Zajimalo by mne, jestli to `centralizovane` ulozeni hesel ve spravci
bezpecne. Pak je nejslabsim clankem retezu totiz spravce
hesel. Sice muze byt N krat tezsi ho hacknout nez nejake
jednodussi heslo co si pamatuju, ale na druhe strane
jednim hackem spravce dostane zaskodnik vse......
tj. zisk je M krat vetsi nez pri lamani jednoho hesla.
No a jelikoz zadny SW neni bez chyby, je tato moznost realna IMHO.
(Kdezto kdyz mi nekdo prolomi heslo do eshopu,
tak je mi to sumafuk...)
Takze ja si myslim, ze to vyjde nakonec
z hlediska realne bezpecnosti nastejno,
slabsi hesla co si pamatuju
anebo silne hesla ve spravci kteremu
nezbyva nez duverovat (haha)?
Osobne to vidim tak, ze je vcelku fuk, jesli mas na lokalnim kompi 'passwd.txt' nebo pouzivas spravce (z pohledu bezpecnosti). Pokud nekdo ma fyzickej pristup k tvymu pocitaci, je to sumak. Jen omezis skupinu 'trotlu'. Na druhou stranu, trotl nenajde rozumne zasetej soubor s heslama, ale utiliku, co umi pockat na hesli do spravce, nainstaluje snadno. Pripadne keyloger atp. Osobne mam nekryptovanej ala 'passwd.txt' na kryptovanym disku. Dtto pokud nekdo hakne pocitac na dalku. Porad ze to jen SPOF a je fuck, jesli to je textak nebo spravce. A popravde, rootkity a podobne hracky budou koukat po 'standardnich' vecech, tj. hledat prave spravce hesel a podobne. Je to jako se zabezpecovackou aut. Kdyz uz se vlames do jednoho, vlames se lehce do vsech stejneho typu. Naproti tomu, kdyz to udela 'franta z horni dolni' (a neni to idiot !) tak s tim autem jen tak neodjedes a zlodej pujde k dalsimu autu, nebude ztracet cas zjistovat, proc to na tohle zrovna nefunguje.... Takze jedine rozumne reseni je SPOF vyradit, nebo ho mit na takovem zarizeni, ktere prakticky znemozni utok. Coz rozhodne 'velkej' OS vyrazuje smahem :) Pokud pripustime existenci nezavysleho externiho AUTH modulu (karta s displejem, casove promene kody, ...) tak se bezpecnostne, ale i $$$, dostavame na jinou uroven...
Jeste horsi, nez uvedomeni si moznosti utoku, je presvedceni o bezpecnosti. Bezpecnost je jen chimera. V podstate jen urcujes, kolik penez a casu je druha strana ochotna (resp. musi) venovat k prolomeni tve bezpecnosti. O nicem jinem to neni. Dokud plati "ochotna < musi" tak je to v poradku :) A to je dobry mit na pameti.
Třeba zmíněný KeePassX pracuje se soubory s ukládáním hesel, kterých může být kompu libovolný počet. Takže dejme tomu, že se útočník zmmocní noťasu, prolomí LUKS, prolomí heslo uživatele nebo roota a mrkne do /home/user/keepassx. Vidí soubor s hesly, začne ho lámat... a nepodívá se, že třeba v /home/user/vyuctovani_dph/.truepasswords je ještě jiný soubor s hesly (ovšem falešnýma nebo blokovacíma)...
Klidně se dají rozdělit hesla do několika souborů podle důležitosti, jiný to bude s účtem na xishtknížku, jiný admin hesla k zařízením na síti, jiný do banky,...
A ještě to umožňuje zamčení třeba pomocí certifikátu v jiným souboru. Klidně na micro SD v mobilu, na FLASH, stažení pomocí SCP,... A když útočník neví, kde vzít klíč... ;)
