Vlákno názorů k článku
Správce hesel LastPass mění podmínky účtů zdarma
od jdobry - Prosim prosim, mohl by me nekdo vysvetlit, proc...
-
Prosim prosim, mohl by me nekdo vysvetlit, proc tolik lidi doporucuje bitwarden? Protoze jesli to spravne chapu, tak jsou synchronizovana jednotliva hesla a provozovatel toho cloudu zna k cemu ty hesla jsou (nebo dokonce ty samotna hesla?). Naproti tomu KeePass (nebo KeePassXC) synchronizuje cely kontajner, kdy jej mohu synchronizovat vice zpusoby, nejsem odsouzeny na jedineho provozovatele a duveru, ze nezklame.
-
Filip JirsákStříbrný podporovatelStejně tak není v silách nikoho dělat audit kódu každé nové verze pluginu do prohlížeče nebo nativní aplikace. Aplikace pro správu hesel bude vždy založená na důvěře. Rozdíl je prakticky jenom v tom, zda aplikace dělá maximum pro ochranu hesel (vše na serveru je zašifrované, ale musíte důvěřovat klientské aplikaci), nebo zda musíte aplikaci důvěřovat absolutně (jména a hesla odesílá v otevřeném tvaru na server – přece důvěřujete autorům aplikace, tak jim důvěřujete i v tom, že s hesly na serveru zacházejí správně a nezneužijí je).
Samozřejmě můžete klientskou aplikaci omezit tak, že nebude komunikovat vůbec s ničím. Což podle mne ale bezpečnost naopak snižuje – protože pak někdy musím hesla opisovat, a hrozí, že podlehnu phishingu, nebo heslo někdo odpozoruje. Proto považuju za bezpečnější, když se hesla synchronizují a vyplňují v prohlížeči, i za cenu, že aplikace musí komunikovat s okolním světem.
-
Jenze v pripade nativni appky je jina situace. Nemusite provadet audit, staci overit hash. Tim je overene, ze mate stejny kod jako ostatni a staci aby to overil ze to nesedi jediny clovek a prijde se na to. Dokonce staci existence te moznosti.
Naproti tomu HASH javascripti v prohlizeci neni jak overit. Neni problem dorucit "zajmovym" osobam jiny kod a nikdo si toho nevsimne. -
Filip JirsákStříbrný podporovatel
Pokud vám jde jen o ověření hashe, to by se v prohlížeči dalo řešit – rozšířením nebo proxy serverem. Podle mne podstatně větší problém je to, aby někdo důvěryhodný reálně ten audit udělal.
-
Cituji z dokumentace :
"Bitwarden always encrypts and/or hashes your data on your local device before anything is sent to cloud servers for storage. Bitwarden servers are only used for storing encrypted data. For more information, see Storage."
https://bitwarden.com/help/article/what-encryption-is-used/A také více v https://bitwarden.com/help/article/data-storage/
-
Jenze to, ze se to sifruje a desifruje u me je v okamziku existence web vault snad uplne jedno ne? Vse co se v prohlizeci zobrazi ma pod kontrolou primo nebo neprimo a hlavne obousmerne provozovatel sluzby. Jinak receno pri kompromitaci sluzby jsem v ... bez ohledu na to sifrovani ne? Nebo me neco unika?
-
to tak není pravda, i plugin do prohlížeče je open source, můžeš mít svůj. Servovou část můžeš mít také vlastní. Případně lze zakázat automatické aktualizace prohlížeče a držet se staršího pluginu.
Otázka co je horší, kopírovat hesla přes schránku, ke které má přístup každá spuštěná aplikace (a dokonce i stránky samotné) nebo mít plugin v prohlížeči, který má hesla rozšiřovaný.
-
Filip JirsákStříbrný podporovatel
Hlavně při tom kopírování hesla přes schránku je jenom na uživateli, aby si zkontroloval, zda heslo vkládá do pravé stránky. V případě doplňku v prohlížeči by měl uživatel velice zpozornět, když mu heslo, které má uložené, doplněk nenabídne automaticky. Pro mne je tohle vlastně důležitější funkce správce hesel, než to, že mi umožňuje snadno používat silná unikátní hesla.
-
A ještě bezpečnostní audit :
https://bitwarden.com/blog/post/bitwarden-network-security-assessment-2020/ -
no, bezpečnostní audit, tohle je spíše výsledek nějakého automatického skenu či něco podobného, určitě to není bezpečnostní audit jak by člověk čekal.
Code review od Cure53 proběhlo před 3 lety, https://cdn.bitwarden.com/misc/Bitwarden%20Security%20Assessment%20Report.pdf, od té doby se ale značná část kódu změnila, viz pro serverovou část https://github.com/bitwarden/server/graphs/code-frequency nebo pro mobilní aplikaci https://github.com/bitwarden/mobile/graphs/code-frequency. Změny nastaly i v částech, které se starají i šifrování.
Dneska bych teda bezpečnostním auditem již neargumentoval. Je to dobrá známka toho, že na to dbají, ale po několika letech a spoustách změn v kódu již není platný. K dobru také mluví, že drtivou většinu změn pořád dělá sám CTO a nových vývojářů zase tolik není, kvalitu kódu lze čekat tedy podobnou.
-
no zrovna keePass mě připadá jako horší varianta, ty jeho super funkce, kdy změnou nastavení je možné ho donutit hesla exportovat je prostě super.
Nevýhoda KeePassu ale je pro mě nemožnost to plnohodnotně používat v týmu, na více zařízeních. Prostě poslední kdo to uloží, přepíše poslední změny ostatním.
bitwarden nevidí ani metadata k heslům.
