Twój menedżer kontra twoja pamięć: jedyna zasada, która przetrwała

Opublikowano autor David Carrero

Jest ogromna różnica między zasadą, której nie przestrzegasz, a zasadą, której przestrzegać nie możesz. „Inne hasło w każdym serwisie“ należy do tej drugiej kategorii.

Z całego katechizmu, którego się nauczyliśmy — wielka litera, cyfra, znak specjalny, obowiązkowa zmiana co trzy miesiące — NIST wyrzucił niemal wszystko za burtę w SP 800-63B. Długość zaczęła znaczyć więcej niż powykręcanie. Wymuszona rotacja zniknęła poza przypadkami, gdy istnieje przesłanka, że hasło wyciekło. Wymóg znaków specjalnych zastąpiono czymś znacznie sensowniejszym: sprawdzaniem hasła na listach tych, które już wyciekły.

Przetrwała jedna jedyna zasada. Ta o niepowtarzaniu. I akurat na nią zwracaliśmy najmniejszą uwagę, bo żeby jej dotrzymać, potrzebne było coś, o czym żadna firmowa ulotka nie wspominała.

Dlaczego twoja pamięć nie da rady

Policz, ile masz kont. Nie tych, których używasz — tych, które masz. Bank, poczta, ta druga poczta, sklep, w którym w 2019 roku kupiłeś buty, forum, linie lotnicze, aplikacja do parkowania, portal wspólnoty mieszkaniowej, strona urzędu, na której musiałeś założyć konto, żeby załatwić pięciominutową sprawę.

A teraz wyobraź sobie, że zapamiętujesz długi, losowy i inny ciąg znaków dla każdego z nich. To nie jest trudne. To po prostu nie jest cel osiągalny dla ludzkiego mózgu, a wmawianie przez lata czegoś przeciwnego było jednym z drobniejszych okrucieństw branży bezpieczeństwa.

Zrobiliśmy więc jedyną rzecz, jaką dało się zrobić: jedno dobre hasło i jego warianty. Pierogi2019! do banku i Pierogi2019? na forum. Albo po prostu to samo wszędzie, z gwiazdką w głowie: „no dobra, w banku mam inne“.

I tu jest pies pogrzebany, bo prawdziwy atak nie polega na zgadywaniu twojego hasła. Polega na wpisaniu tego, które już ci ukradziono gdzie indziej. Forum z 2019 roku wycieka — fora z 2019 roku wyciekają — ktoś bierze tę listę adresów i haseł i automatem sprawdza ją we wszystkich serwisach, jakie przyjdą mu do głowy. Nie musi niczego łamać. Klucz już mu dałeś; on tylko sprawdza drzwi. To jest credential stuffing i działa dokładnie dlatego, że jedyna zasada, która miała znaczenie, była tą, której nikt nie mógł spełnić.

Menedżer to nie wygoda

W tym miejscu menedżer haseł zwykle sprzedawany jest jako luksus: jaka wygoda, sam wypełnia pola, nie musisz nic wpisywać. To prawda i jest to najmniej ważne.

Menedżer nie oszczędza ci pracy: sprawia, że zasada, która bez niego jest nieosiągalna, staje się wykonalna. To różnica między kazaniem ci przebiec sto kilometrów a daniem ci roweru. Liczba się nie zmienia; zmienia się to, czy dasz radę.

Kiedy go już masz, cała reszta SP 800-63B rozwiązuje się sama. Długie zamiast skomplikowanych? Menedżer wygeneruje je o dowolnej długości, bo i tak nie będziesz ich wpisywać. Inne w każdym serwisie? Trywialne, z definicji. Żadnej wymuszonej rotacji? Świetnie: zmieniasz tylko to, które wyciekło, a wiele menedżerów samo cię o tym powiadomi. Jedyne, które nadal musisz pamiętać, to hasło główne — i to akurat zasługuje na to, żeby ułożyć je starannie: cztery czy pięć losowych słów w generatorze i sprawdzenie, jak się trzyma, w narzędziu do sprawdzania.

Uczciwe zastrzeżenie

„Wszystkie jajka do jednego koszyka.“ Słyszałem to tysiąc razy i nie jest to głupota. Jeśli ktoś wejdzie do twojego menedżera, wchodzi wszędzie. To pojedynczy punkt awarii i kto ci mówi, że nie jest, ten coś ci sprzedaje.

Odpowiedź też musi być uczciwa: tak, to jeden koszyk, ale alternatywą nie są jajka rozłożone do kilku. Alternatywą są jajka na podłodze. Bez menedżera nie kończysz z osiemdziesięcioma niezależnymi hasłami; kończysz z tym samym hasłem w osiemdziesięciu serwisach, czyli tym samym koszykiem, tyle że bez zamka, bez szyfrowania i powielonym na osiemdziesięciu cudzych serwerach, o których bezpieczeństwie nie wiesz absolutnie nic.

Przyjrzyj się prawdziwemu modelowi zagrożeń. Żeby ktoś rozbił zaszyfrowany sejf porządnego menedżera, potrzebna jest albo poważna wada produktu, albo twoje hasło główne. Żeby ktoś wpisał na twojej poczcie hasło, którego użyłeś w sklepie internetowym, nie potrzeba absolutnie niczego: wystarczy skrypt i lista. Porównujesz atak, który wymaga bardzo wiele, z takim, który dzieje się już teraz, bez przerwy, na autopilocie.

Co jest natomiast rozsądnym środkiem ostrożności: długie i unikalne hasło główne, włączony drugi składnik uwierzytelniania w menedżerze i świadomość, że hasło główne jest teraz twoim punktem krytycznym. Traktuj je odpowiednio.

Który, i dlaczego nie ma jednej odpowiedzi

Tu wypada powiedzieć coś niewygodnego dla strony, która ma linki afiliacyjne: najlepszy menedżer to ten, którego faktycznie będziesz używać, a dobrych jest więcej niż jeden.

Bitwarden to wolne oprogramowanie, ma darmowy plan pokrywający potrzeby niemal każdego i możesz go postawić u siebie, jeśli masz ochotę. To, że jego kod da się audytować, nie jest marketingiem: znaczy, że nie musisz nikomu wierzyć na słowo.

KeePass — i jego pochodne — trzyma wszystko w lokalnym pliku. Bez chmury, bez konta, bez dostawcy. Jeśli twoje zmartwienie brzmi „nie chcę, żeby moje hasła leżały na czyimś serwerze“, to zmartwienie jest dosłownie rozwiązane. W zamian synchronizacja między urządzeniami to twoja sprawa.

1Password jest płatny i to do niego linkujemy stąd — afiliacyjnie, dla jasności. Robi dobrze tę część, która zwykle decyduje o tym, czy menedżer przetrwa w domu: że osoba nietechniczna go rozumie, dzieli się nim z partnerem i nie porzuca po tygodniu. Nie jest bezpieczniejszy od Bitwardena dlatego, że jest płatny. Jest, dla wielu ludzi, łatwiejszy do nieporzucenia.

I menedżer w twojej przeglądarce. Darmowy, już go masz zainstalowanego, już proponuje ci zapisanie hasła. Ustępuje poprzednim w kontroli, w przenośności i w udostępnianiu, a do tego przywiązuje cię do jednego ekosystemu. Nieważne: używanie tego z przeglądarki jest nieporównanie lepsze niż nieużywanie żadnego, bo rozwiązuje ten duży problem. Każdy, kto mówi ci co innego, stawia czystość zasad ponad realne ryzyko.

Zdanie, które to wszystko podsumowuje

Przez lata mówiono nam, jakie ma być każde hasło, i prawie nigdy nie mówiono, jak mamy zapamiętać je wszystkie. To był brakujący krok, a bez niego jedyna zasada, która przetrwała, nie była zasadą: była wyrzutem.

Wybierz jeden. Którykolwiek. Spór o to który jest marginalny w porównaniu z przepaścią między posiadaniem menedżera a jego brakiem.


Źródła: NIST SP 800-63B, „Digital Identity Guidelines: Authentication and Lifecycle Management“ (długość ponad złożoność, brak wymuszonej rotacji poza przesłanką kompromitacji, porównywanie z listami skompromitowanych haseł) · dokumentacja i modele bezpieczeństwa publikowane przez Bitwarden, KeePass i 1Password.

← Wróć do bloga