Recenzja 1Password 2024: Czy to bezpieczny menedżer haseł?
Bezpieczeństwo
1Password oferuje zabezpieczenia klasy wojskowej
1Password nie cacka się w kwestii ochrony użytkownika. Stosuje 256-bitowe szyfrowanie AES zgodne ze standardami branży oraz zaawansowane protokoły bezpieczeństwa, które chronią hasła i pozostałe ważne dane.
Ucieszyło mnie, że informacje przechowywane w skrytkach 1Password są zabezpieczone szyfrowaniem end-to-end. Program tak naprawdę nie wie co w nim zapisujesz. Tylko ty masz klucz do odszyfrowania przechowanych informacji. Na potrzeby szyfrowania danych, 1Password pozwala również na utworzenie „hasła nadrzędnego”, które nie będzie dostępne dla nikogo poza tobą.
Dodatkowo, kiedy hasło przesyłane jest na serwer 1Password, podlega ochronie protokołów Transport Layer Security (TLS) oraz Secure Remote Password (SRP), co stanowi kolejną warstwę szyfrowania. Oto rozpiska wszystkich zabezpieczeń.
256-bitowe szyfrowanie AES
1Password zabezpiecza dane 256-bitowym szyfrowaniem AES, które banki i instytucje wojskowe powszechnie stosują do ochrony danych. Nie musiałem martwić się, że hakerzy czy cyberprzestępcy wykradną mi hasło.
Hasło nadrzędne i klucz Secret Key
1Password dba o podwójne zabezpieczenie danych. Program poprosił mnie o utworzenie hasła nadrzędnego, którego nikt poza mną nie będzie znał. Dodatkowo, w trakcie rejestracji aplikacja wygenerowała dla mnie klucz Secret Key. Secret Key wykorzystywany jest razem z hasłem nadrzędnym do szyfrowania i odszyfrowywania danych użytkownika. Najbardziej spodobało mi się to, że program automatycznie przekierowywał mnie przez różne punkty kontroli bezpieczeństwa i uwierzytelniania, żeby upewnić się, że moje dane nie wpadną w niepowołane ręce.
1Password wygenerowało dla mnie awaryjny dokument PDF zawierający mój klucz Secret Key i automatycznie zapisało go na moim urządzeniu w trakcie rejestracji. Dzięki temu miałem offline’ową kopię klucza Secret Key. Aby uzyskać dostęp do swoich danych, muszę jednocześnie użyć hasła nadrzędnego i składającego się z 34 znaków klucza Secret Key. Dlatego też nawet jeśli ktoś uzyska dostęp do jednego z nich (ale nie obu) i tak nie dostanie się do moich danych.
Ochrona przed atakami brute force z PBKDF2
1Password wykorzystuje funkcję wyprowadzania klucza, która zabezpiecza konto przed atakami brute force. Kiedy tworzysz hasło nadrzędne, 1Password używa algorytmu lub szyfru, by wygenerować klucz do szyfrowania i deszyfrowania twoich danych. Hakerzy wykorzystują specjalny sprzęt i oprogramowanie, by odgadywać hasła metodą prób i błędów. Taki sposób określa się mianem ataku brute force (albo ataku słownikowego).
1Password używa PBKDF2, by generować klucze odporne na ataki słownikowe. Hasło do twojego konta przechodzi wraz z ciągiem zaburzającym przez PBKDF2-HMAC-SHA256 w 100 000 iteracji. Oznacza to, że nawet hakerzy ze sprzętem o potężnej mocy obliczeniowej (który pozwala na podjęcie milionów prób odgadnięcia hasła) nie będą w stanie odkodować zaszyfrowanych danych w najbliższej przyszłości.
Bezpieczne wprowadzanie i automatyczne blokowanie
1Password zarzeka się, że pola, w których wprowadza się dane do programu, są w pełni odporne na keyloggery, ale moje testy nie do końca to potwierdziły. Keyloggery to programy komputerowe, które rejestrują każde wciśnięcie przycisku na klawiaturze komputera. Hakerzy wykorzystują je, żeby dowiedzieć się co wpisujesz. W ten sposób mogą na przykład poznać twoje hasło.
Na swojej witrynie 1Password twierdzi, że „chroni dane przed keyloggerami” i że „pola do wprowadzania danych w 1Password uniemożliwiają innym narzędziom sprawdzenie co się w nie wpisuje, co dotyczy również hasła nadrzędnego”.
Postanowiłem zainstalować keyloggera na swoim komputerze z systemem Windows i przekonać się czy zarejestruje jakie klawisze wciskam. Niestety program przechwycił wszystko, co wprowadziłem do 1Password, nawet moje hasło nadrzędne. Skontaktowałem się w tej kwestii z obsługą 1Password. Pracownik stwierdził, że doszło do błędu w komunikacji i 1Password tak naprawdę nie chroni urządzeń, które już zostały przejęte.
Odpowiedź pracownika obsługi bardzo mnie zaniepokoiła, zwłaszcza, że na witrynie 1Password wprost napisano, że oprogramowanie chroni użytkowników przed keyloggerami. Zacząłem się przez to zastanawiać czy są jeszcze jakieś kwestie, w których producenci 1Password nie są do końca szczerzy.
Na szczęście 1Password regularnie usuwa dane ze schowka. Dzięki temu nawet jeśli ktoś uzyska dostęp do twojego urządzenia, nie pobierze informacji przechowywanych w schowku. Analogicznie, 1Password chroni przed narzędziami, które próbują wykorzystać dane ze schowka. Dane w schowku usuwane są w ciągu 90 sekund.
Aby upewnić się, że nieuprawnione osoby nie dostaną się do twojej skrytki, 1Password automatycznie blokuje ci dostęp do aplikacji po 10 minutach bezczynności. Możesz dostosować okres, po których uruchamia się automatyczna blokada. Dostępne opcje to od 1 minuty aż po 1 godzinę, ale możesz też wybrać „nigdy”, jeśli chcesz zupełnie dezaktywować funkcję automatycznego blokowania. Ja ustawiłem sobie 5 minut i aplikacja rzeczywiście blokowała mnie po tym okresie, tak jak powinna. Jeżeli korzystasz z Maca z Touch ID, iPada, iPhone’a lub urządzeń z Androidem, możesz wygodnie odblokować aplikację 1Password odciskiem palca.
Ochrona przesyłanych danych z TLS i SRP
1Password zabezpiecza dane w trakcie przesyłu z urządzenia na serwer, korzystając z protokołów TLS i SRP (Secure Remote Password). To dodatkowa warstwa ochrony, która uniemożliwia hakerom przechwycenie danych (i hasła) w trakcie przesyłu. Wrażenie zrobiło na mnie również to, że 1Password działa tylko na zaufanych przeglądarkach. Dzięki temu nie udostępni danych przeglądarce, w której wprowadzono jakieś podejrzane modyfikacje.
Uwierzytelnianie dwuetapowe (2FA)
1Password oferuje też inne niezbędne zabezpieczenia. Jest na przykład kompatybilny ze stronami stosującymi uwierzytelnianie dwuetapowe (2FA). Możesz skorzystać z Authy lub Microsoft Authenticator, by potwierdzić logowanie do aplikacji 1Password. 1Password pozwala też na sprawdzanie stron, które wspierają 2FA i przechowywanie kodów uwierzytelniania w 1Password.
Ucieszyłem się, że 1Password prosiło mnie o potwierdzenie przed wypełnieniem formularzy na stronach. To oznacza, że witryny nie mogą wykorzystać niewidzialnych formularzy, by wykraść dane. 1Password chroni też przed witrynami wyłudzającymi informacje, które tworzą klony stron internetowych, by wykradać dane.
Postanowiłem to przetestować. Zapisałem dane logowania na domenie Facebooka, wszedłem na stronę Yahoo i spróbowałem automatycznie uzupełnić pola z danymi logowania. 1Password nie uzupełniło pól, ponieważ w moim banku haseł nie zapisano żadnych danych logowania powiązanych z domeną Yahoo.
Prywatność – Stosowanie open-source’owych formatów danych
Twórcy 1Password mają ewidentną obsesję na punkcie prywatności. Hasła do konta i pozostałe dane przechowywane w skrytce są poufne i szyfrowane end-to-end. 1Password stosuje dwa open-source’owe formaty danych, OPVault i swoje własne Agile Keychain. Dzięki temu dane są bezpiecznie zsynchronizowane po stronie serwera, a każdy zainteresowany może uzyskać wgląd do architektury zabezpieczeń. Apple iCloud i Dropbox stosują taki sam rodzaj otwartego formatu danych.
Firma współpracuje też z „Privacy”, zewnętrzną aplikacją, która umożliwia tworzenie prywatnych czy też wirtualnych kart, które maskują prawdziwe dane karty kredytowej podczas zakupów przez Internet.
1Password przeszło w ostatnich latach kilka niezależnych audytów, przeprowadzonych przez Cure53, AppSec, Bugcrowd, CloudNative, Nvisium, Onica oraz Independent Security Evaluators (ISE). 1Password posiada certyfikację SOC 2 Type 2. To potwierdza, że bezpiecznie zarządza danymi, by chronić dobro i prywatność klientów. Mimo wszystko fajnie byłoby, gdyby 1Password udało się uzyskać certyfikat ISO 27001 (tak jak np. Keeper), potwierdzający wyższy poziom zarządzania cyfrowymi bankami danych.
Funkcje
Wiele opcji personalizacji
Z 1Password zarządzanie staje się proste. Oprócz solidnego szyfrowania i protokołów bezpieczeństwa, usługa 1Password posiada również unikatowe funkcje, które wyróżniają ją na tle konkurencji. Mam tu na myśli przechowywanie, udostępnianie i zabezpieczanie danych. Wśród ekscytujących funkcji 1Password można wymienić personalizowane skrytki, Watchtower i tryb podróży.
Wiele skrytek
1Password umożliwia tworzenie wielu skrytek na dane. Skrytka to coś jak baza danych czy katalog plików – służy do przechowywania wszystkich danych. Utworzyłem wiele skrytek, by podzielić dane na prywatne, służbowe, finansowe, związane ze zdrowiem i nie tylko. Aplikacja 1Password oferuje jeszcze jedną ciekawą funkcję, a mianowicie możliwość tworzenia „skrytek autonomicznych”, które nie są dostępne na innych urządzeniach.
Skrytki umożliwiają przechowywanie różnych zestawów danych. Mogłem tworzyć, modyfikować i przechowywać następujące informacje: loginy, hasła, notatki, rejestry medyczne, numery ubezpieczenia zdrowotnego, dokumenty tożsamości, konta bankowe i licencje oprogramowania. Miałem możliwość bezpiecznego utworzenia danych uwierzytelniania API i przechowania danych z paszportu, baz danych, e-maili, informacji potrzebnych do dostępu do serwera, prywatnych kluczy kryptowalut i skanu mojego prawa jazdy. Aby dodać hasło albo poufne dane, wystarczy kliknąć w przycisk „Nowy obiekt” (New Item) w prawym górnym rogu aplikacji na komputer.
1Password umożliwia tworzenie „współdzielonych” skrytek, do których dostęp uzyskają jedynie upoważnione osoby. W trakcie testów przygotowałem współdzielony bank danych dla swojej rodziny i nadałem dostęp 3 użytkownikom. Ucieszyło mnie, że wszystkie dane w banku zostały zabezpieczone 256-bitowym szyfrowaniem AES.
WatchTower
Watchtower to system alertów bezpieczeństwa 1Password. Powiadamia cię, jeżeli twoje hasło jest słabe, powtarza się, wyciekło albo po prostu jest narażone. Jeśli twoja karta kredytowa, prawo jazdy, dowód tożsamości albo paszport przedawnią się, też otrzymasz alert. Dane weryfikowane są lokalnie na twoim urządzeniu.
Monitor wycieku danych Watchtower nieustannie się aktualizuje, by weryfikować najnowsze wycieki. 1password pobiera dane z haveibeenpwned, witryny, która opracowuje bazę danych przejętych haseł z poprzednich wycieków danych. Chociaż Watchtower nie oznaczyło mi tych haseł, które zostały wcześniej przejęte, witryna haveibeenpwned z powodzeniem je wychwyciła.
Tryb podróży
Tryb podróży 1Password zaprojektowano tak, by pomagać ukrywać poufne informacje przy przekraczaniu granicy. Przyda się dziennikarzom, badaczom, uchodźcom politycznym i osobom, które nie chcą udostępniać poufnych danych.
Tryb podróży automatycznie ukrywa wszystkie skrytki na koncie 1Password, z wyjątkiem tych, które oznaczysz jako bezpieczne w podróży. Tryb podróży można aktywować wyłącznie z konta web 1Password. Aby przetestować tę funkcję, zalogowałem się na swoje konto, przeszedłem do swojego profilu i wcisnąłem ikonkę przy „Trybie podróży” (Travel Mode).
Dzięki całej gamie konfigurowalnych opcji zabezpieczenia haseł, mogłem wygodnie korzystać z 1Password. Jedyne co mnie zmartwiło, to zupełny brak możliwości odzyskania hasła nadrzędnego na koncie osobistym, w przypadku gdybym go zapomniał. 1Password oczekuje, że wydrukujesz sobie „zestaw awaryjny” wygenerowany przy zakładaniu konta. Zawiera klucz Secret Key, adres logowania, adres e-mail i miejsce na odręczne wpisanie hasła.
Jeżeli posiadasz konto Family, Teams albo Business, 1Password daje możliwość wygenerowania odnośnika do resetowania hasła właścicielowi lub dowolnemu adminowi, który wciąż może się zalogować. Odnośnik przychodzi na e-maila i umożliwia utworzenie nowego hasła, by odzyskać dostęp do konta 1Password.
W ogólnym rozrachunku zarządzanie hasłami z 1Password jest bezproblemowe. Można naprawdę łatwo korzystać z aplikacji, importować hasła, zabezpieczać dane logowania i udostępniać hasła. Opcja 1Password, która najbardziej przypadła mi do gustu, to tryb podróży, który umożliwia ukrywanie poufnych informacji i skrytek w trakcie podróży.
Łatwość użytku
Prosta instalacja i konfiguracja
Zainstalowanie i rozpoczęcie korzystania z 1Password to naprawdę nic trudnego. Po zarejestrowaniu się do darmowej wersji próbnej, utworzyłem hasło nadrzędne i zalogowałem się na konto 1Password. Po zalogowaniu pokazał mi się przyjazny interfejs przedstawiający skrytkę oraz okienko powitalne, które pomogło mi bez problemu skonfigurować aplikację. Rejestracja, pobranie i uruchomienie aplikacji nie zajęły łącznie nawet 5 minut.
Zaimportowanie danych na konto 1Password trwało mniej niż minutę. 1Password umożliwia importowanie wyłącznie plików CSV. Po wyeksportowaniu haseł zapisanych w przeglądarce Chrome, wszedłem na konto użytkownika w platformie web 1Password i zaimportowałem hasła. 1Password umożliwia też importowanie danych z innych menedżerów haseł, takich jak Dashline, iCloud Passwords, KeePassX, Thycotic Secret Server czy RoboForm, oraz z innych kont 1Password.
Urządzenia
1Password współpracuje z popularnymi urządzeniami i umożliwia obsługę międzyplatformową. Przetestowałem aplikację na urządzeniach z systemami Android i Windows. 1Password działa też na macOS, ChromeOS, Linux (dystrybucje Ubuntu, Debian, Linux Mint, Fedora, CentOS, RHEL, openSUSE) i w wierszu poleceń. Posiada rozszerzenia przeglądarki na wszystkie popularne przeglądarki, takie jak Chrome, Edge czy Safari, które automatycznie łączą się z 1Password X, wersją oprogramowania dla sieci web.
Jeżeli jesteś poza domem i musisz szybko zachować hasło albo z niego skorzystać, przydadzą ci się aplikację 1Password na Android i iOS. Wystarczyło, że pobrałem aplikację na telefon, zeskanowałem kod QR z zestawu awaryjnego i wprowadziłem hasło nadrzędne, i już mogłem działać. Aplikacja iOS poprosiła o dostęp do Face ID. Aplikacja na Androida też działała bez problemu. Po zalogowaniu się mogłem przeglądać funkcje i wprowadzać oraz modyfikować informacje w skrytce.
Obie aplikacje są łatwe i intuicyjne, a funkcje podzielone są na 4 pozycje menu – ulubione, kategorie, tagi i ustawienia. W menu kategorii znajdziesz loginy, hasła i inne dane przechowywane w skrytce. Karta ustawień pozwala na wprowadzanie zmian z poziomu aplikacji, tworzenie nowych skrytek, włączanie zabezpieczeń i nie tylko.
Konfiguracja 1Password w systemie Windows
1. Zarejestruj się i uzyskaj darmową wersję próbną na stronie 1Password.
2. Pobierz zestaw awaryjny i przechowaj go w bezpiecznym miejscu.
3. Zaloguj się na witrynie 1Password korzystając z hasła nadrzędnego.
4. Pobierz aplikację z poziomu panelu nawigacyjnego albo stopki strony głównej.
5. Zainstaluj aplikację i uruchom ją.
6. Wprowadź hasło nadrzędne w polu logowania, by uzyskać dostęp do konta.
7. Kliknij „Nowy obiekt” (New Item), by wprowadzić hasła albo innego rodzaju dane.
Podsumowując, 1Password to wygodna aplikacja, która pozwala na zapisywanie, obsługę i zabezpieczenie haseł. Spodobało mi się to, że aplikacje są bardzo intuicyjne i wyświetlają wszystkie funkcje oferowane przez usługę w wygodnym interfejsie. Po zalogowaniu się do aplikacji nie uświadczyłem żadnych awarii czy opóźnień.
Wsparcie
1Password oferuje niewiele opcji uzyskania pomocy. Posiada bardzo szczegółową bazę wiedzy z licznymi artykułami i często zadawanymi pytaniami. Znajdują się w niej również poradniki krok-po-kroku do wszystkich obsługiwanych urządzeń oraz inne porady dotyczące rozwiązywania problemów.
Jeśli chcesz uzyskać odpowiedź bezpośrednio od pracownika obsługi klienta, 1Password oferuje szybkie wsparcie drogą mailową. Wysłałem kilka pytań na podany adres e-mail. Odpowiedź przyszła po niecałych 10 minutach. Pracownik odniósł się do wszystkich poruszonych przeze mnie kwestii i zaproponował sposób na rozwiązanie problemu, jeśli ponownie wystąpi.
Możesz też poszukać odpowiedzi na forum społeczności 1Password. Na forum zadano już ponad 250 tys. pytań, a dziennie pojawia się >100 odpowiedzi. Opublikowałem swoje pytanie i ktoś odpowiedział na nie w niecałe 4 godziny. Można też spróbować skontaktować się przez Twittera. Tu też reakcja jest szybka i skuteczna. Przyznam jednak, że liczyłem na czat na żywo albo wsparcie telefoniczne, ale takiej możliwości kontaktu nie udało mi się znaleźć.
Cennik
Stosunek jakości do ceny 1Password jest naprawdę świetny. Do wyboru są 4 plany – osobisty, Families, Teams i Business, wszystkie z rozliczeniem rocznym. Każdej subskrypcji poza Business przysługuje 1GB przestrzeni dyskowej. Za usługę można zapłacić jedynie kartą debetową/kredytową lub kartą podarunkową 1Password.
Najtańszą opcją jest plan osobisty. Pozwala na założenie tylko 1 konta użytkownika, ale działa z nieograniczoną liczbą urządzeń. Plan obejmuje tworzenie wielu skrytek, zapamiętanie nieograniczonej liczby haseł, tryb podróży, uwierzytelnianie dwuskładnikowe, 1GB przestrzeni dyskowej, udostępnianie haseł i odzyskiwanie skasowanych, całodobową obsługę przez e-mail oraz kompatybilność z popularnymi urządzeniami.
Plan Families obsługuje 5 użytkowników i zachowuje wszystkie funkcje planu osobistego, umożliwiając przypisanie większej liczy osób. Dodatkowo pozwala na przypisywanie uprawnień, a użytkownicy mogą pomóc sobie nawzajem odzyskać dostęp do konta, jeśli któryś z nich go sobie zablokuje.
Plan Teams uwzględnia wszystkie funkcje subskrypcji osobistej i Families, dodatkowo oferując integrację Duo, pozwalającą na uwierzytelnianie wieloskładnikowe w całej działalności, oraz 1GB przestrzeni na użytkownika. Plan Business uwzględnia wszystkie funkcje z poprzednich planów, a dodatkowo również wsparcie VIP, 5GB przestrzeni dyskowej na użytkownika, 20 kont gościnnych, dzienniki aktywności, raporty z użycia oraz niestandardowe role i grupy.
Darmowa wersja próbna na 14 dni
Chociaż 1Password nie ma w ofercie darmowego planu, pozwala bez ryzyka przetestować usługę w ramach darmowej wersji próbnej przysługującej na 14 dni. Do rejestracji będą potrzebne dane karty kredytowej, ale oplata nie zostanie naliczona do momentu zakończenia 14-dniowego okresu próbnego.
O czym warto pamiętać, jeśli chodzi o cennik 1Password:
- Jeżeli w twoim kraju nalicza się podatek od sprzedaży, zostanie on doliczony do kwoty na koniec okresu próbnego
- 1Password umożliwia tylko i wyłącznie rozliczenie roczne
W ogólnym rozrachunku ceny planów oferowanych przez 1Password są naprawdę atrakcyjne. Polecam skorzystać z darmowej wersji próbnej, by przetestować wszystkie plany i wybrać ten, który jest najlepiej dostosowany do indywidualnych potrzeb.
Podsumowanie
1Password to imponujący menedżer haseł. Zapewnia bezpieczny i przyjazny dla użytkownika sposób na przechowywanie wrażliwych danych. 1Password oferuje liczne fascynujące funkcje, takie jak wiele skrytek, szyfrowanie end-to-end, oraz funkcja Watchtower, która powiadamia o zagrożeniach bezpieczeństwa związanych z hasłami.
Przetestowałem każdą z funkcji 1Password i mogę powiedzieć, że jestem zadowolony z działania programu. Stworzyłem sobie wiele skrytek i zaimportowałem ogrom informacji, w tym loginy, hasła, notatki, dane medyczne, numery ubezpieczenia społecznego, dokumenty tożsamości, konta bankowe i adresy e-mail. Z aplikacji można było łatwo skorzystać na wszystkich urządzeniach, każda forma obsługi klienta okazała się pomocna i mogłem wypróbować usługę bez ryzyka przez 14 dni. 1Password zdecydowanie przypadło mi do gustu i dało mi możliwość bezpiecznego przechowywania wszystkich danych.
Wypróbuj 1Password za darmo przez 14 dni
Często zadawane pytania dotyczące 1Password
Czy 1Password to dobra usługa?
Tak. Funkcje oferowane przez 1Password to czołówka branży menedżerów haseł. Mogłem zapisać wiele haseł i uzyskać do nich dostęp z dowolnego miejsca. 1Password to bezpieczny sposób na zapisywanie, używanie i udostępnianie poufnych danych, takich jak hasła, prywatne klucze i nie tylko.
Czy z 1Password można korzystać za darmo?
Tak, przez 14 dni. Chociaż 1Password nie ma w ofercie darmowego planu, pozwala przetestować usługę w ramach darmowej wersji próbnej. Rejestracja wymaga podania danych karty kredytowej, no i trzeba pamiętać o anulowaniu usługi przed upływem okresu próbnego, w przeciwnym wypadku płatność zostanie pobrana automatycznie. Darmowa wersja próbna umożliwia rejestrację konta w planie osobistym, Families, Business lub Teams, ale nie obejmuje subskrypcji Enterprise.
Czy 1Password rzeczywiście jest bezpieczne?
Zdecydowanie. 1Password stosuje zabezpieczenia klasy wojskowej, takie jak 256-bitowe szyfrowanie AES, którego nie da się złamać. Oferuje też najnowsze protokoły bezpieczeństwa, w tym m.in. generowanie klucza Secret Key na urządzeniu, który nie zostanie udostępniony nikomu poza tobą. Usługa powiadomi cię, jeśli któreś ze stosowanych haseł jest narażone i ukryje drażliwe dane, kiedy będziesz za granicą.
Czy 1Password jest warte swojej ceny?
Tak. 1Password kosztuje mniej niż filiżanka kawy i ma multum zabezpieczeń w pakiecie. Według mnie, zważywszy na możliwość tworzenia spersonalizowanych skrytek i przechowywania tysięcy różnych danych, 1Password jest warte swojej ceny.