Vlákno názorů k článku
GitHub opustil potvrzování akcí pomocí hesel, nabádá ke dvoufaktoru od oss - > A povedzte mi aký je rozdiel keď...

Špatně. Centralizace je prostě chyba. Žádné zabezpečení není 100%, ale prolomení centrálního úložiště způsobí 100% škody. Tohle prostě není správný způsob řešení.

Mně stačí si pamatovat pár algoritmů a několik náhodných řetězců. Díky tomu mám ke službě vždy velmi silné a se znalostí výše uvedeného pořád odvoditelné heslo. I když někdo zjistí raw heslo k jedné službě, bude mu trvat dlouho, než z něj dostane ten algoritmus. A kdyby ho dostal, pořád je schopen mi zcizit jen část portfolia, protože jiný typ služeb má jiný algoritmus. V čem je to slabší než 2FA a správci hesel, to věru netuším.

To, že něco netušíte, opravdu není nejlepší kvalifikace. Asi byste nechtěl, abyste přišel do nemocnice a tam vám řekli: „Tady pan doktor věru netuší, kde byste mohl mít slepé střevo, takže vám ho zítra bude operovat právě on.“

Pro vaši informaci, cokoli, kam píšete ručně heslo, je mnohem slabší, než správce hesel. I kdybyste to heslo měl dlouhé třeba kilometr. Protože správce hesel nevyplní heslo omylem do webu, který sice vypadá správně, ale má trochu jinou adresu. Vy tam to heslo vyplníte, protože si toho rozdílu nevšimnete.

No a ta vaše „bezpečnost“ založená na utajování algoritmu, to je tak profláklý a starý případ špatného zabezpečení, že má dokonce své vlastní jméno: Security through obscurity.

No jo, ale vy zase spoléháte na to, že váš správce hesel nemá někde na darknetu exploit, nebo že se zrovna teď neobchoduje uniklá celá databáze z cloudu. Tak nevím, jestli ta moje "obskurita" není vlastně lepší. Už proto, že na mě musí jít útočník "jeden na jednoho".

Jenže vy už centralizujete, ať chcete nebo ne. Hesla proudí vašim počítačem. Pokud jej útočník úspěšně napadne, hesla získá v každém případě. Pokud je máte v hlavě, prostě si útočník počká, až je zase zadáte.

Častý omyl je, že přítomnost správce hesel nějak ovlivňuje bezpečnost uživatelova počítače. Nemá na ni vůbec žádný vliv, nekompromitovaný počítač je v každém případě nutností.

Co ovšem uložení hesel mění zásadně, je síla samotných hesel. Váš algoritmus je rozhodně slabší než moje náhodně vygenerovaná hesla. Můžete jich z různých služeb ukrást stovku, ale žádné další z nich nevykoukáte. Nemusí mě trápit, jak s mými hesly zacházejí ostatní. Každý web má unikátní heslo a jeho únik mě jinde neohrožuje.

Navíc vás hesla v hlavě nechrání před phishingem. Klidně heslo naklepete dřív nebo později do překlepové domény. Správce hesel to neudělá. Navíc u služeb, kde je to možné, používám U2F, které je proti phishingu zcela odolné. Únik hesla pak není bezpečnostní katastrofou.

Vlámat se do konkrétního počítače je ovšem úloha vyžadující zásadní zájem pro tento čin. Prolomit konkrétní produkt nebo jeho cloudové úložiště je pro útočníka samo o sobě výrazně lukrativnější.

Ad překlepové domény - to jsem naposledy viděl někdy před deseti lety. V tomto směru víc frčí podvržené maily s odkazem.

lidé jsou předvídatelní, naše geniální algoritmy padají s obrovskám množstvím uniklých hesel a jejich hromadným zpracováním, dají se z toho vytěžit i hodně zamotané algoritmy.

I ten algoritmus je centralizace, stejně tak je centralizace jeden člověk, jeden počítat (stačí zákeřný monitorovací proces na něm a zjistí veškerá hesla), když už něco kritizuješ, měl bys používat stejný metr i na ostatní služby.

Správce hesel nechrání přímo tebe, tvůj počítač a tvoje systémy, ale chrání od hromadného zneužívání služeb při úniku nějakého hesla, stejně tak přidává značnou entropii k heslům (pokud hesla generuješ), takže efektivně brání slovníkovým útokům. Dnes se dostávám do situace, kdy bezpečná hesla si není snadné zapamatovat, zejména v tom množství.

Správce hesele je podobná centralizace jako SSO (přihlašování přes facebook, mojeid, státní identita či portály uvnitř firem atd.). Dnes se ukazuje, že je relativně bezpečné právě centralizovat systém s tejemstvím a udržovat nad ním silný dohled, to se samozřejmě může v budoucnu změnit, ale dnes to poskytuje solidní úroveň zabezpečení proti ostatním metodám.

Taky nemam duveru ve spravce hesel. Je to jenom takova obezlicka ze mate pocit silnych hesel a zaroven pohodli. Ale staci jeden prunik do spravce a vsechno je nanic.

Správce hesel ak nie je nijak prepojený cez cloud/Internet ale je len a len čisto na Vašom PC, tak nemôže byť nebezpečnejší, než keby nebol. Pretože ak sa niekto dostane do Vášho správcu hesiel, tak to znamená že už i tak má prístup k Vašemu systému, ktorý teda už není Váš a teda je absolútne jedno či to unesnie z password manageru, alebo si počká kým sa prihlásite a keyloggerom, alebo proste ani nebude získavať prihlasovacie údaje ale rovno jak ste prihlásený na "nie už Vašom PC" tak na pozadí vykoná operácie nad "nie už Vašimi účtami". Takže v prípade správcu hesiel neexistuje o nič vyššie riziko, než keby si to heslo zadával s papierika či kľudne aj zo svojej mozgovej pamäte.

17. 8. 2021, 22:37 editováno autorem komentáře

Ve správci hesel máte náhodně generovaná hesla. Takže to není jen pocit silných hesel (pokud si tedy generátor nenastavíte tak, že má generovat pětiznaková hesla jen z malých písmen).

To „stačí jeden průnik“ je nepochopení bezpečnosti. Je to stejné, jako kdybych tvrdil, že stačí vložit vám do mozku jeden čip, a vaše hesla, která máte jen v hlavě, jsou veřejná. Což je pravda – akorát to naráží na takový drobný problém, jak je pravděpodobné, že se takový čip podaří v blízké době vyvinout a implantovat vám ho.

Vy pořád vycházíte z toho, že správce hesel je neprůstřelný a necloudový a operační systém je neděravý. Ale on může mít díru, backdoor, často jde kvůli pohodlnosti uživatele o cloudovou službu, což výrazně zvyšuje teoretický zájem o útok na správce jako produkt, než v případě jednoho počítače jednoho pana X.

Humanoid č. 1264054 - poruchový: Z ničeho takového nevycházím. Vycházím jenom z toho, co už jsem psal – že je podstatně jednodušší zabezpečit a auditovat jeden správce hesel než tisíce webů. Cloudový správce hesel ničemu nevadí, pokud jsou hesla šifrována a dešifrována na klientovi. Což je samozřejmě zase něco, v čem mohou být zadní vrátka. Ale já si prostě operační systém, prohlížeč, rozšíření do prohlížeče a správce hesel vybírám tak, abych mohl věřit tomu, že jsou bezpečné.

Výborně. A já nevěřím tomu, že je něco tak bezpečné, aby mě to uspokojilo.
Realita bohužel moc často ukazuje opak. Nakonec je to teda věc víry :-)

A já nevěřím tomu, že je něco tak bezpečné, aby mě to uspokojilo.
Takže používáte něco ještě daleko méně bezpečného. Mně to tedy logické nepřipadá, ale když to tak chcete…

Správce hesel nepoužívám z důvodu bezpečnosti a z důvodu možnosti ztráty hesel. Co mám v hlavě, pokud nebudu mít nehodu s mozkem, nezapomenu. Navíc hesla mohu používat na více svých zařízeních. Moje hesla jsou hodně dlouhá, u jedné banky mám problém, že tak dlouhá hesla nepovoluje, což nechápu.

Správce hesel může být lokální, pak ale musí být na všech mých zařízeních (počítače, tablet, mobil atd.) a musím ho nějak stále synchronizovat, nebo mohu využít cloud, ale pak buď dávám svá hesla někomu cizímu, kterému důvěřuji a přes něj je používám/synchro­nizuji, nebo si to mohu řešit sám přes svůj lokální cloud, ale to vyžaduje infrastrukturu a znalosti. Navíc správci hesel je potřeba důvěřovat.

Mám několik způsobů, jak ty hesla dát dohromady. Pro nedůležité weby mám slabší hesla, na důležité naopak velmi silná, která nikde neukládám. Hesla také čas od času měním u těch důležitých webů.

Co je pro koho lepší si každý musí rozhodnout sám. Vždy záleží, jak s tím člověk nakládá. Oboje má své klady i zápory. Pro mě převažují klady pro dostatečně komplikovaná hesla v hlavě.

Vy si dokážete zapamatovat desítky hesel počítačem náhodně generovaných? Pochybuju. Spíš jste si sám vymyslel pár hesel – takže to, že jsou „dostatečně komplikovaná“ si jenom myslíte.

Je zábavné, jak vždycky někdo napíše, že se bojí úniku hesel ze správce hesel, a pak začne popisovat, jak riskuje únik hesla při každém jeho zadávání – protože vůbec nepočítá s phishingem. Správce hesel je dnes zkrátka ten nejbezpečnější způsob zacházení s hesly.

Mimochodem, pro synchronizaci přes cloud opravdu není potřeba, aby provozovatel cloudu měl k heslům přístup – šifrování už bylo dávno vynalezeno.