Bezpieczne metody przesyłania haseł – kilka sposobów na wysłanie hasła

Arkadiusz Meszka    9 maja 2020 | Ostatnia modyfikacja: 9 maja 2020

Jeśli pracujesz przy komputerze w jakiejkolwiek branży, istnieje niemal 100% prawdopodobieństwo, że ktoś będzie przesyłać Ci hasło lub Ty będziesz przesyłać komuś hasło. Może to być hasło do profilu na stronie internetowej, hasło do skrzynki pocztowej, hasło do aplikacji czy jakiegoś systemu.

Istnieje i jest powszechnie praktykowane błędne przekonanie, że jak wyślemy hasło SMS-em, to problem z głowy i hasło zostało wysłane bezpiecznie.

Biorąc pod uwagę, iż spora część aplikacji mobilnych, które wykorzystujemy w codziennym życiu, wymaga dostępu do SMS na smartfonach – wysyłanie SMS-em haseł nie jest bezpieczną metodą. Aplikacje na telefonach czy tabletach nie zawsze pochodzą z bezpiecznych źródeł i nie zawsze Google Play czy Apple Store zdoła je dobrze sprawdzić.

Ponadto, częściej mamy chronione antywirusem komputery, niż smartfony. Szpiegowskie czy złośliwe oprogramowanie można mieć zarówno w komputerze, jak w telefonie. Dodatkowo dostęp do skrzynki e-mail wymaga dodatkowej identyfikacji – podania hasła. SMSy w telefonie nie są już chronione loginem i hasłem, tak jak poczta e-mail.

Poniżej przedstawię kilka sposobów na wysyłanie hasła. Żaden z nich nie jest bezpieczny w 100%. Nie istnieje coś takiego, jak 100% bezpieczeństwa. W każdym systemie można znaleźć lukę, jeśli poszuka się wystarczająco długo.

Jednak im więcej się staramy, tym bardziej utrudniamy pracę osobom, które mogą próbować wykraść nasze dane.

Tryb poufny e-mail w Gmail

Gmail wśród rosnącej liczby swoich funkcjonalności oferuje tzw. tryb poufny. Pozwala on wysłać wiadomość, która wygaśnie w terminie, który ustalimy i dodatkowo odczytanie tej wiadomości może wymagać autoryzacji SMS. Jak skorzystać z tej funkcji?

Tworzymy treść e-maila. Następnie naciskamy ikonę widoczną na poniższym screenie.

Następnie wybieramy datę i godzinę, do kiedy wiadomość może być odczytana i opcjonalnie wymagamy autoryzacji SMS:

Moim zdaniem jest to obecnie najwygodniejsza wśród bezpiecznych metod wysyłania haseł, jednak nie każdy dysponuje aplikacją Gmail i może z niej skorzystać.

Hasło w paczce, która jest chroniona hasłem

Jest z tym sporo zachodu, ale utrudni to pracę osobie, która będzie próbować wykraść hasło. A mianowicie, tworzymy dokument tekstowy, który zawiera hasło – nic więcej. Wyłącznie hasło, bez informacji, że to jest hasło do czegoś tam i gdzieś tam. Informację o tym, do czego będzie służyć hasło w wysłanej paczce, powinniśmy wysłać w osobnej wiadomości e-mail, SMS lub połączeniu głosowym.

Za pomocą programu 7zip pakujemy ten dokument do paczki chronionej hasłem. Jak to zrobić, prezentuję na poniższych screenach:

Paczkę oraz hasło najlepiej wysłać dwoma kanałami. Wtedy właśnie może sprawdzić się wysłanie hasła SMS-em. Jeśli paczkę wysyłamy za pomocą poczty e-mail, wtedy hasło wyślijmy SMS-em lub innym kanałem, np. przez komunikator. Osoba próbująca wykraść hasło nie będzie mogła tego zrobić, mając dostęp jedynie do poczty e-mail. Będzie musiała uzyskać dostęp do SMS lub innej aplikacji, co podwójnie utrudnia zadanie.

Ważne jest oczywiście, aby hasło do paczki ZIP było trudne do złamania – jak dłuższe i jak najbardziej skomplikowane.

Nie wysyłaj hasła

Kolejna opcja, która nie zawsze jest możliwa, to nie wysyłanie hasła. Wysyłamy tylko link do formularza, gdzie można hasło ustalić lub zresetować, podajemy login i prosimy osobę otrzymującą go, aby ustaliła lub zresetowała swoje hasło z użyciem swojej skrzynki e-mail. Wtedy taki profil musi być powiązany ze skrzynką e-mail tej osoby.

Na coś takiego pozwala np. system WordPress. Jestem pewien, że wiele innych systemów też na to pozwala.

Szyfrowany chat

Niektóre aplikacje do komunikacji pozwalają na chat szyfrowany. Jest to chat, do którego treści nie uzyska dostępu żaden podmiot trzeci, ponieważ jest on zaszyfrowany. Pod warunkiem, że sposób szyfrowania nie zostanie złamany, ale są to bardzo zaawansowane algorytmy szyfrujące.

Najbezpieczniejszą aplikacją tego typu jest Signal. Aplikacja ta jest rzadko używana, ponieważ nie ma w niej wielu funkcji, które oferują konkurencyjne aplikacje i nie jest tak wygodna w korzystaniu, jak np. Telegram. Dlatego też nie poświęcam tutaj tej aplikacji miejsca, lecz tylko wspominam ją.

Drugą aplikacją, której używanie preferuje coraz większa liczba użytkowników, jest Telegram Messenger. Podobnie jak Signal, jest on dostępny na praktycznie wszystkie platformy – komputery, telefony, Apple, Windows, Linux.

Aby rozpocząć szyfrowany chat, wchodzimy w ustawienia i wybieramy opcję “New secret chat”. Jest ona dostępna tylko na urządzeniach mobilnych.

Wyślij nieprawidłowe hasło, następnie poinformuj, jak poprawić

Kolejnym sposobem, wygodnym dla wysyłającego, mnie wygodnym dla odbierającego, jest wysłanie w jednej wiadomości niepoprawnego hasła, w kolejnej wiadomości (lub za pomocą innego kanału komunikacji) informację, jak to hasło poprawić.

Dla przykładu, za pomocą wiadomości e-mail wysyłamy hasło:

vn*8e#ed9GRet

Następnie za pomocą komunikatora, wiadomości SMS lub innego e-maila (ale nie w tym samym chacie) informujemy, że aby to hasło działało, gwiazdkę trzeba zamienić miejscami z kratką. Albo trzeba odwrócić wielkość liter. Lub zamienić pierwszy i ostatni znak miejscami. Możliwości jest w nieskończoność.

Jeśli ktoś będzie używać software’u automatycznie wyszukującego haseł i znajdzie takie hasło, ale nie będzie mieć wiadomości, jak to hasło poprawić – będzie ono dla niego bezużyteczne.

Zapisz hasło na papierowej karteczce

Jeśli przekazujesz hasło koledze czy koleżance w firmie i masz 100% pewności, że pomieszczenia firmy nie są skompromitowane i hasło mogą znać także inni koledzy mający dostęp do nich, hasło możesz przekazać na papierowej karteczce.

Nie jest to może wyrafinowane, ale ktoś, kto zhakuje twoją lub kolegi skrzynkę e-mail lub telefon, nie wykradnie tego hasła. Chyba, że zhakuje kamerkę w laptopie czy kamery bezpieczeństwa w budynku i będzie z nich dobrze widać karteczkę i jej zawartość. Dlatego karteczkę taką najlepiej trzymać w szufladzie 🙂 Albo zniszczyć, gdy hasło zostanie zapamiętane w głowie lub przeglądarce.

Dodatkowo hasło można zapisać długopisem / ołówkiem / markerem, który odparuje / zniknie po jakimś czasie i kartka pozostanie pusta.

Ręczne wpisywanie haseł nie zawsze pomoże

Nie dotyczy to już wysyłania haseł, ale skoro mówimy o hasłach, to wspomnę o tym.

Spotkałem się z opiniami, że jak się nie zapisuje hasła w przeglądarce, tylko za każdym razem ręcznie wpisuje, to jest bezpiecznie. Nie do końca jest to prawda. Gdy posiadasz hasło zapisane w przeglądarce, nie wpisujesz go, jest ono zaszyfrowane i jedynym sposobem na jego odszyfrowanie jest znajomość hasła lub pinu twojego systemu (lub luka w przeglądarce, ale to rzadkie zjawisko).

Istnieje coś takiego, jak malware szpiegujący, jakie klawisze są naciskane na klawiaturze. Więc jeśli masz taki malware zainstalowany na komputerze, ktoś inny może sprawdzić, jakie klawisze naciskałeś. Jeśli ręcznie wpisywałeś hasło, hasło to będzie znane osobie śledzącej twoje stuknięcia w klawiaturę.

Dbaj o bezpieczeństwo swoich danych

Bezpieczne korzystanie z komputera czy telefonu to osobny temat. Sporą część tego tematu pokryłem w tym artykule:

Stosując się do takich zasad, jak stosowanie trudnych haseł dostępowych, używanie antywirusa – utrudniasz pracę osobom, które mogą chcieć wykraść i wykorzystać twoje dane, w tym używane hasła.

Udostępnij wpis
1 Gwiazdka2 Gwiazdki3 Gwiazdki4 Gwiazdki5 Gwiazdek (2 głosów, średnia: 5,00 z 5)
Loading...

2 komentarzy

  1. seba93 pisze:

    Korzystam z Gmaila, a nigdy nie zauważyłem tej funkcji, o której piszesz na początku. Ciekawe, muszę ją wypróbować w najbliższym czasie. Ostatnio wysyłałem hasło dwóm klientom, ale nie bawiłem się w żadne szyfrowanie itd., są to hasła dostępowe, które nawet jak zostaną wykradzione, to nic się nie stanie.

  2. ironfist pisze:

    Mój klient miał wirusa w smartfonie i zhakowali mu serwer. Wszystkie dane mu wysłałem smsem i to był mój błąd. Trzeba robić tak jak piszesz, albo jakoś zaszyfrować np. paczkę z danymi, albo wysłać login inną drogą, hasło inną drogą. Albo wszystko mailem. Może jak bym wysłał mailem, to by nie zhakowali.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *