Vlákno názorů k článku Softwarová sklizeň (29. 10. 2025): vytvářejte si silná hesla bez ukládání od Harvie .cz - Ty deterministicke generatory hesel jsou hrozne chytra vec....

Já to jako tragické vnímám. Používat odvozovač hesel pro stránky, kam už se znovu nepodívám, by byla výhoda, kdybych nepoužíval žádného správce hesel. Ale já už ho používám (a nedovedu si představit, jak dnes používat bezpečně drtivou většinu webu/aplikací, kam není možné přihlásit se jinak než jménem a heslem, případně s dalším faktorem navíc). V takové situaci mi nedává smysl používat druhý program a přemýšlet, zda tohle heslo mám ukládat nebo nemám – prostě ho do správce hesel vždy uložím. Ano, přibývají mi tam hesla, která možná nikdy nepoužiju – ale je to pár bajtů, to mne fakt netrápí.

Zejména když stále nebyla zmíněna žádná nevýhoda toho, že správce hesel musí mít ta hesla někde (šifrovaně) uložená.

Navíc, jak už jsem psal, i kdybych si nakrásně pro všechny weby pamatoval, jaký login tam mám a jaká verze a typ hesla je tam použitý, pořád potřebuju mít někde uložené klíče pro TOTP. Já používám 2FA všude, kde to jde, a i když to tak někdo nemá, někde je prostě 2FA povinné. Takže stejně musím umět uložit bezpečně tajné údaje pro přístup k webům a aplikacím. Proč tedy stejným způsobem neuložit i ta hesla?

Mimochodem, na to spoléhání na „nepamatuji si heslo“ pozor. Tam, kde je vícefaktorová autentizace implementovaná správně, vám pro obnovu zapomenutého hesla nebude stačit přístup k e-mailu. Budete potřebovat ještě druhý faktor, třeba uložené záložní kódy. (A zase musíte umět něco tajného bezpečně uložit.) A i když někde není použitá 2FA, různé obskurní stránky velice rády implementují obnovu hesla skrze otázky a odpovědi. Na které se nesmí odpovídat pravdivě (to je vůbec ta největší bezpečnostní díra), takže odpovědi zase musíte mít někde bezpečně uložené.

Ale třeba ty odvozovače hesel někdo používá, je to pro něj komfortní, správce hesel nepotřebuje – mne by takové použití zajímalo. Akorát jsem se ho tady zatím nedozvěděl.

One-man-show aplikace, kde není o její bezpečnosti napsáno ani slovo, snad nebudeme brát vážně v diskusi o bezpečnosti. To není nic proti Ondřejovi, sám si to napsal, tak asi ví, co od toho čekat. Že ta aplikace umí i PIN nebo více hesel? No, je to možné. V aplikaci to popsané není, v README také ne. Každopádně všechny tyhle vlastnosti vyžadují, abych si kromě loginu pro daný web pamatoval ještě verzi hesla, jeho délku, zda je to PIN…

Navíc to, že za cenu pamatování si dalších věcí, se dají některé problémy obejít, pořád neřeší ty zbývající problémy. A pořád to neodpovídá na základní otázku – proč to řešit takto komplikovaně, když můžu jednoduše použít správce hesel.

Proč si myslíte, že nechápu, co se ostatní snaží říct? Jim napsal: „Vážně nechápete výhody toho, že něco nepotřebuje synchronizaci storage?“ Připadá vám, že jsou tam nějaké výhody napsané? Mně ne, já tam vidím jen za otázku schovaný názor, že to nějaké výhody má. Napsal někdo v navazujících komentářích, jaké výhody ta nesynchronizace storage má? Já to nikde nevidím. Vy ano? Ono bývá dobré, když se někdo něco snaží říct, když to doopravdy řekne. Nebo napíše. Z otázky „vážně nechápete“ se vážně nedá poznat, jaké výhody dotyčný vidí.

Jde mi o to, ze jsi napsal: "Nemůžu mít pro jeden web a účet více hesel"
Coz ocividne neni pravda, protoze takova implementace jiz byla provedena, viz odkazovany software. Tudiz ses na ten software ani nepodival. To znamena ze jsi se neobtezoval zkoumat co tvuj predrecnik pise. Nevenoval jsi tomu prispevku ani 30 sekund, ktere staci na zjisteni ze to co ty popiras bylo jiz implementovano. A z tve vety "No, je to možné" zjistuju ze jsi to opet neudelal.

Z toho mi vychazi ze je pro tebe dulezitejsi prezentovat tvuj nazor nez zkoumat co tu pisou jini.

Dal to jakkoliv nema smysl rozpitvavat. Ty budes mlit porad tu svou a chodit kolem kase dokola a popirat cokoliv ja napisu a potichu ignorovat co se ti nehodi. Z druhe strany ja bych si mohl znova vyzkouset jestli dokazes nemit posledni slovo, ale k tve smule nemam potrebu to opakovat takze si pro dnes udelame papa a koncime.

Tu musim suhlasit s Filipom. Nikde v komentaroch nevidim vysvetlene napriklad to ako mozem mat s jednym uctom viac hesiel.

Ten link na password generator to tiez nijak nevysvetluje bez toho ze by som to realne musel vyskusat. (projekt v podstate nema Readme) Cim neodsudzujem ten projekt ako taky, len mi to neodpoveda na otazku ze ako je to urobene.

Ale hlavne som nikde nevidel zodpovedanu tu otazku, ze aka je ta zasadna vyhoda takehoto deterministickeho spravcu hesiel.

Ale aby som len neopakoval Filipa, dal som si tu pracu a aj som tu aplikaciu vyskusal. (mimochodom celkom fajn appka) To generovanie viacerych hesiel tam akoze je, ale nie som si celkom isty ci je to prakticky pouzitelne, kedze clovek si musi pri kazdom hesle pamatat:
- typ hesla
- ktore v poradi heslo prave pouziva (toto si realne neviem predstavit pri heslach kde sa pozaduje pravidelna zmena)

Zvlast pre ucty kde realne potrebujem viac aktivnych hesiel naraz. (napr. heslo pre prihlasenie a heslo pre vykonanie nejakej aktivity v ucte)

Celkovo tam (z principu fungovania) chyba velmi vela veci ktore robia password manager uzitocnym:
- moznost ulozit pouzivatelske meno (alebo dokonca vygenerovat nahodne)
- moznost robit si poznamky (toto pouzivam velmi casto)
- moznost ulozit heslo generovane druhou stranou (PIN a podobne, ktore obcas proste nejde zmenit)
- moznost ulozit hesla ktore nie su naviazane na stranku (API kluce, hesla od zasifrovanych suborov, hesla od zariadeni, kod dveri,..)

Podla mna vsetky tie problemy ako ich Filip pisal stale su problemy, niektore su sice technicky mozne ale prakticky moc nie. Takze ma tiez zaujima aka je ta vyhoda, lebo vo svetle vsetkych tych nevyhod mi to nepride ako dobry trade-off.

Napada mi akurat to ze je prakticky nemozne prist o hesla nejakou katastrofickou stratou dat pokial si clovek pamata hlavne heslo.

Nevenoval jsi tomu prispevku ani 30 sekund, ktere staci na zjisteni ze to co ty popiras bylo jiz implementovano.
Věnoval jsem tomu příspěvku více než 30 sekund. Za tu dobu jsem proklikal aplikaci do místa, kam to šlo bez zadávání něčeho (takže k vytvoření hesla jsem se nedostal), našel jsem GitHub se zdrojovými kódy té aplikace, ale nebyl tam žádný popis.

Opravdu není mojí povinností zkoumat zdrojáky té aplikace nebo zkoušet, co všechno umí. Zejména když vím, že technicky realizovatelné je to jedině tak, že si buď vytvořím více virtuálních účtů (což můžu udělat v jakékoli aplikaci, nepotřebuju k tomu speciální podporu), nebo (když to aplikace podporuje) můžu přidat nějaké další rozlišení vedle domény a loginu – ale to rozlišení si opět musím pamatovat.

Nebo samozřejmě můžu mít informace o všech účtech někde uložené, včetně těch doplňkových informací, a uložená u toho nebudou akorát ta hesla. Akorát že pak budu mít opět něco, co vyžaduje synchronizace storage. Ve které je možná nějaký problém, akorát je to ais tajné, protože to do této diskuse nemůže nikdo napsat.

nez zkoumat co tu pisou jini.
Já se snažím psát komentáře tak, aby čtenáři už nic dalšího zkoumat nemuseli. připadá mi to slušnost, že já ty informace dohledám jednou a všichni čtenáři si je mohou přečíst, než abych nutil každého čtenáře ty informace dohledávat.

Ty budes mlit porad tu svou a chodit kolem kase dokola a popirat cokoliv ja napisu a potichu ignorovat co se ti nehodi.
Ve skutečnosti je to trochu jinak. Jim měl potřebu napsat názor, že (asi) vidí nějaké výhody v tom, že něco nepotřebuje synchronizaci storage. Kdyby mu šlo o věcnou diskusi, tak ty výhody rovnou napíše. Kdyby vám šlo o věcnou diskusi, tak ty výhody napíšete místo něj.

Já v tom žádnou výhodu nevidím, což jsem také napsal. A abych tu diskusi posunul konstruktivně někam dál, rovnou jsem napsal, jaké vidím nevýhody odvozování hesel. I kdyby aplikace Ondřeje Nováka některé nevýhody řešila, neřeší je všechny. Tím pádem moje námitka stále zůstává v platnosti. A hlavně stále nevíme, co jsou tedy ty údajné nevýhody ukládání hesel.

takze si pro dnes udelame papa a koncime.
Příště, když nemáte k tématu co říct, raději ani nezačínejte. Přínos vašich komentářů v této diskusi je záporný. Což je daleko větší problém než to, že nebudete mít poslední slovo.

Jen dodám, že svou verzi jsem si napsal po tom, co měl LastPass nějaký obrovský leak (někdy v minulosti).

Jako člověk, co má stejně spravovanou bitcoinovou peněženku mi to nedělá problémy. Ale ok, nikomu to nenutím, nedělal jsem na to ani žádnou reklamu.

Já když nad tím přemýšlím, tak jsem se nikdy nedostal do situace, že bych nutně potřeboval nějaké heslo, a neměl bych u sebe některé zařízení, kde ta hesla mám. Na to, abych zadával hlavní heslo do cizího zařízení, nemám odvahu. (A kdybych na to odvahu měl, tak použiju webový přístup ke správci hesel.)

Jak si pamatujete, kam máte jaký login (ne všude je to e-mail)? Jak řešíte TOTP? Jak si pamatujete u SSO, která doména je ta hlavní a jak se bráníte phishingu – abyste heslo nezadal do domény, o které si budete myslet, že je to jedna ze SSO domén? Mně tyhle otázky připadají relevantní pro kohokoli, kdo by uvažoval o použití bezestavového odvozovače hesel.

Nějak nechápu, proč se kolem těch výhod bezestavových odvozovačů dělají takové tajnosti, že už je tu chválili čtyři lidé, ale vy jste první, kdo alespoň jeden argument napsal. Ne že bych to „nemám u sebe zařízení, kde mám hesla uložená“ považoval ze víc než malinkou výhodu, která neobstojí v porovnání s nevýhodami takového řešení. Ale aspoň jste napsal nějaký argument.

Co je v roce 2025 tak tezkeho na synchronizaci souboru mezi vice zarizenimi? ;-) To neni zadna cerna magie, to vam dnes obstara pohodlne klidne i self-hosted Nextcloud. Soubor od password manageru neni nikterak velky, jde ho mit samozrejme synchronizovany offline - coz je reseni, ktere obstoji i v mnoha krizovych situacich.

Odvozene heslo je sice "pekny", ale pokud vam nekde nejaky utece (a to nemusi byt vasi vinou) a utocnik uhodne, jak ty hesla odvozujete... tak si muzete jit rovnou hodit masli ;-) Nahodne generovane unikatni heslo je v tomhle smeru neprustrelne.

Zjistí to v okamžiku, kdy ta hesla bude požadovat. scrypt na kalkulačce nespočítáte.

Pokud to budu pocitat na kalkulacce, tak si vymyslim takovy algoritmus, ktery na te kalkulacce pujde spocitat.

Takový algoritmus ovšem půjde na počítači spočítat řádově rychleji. Takže pravděpodobně bude stačit získat pár uložených hesel, aby z nich šlo hrubou silou spočítat hlavní heslo.