Hasło. Koszmar czasów internetu. Weź tu człowieku wymyśl wystarczająco trudne! Ba – a potem jeszcze je zapamiętaj! No i wymyśl ich kilka/dziesiąt/set, najlepsze każde inne! No i zmieniaj co miesiąc/kwartał! Już samo to wystarczy, by usiłując zabezpieczyć nasze cyfrowa dobra dostać cholery do kwadra… gdzie tam, do sześcianu! A gdy do tego dołożyć – hmmm – nieprzystające do dzisiejszych czasów polityki haseł…

„Hasło” czyli osiem cyfr (!)

Zanim wyjaśnię (bo pewnie nie każdy wie) czy jest polityka haseł, opowiem Wam historię. Banki generalnie lubię, z tego, w którym mam główne konto, korzystam od czasu jego wejścia na rynek. Z pewnych powodów musiałem jednak też utrzymywać konto w innym i od momentu założenia go, drżałem z obaw o zgromadzone na nim pieniądze. Czemu?

Nadany przez bank login składał się z ośmiu cyfr. To akurat nic niestandardowego. Gorzej, że

hasło, które klient ustalał sam, składało się z… ośmiu cyfr!

Dokładnie tak. Nie mniej, nie więcej, żadnych możliwych liter, czy znaków specjalnych. Bank, pytany o to, kiedy planuje to zmienić, odpowiadał (oczywiście kulturalnie), że… nigdy! Kamień spadł mi z serca, gdy zniknął z polskiego rynku, moje konto zostało zmigrowane do systemu szczęśliwego nabywcy, a ja mogłem ustawić wreszcie porządne, 17-znakowe alfanumeryczne hasło.

Polityka haseł, czyli dokument precyzujący wymagania dotyczące tego, jak powinny wyglądać hasła w systemach danej firmy. Klasyczna, funkcjonująca od lat, polityka to co najmniej 8 znaków, w tym małe i wielkie litery oraz cyfry i/lub znaki specjalne. Dodatkowo przez lata funkcjonowało (w Orange Polska też) podejście, że hasło należy zmieniać co miesiąc. Brzmi dobrze? No nie bardzo, co zauważył kilka dni temu legendarny amerykański kryptograf i specjalista z zakresu bezpieczeństwa teleinformatycznego Bruce Schneier.

Menedżer haseł wygenerował mi 16-znakowe hasło, brzmiące :s^Twd.J;3hzg=Q~ System jednak go nie przyjął? Czemu? Bo powinno mieć przynajmniej dwie cyfry!

Wg. serwisu Randomize, złamanie hasła, które przytoczył Schneier, zajęłoby 420 bilionów 805 miliardów 123 miliony 888 tysięcy 6 lat. I sześć miesięcy. No i co z tego, skoro okazało się… złe? Czy raczej „nie spełniające warunków polityki bezpieczeństwa”?

Długa lista hańby

Nie będę Wam rzecz jasna pisał, jak taka polityka wygląda w Orange Polska, ale mogę zapewnić, że przez lata się zmieniła. Czy na lepsze? Chyba tak, na pewno na inne. Jest bardziej dostosowana do realiów i nie generuje (przynajmniej taką mam nadzieję 🙂 ) niepotrzebnego stresu. Na pewno zmalała liczba haseł w stylu „Jesien21!”, czy „Pazdziernik21!”. Odchodząc od wymagania comiesięcznej zmiany łatwiej przekonać użytkownika do stworzenia ciągu znaków, który po pierwsze będzie za każdym razem niepowtarzalny, po drugie zaś – właściciel konta będzie w stanie je zapamiętać.

Wracając do Bruce’a Schneiera, w swoim krótkim wpisie zwrócił on uwagę na to, że problemem jest brak spójności wymagań, dotyczących hasła, w różnych serwisach. Szukając pomysłu na ten tekst, trafiłem na ciekawą „listę hańby” serwisów z godnymi krytyki politykami haseł.

• Hasło o długości od 8 do 16 znaków
• Tylko litery (małe i duże) oraz znak podkreślenia (_)
• Do 16 cyfry (mam deja vu)
• 6-20 znaków. Po prostu. Żadnych innych wymagań. Może być aaaaaa.
• Lista wymagań do hasła tak długa, że zanim ją przeczytamy, zresetuje się sesja.
• 6 alfanumerycznych znaków. 6. Nie mniej, nie więcej.
• Znaki specjalne? Spoko, ale tu masz listę tych, których użyć nie możesz

To tylko kilka z długiej listy przykładów z listy na którą załapały się też firmy zarówno ogólnoświatowe, jak i te pochodzące z pewnego kraju nad Wisłą. A teraz sami się zastanówcie, ile pozycji ze słownika brzydkich wyrazów 😉 wyczerpaliście, gdy wymyśliliście po raz kolejny wypasione hasło tylko po to, by znowu zobaczyć, że: „Nie spełnia warunków polityki bezpieczeństwa”?

A może zrezygnować z haseł?

Ja swego czasu też „byłę hardkorę” i jako bezpieczniak-neofita musiałem mieć koniecznie długaśne, pełne dziwnych znaków, skomplikowane hasło. Przez lata też jednak wyewoluowałem 🙂 i coraz chętniej skłaniam się ku

HasluBardzoSkomplikowanemu,KtoregoITakNiktNieOdgadnie,BoMusialobyMuToZajac1000Lat

I w sumie nie są mi tu potrzebne ani przecinki ani cyfry, bo w wersji „skromnej” (HasloBardzoSkomplikowaneKtoregoNiktNieOdgadnie) łamanie wg. Randomize zajmie 9.776629762610047 * 10^61. LAT. Na pewno warto, by miało więcej niż 12 znaków. Przestępcom nie opłaca się łamać tak długich haseł – w wykradzionych bazach mają wystarczająco dużo krótkich do użycia.

A w ogóle to najlepiej zrezygnować z haseł. Gdyby „ja sprzed 10 lat” usłyszał mnie teraz, pomyślałby: „No idiota, no!”. Tymczasem nie kto inny jak Microsoft dwa miesiące temu zdecydował się powiedzieć (czy raczej napisać, w ustawieniach konta) „Poprawiłeś bezpieczeństwo konta, usuwając hasło”! Ale jak to, to co zamiast? Token! Czy to w formie pseudolosowych 6 cyfr (hihi!) w aplikacji, kryptograficznego „gwizdka”, wkładanego do portu USB, wymagającego wpisania PINu, by zeń skorzystać, czy wreszcie akceptacji logowania w przyporządkowanym usłudze telefonie. Rozwiązania sprzętowe mamy w kieszeni. Znacznie ciężej nam je wykraść, niż hasło. Nawet takie stworzone wg. polityki NASA 🙂

Tylko 16 procent osób używa to samo hasło do różnych kont „często” lub „bardzo często”. A co jeśli rozszerzymy tę grupę o osoby, którym taka sytuacja „zdarza się”? Odsetek niefrasobliwych rośnie do 40 (!!!) procent. Trochę mi ręce opadły. Oczywiście nie zamierzam przesadnie dramatyzować (o tym dalej). Jednak wyniki badania, przeprowadzonego przez Warszawski Instytut Bankowości i Związek Banków Polskich są dalekie od napawania mnie optymizmem.

Brama do cyfrowego świata

Przez co najmniej kilka ostatnich lat słyszałem ciche odgłosy, że w zasadzie to należałoby odejść od haseł. Że to przeżytek, że już niedługo nie będziemy ich w ogóle musieli używać. Tymczasem raz na jakiś czas pojawiają się mniej lub bardziej nowatorskie pomysły, ale żaden z nich na dobre się nie przyjął. Czy tego więc chcemy, czy nie – hasła jeszcze przez jakiś czas będą nam towarzyszyć.

Swoją drogą zawsze zastanawiała mnie ludzka niefrasobliwość w doborze haseł. Przez lata ilość informacji, z których korzystamy w formie cyfrowej, rosła wykładniczo. Myślę, że nie będzie przesadą stwierdzenie, że więcej wrażliwych danych trzymamy na dyskach, niż w domach. Dlaczego zatem u licha

domy/mieszkania zabezpieczamy tak:	a cyfrowe konta tak:

Ktoś może wie dlaczego???

Syndrom złodzieja samochodowego

Przenosząc bezpośrednio nasze nawyki analogowe do świata cyfrowego, 40 na 100 osób wychodząc z domu zostawia drzwi otwarte (a niektórzy nawet rozwalone na oścież). Czy fakt robienia tego w sieci sprawia, że ryzyko jest mniejsze? Absolutnie nie! O ile na niektórych warszawskich osiedlach zdarzają się bezczelni złodzieje, ciągnący za klamki, o tyle sieć skanowana jest praktycznie bez przerwy. Automaty poszukują wystawionych do internetu urządzeń sieciowych z niezmienionymi hasłami. Sprawdzają, czy wpisanie loginu i hasła wykradzionego z jakiegoś mało istotnego serwisu (co dzieje się w trybie ciągłym) w którejś z sieci społecznościowych, serwisie mailowym, czy na stronie banku (!) przyniesie efekt w postaci komunikatu o zalogowaniu. Jak widać po statystykach, w czterech próbach na dziesięć przestępca będzie mógł zacierać ręce z radości!

Na początku zastrzegałem, że nie zamierzam przesadnie dramatyzować, pora do tego wrócić. Czy do każdego serwisu, z którego korzystam, muszę mieć inne hasło? Cóż, tak byłoby najlepiej. Zdaję sobie jednak sprawę, że zapamiętanie często kilkuset odpowiednio trudnych do złamania kombinacji to wyzwanie nawet dla osoby wybitnie uzdolnionej. Dlatego mam sporą grupę serwisów, w których faktycznie używam tego samego hasła! Może nie powinienem tego pisać, ale – kurczę – nie dajmy się zwariować. Jeśli mowa o witrynie, gdzie nie podaję danych wrażliwych (często nawet imienia, czy nazwiska), adresu, numerów dokumentów, czy podobnych danych – wychodzę z założenia, że nawet, gdy utracę takie hasło, nie uczyni mi to wielkiej szkody.

OK, może ułatwić poszukiwanie mnie np. po nicku, używanym w tego typu serwisach. Analizując w takiej sytuacji ryzyko używam jednak czegoś, co określam mianem „syndromu złodzieja samochodowego”. Jeśli ma zlecenie na dane auto (czyli w tym przypadku tzw. Cel Wysokiej Wartości, z angielskiego High Value Target, HVT) to i tak je ukradnie. Ale jeśli zwykłym autem nie będzie w stanie ruszyć? Nie będzie mu się chciało zastanawiać się nad tym, jak to zrobić – weźmie po prostu inne.

Kiedy hasło jest bardzo ważne?

Absolutnie nie pozwalam sobie jednak na lekkomyślność w przypadku haseł absolutnie (to powtórzenie nie jest przypadkiem) kluczowych. Dostęp do sieci korporacyjnej, do konta bankowego, na moje serwisy społecznościowe, do e-maila, czy wreszcie menedżera haseł. Tam wszędzie mam hasła, odrębne, długie, skomplikowane, na dodatek wzmocnione uwierzytelnianiem dwuskładnikowym (pisałem o nim już wielokrotnie, zajrzyjcie np. tutaj). Na to ostatnie bezpośrednio nie pozwala niestety mój bank. Wszelkie przelewy po prostu potwierdzam akceptacją w mobilnej aplikacji. Żadne hasło z tej grupy nie ma prawa nigdzie się powtórzyć, bowiem w tym przypadku ryzyko jest olbrzymie.

Jak stworzyć bezpieczne hasło? Tu też pozwolę sobie odesłać po sąsiedzku, na stronę CERT Orange Polska, gdzie jest to szczegółowo i w prosty sposób wyjaśnione. Zróbcie sobie w głowie taki wewnętrzny audyt używanych haseł, zastanówcie się, czy na pewno nie dublują się w ważnych serwisach, czy tam, gdzie możecie, włączyliście uwierzytelnianie dwuskładnikowe. Naprawdę na niefrasobliwości można bardzo dużo stracić. Warto być mądrym przed, a nie tylko po szkodzie. Lepiej zapobiegać, niż leczyć – na pewno będzie nas to mniej kosztować, zarówno nerwów, jak i pieniędzy.

Od momentu, gdy zacząłem się zajmować cyberbezpieczeństwem, moim konikiem były hasła. Gdy wchodziłem 11 lat temu w branżę, miałem wrażenie, że wszyscy wokół mnie mają proste, ośmioznakowe hasła, „12345678” nie jest wcale przesadnie rzadkie, a wszyscy używają takiego samego hasła wszędzie, gdzie się da. Minęło 11 lat i statystyki pokazują, że tak naprawdę nie jest o wiele lepiej… Dlatego raz na jakiś czas odświeżam Wam pewne kwestie, które mogą pomóc w zachowaniu bezpieczeństwa Waszej cyfrowej tożsamości.

2FA – co to w zasadzie jest?

2(Two) Factor Authentication, uwierzytelnianie dwuskładnikowe, to drugi element hasła do serwisu internetowego. Jakiego? W zasadzie prawie każdego, bowiem skorzystanie z 2FA oferuje każdy serwis, podchodzący poważnie do użytkownika.

Idealna brama dostępu do naszego cyfrowego „ja” to coś-co-wiesz + coś-co-masz (czy jakoś tak 🙂 ). O ile to pierwsze to właśnie nasze hasło, drugie to nasz telefon. Jeśli używamy 2FA, po wpisaniu loginu i hasła pokaże się monit o drugie, zazwyczaj sześciocyfrowe. Po uprzedniej konfiguracji możemy je otrzymać za pośrednictwem SMSa (odradzam, coraz częściej, jeśli tylko można, odchodzi się od SMSów autoryzacyjnych), bądź aplikacji mobilnej. W tym pierwszym przypadku generowane jest „na zlecenie”, gdy system uzyska informację o logowaniu. W drugim – aplikacja generuje nieprzerwanie pseudolosowe hasła, zmieniając je co 60 sekund.

Jak to ma mi pomóc?

To akurat proste. Wyobraź sobie, że ktoś wykrada Twoje hasło. Czy to w efekcie socjotechnicznego ataku (uwierzcie mi, najlepsi w tej materii potrafiliby czasem oszukać nawet mnie), czy wycieku danych, infekcji złośliwego oprogramowania na Twoim komputerze, czy nawet… przypadkowego upublicznienia Twoich poświadczeń logowania. Radosny oszust wpisuje Twój login, hasło, zaciera ręce, aż tu nagle:

Jeśli nie ma naszego telefonu – może zapomnieć tym, że zrobi nam większą krzywdę.

Listę stron, na których możecie skorzystać z 2FA znajdziecie np. tutaj. Jeśli witryny, której używacie tam nie ma, albo naciskajcie jej administratora/właściciela, albo poczekajcie, aż możliwości i uwarunkowania pozwolą im wreszcie na uruchomienie uwierzytelnienia dwuskładnikowego. Jak na przykład… nam 🙂

Poczta Orange z 2FA

Tak, od kilku dni możemy się pochwalić, że u nas też można użyć drugiego czynnika logowania! My na kontach służbowych mieliśmy go już od dawna – to token kryptograficzny, którym również możemy szyfrować maile (np. te z Waszymi danymi osobowymi) oraz je podpisywać. Skorzystanie z 2FA w Poczcie Orange jest trywialnie proste. Wystarczy, jeśli:

• zalogujesz się na swoje konto na https://poczta.orange.pl
• wybierzesz Ustawienia, a następnie sekcję Weryfikacja dwuetapowa
• aktywujesz odpowiadającą Ci wersję

Dodatkowo przełączyliśmy jeszcze nasze serwery pocztowe w tryb SSL/Enforced TLS. W skrócie – szyfrujemy Wasze dane tak, by naprawdę nikt nie mógł do nich zajrzeć.

Spokojnych świąt dla Was i Waszych bliskich. A w dzisiejszych czasach przede wszystkim zdrowia.

„Skąd u przestępców wziął się mój adres e-mail? Wysłali do mnie phishing, adres na pewno wyciekł z Orange!”. Przesadzałbym, twierdząc, że tego typu wiadomości trafiają do CERT Orange Polska regularnie, ale – cóż – nie są rzadkie. A ponieważ w edukacji o cyberzagrożeniach nie ma rzeczy niepotrzebnych (inaczej kampanie phishingowe nie kończyłyby infekcjami, czego dowodzą choćby statystyki CyberTarczy) są pewne o rzeczy, o których warto pisać regularnie, nawet jeśli mamy wrażenie, że przecież wszyscy o tym wiedzą.

Ty zgubisz e-mail, roboty znajdą

Nie ma prywatności – jest tylko świadome udostępnianie informacji o sobie. Tę mantrę ery internetu powtarzam podczas każdej wygłaszanej przeze mnie prezentacji. Problem w tym, że do większości z nas ta świadomość doszła niedawno, korzystają z internetu od jego początku, bądź – o tempora o mores – nie mogą przeżyć bez udostępniania informacji o sobie (to ostatnie to temat na inny materiał i raczej nie u nas, ale np. u Psycholog Pisze). Niezależnie od podejścia – w każdym z przypadków zostawiamy po sobie, przy mniejszej lub większej świadomości, ślady.

Zastanawiacie się, skąd u przestępców biorą się adresy e-mail, na które wysyłają phishing? Odpowiem pytaniem na pytanie – w ilu miejscach zostawiliście swój adres e-mail? Na ilu forach zakładaliście konta, gdzie i komu w sieci podawaliście, jak się z Wami skontaktować? Po internecie nieprzerwanie krążą crawlery, automaty przeszukujące ogólnodostępne miejsca właśnie pod kątem takich informacji. Pod zebraną bazę czasami podstawiają znane hasła i próbują ich na wykradzionych bazach lub popularnych serwisach. A innym razem, wraz z innymi nieszczęśnikami, wyślą takiej ofierze właśnie phishingowy mail, licząc, że sama się „podłoży”.

Ile o Tobie w sieci?

Co zrobić? Warto zacząć od sprawdzenia naszego adresu na stronie Have I Been Pwned. Jeśli tam się nie znajdziecie – możecie bić sobie brawo (albo po prostu mieliście szczęście). Śladów warto też poszukać wpisując nasze imię i nazwisko, czy też właśnie maila, w wyszukiwarce. Swoją drogą można znaleźć całkiem fajne informacje, ja np. dowiedziałem się, że moje imię i nazwisko noszą też piłkarz nożny i całkiem niezły skoczek w dal 🙂

A co robić jeśli „stało się” i pora powiedzieć „mądry internauta po szkodzie”? Jeśli HIPB pokazało, że wyciekły jakieś hasła – natychmiast je zmienić. W ogóle, zamiast zapamiętywać hasła, najlepiej zainstalować menedżer haseł i wtedy musimy pamiętać tylko jedno, bardzo silne. Ja prywatnie używam LastPass, a w Orange Polska zalecany jest KeePass. Różnica jest istotna, bowiem pierwszy funkcjonuje w chmurze i można otworzyć go na dowolnym urządzeniu, wyposażonym w przeglądarkę internetową (idealny dla mnie), drugi zaś działa offline, jest więc idealny do zapamiętywania np. haseł do korporacyjnych aplikacji.

Magiczne 2FA

Ktoś z Was korzysta już z 2FA? 2FA (2 Factor Authentication), czyli uwierzytelnianie dwuskładnikowe, to coś, co też od lat promuję nie tylko na blogu i zgodnie z opisaną na początku zasadą wspomnę kolejny raz. 2FA to dodatkowy element do logowania, wpisywany po tym, gdy zatwierdzimy hasło. Jeszcze niedawno często był to kod przesyłany SMSem (jak np. przy potwierdzaniu przelewów w bankach). Od jakiegoś czasu jednak firmy porzucają ten kanał, skłaniając się ku dedykowanym aplikacjom. Wystarczy znaleźć odpowiednią opcję w ustawieniach strony (listę serwisów, wspierających 2FA znajdziecie tutaj, są tu wszystkie, z których korzystam). Nigdy nie zdarzyło mi się, by którykolwiek z „moich” serwisów poinformował mnie o nieautoryzowanym logowaniu, ale dla samej świadomości miny złodzieja, któremu uśmiech na ustach zgaśnie, gdy zobaczy „podaj kod z aplikacji Google Authenticator” warto 🙂

No i nie zapomnijcie o jednej, „dość” ważnej kwestii. Jeśli korzystacie Facebooka, Google’a, czy innych internetowych usług sieciowych gigantów, oni i tak już wszystko o Was wiedzą. Tyle dobrego, że dla nich jesteście jednym z miliardów anonimowych internautów i zależy im tylko na tym, by podać Wam jak najbardziej dopasowaną reklamę. A przynajmniej ja zamierzam w to wierzyć.

PS: No i czytajcie dokładnie każdego dziwnego, nieoczekiwanego, niestandardowego maila. Odrobina uwagi + nieklikanie w nieznane linki i załączniki znacząco zmniejszą ryzyko udanego ataku na Was.

Hasło… Pierwsza i najważniejsza brama do naszej cyfrowej tożsamości. W zasadzie do wielu, bowiem liczba serwisów online, z których na codzień korzystam, w przypadku wielu (a może i większości) z nas przekroczyła setkę. A skoro korzystamy ze stu serwisów, to przecież nikt nie przy zdrowych zmysłach nie stworzy dla każdego z nich odrębnego hasła, prawda?

Cóż – a właśnie, że nieprawda.

Z ilu haseł korzystasz?

Zanim wpadniecie na pomysł, żeby coś mi wytknąć, powiem sam – tak, zainspirowałem się dzisiejszym wpisem na Niebezpieczniku. Co więcej – nawet polecam wszystkim przeczytanie go (gdy skończycie już mój, rzecz jasna). Po pierwsze, znajdziecie tam szczegółową instrukcję korzystania z jednego z menedżerów haseł (bo to o nich będę pisał). Po drugie – cóż, lubimy się z redakcją Niebezpiecznika, więc czemu nie dzielić się z Wami wartościowymi treściami, które można tam znaleźć? Poza tym nasze grupy docelowe czytelników nieco się jednak różnią.

Ale dobra, do rzeczy. Tak, można, a wręcz powinno się, mieć odrębne hasło do każdego serwisu z którego korzystamy. Ja sam nie rzucę pierwszy kamieniem. Mam pewne „dyżurne” hasło, którego używam do sporej liczby witryn. Na swoją obronę napiszę, że to tylko takie, gdzie nie ma nawet jednego bita moich danych wrażliwych. Reszty haseł… nawet nie znam. Nigdy nie widziałem ich na oczy, ale ważne, że wszystko wie o nich mój menedżer. Menedżer haseł oczywiście 🙂

Hasło w Menedżerze

Menedżer haseł to aplikacja, która zarządza wszystkimi używanymi przez Ciebie hasłami. Nie tylko je przechowuje, ale także – a może przede wszystkim? – wymyśla, zgodnie z podanymi przez Ciebie wytycznymi (długość, rodzaje znaków – wielkie/małe litery, cyfry, znaki specjalne – czy stopień skomplikowania). Programy tego typu po zintegrowaniu z przeglądarką pozwalają w momencie założenia konta na automatyczne wygenerowanie i zapisanie hasła doń, dzięki czemu – jak wspominałem wcześniej – nie musisz go nawet widzieć. W sumie to dobrze, po co komu 30-znakowe losowe hasło, i tak nikt tego nie zapamięta 🙂

Menedżer może albo trzymać Twoje hasła w pliku lokalnym (KeePass, z którego korzystamy m.in. w Orange Poslska, 1Password), bądź w swojej chmurze (LastPass, z którego korzystam prywatnie). Nawet jednak w tym ostatnim rozwiązaniu baza haseł jest rozszyfrowywana lokalnie na Twoim urządzeniu i nigdy nie jest w takiej formie dostępna w żadnym innym miejscu, niż Twój komputer, czy urządzenie mobilne. W efekcie nawet w przypadku wycieku danych (czy też zgubienia przez Ciebie komputera/pendrive z offline’ową bazą haseł) przestępca nie będzie w stanie się do niej dostać. Musiałby znać główne, zabezpieczające bazę, hasło. Nie muszę oczywiście mówić, że akurat ono musi być ekstremalnie silne. Jeśli pozwala na to menedżer – obowiązkowo zabezpieczone również drugim składnikiem (uwierzytelnianie dwuskładnikowe, 2FA).

Czy każde hasło nadaje się do menedżera?

O ile korzystanie z menedżera na początku może wydawać się skomplikowane, szybko się do niego przyzwyczajamy i staje się absolutnie automatyczne. Do tego stopnia, że czasami, gdy zapomnę zalogować się do mojego, wchodząc na znaną mi stronę patrzę jak sroka w gnat na okienko logowania dziwiąc się, dlaczego nie wpisuje się tam moje hasło? Są tylko trzy hasła, których tam nigdy nie umieszczam, trzymając je jedynie w głowie. Do Gmaila, do banku i rzecz jasna do naszej Sieci Korporacyjnej. Akurat w tych trzech miejscach czuję się bezpieczniej, gdy z nikim i niczym się nimi nie dzielę. A pozostałe? Cóż, nie wiem, jak mogłem żyć bez menedżera haseł.