Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Jak sprawnie zarządzać hasłami

Według firmy Keeper 81% naruszeń danych wynika z niskiego poziomu bezpieczeństwa haseł. Warto więc skorzystać z dobrego menedżera haseł, który zwiększy prywatność użytkowników i ograniczy ryzyko wycieku informacji z systemów IT organizacji.

KeePass umożliwia gromadzenie i organizowanie haseł oraz innych wrażliwych informacji w zaszyfrowanej bazie danych. Program ma wszystkie cechy klasycznego menedżera haseł. Źródło grafiki: keepass.info.

Pod koniec 2018 r. hakerzy przejęli bazę danych 2,5 mln klientów sklepu Morele.net zawierającą imiona i nazwiska kupujących, ich numery telefonów oraz adresy e-mail. Sklep nie zdecydował się na zapłacenie okupu i baza została opublikowana w internecie. W wykradzionych danych znalazły się również skróty kryptograficzne (hasze) haseł do kont. Nie stanowiłoby to większego problemu, gdyby nie fakt, że istnieje techniczna możliwość ich złamania. W ostatnich dniach grudnia serwis Niebezpiecznik.pl donosił, że takie próby zostały podjęte przez atakujących, którym już wówczas udało się pozyskać hasła do kont 350 tysięcy użytkowników.

Przydatne i niezbędne

Problem Morele.net nie wydaje się oderwany od instytucjonalnej rzeczywistości, gdy weźmiemy pod uwagę to, że wiele osób korzysta z tych samych haseł dostępu do systemów IT organizacji, prywatnej poczty i witryn internetowych. Dlatego warto sięgnąć po menedżera haseł. Zmniejsza on ryzyko naruszenia danych, a w rezultacie podnosi poziom bezpieczeństwa i prywatności pracowników. Programy do zarządzania hasłami znajdą zastosowanie wśród administratorów IT i osób z działu wsparcia, czyli grupy, która chce lub musi przechowywać wiele haseł swoich użytkowników (mimo że wcale nie powinni tego robić). Powinny się też stać ważnym narzędziem dla samych pracowników, uzyskujących dostęp do wielu różnych systemów, w tym witryn i aplikacji internetowych.

Menedżer haseł zapamiętuje dowolną liczbę poświadczeń logowania, co pozwala na używanie silnych haseł (złożonych z przypadkowych ciągów znaków). Wdrożenie tego typu aplikacji w organizacji zmniejsza zaangażowanie osób z działów IT, ograniczając liczbę próśb o przypomnienie i reset hasła. Ponadto menedżer haseł pozwala zapewnić zgodność z przepisami prawa i regulacjami branżowymi. W artykule przedstawiamy sprawdzone i cenione narzędzia, które ułatwią zarządzanie hasłami.

KeePass Password Safe

Programem pierwszego wyboru jest Kee­Pass Password Safe, w skrócie KeePass (keepass.info). To darmowy, otwarty i łatwy w użyciu menedżer haseł, który zyskał uznanie w oczach Komisji Europejskiej. W rezultacie KeePass otrzymał dofinansowanie w ramach projektu EU-FOSSA 2, mającego na celu podnoszenie bezpieczeństwa oprogramowania open source. Co więcej, kod źródłowy aplikacji został certyfikowany przez OSI (Open Source Initiative). KeePass działa na komputerach z Windows, przy czym wydania z linii 2.x mogą być uruchamiane w Linuksie, BSD czy OS X z wykorzystaniem platformy Mono. Projekt stał się tak bardzo popularny, że na jego bazie powstało wiele portów i odgałęzień dla różnych systemów (w tym na urządzenia mobilne), oznaczonych jako contributed lub unofficial.

Dane przechowywane są w dobrze zaszyfrowanej bazie danych, która może zostać odblokowana hasłem głównym, plikiem klucza zapisanym np. w pamięci USB albo kontem użytkownika Windows. W KeePass zaimplementowano silne algorytmy kryptograficzne AES i Twofish, funkcję haszującą SHA-256 oraz dodatkowe funkcje przekształceń haseł (AES-KDF, Argon2 i inne) chroniące bazę przed atakami słownikowymi. Program został zaprojektowany tak, aby w razie naruszenia pamięci lub jej zrzutu przez system operacyjny hasło główne do bazy nie zostało ujawnione. Wbudowane mechanizmy chronią wrażliwe informacje w trakcie wprowadzania ich w formularzach albo importu danych z formatu XML (szyfrowanie). Okno dialogowe, w którym użytkownik wprowadza hasło główne, może być obsługiwane w wydzielonym obszarze roboczym (secure desktop), a więc jest chronione przed podsłuchaniem przez rejestrator znaków (keylogger).

Program ma wbudowane funkcje kompresji bazy danych, możliwość zdefiniowania dostępu awaryjnego i przechowywania go w bezpiecznej lokalizacji na wypadek zapomnienia hasła oraz bogate funkcje eksportu i importu danych różnych formatów, w tym z ponad 35 konkurencyjnych menedżerów haseł (głównie przez pliki CSB, TXT lub XML). Spośród funkcji użytkownika warto natomiast wymienić: możliwość organizowania wpisów w folderach, moduł kosza pozwalający odzyskać skasowane rekordy, okno wyszukiwania oraz funkcje usuwania duplikatów. Ponadto program wyposażono w mechanizmy autouzupełniania zgodnie ze zdefiniowanymi wcześniej kryteriami oraz rozbudowany generator haseł. KeePass pozwala na gromadzenie haseł jednorazowych (TAN) używanych w bankowości elektronicznej albo logowaniu do systemów IT. Odkrywane hasła zostają oznaczone jako wykorzystane. Mocną stroną programu są dziesiątki wtyczek rozszerzających jego funkcje, w tym dodatkowe algorytmy kryptograficzne oraz opcje synchronizacji baz danych na serwerach FTP/SCP lub w usługach online, takich jak Dropbox czy Google Drive.

KeePassXC

Na przestrzeni lat KeePass Password Safe doczekał się wieloplatformowego portu o nazwie KeePassX. Projekt został jednak zarzucony w połowie 2016 r., a jego miejsce zajęło kolejne wcielenie o nazwie KeePassXC (keepassxc.org). Główna przewaga tego programu nad pierwowzorem to właśnie wieloplatformowość, która dzięki wykorzystaniu biblioteki QT pozwala uruchamiać go w Linuksie, OS X i Windows z pominięciem platformy Mono. Charakterystyczny interfejs QT nie zawsze podoba się użytkownikom „okienek”. KeePassXC jest nowoczesnym menedżerem haseł z zaimplementowanymi silnymi algorytmami kryptograficznymi (AES, Twofish, ChaCha20), obsługą baz danych KeePass2, KeePassX, MacPass, KeeWeb i kilku innych, interfejsem wiersza poleceń i szeregiem dodatkowych funkcji w postaci integracji z SSH Agent, mechanizmem autouzupełniania oraz wsparciem dla kluczy YubiKey. Rozszerzenie KeePassXC-Browser zapewnia mechanizmy integracji z przeglądarkami Chrome, Vivaldi i Firefox.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej