Názory k článku
Správce hesel LastPass mění podmínky účtů zdarma

Premigroval som z Lastpass na Bitwarden a musim uznat, ze je to omnoho intuitivnejsie UI. Na rozdiel od Lastpass je to open source projekt, ktory presiel auditom. Taktiez maju free verzi, ale 10$/rok za premium mi pride ako super sposob, ako podporit open source projekt. Za mna naprosta spokojenost.

17. 2. 2021, 10:42 editováno autorem komentáře

jj, bitwarden vede. Prosadili jsme to i v par firmach a tim, ze jsou ucty napojovat neni problem mit jeden svuj bw ucet a tam mit napojenych X firemnich. LastPass to nejak bohuzel udelal obracene a da se do firemniho napojit osobni. Pro nekoho asi ok ale jinak na prd :)

Takze to vypada, ze nastal cas na prechod na https://bitwarden.com/.

Ked stal Lastpass premium 1€/mesiac tak som ich podporil (aj ked som to realne az ta nepotreboval).
Po zvyseni ceny som sa vratil na Free a s tymito divnymi zmenami uz stacilo.

Co třeba KeeWeb a LockWise?

Nejaky duvod proc NEpouzivat SafeInCloud se zasifrovanou DB synchronizovanou treba pres iCloud? Mobilni appku to ma, doplnek pro Chrome ktery funguje i ve Vivaldi to taky ma. A hlavne nezavisi to na nejake externi sluzbe ktera muze kdykoliv cokoliv zmenit (i pri synchronizaci mam lokalni db file).

A Linux to umí?

Nevim - na server mi to nedava smysl a na zarizenich s GUI pouzivam OS dodavany vyrobcem HW.

Já jsem před pár dny kupoval Lenovo IdeaPad 3 a je tam FreeDOS.
Nějak se mi nechce zůstat u "OS dodávaného výrobcem HW".
IMHO bych ani žádný správce hesel nesehnal

No tak nezbývá, než politovat ;-)

neumi a kdyz jsem se ptal autoru, jestli planuji klienta pro linux, odpoved byla, ze ne.

Je to IMO podobny pristup ako pouzivat keepass a synchronizovat cez nejaky 3rd party cloud storage. Do istej miery to funguje, ale ked zacnes pozadovat veci typu password sharing a podobne tak to zacina byt velmi komplikovane. (zvlast ak zdielas hesla s inymi menej technicky naklonenymi clenmi rodiny napriklad)

Stale to zavisi na nejakej 3rd party sluzbe ktora ti tie data synchronizuje, len proste na to pouzivas nejaky viac vseobecny protokol. (iCloud, WebDav, GDrive,..)

Neviem ako je na tom LastPass, ale Bitwarden ma celu databazu sifrovanu client-side a ten synchronizacny server ma relativne jednoduche API ktore synchronizuje uz len sifrovane data - ked trochu prizmuris oci tak je to skoro ako synchronizovat SafeInCloud (alebo Keepass) databazu cez iCloud, ale tym, ze Bitwarden pouziva svoj vlastny protokol, vie byt okolo tej synchronizacie trosku inteligentnejsie a napriklad mat to zdielanie.

Ja osobne som skoncil s tym, ze si Bitwarden server hostujem sam. (s pouzitim bitwarden_rs, co je 3rd party neoficialna implementacia server API) Tam mam nad tou sluzbou dostatocnu kontrolu a viem ze aj keby oficialna upstream sluzba uplne zanikla, tak ja si tem moj service mozem nadalej prevadzkovat. Pre par pouzivatelov to bez problemov bude bezat (teraz hovorim o bitwarden_rs) aj na raspberry pi zero za $5.

Kedysi som do bitwarden_rs prispieval takze som asi trochu biased, ale podla mna je to omnoho komfortnejsie ako synchronizovat password databazy cez nejaky 3rd party protokol. (co bolo inak presne to co som robil predtym a tie obcasne problemy ma doviedli k tomu dopisat podporu pre password sharing pre bitwarden_rs) Ale ak si myslis, ze to bude pre teba fungovat v pohode, kludne SafeInCloud vyskusaj. (nevidim tam nejaku vyhodu oproti opensource keepass - tak pripadne zauvazuj nad tym)

Diky, asi to chapu, ze proste kdyz nesdilim hesla tak mi nema BW co nabidnout oproti SafeInCloud. KeePass nevypada byt extra podporovany pro Apple svet.

Zatímco Tvé řešení prozměnu není extra podporované mimo Apple svět. :-)

to je mozny, ale jaksi me to nechava ledove klidnym - appka ma export do xml/csv/txt pro pripad, ze by se nekdy v budoucnu apple sakra pokazil

kdysi jsem takhle používal keepass, ale občas jsem narazil na to, že vault byl otevřenej na víc strojích najednou a pak do něj nešlo zapisovat. a taky trochu haprovala aplikace pro android.

nakonec jsem přešel na bitwarden a jsem spokojenej

přes csv, exportem z lastpass a importem v bitwardenu

https://www.ghacks.net/2021/02/17/how-to-migrate-from-lastpass-to-bitwarden-password-manager/

17. 2. 2021, 14:07 editováno autorem komentáře

Prosim prosim, mohl by me nekdo vysvetlit, proc tolik lidi doporucuje bitwarden? Protoze jesli to spravne chapu, tak jsou synchronizovana jednotliva hesla a provozovatel toho cloudu zna k cemu ty hesla jsou (nebo dokonce ty samotna hesla?). Naproti tomu KeePass (nebo KeePassXC) synchronizuje cely kontajner, kdy jej mohu synchronizovat vice zpusoby, nejsem odsouzeny na jedineho provozovatele a duveru, ze nezklame.

Provozovatel Bitwarden serveru samotná hesla nezná.

Ale minimalne vi, k cemu jsou ne? Jinak by to ta sluzba nezobrazila ne?

Myslím, že ne: Vault Security in the Bitwarden Password Manager

Jenze to je v okamziku pouziti web wallet uplne jedno. Proste se to v prohlizeci zobrazi. A neni v silach nikoho delat audit kodu kazde zobrazene stranky ne?

Cituji z dokumentace :

"Bitwarden always encrypts and/or hashes your data on your local device before anything is sent to cloud servers for storage. Bitwarden servers are only used for storing encrypted data. For more information, see Storage."
https://bitwarden.com/help/article/what-encryption-is-used/

A také více v https://bitwarden.com/help/article/data-storage/

Jenze to, ze se to sifruje a desifruje u me je v okamziku existence web vault snad uplne jedno ne? Vse co se v prohlizeci zobrazi ma pod kontrolou primo nebo neprimo a hlavne obousmerne provozovatel sluzby. Jinak receno pri kompromitaci sluzby jsem v ... bez ohledu na to sifrovani ne? Nebo me neco unika?

to tak není pravda, i plugin do prohlížeče je open source, můžeš mít svůj. Servovou část můžeš mít také vlastní. Případně lze zakázat automatické aktualizace prohlížeče a držet se staršího pluginu.

Otázka co je horší, kopírovat hesla přes schránku, ke které má přístup každá spuštěná aplikace (a dokonce i stránky samotné) nebo mít plugin v prohlížeči, který má hesla rozšiřovaný.

Hlavně při tom kopírování hesla přes schránku je jenom na uživateli, aby si zkontroloval, zda heslo vkládá do pravé stránky. V případě doplňku v prohlížeči by měl uživatel velice zpozornět, když mu heslo, které má uložené, doplněk nenabídne automaticky. Pro mne je tohle vlastně důležitější funkce správce hesel, než to, že mi umožňuje snadno používat silná unikátní hesla.

A ještě bezpečnostní audit :
https://bitwarden.com/blog/post/bitwarden-network-security-assessment-2020/

no, bezpečnostní audit, tohle je spíše výsledek nějakého automatického skenu či něco podobného, určitě to není bezpečnostní audit jak by člověk čekal.

Code review od Cure53 proběhlo před 3 lety, https://cdn.bitwarden.com/misc/Bitwarden%20Security%20Assessment%20Report.pdf, od té doby se ale značná část kódu změnila, viz pro serverovou část https://github.com/bitwarden/server/graphs/code-frequency nebo pro mobilní aplikaci https://github.com/bitwarden/mobile/graphs/code-frequency. Změny nastaly i v částech, které se starají i šifrování.

Dneska bych teda bezpečnostním auditem již neargumentoval. Je to dobrá známka toho, že na to dbají, ale po několika letech a spoustách změn v kódu již není platný. K dobru také mluví, že drtivou většinu změn pořád dělá sám CTO a nových vývojářů zase tolik není, kvalitu kódu lze čekat tedy podobnou.

no zrovna keePass mě připadá jako horší varianta, ty jeho super funkce, kdy změnou nastavení je možné ho donutit hesla exportovat je prostě super.

Nevýhoda KeePassu ale je pro mě nemožnost to plnohodnotně používat v týmu, na více zařízeních. Prostě poslední kdo to uloží, přepíše poslední změny ostatním.

bitwarden nevidí ani metadata k heslům.

pokud seš paranoidní, tak si bitwarden můžeš hostovat sám

Pár měsíců zpět už sem LastPass předplatný neobnovil, protože mě LastPass roky štve stagnací UI a spoustou malých nepříjemností a nedodělků (a nejen mě podle jejich fór). Konečně motivace dát si práci s migrací na BitWarden.

Docela se divim, ze tady jeste nikdo nezminil Psono. Je to opensource selfhosted reseni pro skupinovou spravu hesel. Neco jako Pleasant password for Keepass, jen zdarma :-) ma jak mobilni klienty tak pluginy do prohlizecu, samozrejmosti je MFA, sdileni mezi ucty... ja si ho dost oblibil.

Pridam historii tvurce https://de.linkedin.com/in/sascha-p-8a792655

You are a Security Enthusiast
Security is one of the major points that Psono should do right. We happily invite you to take a look and play around with it. Try to break it and let us know if (when) you succeed.

https://addons.mozilla.org/en-US/firefox/addon/psono-pw-password-manager/privacy/

Ucty na GA, MailJet.com/fr ... to me znepokojuje

Nejsem odbornik tak me zajima jestli jsou data zasifrovana v clientovi driv nez jsou zpracovana k poslani do tech tretich serveru?

Ale vim, ze oficialni client neni poviny https://doc.psono.com/admin/overview/summary.html#overview

Vůbec bych se nezlobil, kdyby vyšlo nějaké aktuální srovnání správců hesel.

Já osobně používám unixový pass. Synchroinizace pomocí GIT repozitáře, takže mám historii změn a nepřepíšu si heslo změněné jinde, možnost přístupu více lidí (zde je to nevýhoda, že každý má přístup všude). Doplňky pro prohlížeče existují, používám i na Androidu, přístup přes CLI. Pro mne co víc si přát. Nevýhoda je, že se dá vyčíst kde má člověk účty.

pass je super, používáme na různá hesla pro databáze, jks a jiné technické věci, kde můžeme heslo poslat rovnou na vstup pro zadání hesla. Používat to pro webové schránky s sebou nese právě riziko, že musíš heslo přenést přes schránku, ve které zůstane i po použití (pass nemá daemona a není tak schopný heslo po chvilce vymazat), je to díky tomu také náchylné na phishing, člověk není dobrý v kontrole toho, jestli je na správné adrese.

Ale můžeš toto vyřešit přes doplněk prohlížeče - toto zrovna funguje dobře. Mám například strukturu:

moje/root.cz a v root.cz mám:

H35l0
login: username

Potom mi doplněk prohlížeče automaticky nabídne při přihlašování na (sub)doménu root.cz právě tento login a heslo. Což se nestane v případě, že bych se přihlašoval na r00t.cz... Kliknutím na záznam se tento doplní do formuláře a ve schránce nic není.

Jen je tu ta nevýhoda, že jsou vidět služby, které používám.

Používá někdo 1Password? Jaký na něj máte názor?

Pořád mi nikdo nevysvětlil v čem jsou všechny tyto password managery lepší než správce hesel ve FF. Stejně 95% hesel potřebuji na web. A veškerá synchronizace bez problémů a vše zdarma. Asi něco nevidím....

No a co těch zbývajících 5 %? Umí správce hesel ve FF OTP? Umí k heslům ukládat další informace?

Další informace neumí. Není to můj typický use case. Možná nechápu dobře OTP ale FF samozřejmě umí generovat náhodná jednorázová hesla.

OTP se používá pro dvoufaktorovou autentizaci. Klient se serverem si na začátku vymění klíč, a na základě toho klíče je pak generováno jednorázové heslo. Nejčastěji se používá generování založené na čase – po dobu obvykle 30 sekund je platné jedno heslo.

Typické (bezpečnější) použití je, že máte generátor jednorázových hesel (a tedy klíče) v mobilu a přihlašujete se na počítači – heslo tedy musíte z mobilu do počítače opsat. Ale můžete mít ty klíče uložené i ve správci hesel a generovat je z něj (pokud to umí). Je to sice méně bezpečné (není to plnohodnotný druhý faktor, protože heslo i klíč pro jednorázové heslo jsou v jednom úložišti chráněné jedním heslem), ale pro méně důležité weby to podle mne stačí.

Co se týče dalších informací – je spousta webů, kde potřebuji s přihlašovacími údaji uložit něco dalšího, často bezpečně (jako heslo). Například některé weby mají „bezpečnostní“ otázky (některé dokonce povinné), někde je vedle PINu ještě PUK (případně je těch PINů a PUKů víc) atd.

OTP je druhý faktor, je to seed na základe ktorého sa generujú jednorázové kódy TOTP/HOTP/atď.

Dobrý password manager uloží aj heslá pre desktopové aplikácie (VPN klienti, remote desktop klient, apod), certifikáty používateľa alebo vie fungovať ako SSH agent.

Export z LastPass a prechod na Zoho Vault (funguje v Chrome i na iPhone) bez problemu.