Vlákno názorů k článku
Dnes je světový den hesel, slabá hesla používá 95 % lidí v Česku od K> - U techto vyzkumu mi vadi, ze nerozlisuji mezi...

U techto vyzkumu mi vadi, ze nerozlisuji mezi dulezitym heslem a nedulezitym.
Taky pouzivam slabe heslo, a toto slabe heslo dokonce k vice uctum. Stale bohuzel jsou stranky, ktere vyzaduji nejakou zbytecnou registraci.

Svym zpusobem to je i pripad zdejsiho rootu. Mistni registrace je potreba, ale kdyz mi ji nekdo ukradne, tak mi to bude celkem jedno.

Na tenhle problem (nedulezita hesla) pod podobnym clankem nekdo poukaze pokazde, takze vlastne premyslim, ze je zbytecne abych to tu psal.

Zajimavejsi by bylo treba zjistovat silu hesel u konkretnich sluzeb, treba facebook, banka. Ale netusim jak se da takovy pruzkum provest? Z mistnich by asi avastu nikdo neodpovidal jestli pouzil datum narozeni do bankovniho hesla :)

Nesmysl.

Dobra hesla jsou zadarmo. Takze maji byt vsude. Vsude unikatni. Konec

Zadne zbytecne premysleni navic. Nemluve o tom, ze z nepodstatne sluzby typu FB se muze za chvili stat klic k cele digitalni identite.

Bohužel si mi občas stává, že určitá služba má představu o tom, jak dobrá či špatná by měla být hesla, která na ní používám. Výše jsem zmínil např. německé banky/ spořitelny. Naštěstí už většina služeb nevyžaduje pravidelné změny hesla a tak jde o to, jednou nastavit generátor hesla tím nejvíce robustním způsobem, který služba ještě podporuje, parametry si zapsat třeba do poznámky k záznamu a dál to neřešit. Je to ale ohyzdné - lepší by bylo, kdybych jedním příkazem nebo klickem mohl batchově změnit hesla na všech službách co mám (a na mobilu nebo kde jen potvrdit změny jako druhý faktor).

Co mě překvapuje, že banky ještě běžně nenabízí ověření pomocí kryptografického certifikátu místo hesla, ale což...

Ověření certifikátem běžně nabízí naše banky už možná dvacet let. U některých to dokonce byla pro vybrané typy účtů jediná možnost, kterou na počátku tisíciletí nabízeli. Většina bank to má za poplatek (například 350 Kč ročně v ČS), ale jsou i takové, co je vydávají zdarma (např. Fio nebo Moneta).

Zákazníci to prý obvykle nechtějí, protože pak nemohou přistupovat do banky z jiných PC než těch, kam ten certifikát nahráli - což je problém pokud cestujete. Některé banky nabízí i certifikát na čipové kartě (například ČSOB), což ale pořád znamená ssebou všude vozit čtečku čipových karet a doufat, že v PC pro ní budou ovladače. Zda některá z bank podporuje USB čipové klíčenky, to teď nevím.

Komerční banka dřív nabízela ověření certifikátem. Na první pohled to vypadá bezpečněji, ale není:

• certifikát s šifrovaným privátním klíčem se bude válet po nejrůznějších flashkách a na discích počítačů prolezlých malwarem
• nelze vynutit sílu hesla k zašifrování privátního klíče certifikátu
• heslo k privátnímu klíči lze lámat off-line

Tím se ověření certifikátem v souboru prakticky degraduje na jednofaktorové ověření s faktorem „něco, co mám“ namísto faktoru „něco, co znám“ v případě použití hesla. Jiná situace samozřejmě je v případě certifikátů v čipové kartě/tokenu, ale to není dostatečně uživatelsky přátelské, aby to mohly banky vnucovat všem.

Nabízet != vnucovat.

Šlo mi o to, že např. FIDO2 se nezdá být špatný nápad a je to v podstatě to ověření pomocí certifikátu aspoň při pohledu s odstupem: https://www.yubico.com/solutions/fido2/

Zlepšuje se to a banky se technologicky dotahují, ale mám pocit, že tak s 5 let zpožděním.

Z FB se může stát klíč k celé digitální identitě? To těžko, protože vždy když po mně FB chce nějaký údaj, tak si prachsprostě vymýšlím. Ano, nebojím se říci že mu lžu jako když tisknu :-) Možná tím porušuji nějaký zákon, nevím, no ale alespoň nevím o zákoně kde je napsáno že Facebooku musím říkat pravdu a nic než pravdu … :-))

Ano, muze.
Hodne lidi ma pres FB proautentizovanou radu dalsich sluzeb.

Kdo by to byl cekal, kdyz si ten ucet na nejakou nepodstatnou socialni sit zakladal?

Jo to je ta možnost "přihlásit přes FB" vždycky když si někde nastavuji způsob přihlášení? Tak tomu se vyhýbám jako čert kříži :-) No ale samozřejmě pokud si někdo tuto metodu zvolí, tak předpokládám že v takovém případě mu dojde že si pro přihlášení do FB musí vytvořit neprůstřelné heslo.

Krom použití FB jako oauth2 serveru je navíc občas možné použít několik služeb pro prokázání identity při ztrátě hesla někde úplně jinde (nebo, v příkladě krádeže identity k získání přístupu)

No a pak tu je ještě scam přes kradený účet na FB, těch lidí ze kterých „příbuzný“ nebo „kamarád“ vytáhl peníze je dost.

Priklad: sveho casu opensubtitles pozadovali registraci. Tak jsem pouzil svou "typickou" vymyslenou. Zadne premysleni netreba. Kdyz nekdo ucet ukradne? Nepali me to. Je mi to uplne ale naprosto absolutne totalne jedno. I ten jeden klik/klavesa navic pro pouziti spravce hesel by byla naprosto zbytecna namaha. Jaky tady je jediny duvod aby bylo heslo dobre a unikatni? Zadny.

Nejpouzivanejsi slabe heslo je pry 123456. Jake tam je premysleni navic? Zadne.

Samozrejme ze se nebavim o klicovych sluzbach (banky, pro nekoho facebook).

Zadarmo se možná vygenerovat, ale už je složitějsí si je pamatovat, nebo je nějak spravovat. Vždycky mě vytáčí, když nějaké diskuzní fórum, kam přispívám víceméně anonymně po mě chce do hesla kdovíco. Většina úvah o heslech zapomíná na to, co chráním, před čím (kým) to chráním a hlavně na to, že to heslo tam píše člověk, ne počítač.

Používám správce hesel. Dávat na nedůležité stránky slabé heslo a dokonce stejné k více účtům by pro mne byla zbytečná komplikace.

Teď se tě vážně a ve vší ústě zeptám. Doma používám linux, Windows, macOS a Android, jak toto ošetřím se správcem hesel? Je nějaký na všechny tyto systémy? Jak se hesla synchronizují?

Ten ve Firefoxu je celkem cajk.

na PC používám keepass (keepassxc) synchronizovaný přes vlastní instanci nextcloudu. na telefonu mám také nějaký keepass client rovnou s podporou webdav, takže tam ani není potřeba nextcloud client.

První, který mě z hlavy napadl, je Bitwarden. Je pro všechny Vámi zmíněné systémy včetně iOS.
Druhý mě napadl Encryptr, ale už není ve vývoji. Ovšem byl taky na všechny systémy.
A potom se dá říct, že vyhovuje "jakýkoli", který se dá integrovat jako plugin do webového prohlížeče, což je jedna ze základních vlastností, kterou mají "všichni" správci. Pokud nepoužíváte nějaký exotický prohlížeč, tak je tohle pravděpodobně spolehlivá cesta.

Používám Bitwarden. Má klienta pro desktop (Windows, MacOS, Linux), rozšíření do prohlížečů, webové rozhraní, aplikaci pro Android i iOS, dokonce aplikaci pro příkazovou řádku. Data jsou synchronizovaná přes server. Server si můžete provozovat i sám (to nepoužívám). Hesla jsou synchronizovaná v zašifrovaném tvaru, tj. provozovatel toho serveru se k nim nedostane – pokud ty klientské aplikace fungují správně (zdrojáky jsou na GitHubu, můžete si je zkontrolovat a sestavit sám).

Podobných správců hesel je docela dost, některé mají pro synchronizaci vlastní službu, některé umožňují využít třeba Dropbox.

+1.
Navíc je hrozně fajn možnost šifrované storage, teď už by měl umět vyplňovat i TOTP a umí sdílení hesla mezi několika lidmi (což je super na služby jako Netflix, kde nejde vytvořit separátní účty pro jednotlivé členy domácnosti).

Enpass, ale není open source a je placený jednorázově za Android a MacOS. Míněno za mobilní platformu, ne za zařízení. Ve vašem případě tedy asi 10 USD za Mac a 10 USD za Android. Desktop je zdarma.

Synchronizaci si řešíte sám dle libosti přes OwnCloud, NextCloud, OneDrive, Google Disk, DropBox atp.

K dispozici je doplněk pro Firefox a Chrome.

Ty jo. Ale pro spoustu BFU je spravce hesel komplikace.

A tedy zpet k problemu - vyzkum nezohlednuje to, ze lidi, co nepouzivaji spravce hesel, pouzivaji primitivni hesla pro nedulezite sluzby.

Neboli nejde o zpusob zadavani hesel. Jde o to, ze pro spoustu pripadu je blbe heslo dostatecne.