Vlákno názorů k článku Nekomplikujte lidem přihlášení, jinak začnou být kreativní, říká Jim Fenton od jirik66 - Opět strašák v podobě papírku s heslem nalepeným...
-
Opět strašák v podobě papírku s heslem nalepeným na monitoru :-) Ok, pokud nějaký hacker dokáže zjistit heslo, které mám nalepené na monitoru, dobrovolně mu převedu celý obsah svého bankovního účtu na jeho konto :-)) Samozřejmě, ve firmě nebo v úřadě nemají papírky s hesly co pohledávat, tam bych s tím souhlasil.
-
Heslo je můj osobní identifikátor. Jakmile si ho nalepím na monitor, ztrácím nad ním kontrolu. Vidí ho kolegové, návštěvy, cizí lidé a uklízečky. Může spadnout, být někým vyhozen do koše, nebo se třeba objeví na fotce. Jak pak může takové heslo sloužit k osobní identifikaci?
Mnohem lepší nápad je mít heslo ve správci hesel, kde je skryté před očima zvědavců a nikdy se nemusí objevit na obrazovce ve viditelné podobě.
-
Osobně mám problém se správci hesel. Všude se píše že je mám používat. Jenže který? Jak zjistím že daný správce hesel je dostatečně dobrý? Jak vím, že správce hesel je neposílá někam do tramtárie? Jak vím, že článek a recenze správců hesel na uzasny-technicky-web-pro-bfu.com je dostatečně dobrý? Měl autor článku dostatečné znalosti nebo to je jen jeden z miliónů pisálků píšících o něčem čemu nerozumí?
Tady heslo v papírovém zápisníku pomáhá.
(Jasně, zapsání hesla do prohlížeče může taky vést k tomu, že prohlížeč hesla ukradne. Ale řekněme že se spolehnu na schopnost firmy (Google, Mozilla), stejně jako se spoléhám na schopnost banky udržet mé peníze.)
-
Ondřej CaletkaZlatý podporovatelJá třeba věřím PGP, proto si hesla ukládám do textových souborů zašifrovaných pomocí PGP, které ukládám v Git repozitáři.
A pak jsem zjistil, že přesně toto dělá nástroj pass, takže výběr správce hesel mám vyřešený ;)
-
Mno mám i něco podobného. Jenže pan Krčmář zmiňoval tohle: "a nikdy se nemusí objevit na obrazovce ve viditelné podobě". Tedy heslo v souboru musíte zkopírovat a vložit do browseru, to asi jde vidět na obrazovce snadno. Navíc tady mizí předpokládaná pohodlnost správce hesel že vyplňuje políčko s heslem za uživatele.
-
Ne, k tomu docházet vůbec nemusí a obvykle nedochází. Konkrétně pass umí heslo rovnou hodit do schránky, odkud se jen slepě vloží. Správci hesel mají velmi často integraci do prohlížečů, takže ani to kopírování nemusí proběhnout. Navíc to krásně chrání proti phishingu, protože správce na rozdíl od uživatele nevyplní heslo do jiné stránky, která jen připomíná tu originální.
Výsledkem je, že své heslo nemusíte nikdy v životě zahlédnout. Vygenerujete ho ve správci, on ho vloží automaticky do registračního formuláře na webu a pak vás přihlašuje. Vůbec nevíte, jak to heslo vypadá, přesto je jedinečné, silné a náhodné.
-
No ale jak poznám který správce hesel je dobrý a důvěryhodný? Pokud použiji zašifrovaný textový soubor a k tomu pass a ještě plugin pro integraci do browseru, pak používám už dva poměrně minoritní programy (pass, plugin) o kterých nemám ani ponětí jak jsou spolehlivé.
Oproti tomu u papírku aspoň tuším kdo k němu může mít přístup (uklízečka).
-
U nastroju jako Enpass, 1Password apod. (doufam ze se netrefuju spatne) clovek musi verit firme distribuujici binarni soubory. U Pass je nekolik moznosti jak si overit duveryhodnost. Muzeme se podivat na zdrojovy kod, muzeme duverovat komunite vyvijejici nastroj zcela transparentne a muzeme duverovat spravcum repozitaru linuxovych distribuci. Pokud clovek porovnava Pass oproti jinym password managerum tak nam vyjde ze zpusobu jak odhalit nekale umysly ma mnohem vice a pokud existuji tak je vysoka pravdepodobnost ze je drive nebo pozdeji nekdo najde.
Nehlede na to ze je celej napsanej v Shellu a ma jen 718 radek, to muze byt otazka 2x si uvarit caj a udelat si peknej bash vecer.
-
Ondřej KolínZlatý podporovatel
Pokud by nekdo neceho chtel dosahnout ve vlastnich skriptech, psali jsme o tom na mojefedora.cz. https://mojefedora.cz/gpaste-z-terminalu-do-schranky-snadno-a-rychle/
-
Vložení do schránky má pár nevýhod:
1. Nechrání to před phishingem, jak jste zmiňoval.
2. Člověk může heslo někam vložit nedopatřením.
3. Obzvlášť na Linuxu je schránka špatně chráněna před vykradením webovou stránkou, pokud uživatel trochu spolupracuje: https://bugzilla.mozilla.org/show_bug.cgi?id=1169291 a https://bugzilla.mozilla.org/show_bug.cgi?id=363132 . -
Netvrdím že toto řešení je pro každého. Ale pokud někdo bydlí sám, nechodí k němu často návštěvy, nedává fotky svého monitoru na internet a neháže bezmyšlenkovitě věci do koše, může to být relativně bezpečné řešení. Ale je to samozřejmě varianta, pokud někdo raději používá správce hesel, proč ne :-)
-
Zde vynecháváte faktor motivace i technické proveditelnosti.
Kolegů a uklízeček je jen omezený okruh a nejsou anonymní. U většiny duševně zdravých lidí funguje autoregulace, prostě si netroufnou heslo na lístečku zneužít.
Proti tomu správce hesel může být zvesela podrobován anonymním útokům a mnohem rychleji. Jakmile podlehne, útočníka nebrzdí žádné společenské zábrany; útočník ví, že je prakticky nevystopovatelný.
Je tedy velmi obtížné objektivně srovnat, co je bezpečnější. Osobně si dovolím odhadovat, že daleko víc škod je z ukradených hesel z počítačů, než z lístečků na monitorech.
