Pierwsza linia obrony
Podstawowym zabezpieczeniem większości kont jest login i hasło. Oczywiście warto włączyć dodatkowe elementy uwierzytelniające, tzw. 2FA, wtedy poza tymi danymi dostęp do danych uzyskuje się po podaniu dodatkowej informacji, takiej jak np. pin przesłany ustalonym kanałem lub kod niezbędny do wpisania w aplikacji. Jednak to login i hasło stanowią podstawowe zabezpieczenie.
Jakie hasło jest dobrym zabezpieczeniem?
Im bardziej skomplikowane hasło, tym bezpieczniejsze. Jeszcze do niedawna mówiło się o 12-16 znakach, dzisiaj rekomenduje się już skomplikowane frazy składające się z kilku słów, które są trudniejsze do złamania przez mechanizmy do łamania haseł próbujące siłowo dostać się na nasze konta. Nawet silne z pozoru hasło może być słabym zabezpieczeniem, jeśli wcześniej gdzieś wyciekło, ponieważ skompromitowane hasła są testowane w takich procesach jako pierwsze. Właśnie dlatego dobrą praktyką jest stosowanie haseł unikalnych dla danego konta. A to znaczy, że dla każdego konta hasło powinno być inne. Jak to wszystko zapamiętać?
Menedżer haseł perc.pass– rozwiązanie godne uwagi
Z pomocą przychodzą narzędzia takie jak menedżery haseł, które zdejmują z naszych barków ciężar zapamiętywania istniejących haseł i loginów. Rozwiązanie, na którym dzisiaj chcę skupić uwagę czytelników, to perc.pass — pierwszy polski menedżer haseł, zaprojektowany i stworzony w Zielonej Górze. Dlaczego warto poznać go lepiej?
Powód 1: bezpieczeństwo danych
Perc.pass zapewnia pełne bezpieczeństwo danych. Gromadzi loginy i hasła, szyfruje je przy użyciu klucza kryptograficznego opartego na haśle głównym, które zna jedynie użytkownik konta – to praktyczna realizacja zasady zero-knowledge, która zabezpiecza hasła nawet w przypadku wycieku bazy danych. Dodatkowo dane w spoczynku są szyfrowane przy wykorzystaniu HSM (kliknij i przeczytaj więcej na temat tej technologii).
Dodatkowo perc.pass sprawdza dwie ważne cechy naszych danych uwierzytelniających:
- weryfikuje, czy hasła, które są gromadzone w zasobach użytkownika lub w grupach współdzielonych nie zostały skompromitowane podczas jakiegoś wycieku — jeśli tak, warto je w tym momencie zmienić na odporne;
- sprawdza, czy poziom trudności twoich haseł jest wystarczająco wysoki, a jeśli nie – sugeruje zmiany.
To trochę zwalnia nas z myślenia o tym, jak skomplikowane powinno być nasze hasło, system weryfikuje to za nas. Co więcej, generuje nam w pełni bezpieczne, trudne do złamania hasło, które możemy wprowadzić jednym kliknięciem. Jak łatwo się domyślić jest ono bardzo skomplikowane, ale przecież nie musimy go zapamiętywać, więc można to rozpatrywać jedynie jako zaletę.
Powód 2: przejrzyste zarządzanie dostępem do danych
W poprzednim punkcie omówiłam punkty istotne w analizie procesu zarządzania swoimi danymi uwierzytelniającymi. Teraz czas na kolejny level – dzielenie dostępów. Pracując w zespole często korzystamy ze wspólnych zasobów, zarządzamy treściami w kanałach komunikacji takich jak strony www, używamy narzędzi w wersji SaaS (software as a service) w chmurze. Od kiedy praca zdalna i rozproszenie zespołów stało się normą, narzędzia dostępne po zalogowaniu są w powszechnym użyciu.
Perc.pass umożliwia bezpieczne i łatwe współdzielenie danych w grupach. Jak to działa? Tworzysz grupę dodając do niej wybranych użytkowników. Następnie zapisujesz dane dostępowe, z których powinni móc korzystać. Dzięki łatwemu zarządzaniu możesz w każdej chwili wyłączyć osobę, która np. zmienia obszar działania w firmie, albo opuszcza ją, z grupy współdzielonej i dzięki temu odebrać jej wszystkie dostępy.
Jest to skuteczne rozwiązanie pozwalające na łatwy onboarding (nowa osoba w zespole nie szuka ciągle haseł, których pozostali członkowie nie mogą sobie przypomnieć) a także kontrolowany offboarding, dzięki któremu pracownik, który opuścił firmę nie ma przez długie miesiące dostępu do płatnych narzędzi, o danych istotnych dla organizacji nawet nie wspomnę.
Wszelkie operacje na danych są monitorowane i zapisywane w logach, więc łatwo można sprawdzić, kto i kiedy uzyskał dostęp do hasła, a także kto zmieniał dane dostępowe w systemie.
W zespole działu marketingu Perceptus wykorzystujemy tę funkcję bardzo często i jest niezwykle użyteczna. Zdecydowanie ułatwia nam współdzielenie dostępów do wszystkich narzędzi marketingowych i wprowadzanie nowych osób do teamu.
Powód 3: wtyczka do przeglądarek
Perc.pass posiada wtyczkę działającą z przeglądarkami internetowymi zarówno z poziomu desktop jak na wersjach mobilnych. Po zainstalowaniu wtyczki można łatwo korzystać z wszystkich funkcji menedżera haseł i zabezpieczać swoje hasła w zabezpieczonej kryptograficznie bazie, która fizycznie jest i zawsze będzie zlokalizowana na terenie Polski. A dzięki temu jest w 100% zgodna z wytycznymi dotyczącymi rezydencji danych rekomendowanej m.in. przez RODO.
Wtyczka umożliwia autouzupełnianie danych uwierzytelniających bez konieczności ich wyszukiwania. Wystarczy kliknąć w ikonkę perc.pass pojawiającą się w oknie do uzupełniania uwierzytelnienia, a system sam wyszuka i podpowie odpowiednie rekordy z bazy haseł, które wystarczy zatwierdzić kliknięciem. Intuicyjne działanie nie wymaga żadnej instrukcji.
Menedżer haseł a phishing
System weryfikuje dane dostępowe w oparciu o domenę strony logowania. Jeśli domena nie została zapisana w systemie, to hasło nie zostanie zaproponowane. Dzięki tej funkcji zyskujemy cenne sekundy na zastanowienie się, czy na pewno jesteśmy na tej stronie, na której powinniśmy być uzupełniając swoje dane… i być może unikniemy nieprzyjemności związanych z atakiem phishingowym.
Jeśli te argumenty przekonały Cię do tego, że warto przetestować menedżer haseł perc.pass.