazie danych, a także łatwemu wprowadzaniu, gdy są potrzebne. Spełnia rolę odciążenia naszej zawodnej pamięci. Osobiście jestem zdania, że menadżer haseł jest niezbędną aplikacją dla każdego, kto intensywnie korzysta z Internetu. Podyktowane jest to względami bezpieczeństwa, ale […]

Menadżer haseł to program służący jednemu celowi – zarządzaniu hasłami użytkownika, a więc generowaniu ich i zapisywaniu w bazie danych, a także łatwemu wprowadzaniu, gdy są potrzebne. Spełnia rolę odciążenia naszej zawodnej pamięci. Osobiście jestem zdania, że menadżer haseł jest niezbędną aplikacją dla każdego, kto intensywnie korzysta z Internetu. Podyktowane jest to względami bezpieczeństwa, ale również łatwością użycia. W tym dwuczęściowym artykule chciałem porównać dwa, moim zdaniem, najlepsze rozwiązania, mające ułatwić nam życie i spowodować, że będziemy musieli pamiętać tylko jedno, główne hasło.

Dwie podstawowe reguły bezpieczeństwa mówią, że hasła powinny być różne dla każdego serwisu internetowego oraz powinny być odpowiednio długie i nie składać się ze słów, które można znaleźć w słowniku. Pierwsza zasada wynika z faktu, że czasem zdarza się, że hasła użytkowników danej witryny wyciekną (nie będę tutaj wnikał w to, jak to jest możliwe, skoro hasła w serwisach nigdy nie powinny być przechowywane w formie czystego tekstu). Jeśli w innych serwisach zastosowaliśmy te same hasło, narażamy się na przejęcie więcej niż jednego konta. Jeśli do tego dodamy, że nie każdy serwis jest na tyle uczciwy, żeby poinformować o wycieku, a nawet jeżeli jest, od wykradzenia haseł do opublikowania informacji na ten temat może minąć sporo czasu. Pomijając całkowicie nieistotne strony, raczej nie chcemy wystawiać się na ryzyko, że jeżeli ktoś przejął nasze konto na jakimś forum, to przy okazji przejmie również naszego Facebooka, Twittera czy, Gmaila.

Druga zasada zabezpiecza przed złamaniem hasła metodą brute force, czyli po prostu wypróbowaniem wszystkich możliwych kombinacji w przypadku hasła zbyt krótkiego, lub wypróbowaniu wszystkich kombinacji z ograniczonego zbioru znanych słów i faktów na nasz temat (np. data urodzenia, imię dziecka). Wykorzystanie hasła składającego się z co najmniej kilkunastu znaków, w tym również symboli, liczb, wielkich i małych liter, skutecznie przed tym zabezpiecza.

Można dodać jeszcze trzecią wskazówkę, hasła dobrze jest co jakiś czas zmieniać na nowe, na wszelki wypadek. Dlatego wyrycie na pamięć skomplikowanego hasła może być nieopłacalnym wysiłkiem w dłuższej perspektywie czasu.

Menadżer haseł powoduje, że zapamiętanie dowolnej ilości haseł, składających się z niemal dowolnie dużej ilości całkowicie losowych znaków jest po prostu łatwe i przyjemne. Eliminujemy ryzyko, że hasło zostanie zapomniane, wpisane z literówką lub znalezione przez osobę niepowołaną, jeśli zapiszemy je na karteczce. Dodatkowo wprowadzanie długich haseł jest po prostu szybsze, nawet jeżeli je pamiętamy, bo ogranicza się do zwykłego wklejenia tekstu do odpowiedniego pola, zamiast mozolnego wpisywania zupełnie nic nieznaczącego ciągu liter, cyfr i znaków specjalnych.

W tym artykule porównam dwa rozwiązania, jedno będące osobną aplikacją uruchamianą lokalnie (część pierwsza artykułu), drugie całkowicie umieszczone w chmurze. Oba podejścia mają swoje plusy i minusy.

KeePass

KeePass to zwykła aplikacja, którą instalujemy na dysku. Domyślnie nie posiada synchronizacji haseł pomiędzy komputerami, pozostawiając rozwiązanie tego problemu użytkownikowi. Wszystkie hasła przechowywane są w niewielkim pliku, który jest zaszyfrowany. W moim przypadku plik z hasłami zajmuje zaledwie 27 kb, mimo, że zawiera nie tylko loginy i hasła, ale również adresy serwisów czy dodatkowe notatki. Hasła można synchronizować umieszczając ten właśnie plik na Dropboksie lub innym tego rodzaju serwisie, albo nie umieszczać go nigdzie i cieszyć się tym, że nasze hasła znajdują się tylko na dysku prywatnego komputera.

Aby poprawić bezpieczeństwo, oprócz hasła głównego, służącego do rozszyfrowania pliku z pozostałymi hasłami, możemy zastosować tak zwany plik-klucz, który będziemy ze sobą nosić na przenośnej pamięci flash. W tym wypadku do zalogowania będą potrzebne dwa elementy: hasło oraz plik, jeśli ktoś zdobędzie tylko jeden z nich, nie zyska dostępu do naszych haseł.

Działanie

Hasła można wprowadzić do przeglądarki jednym skrótem klawiszowym. Ustawiamy kursor w pierwszym polu, służącym do wprowadzenia loginu, wciskamy wybraną przez nas kombinację klawiszy i oba pola zostają wypełnione i potwierdzone Enterem. Cała operacja trwa sekundę i jesteśmy zalogowani. Największą zaletą tego, że KeePass jest osobną aplikacją, a nie pluginem do przeglądarki, jest możliwość automatycznego wprowadzania haseł nie tylko w przeglądarce, ale również w każdym innym programie, który nie działa w trybie pełnoekranowym (nie zalogujemy się np do serwera multiplayer wewnątrz gry). Bez problemu wprowadzimy hasło do sieci WiFi, zalogujemy się do Steam czy rozszyfrujemy partycję, wprowadzając hasło do Truecrypta. Wszystko wygodnie i automatycznie

Drugą zaletą jest to, że program dba o nasze bezpieczeństwo i jest w pełni konfigurowalny. Hasło skopiowane do schowka jest dostępne przez określoną ilość sekund, po czym zostaje z niego usunięte. Tym sposobem nie wkleimy hasła przypadkiem tam, gdzie nie powinniśmy, a jego wykradnięcie z pamięci przez złośliwe programy jest trudniejsze. Program może wymagać ponownego zalogowania po określonym czasie bezczynności, po przejściu systemu w stan hibernacji, przełączeniu użytkownika lub zminimalizowaniu. Sami określamy te parametry.

KeePass można również tak skonfigurować, że będzie możliwe obsługiwanie go jedynie za pomocą skrótów klawiaturowych, a minimalizowanie okna i ustawianie się kursora w odpowiednim miejscu będzie przebiegało automatycznie. Jakby tego było mało, program ma wbudowaną obsługę wtyczek, które można dodać do przeglądarki, aby jeszcze zwiększyć integrację, chociaż ja z tej możliwości nie korzystam, bo i bez pluginów jego obsługa jest w pełni komfortowa i bardzo szybka.

Jednym słowem w przypadku komputerów możliwości są ogromne. Program domyślnie powstał dla systemu Windows, ale ponieważ dostępny jest jego kod źródłowy, dostępne są również wersje na Maka i Linuksa. Wersji na Maka nie testowałem, ale na Linuksie sprawuje się bez zarzutów. W Ubuntu można go znaleźć w centrum oprogramowania, bez kombinowania z repozytoriami.

Platformy Mobilne

Jeśli chodzi o platformy mobilne, to KeePass jest trochę bardziej kłopotliwy. Jak wspomniałem, nie posiada on wbudowanego systemu synchronizacji. Plik będący bazą danych możemy skopiować na telefon czy tablet po kablu, ale każdorazowo przy dodawaniu nowego czy zmianie istniejącego hasła będziemy musieli operację powtórzyć. Sytuację poprawia Dropbox, który posiada dobre aplikacje mobilne na wiodących platformach. W efekcie aktualna baza danych zawsze znajdzie się na naszym telefonie, ale sama aplikacja nie będzie w stanie sprawdzić, że coś się w bazie haseł zmieniło (otwierana jest osobna kopia bazy danych), dlatego aby uzyskać dostęp do najnowszej wersji bazy haseł, musimy zamknąć tą obecnie otwartą, udać się do Dropboksa, wybrać plik i wskazać program, który ma go otworzyć i dopiero wtedy będziemy korzystać z aktualnej haseł. Trochę to kłopotliwe, chociaż tego rodzaju zmian nie wprowadzamy raczej codziennie.

Zarówno na iOS jak i Androida dostępne są specjalne wersje KeePas, nie są to jednak oficjalne wydania, bazują jedynie na otwartym kodzie źródłowym, podobnie jak te dla Linuksa i Maka. Na iOS jest nawet kilka aplikacji dostępnych, w tym również płatne. Przetetsowałem chyba wszystkie i zdecydowanie najbardziej do gustu przypadł mi darmowy MiniKeePass, który był najlepszy jeszcze za czasów, kiedy nie był aplikacją uniwersalną, a od tego czasu zdążył się jeszcze bardzo rozwinąć. Nie licząc wspomnianego kłopotliwego uaktualniania otwartej bazy haseł, nie mam appce nic do zarzucenia.

O dziwo, w przypadku Androida jest mniej kolorowo. Jako, że program jest otwartoźródłowy spodziewałem się sytuacji odwrotnej, tym czasem znalazłem tylko jedną aplikację w Google Play, która na dodatek nie zachwyciła mnie wykonaniem i działaniem – KeePassDroid. To znaczy podstawową rolę spełnia, ale jest zdecydowanie mniej wygodny i dopracowany niż odpowiednik z iOS. W stosunku do tego pierwszego brakuje np. zapamiętania długiego hasła na stałe, zablokowania dostępu do haseł jedynie prostym PINem i włączenia kasowania bazy haseł po kilku nieudanych próbach wpisania PINu.

Podsumowanie KeePass

W przypadku „dużych systemów operacyjnych” i tradycyjnych komputerów KeePass to jedno z najwygodniejszych i dających największe możliwości rozwiązań. Nie ogranicza się tylko do działania w przeglądarce, posiada wersję instalacyjną oraz portable, posiada ogromne możliwości konfiguracji i jest całkowicie darmowy, również w przypadku aplikacji mobilnych. Jednak właśnie na polu aplikacji mobilnych niedomaga trochę za sprawą bardziej skomplikowanej synchronizacji bazy danych haseł. Dodatkowo, mimo, że baza danych jest szyfrowana, umieszczenie jej na Dropboksie może być mimo wszystko mniej bezpieczne, niż dedykowane rozwiązania do synchronizacji haseł. Chociaż korzystam z wersji anglojęzycznej, dostępny jest plik ze spolszczeniem programu.

Porównanie z LastPass pojawi się w drugiej części artykułu.

Oczywiście nie wyczerpałem tematu, nie opisałem wszystkich możliwości programu, postanowiłem skupić się na własnych odczuciach podczas korzystania z programu, bo z KeePass mam już paroletnie doświadczenie. Gdyby ktoś miał dodatkowe pytania, postaram się odpowiedzieć. Zapraszam do komentarzy.