Odpověď na názor

Já to jako tragické vnímám. Používat odvozovač hesel pro stránky, kam už se znovu nepodívám, by byla výhoda, kdybych nepoužíval žádného správce hesel. Ale já už ho používám (a nedovedu si představit, jak dnes používat bezpečně drtivou většinu webu/aplikací, kam není možné přihlásit se jinak než jménem a heslem, případně s dalším faktorem navíc). V takové situaci mi nedává smysl používat druhý program a přemýšlet, zda tohle heslo mám ukládat nebo nemám – prostě ho do správce hesel vždy uložím. Ano, přibývají mi tam hesla, která možná nikdy nepoužiju – ale je to pár bajtů, to mne fakt netrápí.

Zejména když stále nebyla zmíněna žádná nevýhoda toho, že správce hesel musí mít ta hesla někde (šifrovaně) uložená.

Navíc, jak už jsem psal, i kdybych si nakrásně pro všechny weby pamatoval, jaký login tam mám a jaká verze a typ hesla je tam použitý, pořád potřebuju mít někde uložené klíče pro TOTP. Já používám 2FA všude, kde to jde, a i když to tak někdo nemá, někde je prostě 2FA povinné. Takže stejně musím umět uložit bezpečně tajné údaje pro přístup k webům a aplikacím. Proč tedy stejným způsobem neuložit i ta hesla?

Mimochodem, na to spoléhání na „nepamatuji si heslo“ pozor. Tam, kde je vícefaktorová autentizace implementovaná správně, vám pro obnovu zapomenutého hesla nebude stačit přístup k e-mailu. Budete potřebovat ještě druhý faktor, třeba uložené záložní kódy. (A zase musíte umět něco tajného bezpečně uložit.) A i když někde není použitá 2FA, různé obskurní stránky velice rády implementují obnovu hesla skrze otázky a odpovědi. Na které se nesmí odpovídat pravdivě (to je vůbec ta největší bezpečnostní díra), takže odpovědi zase musíte mít někde bezpečně uložené.

Ale třeba ty odvozovače hesel někdo používá, je to pro něj komfortní, správce hesel nepotřebuje – mne by takové použití zajímalo. Akorát jsem se ho tady zatím nedozvěděl.