Vlákno názorů k článku Postřehy z bezpečnosti: zDOMinované správce hesel a kuřecí nugetky zdarma od Michal Kubeček - Nedá mi to nevzpomenout si na nejmenovaného neúnavného...

Nedá mi to nevzpomenout si na nejmenovaného neúnavného uživatele (nejen) zdejšího webu, který v každé diskusi, kde je to aspoň trochu k tématu, neopomene zdůraznit, že tahle rozšíření prohlížeče jsou jediný správný a bezpečný způsob, jak nakládat s hesly, a že kdo je nepoužívá, je blázen a sebevrah. :-)

Ono je to i o pristupu/nasta­veni.... pokud uzivatel "pro sve pohodli" to necha vypnit rovnou, cokoliv a bez ptani... no tak se muzou dit skarede veci. Z toho ale samo o sobe nelze dovozovat, ze to reseni je spatne. A holt i v reakci na zranitelnost je holt videt styl "prace" nekterych vyvojaru software...

Ani tahle zranitelnost nemění nic na tom, že správce hesel integrovaný do prohlížeče – tak, aby sám nabízel hesla jen k dané doméně – zůstává nejbezpečnějším a pro drtivou většinu uživatelů jediným bezpečným způsobem, jak nakládat s hesly. Tahle zranitelnost se opraví, zatímco uživatelé nepoužívající správce hesel nebo hledající hesla ve správci hesel ručně budou pořád vystaveni phishingovým útokům.

Správce hesel, který používám, nebyl v mnou používané konfiguraci napadnutelný (a myslím si, že ta konfigurace je výchozí). Nepoužívá totiž UI uvnitř stránky prohlížeče – UI je mimo stránku, je viditelně součástí pluginu a překrývá částečně rozhraní prohlížeče. Takže webová stránka ho nemůže ani skrýt, ani překreslit. Ani aktivovat – aktivuje se klávesovou zkratkou, z kontextového menu nebo kliknutím na ikonu rozšíření.

Překvapilo mne, že se na desktopu u správců hesel ještě vůbec někde používá vykreslování UI do stránky.

Podělíte se, který správce hesel používáte? Díky.

Používám Bitwarden. Ale podstatné není to, že to, co používám a jak to používám, nebylo v tuto chvíli napadnutelné. U jednoho případu je to do značné míry věc náhody. Důležité jsou principy, na kterých aplikace stojí, přístup autorů a bezpečnostní historie.

Precti si ten puvodni clanek, bitwarden byl taky postizen… jestli je furt nebo jiz neni postizen se mi nechce hledat…

Ad: "Ani tahle zranitelnost nemění nic na tom, že správce hesel integrovaný do prohlížeče – tak, aby sám nabízel hesla jen k dané doméně – zůstává nejbezpečnějším a pro drtivou většinu uživatelů jediným bezpečným způsobem, jak nakládat s hesly."

Proč je to BEZPEČNĚJŠÍ než přihlašování přes Google nebo MojeID, kde do těchto dvou služeb se hlásíte pomocí YubiKey?

Ne vsude jsou ty dve moznosti dostupne. Ba co hur, nekde tu moznost primo rusi. Aneb porad potrebujete reseni, kterym zajistite bezpecnou praci s hesly i tam, kde prihlaseni pres Google nebo MojeID (AppleID, atd) dostupne neni.

Protože Google ani MojeID nejsou správci hesel. Nepsal jsem o nejbezpečnějším způsobu přihlašování, ale o nejbezpečnějším způsobu, jak nakládat s hesly.

Doufejme, že to tak čtenáři pochopili. Protože jinak by se dalo zjednodušeně říct, že nejbezpečnější způsob, jak nakládat s hesly, je hesla nepoužívat. Ale jak už zde bylo zmíněno, ne vždy to jde.