Názory k článku Password managery jsou pohodlné, cílenému útoku se ale neubrání
-
Ludvik (neregistrovaný)Autor se již v perexu odkazuje na číslo kreditní karty a titulek odkazuje zcela jednoznačně na to, že se bude hovořit o bezpečnosti. Jeké je zklamání, že článek je jen o uživatelské přítulnosti daných programů.
Dá se předpokládat, že každý potřebuje uchovávat i nějaké ty citlivější údaje - např. přihlášení do internetbankingu, paypalu apod.
Tato hesla by měla být výrazně složitější než aby si je člověk všechna snadno pamatoval - a od toho jsou tu ty password managery. Ale pokud tam hodlám uložit i něco víc, než jen přihlášení do diskuse na Lupě (které když mi někdo ukradne, je mi to šumafuk) pak potřebuji vědět, jak bezpečně jsou tyto údaje zabezpečeny.
A o tom se autor zmiňuje jen dvakrát - jednou posměšně (bla,bla,bla) a podruhé u KeePassu, kde konstatuje že je to úplně k ničemu, protože na počítači se speciálním programem se to prolomí.
Kde jsou u jednotlivých služeb nějaké informace o použitém šifrování? Použitém přenosu na server? Když pominu to, že bych tyto údaje serveru vůbec nesvěřil, proč tam není třeba uvedeno, že KeePass umožňuje zvolit jaké šifrování se má použít nebo že umožňuje použít pro přístup k databázi hesel také kombinaci master hesla + speciálního souboru na USB klíčence. To jsou ty zajímavé věci.
Nechci prosazovat KeePass, píšu o něm jen proto že ho používám a tak o něm vím nejvíc. Ale pokud si chci svoje hesla nosit sebou třeba na klíčence, co mě zajímá nejvíc? Pokud tu klíčenku ztratím, jestli můj soubor s hesly někdo otevře, alespoň s náklady, které by vyvážily to co by mohl ze souboru získat (i kdyby se tam dostal, já mohu účty a karty zablokovat takže to není všespásné...)
Tohle jsem čekal, že mi článek zodpoví i u ostatních programů. Ale to co článek říká, je o ničem. Bez urážky.
L.P. -
Nevím kde bych byl bez KeePassu, mám tuny hesel v práci a další hromadu používám privátně. Co se týká (ne)integrace s browsery, díky Bohu za to, nesnáším všemožné toolbary a otravné okna. V práci používáme ještě Password Manager XP (pěkně hnusná aplikace, zadarmo drahá a ještě za to chtějí prachy) a první co dělám po jeho instalaci je, že vypínám integraci do prohlížečů. -
sat037 (neregistrovaný)Autor Keepass moc neprostudoval, obsahuje funkci Auto-Type, kde si člověk přiřadí jedné vkládací sequenci více oken (podle jejich titulků - lze i masky) a pak při stisku CTRL-ALT-A podle titulku dohledá v db příslušný záznam a doplní vstupní pole. Pokud zadané masce vyhovuje více záznamů s hesly nabídne všechny odpovídající.
Keepass používám už dost dlouho a řekl bych, že je celkem vychytaný, kdyby fungoval tak složitě jak popisuje autor, tak by ho asi moc lidí nepoužívalo. -
mw (neregistrovaný)Chtělo by to vážně vyzkoušet Roboform trochu více. Ve Firefoxu funguje spolehlivě, naproti tomu ve Chrome pravidelně padá (poslední dostupná beta už ne), což je dost problém.
Jinak pointa je v použitém šifrování a dalších věcech, například z Roboformu lze snadno vytisknout kompletní seznam a dát jej do trezoru.
Bylo by rozumné podobný typ programu nejdřív používat a pak mudrovat. No jako dycky :-) -
pepak (neregistrovaný)
Jeho výhodou je absolutní bezpečnost.
Součástí bezpečnosti jsou i zálohy...
Není odolný proti zneužití kolizí výsledků jednosměrných šifrovacích algoritmů AES a MD5
AES není jednosměrný a kolize ho vůbec neovlivňují. MD5 je jednosměrný a dají se k němu hledat kolize, ale pro účely password managerů to není relevantní.
-
MaT (neregistrovaný)Také jsem byl zvědavý hlavně na tu bezpečnost těchto programů obecně, než na popis toho, jestli který program má či nemá lištu do kterých prohlížečů... Ale to už tu padlo.
Spíš se chci zeptat, proč u programu "Kaspersky Password Manager" jsou jako verze uvedeny tyto?
* Handy Password
* Handy Password USB Edition
To je tam nějak zkopírováno omylem od předchozího programu, ne? -
Zkuste googlit pečlivěji :-). Je to systémový správce hesel (i poznámek a certifikátů), s API pro ostatní aplikace. Většina aplikací pro Mac jej využívá k ukládání svých přístupových údajů, například FTP klient. Pokud se chce připojit, tak požádá Keychain Access o heslo, ten ověří, jestli uživatel povolil aplikaci přístup k tomuto heslu a integritu aplikace (jestli nebyla změněna nějakým škodlivým kódem). Podobně to funguje i pro interentové prohlížeče.
Výhodou je, že to opravdu používá většina aplikací, prakticky všechny nativní pro Mac. Hesla jsou uložena v zabezpečeném souboru, do kterého systém pustí jen démona Keychainu. Podle mě tak není možnost, jak by mohl škodlivý kód hromadně vytáhnout všechny hesla, leda že by se dotazoval API na každé heslo zvlášť a uživatel každé potvrdil. -
Sme mala firma a hľadali sme riešenie, ktoré umožní prístupy vnútrofiremne nejakým spôsobom zdieľať.
Keepass nepodporuje zdieľanie hesiel, V lastpasse je možné nazdieľať aj vo free verzii vo formaté share (používateľ heslo nevidí - da sa to skriptom obísť) alebo give (užívateľ ho vidí a môže ho ďalej zdieľať), v platenej verzii funguje aj synchronizácia zdieľaných hesiel.
Ďalšou výhodou je, že program má dobrú integráciu so všetkými majoritnými prehliadačmi.
Platenú verziu stačí zakúpiť len pre administrátorov hesiel, ostatným užívateľom stačí tá free. -
Svého času se někde psalo o českém týmu, který vyvíjí správce hesel, který umí sdílet v týmu přístupy k heslům tím, že je předvyplní do přihlašovacích polí, ale samotnému uživateli je nesděluje. Což je ideální ve firemním prostředí, kdy lze jednotl. pracovníkům v případě potřeby odebrat hlavní heslo ke správci hesel a tím jej odstavit od všech hesel, aniž by k nim měl někdy v minulosti přístup. Nemůžu to ale nikde vygooglit. Neporadíte mi někdo?
-
Skús LastPass, kde možno vybrané heslá zdielať, a zdielaným sa dá nastaviť, aby ich dotyčná osoba nevidela.
Avšak sú metódy, ako si nechať zobraziť heslo v počítači miesto hviezdičiek.
Isté riešenie by mohlo byť na 2FA poskytnúť GRID kartu alebo USB kľúč FIDO U2F, a potom ich len zneplatniť.
Alebo v LastPass nechať zdielať heslá všetkým, a dotyčnému pracovníkovi potom odobrať zdieľanie a následne heslo zmeniť, čo ostatní ani nepostrehnú, že heslo bolo zmenené.
Záleží ale na konkrétnej tvojej situácii.
-
Bilbo (neregistrovaný)> kde budete mít svoje hesla až odejde váš disk
Na zálohách. Kdo neche přijít o data, měl by je mít zazálohované. Optimálně na více místech, ale minimálně jednou. Už spoustakrát jsem řešil problém, kdy někdo přišel o data na disku (porucha HW, omylem zformátovaný disk místo flashky, atd ...) a ne vždy se ty data podaří zachránit.
> pošlete PC i s HDD servisu
Počítač si osobně spravuji sám, ale pokud je disk šifrovaný, tak v posílání HDD na reklamaci nevidím problém :) -
Bob (neregistrovaný)Z pohledu bezpečnosti a způsobu ukládání hesel v prohlížečích nevidím velký rozdíl mezi uložením jména/hesla do prohlížeče a jejich vystavení na faceboooku.
Např. keepass se všemi hesly (nejen od webových aplikací) lze mít synchronizovaný s PC v mobilu a hesla jsou tak v případě výpadku paměti (nebo PC) vždy po ruce... nevím kam si ukládá hesla Maxthon, ale kde budete mít svoje hesla až odejde váš disk a nebo pošlete PC i s HDD servisu? -
pepak (neregistrovaný)
Z pohledu bezpečnosti a způsobu ukládání hesel v prohlížečích nevidím velký rozdíl mezi uložením jména/hesla do prohlížeče a jejich vystavení na faceboooku.
To je silně přehnané tvrzení.
Pokud proti sobě postavíme hesla v password manageru a hesla v prohlížeči, je na tom password manager lépe, ale ne až tak zásadně a vesměs jde jen o implementační rozdíly, ne principiální. Hlavní výhody jsou dvě: nutný mezikrok (nestačí se probourat do jednoho programu, ale do dvou) a jemnější granularita (víc databází hesel, podle důležitosti dat).
Např. keepass se všemi hesly (nejen od webových aplikací) lze mít synchronizovaný s PC v mobilu a hesla jsou tak v případě výpadku paměti (nebo PC) vždy po ruce...
Totéž se dá říct o browserech, aspoň v principu (v praxi to takhle umí jen některé - ale není žádný závažný důvod, proč by to nemohly umět všechny, kdyby po tom byla poptávka).
kde budete mít svoje hesla až odejde váš disk
Na záloze.
a nebo pošlete PC i s HDD servisu?
Přímo v počítači, zašifrovaná master heslem - stejně jako u password manageru.
-
sojkovec (neregistrovaný)využívám i já. Jmenuje se Sojkovec Password Keeper. Jeho výhodou je absolutní bezpečnost. Nevýhodou je jeho nulová platformová kompatibilita. Je kompatibilní jen s mým mozkem. S prohlížeči spolupracuje jen skrz mé ruce a klávesnici (oči netřeba, lze zadat i poslepu). Není odolný proti keyloggerům (řešeno jinde, taktéž mozkem). Sojkovec Password Keeper si pamatuje zhruba kolem 30 hesel o délce 30 znaků, nesmyslných, nic neříkajících, generovaných jakýmsi pseudogenerátorem pseudonáhodných znaků. Není odolný proti zneužití kolizí výsledků jednosměrných šifrovacích algoritmů AES a MD5 (proti MD5 určitě ne, předchozí je prozatím pomluva, ale jen prozatím). Poslední nevýhodou je naprostá nemožnost koupě i prodeje (případná autonehoda či obdobný incident má za následek znehodnocení kódu).
-
LukasV (neregistrovaný)Keychain je samozrejme bezpecny, ale moc prakticky. U programu, ktere ho nevyzivaji (firefox...) by jste si tam ty udaje musel vkladat zdlouhave rucne a nema podporu dalsich zarizeni. Krome toho jeho defaultni zabezpeceni je vase vlastni heslo do systemu, nic vic. Osobne jsem treba v Safari zakazal pamatovani hesel a pouzivam jen nasledujici reseni.
Doporucuju vyzkouset 1Password, pouziva stejne silne sifrovani jako Keychain (AES), ale ma vlastni tzv. Master password. Podporuje vsechny prohlizece a je multiplatformni – svoje zarizeni muzete synronizovat po lan, wifi a nova verze dokonce podporuje ulozeni databaze na DropBoxu, takze vsechna vase zarizeni jsou automaticky realtimove synchronizovana bez jakekoliv aktivity z vasi strany!
Co se tyce funkcionality, urcite predci vsechna zde uvadena reseni, muzete prehledne ukladat loginy, pristupy mimo prohlizec (itunes, skype...), licencni kody, poznamky a kreditni karty. Samozrejme muzete spravovat identity pro automaticke vyplnovani formularu. Muj workflow pro loginy asi takovy: kliknu na strance weboveho registracniho formulare na tlacitko 1P v prohlizeci, program vyplni co umi, pak dam pres stejne tlacitko 1P strong password generator, kde si vytvorim treba 20 znakove heslo, kliknu Fill a odeslu registracni formular... 1Password se zepta, zda si tento login pamatovat a priste uz pro prihlaseni jen zvolim Fill & go, pripadne klavesovou zkratku cmd sipka doprava... takze napisu treba gmail.com, zmacknu cmd sipka a jsem zalogovany.
Tresnickou na dortu je, ze onu databazi hesel si muzete zkopirovat treba flashku, nebo kamkliv na web a otevrit ji v jakemkoliv prohlizeci, protoze v koreni ma soubor index.html, ktery umi na zaklade zadani Master password cist a rozsifrovavat vsechny ulozene udaje (ulozene v XML) -
Bob (neregistrovaný)Netvrdím, že jsem to trochu nepřitáhl za vlasy abych nezdůraznil za jak moc hloupý nápad považuji ukládat hesla do něčeho takového jako je browser (nebo třeba MUA) ;-). Principy jsou jedna věc a praxe věc druhá, zatímco třeba u firefoxu stačí vzít profil uživatele z jeho PC někam jinam a tam použít vestavěnou funkci pro zobrazení uložených hesel (a jistě se po webu válí nějaké programy, které to zvládnou i jinak a i s jinými prohlížeči), tak v případě password manageru si už tak jistý úspěchem nejsem.
Pokud jde o moji víceméně řečnickou otázku ohledně uložení hesel, tak je mi celkem jasné že browsery jsou schopné si hesla nebo i celý profil zálohovat na ftp nebo do cloudu (buď samy, nebo pomocí rozšíření) ani nezpochbňuji úroveň zabezpečení vašeho PC. Tahle otázka směřovala k člověku, který bezpečnost svých hesel svěřil Maxthonu a zpochybnil smysl password managerů.
ČLÁNKY DO MAILU