Wiesz że powinieneś używać menedżera haseł. Nie używasz. Dlaczego?

Wiesz że powinieneś używać menedżera haseł. Nie używasz. Dlaczego?

To nie jest artykuł o tym jak działa menedżer haseł. To artykuł o tym dlaczego go nie masz mimo że od trzech lat wiesz że powinieneś.


Jest taka kategoria wiedzy którą wszyscy posiadamy i prawie nikt nie stosuje.

Wiesz że powinieneś więcej spać. Wiesz że powinieneś ćwiczyć. Wiesz że powinieneś jeść mniej przetworzonego jedzenia.

I wiesz że powinieneś używać menedżera haseł.

Ta wiedza siedzi gdzieś z tyłu głowy od momentu gdy przeczytałeś pierwszy artykuł o bezpieczeństwie w sieci. Albo gdy kolega wspomniał. Albo gdy dostałeś maila że Twoje hasło wyciekło i przez chwilę poczułeś nieprzyjemne ukłucie w żołądku.

Potem życie wróciło do normy. Hasło zostało to samo.

Dlaczego tak się dzieje? I dlaczego akurat z menedżerem haseł ten mechanizm działa wyjątkowo skutecznie?


Opór pierwszy: "Coś się stanie z moimi danymi"

To jest najczęstszy argument który słyszę.

"Trzymam wszystkie hasła w jednym miejscu, możliwe że online (Niektóre apki mają taką opcje). Jak ktoś się włamie to straci wszystko naraz."

Intuicja mówi że to niebezpieczne. Logika mówi coś zupełnie innego.

Zastanów się jak wyglądają Twoje hasła teraz. Jedno hasło do maila, banku i sklepu internetowego – może z małą modyfikacją żeby "było bezpieczniejsze." Albo trzy hasła które używasz rotacyjnie. Albo hasło zapisane w notatniku na telefonie.

Każdy z tych scenariuszy jest znacznie bardziej niebezpieczny niż menedżer haseł. Dlatego że jeden wyciek z jednego serwisu daje atakującemu dostęp do wszystkiego innego. Bo hasła są przewidywalne i podatne na ataki słownikowe. Bo notatnik na telefonie nie jest szyfrowany.

Menedżer haseł jest jednym silnie zaszyfrowanym miejscem z jednym bardzo mocnym hasłem głównym i dwuetapową weryfikacją. Atakujący który chce się do niego dostać musi przełamać szyfrowanie klasy wojskowej.

Jeśli obecnie używasz opcji "zapamiętaj hasło" to już jesteś na gorszej pozycji, bo nie każda przeglądarka dba by to zapamiętanie było bezpieczne.

Intuicja Cię tu okłamuje. I robi to skutecznie od lat.


Opór drugi: "To zbyt skomplikowane"

Drugi mechanizm obronny działa inaczej.

Nie kwestionujesz bezpieczeństwa. Mówisz że to skomplikowane. Że trzeba przenieść wszystkie hasła. Że nie wiesz od czego zacząć. Że może zrobisz to w weekend.

To jest klasyczna prokrastynacja ubrana w racjonalne uzasadnienie.

Weekend mija. Potem jest kolejny weekend. Potem mija rok.

Prawda jest taka że skonfigurowanie menedżera haseł zajmuje jedną godzinę. Przeniesienie wszystkich haseł – jeśli robisz to stopniowo przy okazji logowania – zajmuje kilka tygodni bez żadnego dodatkowego wysiłku. Po miesiącu masz kompletną bazę haseł i nie pamiętasz jak żyłeś bez tego narzędzia.

Ale "jedna godzina teraz" w starciu z "zrobię to w weekend" przegrywa prawie zawsze. Bo mózg woli odroczoną decyzję od natychmiastowego wysiłku nawet gdy ten wysiłek jest minimalny.


Opór trzeci: "Jakoś mi nie ukradli"

Trzeci mechanizm jest najgroźniejszy bo jest oparty na prawdziwych danych.

Jakoś Ci nie ukradli. Przez rok. Przez pięć lat. Przez dziesięć. To samo słabe hasło. Te same trzy warianty. I nic się nie stało.

Mózg wyciąga z tego wniosek: skoro nic się nie stało to system działa.

Problem polega na tym że bezpieczeństwo danych działa jak ubezpieczenie. Przez lata płacisz i nic się nie dzieje. A potem zdarza się jeden incydent i nagle te lata "nic się nie działo" przestają mieć znaczenie.

Wyciek danych z serwisu którego używasz nie zależy od Ciebie. Możesz mieć najsilniejsze hasło na świecie i wyciec razem z milionem innych użytkowników gdy baza danych serwisu trafi w niepowołane ręce.

Fakt że nic się nie stało przez ostatnie lata nie jest dowodem że system jest bezpieczny. Jest dowodem że miałeś szczęście.


Opór czwarty: "Nie mam nic do ukrycia"

Ten argument słyszę rzadziej przy hasłach niż przy prywatności danych – ale pojawia się.

"Moje konto na forum o modelarstwie nie jest warte hakowania."

Prawda. Ale Twoje konto na forum o modelarstwie ma to samo hasło co Twój mail. A Twój mail ma dostęp do resetowania hasła do banku.

Hakerzy nie atakują Twojego konta na forum dlatego że interesuje ich Twoje modelarstwo. Atakują je dlatego że jest najsłabszym ogniwem w łańcuchu który prowadzi do czegoś wartościowego.

Każde konto jest drzwiami do czegoś innego. Bezpieczeństwo całego łańcucha zależy od jego najsłabszego ogniwa.


Dlaczego wiedzieć to za mało

Jest w psychologii pojęcie luki między intencją a działaniem.

Większość ludzi ma intencję żeby być zdrowszym, oszczędniejszym, bezpieczniejszym w sieci. Intencja nie przekłada się automatycznie na działanie bo działanie wymaga przełamania oporu – nawet jeśli ten opór jest minimalny.

W przypadku menedżera haseł ten opór jest szczególnie skuteczny dlatego że konsekwencje braku działania są niewidoczne do momentu gdy jest już za późno. Nie boli Cię głowa gdy używasz słabego hasła. Nie masz wysokiego ciśnienia. Nic się nie dzieje.

Aż coś się dzieje.

I wtedy siadasz i w ciągu godziny robisz to co odkładałeś przez trzy lata.

Mam propozycję żebyś nie czekał na ten moment.


Co zrobić dziś. Dosłownie dziś.

Nie "w weekend." Nie "jak będę miał czas." Dziś.

Wybierz menedżer haseł. Który wybierzesz ma mniejsze znaczenie niż to żebyś wybrał którykolwiek.

Zainstaluj aplikację na telefonie i rozszerzenie w przeglądarce. Zajmuje to dziesięć minut.

Ustaw jedno bardzo mocne hasło główne. Długie zdanie które pamiętasz – cztery losowe słowa połączone ze znakami specjalnymi. To jedyne hasło które będziesz musiał pamiętać do końca życia.

Włącz dwuetapową weryfikację do menedżera.

Gotowe. Reszta dzieje się sama przy okazji kolejnych logowań.

Wiedziałeś że powinieneś to zrobić od trzech lat.

Teraz wiesz też dlaczego tego nie robiłeś.

Jedno z tych dwóch przestało być prawdą.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.