Domowe przechowywanie haseł, PIN-ów i kodów: jak zabezpieczyć cyfrowe życie bez doktoratu z informatyki

Większość z nas ma dziś więcej haseł niż kluczy do mieszkania. Hasło do poczty, do banku, do sklepu internetowego, do ZUS-u, do Facebooka, do panelu klienta u dostawcy internetu, do telefonu, do chmury z kopiami zdjęć. Do tego kody PIN do kart, wzory odblokowania, kody do aplikacji bankowych i różne „tajne pytania”. Nic dziwnego, że łatwo się w tym wszystkim pogubić.

Problem zaczyna się wtedy, gdy ktoś ma jedno hasło „do wszystkiego”, zapisuje PIN na karteczce przyklejonej do karty albo trzyma listę haseł w pliku „hasla.docx” na pulpicie. Z punktu widzenia przestępców to jak zostawienie kluczy w drzwiach i kartki z informacją, gdzie leżą wszystkie wartościowe rzeczy.

W tym tekście krok po kroku układamy temat: jak przechowywać hasła, PIN-y i kody w domu, żeby było w miarę wygodnie, ale przede wszystkim bezpiecznie. Bez technicznego żargonu, za to z konkretnymi przykładami.

Dlaczego w ogóle warto się przejmować sposobem przechowywania haseł

Hasło to często jedyna rzecz, która stoi między tobą a kimś, kto chciałby wyczyścić twoje konto w sklepie internetowym, przejąć maila albo zalogować się na twoje konto w serwisie społecznościowym. Z przejętej poczty można zresetować hasła do wielu innych usług, z przejętego konta społecznościowego – wyłudzać pieniądze od znajomych, z dostępu do chmury – ściągnąć wszystkie twoje dokumenty i zdjęcia.

Specjaliści od bezpieczeństwa od lat podkreślają, że problemem nie są tylko zbyt proste hasła. Równie groźne jest ich przechowywanie w sposób, który ułatwia życie nie tylko tobie, ale także każdemu, kto na chwilę dostanie się do twojego telefonu, komputera czy biurka. Dobrze dobrane hasło, fatalnie przechowywane, przestaje być bezpieczne.

Dlatego przechowywanie haseł to nie „dodatek dla paranoików”, tylko zwykła higiena cyfrowa – tak jak zamykanie drzwi na klucz czy niewystawianie portfela na stół w kawiarni.

Jakie hasła i kody są naprawdę krytyczne

Nie wszystkie hasła są równie ważne. Inna jest waga hasła do forum z przepisami na ciasta, a inna – do poczty czy banku. Warto wiedzieć, które z nich traktować jak „klucze do sejfu”. To są przede wszystkim:

• hasło do głównego adresu e-mail (na niego zwykle przychodzą linki do resetowania innych haseł),
• hasła do bankowości elektronicznej i aplikacji finansowych,
• hasła do kont, na których trzymasz ważne dokumenty i kopie zapasowe (chmura, dysk sieciowy),
• hasła do kont, które pozwalają zarządzać innymi usługami (konto u operatora, konto w sklepie z aplikacjami),
• PIN-y do kart płatniczych i kod odblokowania telefonu.

Jeśli ktoś przejmie konto na portalu z memami – jest to przykre, ale do naprawienia. Jeśli przejmie pocztę, konto bankowe i telefon – robi się naprawdę poważnie. Dlatego przy planowaniu przechowywania haseł warto osobno pomyśleć właśnie o tej „grupie VIP”.

Dobra praktyka numer jeden: długie, unikalne hasła i frazy

Zanim w ogóle przejdziemy do przechowywania, trzeba dotknąć tematu jakości samych haseł. Różne instytucje zajmujące się bezpieczeństwem – od zespołów reagowania na incydenty po organizacje standaryzujące – od lat zwracają uwagę na kilka prostych zasad:

• hasło powinno być odpowiednio długie (co najmniej kilkanaście znaków),
• lepiej, żeby było „zdaniem” lub frazą z kilku słów niż krótkim zlepkiem liter,
• do różnych usług używamy różnych haseł – nie kopiujemy tego samego hasła wszędzie,
• tam, gdzie się da, włączamy dodatkowy krok logowania (kod SMS, aplikacja uwierzytelniająca, klucz sprzętowy).

Potem dopiero pojawia się pytanie: jak to wszystko ogarnąć, skoro nikt normalny nie zapamięta dwudziestu różnych długich haseł i jeszcze kilku PIN-ów.

Menadżer haseł: co to jest i dlaczego warto

Menadżer haseł (password manager) to program lub aplikacja, która przechowuje twoje hasła w zaszyfrowanej „bazie”. Można wyobrazić to sobie jak elektroniczny sejf na hasła. Otwierasz go jednym głównym hasłem, a w środku masz uporządkowaną listę logowań do różnych serwisów. Dobre menadżery potrafią też same wymyślać silne hasła i automatycznie je wypełniać przy logowaniu.

Z punktu widzenia domowego użytkownika menadżer haseł ma kilka zalet:

• nie musisz pamiętać wszystkich haseł – wystarczy jedno, porządne hasło do sejfu z hasłami,
• zamiast wymyślać „coś prostego, bo zapomnę”, możesz korzystać z bardzo długich, losowych haseł,
• jeśli korzystasz z kilku urządzeń (komputer, laptop, telefon), menadżer może synchronizować bazę haseł między nimi,
• wiele menadżerów ostrzega, gdy dane hasło jest zbyt słabe, powtarza się lub wyciekło w jakiejś znanej bazie haseł.

Oczywiście, to nie jest magia. Menadżer haseł trzeba dobrze wybrać, ustawić i zabezpieczyć. Ale dla zwykłego użytkownika to najwygodniejsza i często najbezpieczniejsza metoda ogarniania wielu haseł naraz.

Jak bezpiecznie korzystać z menadżera haseł w domu

Żeby menadżer haseł pomagał, a nie szkodził, warto trzymać się kilku zasad:

• Wybierz zaufane rozwiązanie. Warto postawić na znanego, sprawdzonego producenta, który jasno opisuje, jak szyfrowane są dane i czy były z nim związane poważne incydenty bezpieczeństwa.
• Ustaw bardzo mocne hasło główne. To hasło jest kluczem do całego sejfu. Powinno być długą frazą (zdaniem) trudną do odgadnięcia, nieużywaną nigdzie indziej. Dobrze sprawdzają się kombinacje kilku pozornie niezwiązanych słów, przeplatane cyframi i znakami.
• Włącz dodatkowe uwierzytelnianie, jeśli menadżer to oferuje. Kod z aplikacji, klucz sprzętowy, odcisk palca – każdy dodatkowy krok utrudnia zadanie komuś, kto spróbowałby przejąć twoją bazę haseł.
• Dbaj o aktualizacje. Menadżer, który nie jest aktualizowany, z czasem staje się coraz mniej bezpieczny. Włącz automatyczne aktualizacje, jeśli to możliwe.
• Uważaj na phishing. Nawet najlepszy menadżer nie pomoże, jeśli wpiszesz główne hasło na fałszywej stronie. Uważnie sprawdzaj adresy stron logowania, szczególnie do samego menadżera.

Na pierwszy rzut oka może się wydawać, że „jedno hasło do wszystkiego” w postaci hasła głównego to zły pomysł. Różnica polega na tym, że tutaj jest ono używane do otwierania zaszyfrowanego sejfu, a nie wpisywane na dziesiątkach różnych stron – a to bardzo zmienia sytuację na plus.

Czy wolno zapisywać hasła na kartce? Tak, ale z głową

Porada „nigdy nie zapisuj haseł na kartce” brzmi kategorycznie, ale życie jest bardziej skomplikowane. Oficjalne wytyczne niektórych instytucji wprost dopuszczają zapisanie hasła w formie papierowej, pod warunkiem, że kartka jest przechowywana w bezpiecznym miejscu, z dala od komputerów i urządzeń, których dotyczy.

Co to znaczy w praktyce:

• lista haseł nie powinna leżeć przyklejona na monitorze, wsunięta pod klawiaturę ani w szufladzie biurka, które stoi w miejscu dostępnym dla gości czy klientów,
• lepiej trzymać ją w zamkniętej szafce, sejfie, kasetce na dokumenty – tak jak trzymasz paszport czy umowy,
• dobrym pomysłem jest używanie skróconych opisów („bank 1”, „poczta prywatna”), które są jasne dla ciebie, ale mniej oczywiste dla kogoś obcego,
• na kartce można zapisać podpowiedź, a nie pełne hasło – np. fragment hasła plus przepis, jak je odtworzyć.

Zapisywanie haseł na papierze ma jedną dużą przewagę: kartki nie da się „zhakować” zdalnie. Żeby ktoś ją wykorzystał, musi fizycznie dostać się do miejsca, w którym ją trzymasz. Dlatego dla części osób, zwłaszcza tych mniej technicznych, bezpiecznie przechowywana kartka bywa lepszym rozwiązaniem niż chaotyczne pliki w komputerze.

Najgorsze pomysły na przechowywanie haseł i PIN-ów

Są jednak sposoby przechowywania, które powtarzają się tak często, że warto je nazwać wprost „złym pomysłem”. To między innymi:

• plik „hasla.xlsx” lub „hasla.txt” na pulpicie bez żadnego szyfrowania,
• notatnik w telefonie z listą haseł, bez blokady ekranu lub z bardzo prostym kodem,
• kartka z PIN-em przyklejona do karty płatniczej, schowana w portfelu,
• zapisywanie haseł w przeglądarce na „wspólnym” komputerze, z którego korzysta kilka osób, bez hasła do profilu,
• wysyłanie sobie haseł mailem, w wiadomości SMS albo na komunikatorze i zostawianie ich tam na zawsze.

Te metody są wygodne dla ciebie, ale jeszcze wygodniejsze dla złodzieja. Ktoś, kto na chwilę uzyska dostęp do twojego komputera, telefonu lub portfela, ma podane wszystkie dane na tacy. Nawet jeśli ufasz domownikom, pamiętaj o innych scenariuszach: naprawa komputera, zgubiony telefon, kradzież portfela, ktoś obcy przeglądający dokumenty w biurze.

PIN-y i kody do urządzeń: traktuj jak klucze

PIN do karty płatniczej, kod do aplikacji bankowej, wzór odblokowania telefonu – to wszystko są hasła, tylko w krótszej postaci. Wbrew pozorom są jeszcze ważniejsze, bo często decydują o dostępie do pieniędzy i całego telefonu.

Podstawowe zasady:

• nie ustawiaj PIN-u jako daty urodzenia, rocznicy czy innej oczywistej liczby,
• nie używaj tego samego PIN-u do kilku kart,
• nie zapisuj PIN-u w portfelu razem z kartą,
• zabezpiecz telefon porządnym kodem (nie „1234”, nie „0000”, nie prosty wzorek), a najlepiej – kilkucyfrowym lub kilkuliterowym hasłem plus odciskiem palca lub rozpoznawaniem twarzy,
• nie podawaj kodów jednorazowych (z SMS-ów, aplikacji bankowej) nikomu – nawet jeśli ktoś twierdzi, że jest z banku czy policji.

Jeśli masz problem z zapamiętaniem PIN-u, zamiast nosić go na kartce w portfelu, możesz zapisać go w menadżerze haseł albo – w wersji analogowej – w domowej „książeczce” trzymanej w bezpiecznym miejscu, a nie przy karcie.

Wspólne przechowywanie haseł w rodzinie lub małej firmie

W praktyce nie zawsze jedna osoba jest „właścicielem” wszystkich haseł. W rodzinie ktoś może chcieć, by partner lub partnerka mieli dostęp awaryjny do ważnych kont. W małej firmie kilku pracowników wspólnie korzysta z loginu do poczty działu, systemu rezerwacji czy panelu administracyjnego strony.

W takich sytuacjach:

• warto ustalić, kto za co odpowiada – kto zmienia hasła, kto wprowadza zmiany w „książeczce” haseł, kto ma dostęp do głównego menadżera haseł,
• dobrym rozwiązaniem są menadżery haseł z funkcją udostępniania wybranych wpisów – dzięki temu każdy widzi aktualne hasło, a jednocześnie nie trzeba go wysyłać mailem czy na komunikatorze,
• jeśli korzystacie z papierowej listy, musi być jedna, aktualna wersja w bezpiecznym miejscu – nie pięć kopii w różnych szufladach, które szybko się zdezaktualizują.

Warto też pomyśleć o „planie awaryjnym”: co się stanie, jeśli osoba, która zwykle pilnuje haseł, nagle będzie niedostępna (choroba, pobyt w szpitalu, wypadek). Czy druga zaufana osoba będzie wiedziała, gdzie szukać informacji i jak się do nich dostać?

Co zrobić, jeśli ktoś mógł poznać twoje hasła

Nawet przy najlepszych chęciach może się zdarzyć, że ktoś niepowołany pozna twoje hasło: phishing, wyciek danych z serwisu, zgubiony notes, zainfekowany komputer. Co wtedy?

Dobrze jest mieć prosty scenariusz „na wszelki wypadek”:

• zmień jak najszybciej hasło do poczty i banku – to priorytet,
• zmień hasła do innych ważnych usług, które mogły być zagrożone,
• sprawdź, czy w twoich kontach nie ma podejrzanych logowań, nieznanych urządzeń, prób logowania z nietypowych lokalizacji,
• jeśli używałeś tego samego hasła w kilku miejscach (choć nie powinieneś), zmień je we wszystkich tych serwisach na różne,
• rozważ zgłoszenie incydentu odpowiednim instytucjom (np. bankowi, jeśli dotyczy to konta finansowego).

To kolejny argument za tym, żeby mieć hasła uporządkowane: wtedy dużo łatwiej zobaczyć, gdzie trzeba zareagować.

Mały plan na start: od czego zacząć porządkowanie haseł w domu

Jeśli do tej pory hasła i PIN-y były u ciebie chaosem, uporządkowanie całości jednym rzutem może wydawać się nierealne. Lepiej podejść do tematu etapami:

• zrób listę najważniejszych kont: poczta, bank, media społecznościowe, chmura, operatorzy, urzędy,
• zacznij od „wielkiej piątki”: hasło do poczty, banku, głównej chmury, telefonu i menadżera haseł, jeśli już go używasz,
• dla tych usług ustaw długie, unikalne hasła (frazy) i włącz dodatkowe uwierzytelnianie,
• wprowadź te hasła do menadżera lub bezpiecznej papierowej listy,
• stopniowo dodawaj kolejne konta – np. po kilka w tygodniu.

Po kilku takich „sesjach” okaże się, że najważniejsze rzeczy są już ogarnięte, a reszta to systematyczne dokładanie wpisów.

Źródła

https://cert.pl/bezpieczne-hasla/ — poradnik CERT Polska „Zadbaj o bezpieczne hasła i logowanie”, z praktycznymi zasadami tworzenia silnych haseł, ich długości oraz stosowania weryfikacji dwuetapowej.

https://cert.pl/posts/2022/01/kompleksowo-o-haslach/ — obszerny materiał CERT Polska „Kompleksowo o hasłach”, omawiający aktualne rekomendacje dotyczące długości haseł, haseł-fraz oraz zarządzania nimi.

https://www.gov.pl/web/baza-wiedzy/bezpieczne-hasla---wszystko-co-zawsze-chcieliscie-wiedziec — artykuł CSIRT NASK na portalu gov.pl o tworzeniu i stosowaniu bezpiecznych haseł, z przykładami oraz wyjaśnieniem najczęstszych błędów.

https://pages.nist.gov/800-63-3/sp800-63b.html — wytyczne NIST dotyczące uwierzytelniania (SP 800-63B), w tym rekomendacje w zakresie haseł, przechowywania i sprawdzania ich bezpieczeństwa.

https://www.priv.gc.ca/en/privacy-topics/technology/online-privacy-tracking-cookies/online-privacy/tips_pw/ — poradnik kanadyjskiego urzędu ochrony danych o tworzeniu i zarządzaniu hasłami, w tym o bezpiecznym zapisywaniu haseł na papierze.

https://teampassword.com/blog/the-best-ways-to-store-passwords-2023 — przegląd różnych metod przechowywania haseł online i offline, z omówieniem ich mocnych i słabych stron dla zwykłego użytkownika.

https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/password-managers — materiał brytyjskiego NCSC wyjaśniający, czym są menadżery haseł, dlaczego warto z nich korzystać i na co zwracać uwagę przy wyborze.