31

Polski Password Live chce rozwiązać problem haseł w inny sposób

Problem mocnych, niesłownikowych i innych dla każdego serwisu haseł można rozwiązać na różne sposoby. Jednym z nich jest generowanie losowych haseł i zapisywanie ich w menadżerze – programie dekowanym temu celowi. Jest też inne wyjście, zamiast zapisywać całkowicie losowe hasła, generować je za pomocą stałych, określonych fraz, które łatwiej zapamiętać niż hasło jakie z nich […]

Problem mocnych, niesłownikowych i innych dla każdego serwisu haseł można rozwiązać na różne sposoby. Jednym z nich jest generowanie losowych haseł i zapisywanie ich w menadżerze – programie dekowanym temu celowi. Jest też inne wyjście, zamiast zapisywać całkowicie losowe hasła, generować je za pomocą stałych, określonych fraz, które łatwiej zapamiętać niż hasło jakie z nich zostanie stworzone. Tym sposobem nie musimy nigdzie zapisywać bazy haseł, nie ma więc potrzeby ich synchronizować. To właśnie proponuje polski serwis Password Live. Omówmy plusy i minusy takiego rozwiązania.

Zacznijmy od tego, jak to właściwie działa. Hasła generujemy podając dwie frazy, jedną spełniającą rolę sekretnego hasła, głównego klucza, drugą będącą nazwą serwisu. W parametrach określamy długość hasła, oraz jaki znaki ma w sobie zawierać (wielkie i małe litery, cyfry oraz znaki specjalne są do wyboru). W efekcie otrzymujemy hasło. Dla przykładu, jeśli moim sekretnym hasłem będzie „janek” a stroną dla której hasło chcę wygenerować będzie „Antyweb”, to wygenerowane hasło na domyślnych ustawieniach wygląda tak: 467_gLtBD6H77wu.

Password Live daje nam dwie korzyści: na podstawie dwóch znanych nam fraz, które łatwo zapamiętać, generujemy bardzo złożone i niesłownikowe hasło. Dodatkowo, ponieważ nazwa serwisu, dla którego generujemy hasło bierze udział w jego tworzeniu, hasło dla każdego z serwisów jest inne. Drugą korzyścią jest fakt, że stosując znane dwie frazy zawsze wygenerujemy to samo hasło. Oznacza to, że wygenerowanych haseł nie musimy zapisywać ani zapamiętywać, po prostu generujemy je na nowo, za każdym razem, gdy chcemy zalogować się na daną stronę.

Strona Password Live działa na wszystkich urządzeniach, również mobilnych, dostosowując się do wielkości i rozdzielczości ekranu. Dodatkowo istnieje możliwość zainstalowania generatora na komputerze i korzystania z niego bez dostępu do sieci. Jest również aplikacja mobilna na Windows Phone oraz zapowiedź niedługiego powstania wersji na Androida.

Główną zaletą Password Live jest brak konieczności przetrzymywania i synchronizowania bazy haseł. Każdorazowo generujemy hasło na nowo, więc wystarczy nam tylko to, co sami pamiętamy. Nie ma najmniejszego problemu, żeby poradzić sobie z setkami rożnych haseł do rożnych serwisów.

Jest też jednak sporo minusów. Nie mogę się zgodzić, że przez sam fakt, że nigdzie nie trzymamy zapisanej bazy haseł, jest to rozwiązanie bezpieczniejsze od menadżera haseł. Wciąż mamy jedno główne hasło, na bazie którego generowane są wszystkie inne hasła, bo nazwy serwisów są przecież ogólnie znane. Przechwycenie naszego głównego hasła, czy to przez podpatrzenie czy przez złośliwe oprogramowanie, daje dostęp do wszystkich naszych haseł i w tym aspekcie nie różni się niczym od głównego hasła koniecznego do rozszyfrowania bazy danych. Sprawę może utrudnić dodanie własnego elementu do nazwy każdego serwisu, ale to również da się przechwycić, dodatkowo komplikując procedurę i zwiększając prawdopodobieństwo, że zapomnimy lub coś pomieszamy.

Na tym nie koniec. Problem pojawia się również wówczas, kiedy chcemy zmienić hasła do pojedynczego serwisu. Zmiana głównego hasła zaowocuje zimną wszystkich generowanych haseł, do wszystkich serwisów. Jeśli dodamy modyfikacje do nazwy jednego serwisu, możemy o tym zapomnieć. W tym wypadku zmiana jednego hasła w menadżerze haseł jest po prostu łatwiejsza i wygodniejsza.

Podsumowując, jest to łatwe w użyciu rozwiązanie, które jest na pewno lepsze od słabych haseł słownikowych, lub stosowania jednego hasła w wielu serwisach. Świetnie nadaje się do zastosowania w mniej krytycznych sytuacjach, gdy chcemy na szybko wygenerować hasło do pierwszej lepszej strony, na której właśnie chcemy założyć konto. Mimo wszystko, pomimo braku zapisywania bazy haseł, jest zdecydowanie mniej bezpieczne niż uwierzytelnianie dwuczynnikowe, które składa się zarówno z mocnego hasła oraz drugiego elementu, którego nie da się skopiować, podpatrzyć czy podsłuchać keyloggerem. Taką funkcję spełnia Google Authenticator i inne generatory jednorazowych haseł, ważnych przez zaledwie kilkadziesiąt sekund. Z tego względu posiany przeze mnie niedawno LastPass w połączeniu z Yubikey lub Google Authenticator jest rozwiązaniem wciąż zdecydowanie bezpieczniejszym.

Nie znaczy to, że całkowicie odradzam stosowanie Password Live, jeśli rozumiemy, że nasze bezpieczeństwo zależy wyłącznie od tego czy ktoś poznał nasze główne hasło. Wciąż jest to zdecydowanie lepsze wyjście niż trzymanie haseł w pliku tekstowym, zapisywaniu ich w kalendarzu czy stosowaniu tego samego hasła do wielu serwisów. Ja jednak zdecydowanie pozostaje przy LastPass i uzupełnieniu w postaci KeePass.

Moje opisy i porównanie KeePass i LastPass.