Názory k článku
Světový den hesel připomíná, jak důležité je správně pracovat s hesly

191 hesel? To je šílené. Já se považuji za magora, kterému nedělá problém registrovat se kamkoliv + k tomu mám hromadu účelových mailů, ale i tak mám v osobním správci hesel méně, než je tento průměr. A nedostanu se na něj ani se započítáním hesel z pracovního...

6. 5. 2021, 09:51 editováno autorem komentáře

A v tom spravci mas vsechno?

(Ja jich mam 700+, ale neco z toho budou duplicity typu www.foo.com a m.foo.com a nebo jmeno@prijmeni.cz na foo.com i prezdivka na foo.com. A je to historie, co se tahne nejakych 20 let zpet).

v bitwardenu mam 745
nejsou to samozejme jenom verejny webovy sluzby ale i webrozhrani vsemoznejch zarizeni na siti

takze je otazka ne jakej jsi magor ale jak velkou sit spravujes :)

Je pravda, že mít takhle dlouhou historii, asi by se mi to taky nasčítalo. Já to mám za 2 roky s tím, že ori přechodu na aktuálního správce hesel jsem udělal dost nemilosrdnou čistku.

A jelikož síť s hromadou zařízení nespravuji, nemám takový příliv nových loginů)...

v pracovnícg jich mám dohromady asi 8000, v osobním skoro 1000, řada služeb je i mých, jsou tam i různé routery, servery a jiné zařízení. Málokdy to ale promazávám, vesměs jen přidává. Drtivá většina jsou generované, minimum zadávané ručně.

Už se těším na dobu, až hesla zmizí úplně, za mě by to měla být technikálie na pozadí, něco jako access a refresh tokeny u oauth2. Nechci, abych si musel pro každou službu vymýšlet heslo podle jejich pravidel s neomezenou platností, spravovat ho, posílat ho pořád dokola po síti a bát se, že někde unikne.

Heslo je něco, co by mělo zaniknout. Dnes vůbec nevím, jak radit lidem v okolí jak spravovat hesla. Jsou rodiny, kde sdílejí telefony, notebooky, zároveň každý má svoje služby. Kličenky na to nejsou připravené, OS také ne, ti lidé s tím chtějí mít co nejméně práce a zároveň chtějí mít soukromý (ano, jde to proti sobě, ale je to logické, že chci použitelné věci).

Líbilo by se mi, kdyby každý mohl mít svůj osobní HW token (klidně by to dnes mohl být i mobilní telefon), tam sdílená i vlastní hesla, ten přiložil k počítači/telefonu a fungovalo by mu tam jeho přihlašování. Jsem v IT a ani já si tohle neumím správně nastavit pro všechny služby.

stačil by jeden kľuč a v

.ssh/authorized_ke­ys

alebo

pcscd, pričom elektronickým občianskym z EÚ sa ide prihlásiť aj do MS Windows

hloupost... Doufám, že hesla nikdy nezmizí. Ve finále je stejně vše zneužitelné a je jedno jestli to je jestli jde o nějaký správce hesel, HW klíčenku či biometrické ověření.

No vidíte, rozděluji hesla a účty na dvě skupiny:
1) důležité (banka, datovka atd.),
2) v podstatě spam

ad 1) pokud jde mám zapnutou 2FA, unikátní heslo na službu (takže tak do 20ti),
ad 2) jedno stejné heslo na vše, v drtivé většině jsem heslo neměnil několik let.

Tak to mas dost jednoduchoucky model hrozeb.

ty Vaše hrozby jsou je slušně nafouklá bublina. Existuje plno služeb, ke mám docela jednoduché heslo a možná i více jak 10 let. Měnit hesla po 3 měsících je nesmysl.

Zneužít i ukrást lze vše. A jestli že jsou lidé, co jsou schopni se dostat i do FBI, tak nějaké heslo nepomůže. Ani jeho "rádoby" složitost či více stupňová autorizace.

zmizení hesel jsem myslel nadneseně, při používání správcu hesel vlastně samotná hesla už moc neřeším. Výpočetní výkon se zvyšuje, stejně tak schopnost hesla lámat, prodlužovat hesla a přidávat znaky není řešení, už teď mám systémy, kde je minimum 12 znaků.

Systém, který popisuješ je velice zranitelný a nejspíš už můžeš být obětí útoků a tvoje přihlašovací údaje mohou někde putovat. O tom, že je někdo zneužívá nemusíš ani vědět, útočníci vyčkávají a až najednou se to stane.

Argument, že je vše zneužitelné nemůžeš používat ad absurdum. Obecně se bráním proti reálným hrozbám a únik hesel od služeb, které používám je na denním pořádku a dávat jim heslo, které používám jinde je obrovsky rizikové. Napadání HW klíčenek a správců hesel zatím takové riziko dnes nepředstavuje, možná se to změní, tak se změní i přístup k tomu.

Hlavne ta generovana hesla jsou naprosto kontraproduktivni. Uz o tom bylo napsano dost. Jsou dobra pro jednorazova prihlaseni do ruznych pochybnych sluzeb nebo for, ale tam kde heslo pouzivate casto... no a dvoufaktorova autentizace, to je dalsi buzzword, kterym se chrani hlavne provozovatele sluzeb, zaroven jim to dava moznost shromazdovat dalsi udaj o uzivateli, uzivateli to komfort rozhodne neprinese. Smysl to ma u rekneme kritickych sluzeb, ale jinak je to jen demonstrace neschopnosti zabezpecit stavajici kanal. Za chvili budeme mit trojfaktorovou autentizaci, kde se bude identifikovat oblicejem, otiskem prstu a vzorkem slin.

Dvoufaktorová autorizace nesouvisí s osobními údaji ani s biometrií. Třeba já se hlásím do řady služeb pomocí tokenu, buď zabudovanému v mobilu nebo v USB. Ani jedno nevyzrazuje žádné moje osobní údaje.

Dvoufaktorová autorizace má velký dopad na zlepšení bezpečnosti, protože únik hesla uživatele tolik nebolí. Když vložím ze schránky omylem heslo sem do diskuse místo do přihlašovacího formuláře vedle, tak se nestane nic. Nikdo ho nemůže použít k přihlášení ke službě.

Nesouhlasim - instalaci tokenove aplikace treti strany na svuj mobil davame dane strane naprosto neidentifikovatelne mnozsti udaju o nas a nasem zarizeni - pokud jsi tedy mel na mysli veci jako treba MS authenticator Predanim napr. telefonniho cisla sice asi neni osobni udaj, ale jeho poskytnuti ma byt dobrovolne, nikoli nutnou podminkou k pristupu k nejake sluzbe, nemluve o nutnosti opisovat krypticke kody napr. ze SMS. Vysledkem bude, stejne jako u prekomplikovanych politik pro hesla, ze to lidi budou sulit. Biometrii jsem uvedl pouze jako extremni pripad budoucich pozadavku na vicefaktorovou autorizaci. Ono to tak v podstate je uz dnes - otiskem prstu se prihlasujeme do mobilu, i do nekterych bankovnich aplikaci...

Jenže to pleteš několik věcí dohromady. Otiskem se na mobilu autentizuješ jen tomu telefonu, nikam neputuje a rozhodně se jím nepřihlašuješ do služby.

Tokenem jsem myslel FIDO2 token nebo třeba OTP. Ani v jednom případě nepředáváš žádné informace o sobě ani žádném svém jiném údaji. Tedy platí, že dvoufaktor rozhodně nemusí být spojený s nějakými osobními informacemi.

Opakuji ze biometrii jsem uvedel jen jako moznost dalsiho pozadavku v autentizaci, kdyz uz ma "kazdy" u sebe zarizeni, ktere je umoznuje sejmout (dnes jsou soucasti i oficialnich dokumentu (biometricke pasy apod.)) nevidim duvod, proc by je dana sluzba nemohla vyzadovat ke zpracovani primo, protoze neveri danemu zarizeni... hlas uz dnes take zadne zarizeni nezpracovava lokalne, resp. max. predzpracovava, ale vyhodnoceni je jinde.

Tak pouzij nejakou OSS alternativu ke google Authenticatoru. Mas 2FA jak za praku a zadne z realnych i fiktivnich problemu, co zminujes. Dokonce nepotrebujes ani smartphone.

Pre OTP nemusis pouzivat aplikaciu od korporatu. Mozes pouzit napriklad https://freeotp.github.io/

V mobilu mám open-source aplikaci andOTP, která nikam nic neposílá. Z šestimístného kódu nemá daná služba šanci jakkoliv zjistit cokoliv o zařízení, na kterém byl ten kód vygenerovaný.
Pak mám hardwarový FIDO klíč, který ani žádnou speciální aplikaci nevyžaduje. Prostě ho přiložím/zmáčknu, když si to prohlížeč při přihlašování vyžádá.
Popravdě nevím, jak by to mělo narušovat moje soukromí. Oba ty faktory jsou anonymní.

Muzes mi prosim sdelit co myslis tim "mnozstvim udaju" v pripade ze na mobilu pustim apku, vygeneruji OTP a to prepisu do "inputu" na zarizeni kde se prihlasuji ? V tomto pripade opravdu nic neposkytujes. Ty mas asi na mysli prihlasovani nekterych instituci kde pustis appku v mobilu a tam odkliknes ze se chces prihlasit a ta apka cosi "posle" instituci, tady mas pravdu ze nemas uplne pod kontrolou co ta apka posila. Jinak receno neni 2FA jako 2FA ;-). Napriklad nektery 2FA reseni jsou zalozeny na fyzickem tokenu ( mobil s tim nema nic spolecneho ) ktery generuje OTP. Napriklad takovy Google Authenticator je sice apka do mobilu ktera ovsem jenom generuje OTP ktery se zadavaj "rucne".

Bohužel banky/ spořitelny se rozhodly vynalézat znovu kolo a ještě to přitom svádí nepoužitelnost na EU. Asi jim nikdo neřekl, že by Google Authenticator taky fungoval a nemusely by se tam zadávat přihlašovací údaje k bance, ale to by nemohly vnutit svojí custom appku všem lidem... :-)
Takže teď mám heslo k OTP v aplikaci v telefonu, kde jsem rozhodně nechtěl nikdy zadávat přihlašovací údaje k bance a potom teda ještě to původní heslo k bance. No prostě totálně na hlavu.

Jinak rozumně implementované 2FA je super, ale to by člověk asi čekal moc od instituce, kde zrovna 2FA je asi nejpodstatnější.

Pokud jste přihlašovací údaje k bance zadával do mobilu, naletěl jste nějakému podvodníkovi. Doporučuju kontaktovat banku s tím, že váš účet byl napaden – banka vám poradí, jak postupovat.

Princip zabezpečení internetového bankovnictví pomocí mobilu spočívá v tom, že na mobilu nikdy přihlašovací údaje k IB nezadáváte. Takže kdybyste měl napadený počítač nebo mobil (ne obojí), tak útočník nebude mít dostatek údajů, které by mohl použít pro přihlášení.

Děkuji za starost, ale opravdu to mám správně podle oficiálního návodu a všechno, viz video: https://www.ostsaechsische-sparkasse-dresden.de/de/home/service/online-mobile-banking/pushtan.html?n=true&stref=productbox

Předpokládám, že to u České spořitelny bude podobně, protože jsou obě v Erste Group.

Psal jsem na spořitelnu, že je to fakt debilní nápad, ale nedostal jsem odpověď, tak nevím, co si mám myslet. Asi půjdu výhledově jinam...

6. 5. 2021, 18:41 editováno autorem komentáře

Súhlasím, a osobne 2FA nepoužívam a nechcem používať. Pretože nijak mi to nepridáva k bezpečnosti účtu ale len to pridáva trápenie, otravuje ako používateľa.

> Pretože nijak mi to nepridáva k bezpečnosti účtu
Co prosim? To bych asi potreboval vysvetlit.

Asi tak že 2FA žiadajú už aj tam, kde účet by netrebalo vlastne vôbec, ale je tam lebo "je to in"... keby si vedel koľko účtov s heslom "Heslo123456" mám... a nie, fakt to nepridáva bezpečnosti, keď vlastne zverejným heslo k mailu, ku ktorému je to registrované a 2FA je "pošleme Vám na mail 4 miestne číslo".

6. 5. 2021, 13:01 editováno autorem komentáře

To je ale úplně jiné tvrzení, než ten nesmysl, kterým jsi začal.

Hlavne ta generovana hesla jsou naprosto kontraproduktivni. Uz o tom bylo napsano dost. Jsou dobra pro jednorazova prihlaseni do ruznych pochybnych sluzeb nebo for, ale tam kde heslo pouzivate casto...
V čem jsou kontraproduktivní? Kde o tom něco bylo napsáno? Mému správci hesel je teda úplně jedno, jestli někam vyplňuje generované heslo nebo heslo ručně vytvořené. Výhoda generovaného hesla je ovšem v tom, že je vygenerované hned, bez námahy a nemusím přemýšlet, jestli tam nezadávám nějaký vzor a jestli tedy heslo bude mít opravdu entropii odpovídající jeho délce.

kterym se chrani hlavne provozovatele sluzeb
Jo jo, znát náhodně vygenerovaný klíč, to je sen každého provozovatele.

uzivateli to komfort rozhodne neprinese
Smyslem dvoufaktorové autentizace ovšem není přinášet komfort. Smyslem je zvýšit bezpečnost.

> "Smyslem dvoufaktorové autentizace ovšem není přinášet komfort. Smyslem je zvýšit bezpečnost."

ono ve finále, je to úplně jedno. Pokud by se už stalo, že se někdo stane cílem útoku, tak je jedno, jedli bude mít normální heslo nebo 2FA. Navýšení bezpečnosti je nula nula prd.

To záleží na mnoha okolnostech a k tomu, jak přesně bude ten útok vypadat. Pokud to bude klasický vzdálený útok přes internet, kterých je drtivá většina, tak rozhodně 2FA pomůže. Útočník se nedokáže dostat k mému tokenu a tajemství v něm.

I kdyby druhé tajemství bylo v mobilu, pořád je pak třeba napadnout dvě různá zařízení. Občas se to někomu povede (obvykle zmanipuluje uživatele k instalaci podvodné aplikace do mobilu), ale rozhodně to útok významně komplikuje. Poučený uživatel má velkou šanci se ubránit.

Tak pro mne je zase kontraproduktivni drzet vsechno v jednom spravci hesel. Svim zpusobem je to jen jina obdoba mit na vsechno jedno heslo. Jestli nekdo prolomi tveho spravce budes na tom podstatne hur protoze ani nebudes tusit jake heslo kde mas.

Pfffff.... troška nezmyselné... za 1. akým spôsobom by niekto prelomil spravce hesel? Ak myslíš vir priamo v tvojom zariadení, aký je rozdiel medzi tým či to prečíta zo správcu alebo bude keyloggerom čo prečíta zmáčknuté klávesy? za 2. máš osobitne pre každý účet aj iný mail, aby ti nevedeli vyresetovať pre všetky účty heslo len tým že získajú prístup k tvojmu mailu? za 3. akým spôsobom si pamätáš všetkých niekoľko desiatok či stoviek hesiel? Asi máš v tom pattern, alebo sú tie hesla absurdne jednoduché, alebo je máš niekde napísané na papiery? Ak je máš na papiery, tak vlastne v porovnaní so správcom aký je rozdiel, teda okrem toho že si trápený ručným prepisovaním a tým že papier je viac na očiach ľudom naokolo, a menej bezpečné riešenie, kedy pri požiary napríklad stratíš prístup do všetkých účtov, lebo papier s heslami zhorí? Navyše ten papier ani nie je v trezore kde potrebuješ nejaké heslo? No to určite bezpečnejšie nie je. A popravde ak zadávaš heslo na klávesnici tak máš iné hrozby - niekto odkuká, alebo využije aj útok https://www.firstpost.com/tech/news-analysis/hackers-can-use-smartphone-microphones-to-track-your-passwords-research-7191701.html

To se může stát. Existuje nějaká statistika, jak často dochází k prolomení správců hesel? Tedy aspoň ty zjištěné případy...

Ne, v žádném případě to není obdoba toho mít na vše jedno heslo. Když máte na vše jedno heslo, může znát to heslo každý, u koho máte účet. Když používáte správce hesel, to heslo znáte jenom vy.

Je pozoruhodné, kolik lidí vůbec nechápe, že u bezpečnosti je důležité riziko. A tváří se, že riziko prolomení správce hesel je stejné, jako riziko, že všude používané heslo unikne od někoho z tisíců lidí, kteří k němu mají teoreticky přístup, nebo prostě unikne z nějaké databáze.

Generovana hesla nejsou kontratproduktivni. Je to naprosty zaklad (dokud visime na pouzivani hesel).

A pri tom sú heslá zaručene najbezpečnejšia vec pre authentifikáciu, pretože to nemá hmotnú podobu (ktorú by šlo ukradnúť). Odtlačok prsta, však sa každý deň chytáme tisícky predmetov z ktorých nie je problém ho odobrať a vytvoriť dostatočne kvalitný umelý prst aby oklamal systém,... alebo príde za tebou niekto s pílkou a odpíli ti ho... to isté rozpoznanie tváre, či iné faktory... jednoznačne heslo je najbezpečnejšie, resp. akýkoľvek "token", ako aj FIDO klúče pre 2FA. A súhlasím že password manager a generovanie hesla sú najlepšie čo môže byť.

>odpíli ti ho.
> umelý prst

Moderné čítačky vedia ropzlíšiť živé mŕtve tkanivo a teda j a plasový prst

Ještě jim vysvětlit, že můj prst je můj prst a nikoliv kus umělé hmoty. ;oD
Osobně mívám opačný problém: čtečka otisků mne prostě "nebere".

https://vysetrenie.zoznam.sk/cl/1000663/1357232/Obrovsky-uspech-vedy--Vedci-v-laboratoriu-vypestovali-ludske-ucho

asi toľko... kto hovorí o mŕtvom,... myslíš že sa nedá vytvoriť aj živé?

Navyše odpílený prst neumrie okamžite, takže i tak môže na nejakú krátku dobu umožniť authentifikáciu.

6. 5. 2021, 14:01 editováno autorem komentáře

Generovane heslo je nezapamatovatelne, takze ho ukladate do nejakeho uloziste. Napadeni daneho uloziste je katastrofa a protoze ho dnes kazdy vlaci vsude online je to katastrofa dvojnasobna. MMMCH mate generovane heslo i k te klicence na hesla?

Samozrejme, ze generovane heslo je nezapomatovatelne. Protoze zapamatovatelne heslo je spatne heslo. (OK, prehanim - presnejsi by bylo rict, ze zapamatovatelnych hesel, co nejsou spatna, muze mit clovek par. Zejmena pro BFU je ten pocet extremne omezeny.)

Už jsem četl hlášku (parafrázováno): "Prosím, s ohledem na bezpečnost si zvolte heslo, které není možné si snadno zapamatovat. Je nebezpečné heslo někam opisovat, prosím, zapamatujte si jej."

6. 5. 2021, 12:33 editováno autorem komentáře

Napadení úložiště hesel je teoretická záležitost. Phishing, kdy osobně heslo zadáte do špatné stránky, protože si nevšimnete, že je adresa špatná, je reálná záležitost, děje se dnes a denně.

Pro přístup ke klíčence na hesla používám otisk prstu (na mobilu) a Windows Hello na desktopu. Záložní heslo ke klíčence zatím generované nemám, protože na jednom počítači zatím nemám zprovozněn jiný přístup ke klíčence, než heslo. Až to vyřeším, heslo změním na generované. Ale pamatovat si jedno silné heslo není problém.

Má to jednu chybku: pokud vám ve firemní síti zablokují clipboard (aby se náhodou něco nepřeneslo někam...), tak se ta hesla velmi špatně opisují - zvláště ve chvíli, kdy vidíte jen hvězdičky, puntíky, případně vůbec nic. Potom "zlaté 123456TAJNEheslo"!
(Poznámka: instalovat si neschválené správce hesel je, pochopitelně, také zakázáno...)

Pokud potřebujete bezpečná zapamatovatelná hesla, doporučuji toto: https://www.rempe.us/diceware/#czech hodí se to i v případě, že se potřebujete přihlašovat někde, kde se heslo z password manageru zkopírovat nedá (ať už je to zakázaná schránka, nebo třeba když se hlásíte přímo na konzolu).

Jedinou nevýhodou je, že spousta systémů nevyžaduje délku, ale "komplexnost" vynucovanou tím, že potřebujete velká/malá písmena, číslo a speciální znak.

Poprosil bych Vás o nějaké odkazy na téma:
> generovana hesla jsou naprosto kontraproduktivni

a také:
> dvoufaktorova autentizace chrani hlavne provozovatele sluzeb, zaroven jim to dava moznost shromazdovat dalsi udaj o uzivateli

Děkuji

Omlouvam se a opravuji svou vetu na: za leta cteni ruznych clanku, ktere si neukladam pro pozdejsi argumentaci na rootu, jsem nabyl dojmu ze generovana hesla jsou kontraproduktivni, nebot konci napsana na papircich nebo v jinych ulozistich., mimo hlavu, kam doposud hesla patrila. Take jsem nabyl dojmu ze heslo:
"Poprosil bych Vás o nějaké odkazy na téma:" je bezpecnejsi nez "he&RN9$Zb0P1". Jedina vyhoda toho druheho je, ze ho z vas nevymlati.

Druhy faktor dava moznost sledovat dalsi udaje o uzivateli. Google to dela uz dnes, kdyz shromazduje udaje o tom z jakeho zarizeni se obykle prihlasujete. Tady organizace dostane udaj jako telefonni cislo, system ktery pouzivate apod. Netvrdim ze to tak je u vsech 2FA opet opakuji "dava to moznost". To ze to chrani hlavne provozovatele chapu tak, ze tim provozovatel sluzby prenesl odpovednost za "zvysenou" bezpecnost na uzivatele, takze pokud se neco stane, muze za to uzivatel^2, u sluzby je to totiz stale stejne derave PHP session ID.

Takže dojmologie po nabytí dojmu ;-)

Nevim jestli je to dojmologie ale v praxi to tak funguje. Byl jsem na poste/czechpoint neco vyrizovat a urcite tam maji nejakou "password policy" menit hesla a bla bla, vysledek byl takovy ze zenska s usmevem na rtech zvedla klavesnici a precetla heslo na papirku co pod ni mela ulozene ;-). Generovana hesla jsou fakt zverstvo, navic je fakt prokazane ze heslo "bory sumi po skalinach" je urcite lepsi nezli "K#399$X3_a" prave z tech duvodu popsanych vyse.

Hesla patří do správce hesel, ne do hlavy. Generovaná hesla správci hesel nevadí – právě naopak, rozumný správce hesel umí hesla generovat.

Druhy faktor dava moznost sledovat dalsi udaje o uzivateli.
Druhý faktor je obvykle klíč, který máte uložený v nějakém zařízení a na základě kterého se vygeneruje jednorázové heslo. Sledování uživatelů je jen váš výmysl.

Google to dela uz dnes, kdyz shromazduje udaje o tom z jakeho zarizeni se obykle prihlasujete.
To ovšem nijak nesouvisí s 2FA.

Tady organizace dostane udaj jako telefonni cislo, system ktery pouzivate apod.
Jaká organizace? Proč by dostávala telefonní číslo nebo systém?

Netvrdim ze to tak je u vsech 2FA opet opakuji "dava to moznost".
Ale tímhle způsobem „dává možnost“ naprosto cokoli.

To ze to chrani hlavne provozovatele chapu tak, ze tim provozovatel sluzby prenesl odpovednost za "zvysenou" bezpecnost na uzivatele, takze pokud se neco stane, muze za to uzivatel^2, u sluzby je to totiz stale stejne derave PHP session ID.
Největší riziko je na straně uživatele. To největší riziko je, že použije stejné heslo někde jinde. Další riziko je, že heslo omylem zadá do špatné stránky, dále že heslo odchytí nějaký vir.

2FA není o posílání sms přes telefon, např. nové PSD2 SCA už ani sms nepovažuje při ověření platby za vhodné.

Problém hesel je, že se přenáší po síti, že je spravuje druhá strana, od které unikají jak na běžícím pásu. Nelze tedy cyklovat jednotky hesel mezi více službami, to je reálný problém. Stejně tak nelze hesla měnit mezi službami podle nějakého vzorce, lidé prostě nejsou tak nápaditý, aby již tyhle vzorce nebyly dávno součástí slovníkových útoků. Řešením je tedy mít ke každé službě naprosto jiné heslo a tady nastává problém jak si je zapamovat a vytvořit. Do popřetí přichází generovaná hesla a pamatování si je přes správce hesel.

Výhoda je, že hesla mám plně pod kontrolovou, únik od služby ohrozí pouze danou službu a ne ostatní. Mohu používat jednotky pro mě dobře zapamatovatelných hesel, které vždy zůstanou jen na mých zařízení (nemusím používat cloudového právce hesel).

2FA (ideálně v provedení OTP) je obrana proti zneužití hesla, považuji to za dočasný mechanismus a do budoucna to nejspíš nahradí právě sám mobilní telefon nebo podobné osobní zařízení. Důležité je, že třetí strana, která se nějak dostane k heslům (např. únikem, sledováním síťového provozu) není schopná hesla přímo zneužít. Použití na 2FA něčeho jako FIDO2 nechává opět veškeré údaje u mě na mých zařízeních a snižuje to závislost na třetí straně. 2FA chrání samouzřejmě provozovatel a s tím i zneužití mého účtu, je to zeď, která znesnadňuje zneužití. Není to obrana proti tomu, když mi někdo ukradne telefon, odemče ho a zneužije.

Vnímám rady a nabádání, abych používal správce hesel. Jenže si nějak nedokážu představit, že (a jak) bych správce hesel používal.

1) správce hesel v cizím cloudu -- není to daleko větší bezpečnostní riziko? Jak to přesně funguje?
2) správce hesel ve vlastním cloudu -- single point of failure? (nehledě na to, že vlastní cloud (ještě) nemám)
3) správce hesel bez cloudu -- může se synchronizovat mezi zařízeními? Jak?
4) správce hesel v konkrétním zařízení -- co když ho někde rozflákám?

Celkově mi to připadá takové nepružné. Často dělám to, že si na nějakém cizím (třeba kamarádově) počítači otevřu "pornomód" a přihlašuju se někam. Se správcem hesel bych byl limitovaný tím, že bych se mohl přihlašovat jen z přístrojů, kde je nainstalovaný, nakonfigurovaný a synchronizovaný.

V hlavě udržím několik hesel (nevím kolik, ale zatím snad všechna). Přiznám se, že některá hesla mám na více službách stejná či podobná, ale jde o nekritické služby. Kromě toho mám i mustr na hesla, která pak vypadají rozdílně, ale mám na ně svůj mentální algoritmus (středně těžko odhalitelný). Ale není to ono, a to hlavně v konfliktech s tím, jak různé služby vynucují určitý formát hesel (např. musí tam být speciální znak, ale ne čárka atd...)

Výše uvedené problémy se řeší zálohováním, tohle přeci není problém. Synchronizace je řešitelná mnoha způsoby, nemusí v tom být ani žádný cloud. Pokud se vám cloud nelíbí, nepoužívejte ho.

Já se hlásím výhradně ze svých zařízení, ale i kdybych se hlásil na jiném, není problém vytáhnout z kapsy mobil a to jedno heslo do cizího počítače opsat. Nemusím si tam instalovat správce hesel a dávat cizímu počítači přístup ke všem svým heslům. Ale jak říkám, v praxi to vůbec není problém, dnes se připojím přímo z mobilu nebo mám po ruce vlastní notebook.

"Synchronizace je řešitelná mnoha způsoby, nemusí v tom být ani žádný cloud." neodpovídá na otázku jak to udělat.

1) Neviem presne ako funguju ostatni spravcovia hesiel, ale kedysi som prispieval nejake tie commity do bitwarden_rs (teraz vaultwarden) co je 3rd party implementacia Bitwarden servera a tam to funguje tak, ze server samotny ma pristup iba k sifrovanym datam. Takmer vsetko je sifrovane client side okrem par nevyhnutnych metadat aby fungovala synchronizacia a zdielanie.

Dokonca ani hlavne heslo ktorym sa prihlasujes sa neposiela priamo na server ale sa z neho vygeneruje hash a tym ta server overi. Keby si sa nejako dostal k datam na serveri, este stale potrebujes samotne hlavne heslo (ktore na server nikdy neposielas) aby si desifroval data. Preto je potrebne toto hlavne heslo mat naozaj dobre.

Cela praca s heslami sa potom deje client-side, cize tam lezi ta skutocna dovera a ak sa niekomu podari kompromitovat konkretnu aplikaciu, tak moze dojst k uniku hesiel - ale to je spolocne asi pre vsetkych spravcov hesiel. Videl som ze niektori ludia riesia aj tuto moznost tak, ze k dolezitym strankam maju ulozene heslo v spravcovi a potom este dopisu nejaky kratky text rucne ked sa prihlasuju - a ten si nikam neukladaju. (taky extra "salt" toho hesla)

Ono to znie ako riziko (a aj je) ale prakticky vzate alternativa je zvycajne taka ze ludia pouzivaju to iste heslo "na par strankach" (realne na kvante stranok, na mnohe uz davno zabudli) a pre unik takeho hesla staci aby ktorakolvek z tych sluzieb bola hacknuta. Dobry vyvojar spravcu hesiel bude mat trosku ine bezpecnostne standardy ako nahodny eshop ktory spravuje "svagrov syn za par drobnych". (prehanam, ale chapeme sa)

2) Pri self hostingu plati to iste ako pri cloud verzii bitwardenu, ze server samotny v principe je "untrusted" a naraba iba so sifrovanymi datami. Ak ti niekto hackne server, opat zalezi ako silne je tvoje hlavne heslo. V pripade toho bitwardenu niektori ludia maju svoj server dostupny iba v ramci LAN (napriklad firmy kde ludia nepotrebuju pristup k heslam mimo siete, alebo kde staci mimo LAN read-only pristup) alebo cez VPN. Cize teoreticky narozdiel od cloud sluzby mozes mat spravcu hesiel dostupnu iba "interne".

Tu ale tiez musis nejako riesit zalohy - inak ti hrozi prave ten single point of failure. Vaultwarden zalohy pre par pouzivatelov dokazu byt dost male (ak ludia neukladaju vela velkych suborov) typicky nejakych max 5MB, cize to je vec ktoru mozes kludne z cronu posielat niekam do S3 alebo kdekolvek inde (v prilohe emailu?) kludne aj kazdy den. Zalohy by si samozrejme mal sifrovat, ale aj keby nie, opat plati, ze tie data ktore Vaultwarden uklada su uz z principu sifrovane, lebo tak ich posiela klientska appka.

Vela ludi Vaultwarden pouziva na raspberry pi - dokonca aj na tom najmensom pi zero bezi v pohode. (pre par pouzivatelov) Cize nejaky "vlastny cloud" mozes mat pomerne jednoducho. Ale opat, mysli na zalohy - vratane toho ako ich obnovis ked nebudes mat pristup k heslam v tom spravcovi hesiel, lebo tvoje raspberry zhorelo, alebo nieco take.

3) Videl som ludi pouzivat keepass a potom samotne subory ktore keepass pouziva synchronizovat napriklad cez syncthing. V takom pripade nepotrebujes ziaden "cloud" ale opat potrebujes nejako riesit zalohy.

4) Zalohy. Dokonca aj v pripade toho cloud providera by si tie zalohy mal nejake mat. Lebo moze sa stat ze firma jedneho dna zmizne.

Co sa tyka tej nepruznosti, mozes na druhej strane povedat ze tvoj system je tiez nepruzny lebo si prakticky nuteny pouzivat tie iste hesla na viacerych strankach.

V ramci rodiny mame niekolko zdielanych hesiel - urobit nieco take bez spravcu hesiel opat zvycajne spolieha na to ze mate nejake spolocne heslo ktore pouzivate vsade. A ak ho musis zmenit tak to musis vsetkym nejako oznamit namiesto toho aby sa proste nove heslo synchronizovalo u vsetkych pouzivatelov.

V ramci toho ze mam vlastnu domenu, mozem pouzivat rozne adresy na registraciu na roznych strankach - opat nemusim si pamatat ktory email som pouzil kde. A tiez ked mi zacne chodit spam na konkretnu adresu, viem kto moju adresu zverejnil. (gmail umoznuje robit nieco podobne cez adresa+hocico@gma­il.com - cize aj bez vlastnej domeny mozes robit nieco podobne hoci vela spammerov asi bude dostatocne inteligentna aby ten suffix odstranili)

Tiez si spomenul ze nie vzdy sa da konkretne heslo pouzit na konkretnej stranke pretoze maju svoje vlastne pravidla ako ma heslo vyzerat. Toto je opat problem s flexibilitou tvojho pristupu, spravcovia hesiel s tym nezvyknu mat problem.

A pre mna najvacsia vyhoda toho celeho je, ze moj spravca hesiel je tak trochu aj "spravca zaloziek" a taka miniaturna knowledge base. Vela krat si neviem spomenut konkretnu adresu stranky, ale v poznamke mam napisane nieco ako "platba odvoz smeti" a proste len v Bitwardene zadam "smeti" a kliknem "otvorit" a otvori mi rovno prihlasovaci formular. Pri niektorych heslach mam napriklad poznamky ako dane heslo pouzit. (typicky napriklad hesla k roznym zariadeniam, ktore napr. potrebuju nejaky specialny sposob ako sa k nim dostat - cez VPN, nejaky port forwarding a podobne) Opat si tieto veci nemusim pamatat. Nevravim ze to pouzivam ako Wiki, ale take male textove poznamky sa vela krat hodia.

Mam shodny pohled na svet hesel jako vy.

Naprosto nechapu pouzivani password manazeru, kde po prolomeni jednoho "vchodu" ma utocnik vsechna moje hesla vsude... masakr. A je mi uplne jedno, jestli na tom vchode jsou 2 zamky, 3 nebo za prvnim vchodem jsou jeste jedny dvere...

Osobne take delim hesla na nekolik urovni/typu a dle toho je vytvarim, vzdy svym (pekne jste to nazval) mentalnim algoritmem, tudiz mam rekneme 20-30 hesel, ktera pouzivam na rekneme 150-300 sluzeb/zarize­ni/endpointu.

A 20-30 hesel, ktera jsou mi mentalne blizka, si proste pamatuju.

Je třeba si položit otázku, před čím se chráníte? Praxe ukazuje, že je třeba se bránit před uhádnutím hesla a únikem hesel ze služeb. Tomu brání nejlépe situace, kdy je každé heslo unikátní a velmi složité. Pak jej nelze uhádnout a jeho únik z databáze neublíží dalším službám. Toho lze efektivně dosáhnout jen správcem hesla.

Proti tomu útok na správce hesel je hypotetická koncepce. Pokud máte takto hesla uložená na svém počítači a pod svou kontrolou (je nesmysl automaticky slučovat správce hesel a cloud), pak hrozí jen minimální riziko.

Pokud mi navíc někdo kompromituje počítač, je jedno, jestli mám hesla v něm zapsaná nebo je ťukám z hlavy. Protože pokud ovládá můj počítač, v každém případě se k nim dostane. Jen tou variantou memorovací mám možnost si ta hesla oslabit, protože si rozhodně neumím zapamatovat stovky unikátních náhodných hesel.

„Pokud mi navíc někdo kompromituje počítač, je jedno, jestli mám hesla v něm zapsaná nebo je ťukám z hlavy. Protože pokud ovládá můj počítač, v každém případě se k nim dostane.“

To asi nebude pravda. Když jsou hesla v manažeru, stačí útočníkovi stáhnout jeho úložiště a pak už jej buďto lámat kdekoliv libovolnou silou, nebo zachytit jediné heslo keyloggerem, kdy po prolomení získává útočník vše. Bez manažeru získává útočník pouze to, co uživatel vepíše po spuštění keyloggeru a trvání útoku, zbytek zůstává skryt. I přes jiné výhody je z tohoto pohledu manažer hesel slabým místem.

To předpokládá, že má útočník omezený čas ovládat ten počítač. V praxi ale může malware zachytávat hesla celé měsíce. Nemít kompromitovaný počítač je v každém případě pro jakoukoliv bezpečnost zásadní.

Ano, správce hesel není ultimátní neprůstřelné řešení. To ale nikdo netvrdí. Ale když porovnáte používání správce hesel a psaní hesel z hlavy, je správce hesel nesrovnatelně bezpečnější.

Aky nazor mate na Bitwarden online trezor ? Pripadne Firefox lockwise ?

Ja som v tomto nepochybne zaujaty, lebo som dost dlho prispieval do bitwarden_rs (teraz vaultwarden) a v upstreame prispievam prekladmi a sem-tam nejakym bug reportom. Cize ber to s odstupom.

Kazdopadne mam skusenost s Bitwarden a s 1Password. A Bitwarden mi pride v mnohych smeroch omnoho uzivatelsky privetivejsi. Naopak 1password ma trochu navrch v tom, ze pozna niekolko roznych "typov" hesiel, co sa obcas hodi. (ale da sa bez toho zit) Oba maju klientske aplikacie pre v podstate vsetky bezne OS a pluginy pre vsetky majoritne browsery. Plus commandline klienta co sa tiez obcas hodi.

Lockwise som moc nepouzival, ale pride mi to byt pomerne chudobna alternativa tychto dvoch. (co sa funkcii a klientskych aplikacii tyka)

Skôr mi ide o to, či ste OK dávať heslá do cloudy. Bitwarden tvrdí, že je to jednosmerné šifrovanie a ani oni nevedia čo tam je.

Ano to je pravda. Bitwarden (tak ako vacsina dobrych password managerov) sifruje data client-side. Jedine co server vidi plaintext je UUID danej polozky, typ a kto je jej vlastnik. (aby vedel co a kam synchronizovat) Vsetko ostatne (vratane nazvu) je sifrovane.

Cize realne doverujes aplikacii cez ktoru k tym heslam pristupujes a na server spoliehas v podstate len v tom zmysle, ze ti nieco nezmaze.

Diky @mprasil za tvoje prispivani do bitwarden_rs. Pouzivam ho nekolik mesicu a jsem s nim fakt spokojenej.

Poslednou dobou uz nemam tolko volneho casu, tak tych prispevkov je menej, ale uz to tak nevadi, tych contributorov je teraz pomerne dost a casy ked sme na tom ja a Dani (autor) robili sami su uz davno prec.

Inak par dni sa zmenilo meno na vaultwarden, tak sa pozri ci nieco v tvojom nastaveni nepotrebujes zmenit aby si mal aktualizacie.

Inak ak mas cas, Cesky preklad Bitwardenu este stale nie je uplne kompletny: https://crowdin.com/profile/kspearrin

Tak pripadne zvaz ze ci nechces pomoct aj upstreamu. Absolutna vacsina funkcionality je client-side, cize ta vdaka patri hlavne im a toto moze byt dobry sposob ako sa im odvdacit.

Co třeba správce hesel v mobilu se zálohováním na nějaké paměťové médium, včetně možnosti "hardcopy" (tisku na papír). Z mobilu lze heslo opsat do jakéhokoliv klávesového rozhraní.

Pro zjednodušení opisování použít QR kód, zobrazený na displeji mobilu a přečtený např. kamerou notebooku nebo kamerou u klávesnice přístupového systému (podobně jako u jízdenek ve vlacích).

Existuje něco takového?

Z mobilu lze heslo opsat do jakéhokoliv klávesového rozhraní.
Což je právě problém, protože můžete heslo opsat do podvržené stránky. Opsání hesla beru jako poslední možnost, když jsem třeba na úplně cizím počítači (kterému aspoň trochu věřím).

Považují se v tomto smyslu za hesla i různé přístupové kódy u kterých je potřeba mít fyzický přístup? Např. kód k sejfu, k vstupní brance, k systému, k telefonu, k SIM kartě, k platební kartě....

Evidentně ne. Ovšem u sejfu nebo vstupní branky se vám asi nestane, že byste kód zadával do sejfu nebo u vstupní branky podstrčené útočníkem. U té vstupní branky může být nějaká kamera, která kód přečte, ale to holt je problém toho hardwaru, že tam kód nejde zadat bezpečnějším způsobem.

Měl jsem na mysli, jestli se takové přístupové kódy (jako např. k platební kartě) doporučuje také ukládat do správce hesel. Pak by dávala smysl ta aplikace v mobilu.

Clanek na mesec.cz je dobry v tom, ze treba poradi si hesla zapsat na papirek.
Ale stejne mam pocit, ze chybi nejaky poradny clanek o spravcich hesel. Protoze vsude se pise - pouzivejte spravce hesel, ale uz malokde napisou jak a ktery.

Si predstavuji nejaky clanek, kde by bylo napsanych nekolik moznosti spravcu hesel, ktery spravce treba prosel auditem, jake jsou vyhody, nevyhody, jak instalovat, jak pozivat, co delat nebo nedelat. S obrazky a nazorne, protoze BFU to potrebuji.

Mám v hlavě dlouho plán takový článek pro Měšec napsat. Chtěl jsem v něm spíš vysvětlit, proč je dobré správce hesel používat a poprat se v něm s těmi mýty, které o nich kolují. Ale zabývat se konkrétními variantami dává samozřejmě taky smysl. Jestli k tomu ještě někdo máte nějaký tip, sem s ním, pomůže mi to. Díky

mě by zajímalo:
- jestli jsou známé nějaké úniky ze správců hesel
- jestli jsou známé nějaké "trojské" správce hesel
- jestli a jak někdo dělá bezpečnostní audit správců hesel
- jak probíhá synchronizace mezi správci hesel na více zařízeních
- jestli by uživatelé měli své heslo ke správci hesel přidávat do závěti, aby v případě náhlého odchodu pozůstalí dokázali třeba ovládat tzv. chytrou instalaci v domě či podobné radosti

jestli jsou známé nějaké úniky ze správců hesel

LastPass ich mal niekolko tusim. Vseobecne mali v minulosti dost otazny pristup k bezpecnosti. Urcite je to vec co by som chvilu Googlil nez si spravcu hesiel vyberiem. (alebo si nechal poradit od niekoho komu v tomto doverujem)

jestli jsou známé nějaké "trojské" správce hesel

Nepochybne. Opat sa oplati hladat na internete co ludia vseobecne odporucaju.

jestli a jak někdo dělá bezpečnostní audit správců hesel

Zalezi od konkretnej spolocnosti. Bitwarden ma k tomu nejake info tu: https://bitwarden.com/help/article/is-bitwarden-audited/

jak probíhá synchronizace mezi správci hesel na více zařízeních

Opat zalezi od konkretneho spravcu hesiel. Bitwarden pri vytvarani hesla sifruje client-side a takto to posiela na server. Ostatne zariadenia potom stahuju sifrovane polozky zo servera a desifruju opat client-side.

jestli by uživatelé měli své heslo ke správci hesel přidávat do závěti, aby v případě náhlého odchodu pozůstalí dokázali třeba ovládat tzv. chytrou instalaci v domě či podobné radosti

Niektori spravcovia hesiel maju tuto funkcionalitu priamo zabudovanu. Bitwarden ma nieco co sa vola emergency access: https://bitwarden.com/help/article/emergency-access/

ve svém okolí zažívám předsudek, že práce se správcem heslem je komplikované, že to chtějí jednoduché. Možná by stálo za to ukázat jak práce probíhá, ideálně na krátkém gifu/videu. Hodně lidí z okolí jsem přesvědčil, když jsem jim reálně ukázal, jak s tím vlastně pracují, z popisu jim to nebylo vůbec jasné, pak jakékoliv argumenty narážejí do zdi.

Podle mne jsou v tomto ohledu tři typy uživatelů (tři přístupy)
- "hurá, kliknu na všechno a nainstaluji si prvního správce hesel, kterého najdu a je mi jedno, jak to funguje"
- "zvážím všechna známá rizika, zjistím, jak přesně to funguje a vyberu si nejdůvěryhodnější řešení"
- "vůbec nechápu, co se v počítači děje, raději si svoje hesla zapíšu do notýsku, kterému rozumím"

kéž by heslo do notýsku, když se podívám mimo IT obor, lidé mají prostě jedno heslo na úplně vše, občas mají i více variant, když je někde trochu jiný požadavek. Správce hesel nepotřebují, jedno heslo si zapamatují, považují to za bezpečnější, protože ho nikde nemají uložené. Nedívají se kam heslo zadávají, kamile se objeví formulář, šup ho tam. Reálná zkušenost s občasné podpory wifi sítí u uživatelů. Nelze to asi generalizovat, ale může to nabízet určitý pohled mimo bublinu.

Chtělo by to střízlivě probrat rizika. Proti čemu ten správce chrání, proti čemu naopak ne. Jaký dodatečný opruz používání toho správce přinese. A jaké chování tu ochranu efektivně ruší. Bez toho si uživatel pro něj přijatelný poměr rizika a opruzu nezvolí.

Příklady:
- Co mi přinese zaheslovaný správce navíc oproti nezaheslovanému uložení hesel v prohlížeči? Pomůže mi to nějak pokud padouch získá přístup k mému počítači?
- Co mi hrozí pokud pro všechny nedůležité stránky použiju stejné heslo? Proč by mi mělo vadit, že někdo vyhákuje nějakou databázi a zvládne se pod mým jménem přihlásit třeba tady na root?

A pak by se hodily tipy, jak řešit některé málo časté ale reálné situace:
- Jsem u nového počítače a chci se dostat ke svým heslům jen s tím, co mám v hlavě. Tohle byla pro mně poslední kapka, kvůli které jsem zase přestal správce hesel používat.
- Co pokud člověk nevlastní smartphone?

Co mi přinese zaheslovaný správce navíc oproti nezaheslovanému uložení hesel v prohlížeči? Pomůže mi to nějak pokud padouch získá přístup k mému počítači?
Pokud padouch získá přístup k vašemu počítači, pomůže vám akorát 2FA.

Co mi hrozí pokud pro všechny nedůležité stránky použiju stejné heslo? Proč by mi mělo vadit, že někdo vyhákuje nějakou databázi a zvládne se pod mým jménem přihlásit třeba tady na root?
Soustředíte se na nedůležitá hesla. Já bych se spíš zaměřil na ta důležitá.

Jsem u nového počítače a chci se dostat ke svým heslům jen s tím, co mám v hlavě.
Jak často měníte počítač? Je tedy ta podmínka „jen s tím, co mám v hlavě“ důležitá?

Co pokud člověk nevlastní smartphone?
Může používat správce hesel na počítači. Nicméně to, že mám všechna hesla kdykoli po ruce, je docela užitečná funkce. Zejména pro lidi, kteří mají těch účtů spoustu, protože třeba spravují nějaké systémy. Smartphone nemusíte používat pro telefonování, můžete ho mít čistě jako kapesní počítač.

"Nicméně to, že mám všechna hesla kdykoli po ruce, je docela užitečná funkce."

Souhlasím, jen bych nevsázel vše na to, že ten telefon bude vždy fungovat. Třeba ho zapomenu dobít, nešikovně mi spadne či se pokazí nějaká aktualizace a já zrovna nutně to heslo budu potřebovat. Viděl jsem takové případy u nešťastných cestujících, kterým telefon nějak selhal a oni nemohli ukázat jízdenku.

A tohle je skvělá ukázka odpovědí, které jsou mi úplně k ničemu. Pan Krčmář to může využít jako odstrašující příklad.

>Pokud padouch získá přístup k vašemu počítači, pomůže vám akorát 2FA.

A ten správce místo nezaheslovaného prohlížeče mi je teda k čemu? Obzvlášť v kontextu zmíněných problémů se synchronizací.

> Soustředíte se na nedůležitá hesla. Já bych se spíš zaměřil na ta důležitá.

A já se zase soustředím na ta nedůležitá, protože ta důležitá mám unikátní a pamatuju si je. A těch nedůležitých je podstatně víc.

> Jak často měníte počítač? Je tedy ta podmínka „jen s tím, co mám v hlavě“ důležitá?

Spíš jak často nemám svůj počítač u sebe. Psal jsem že jsem kvůli tomu přestal správce používat, takže evidentně důležitá je.

> Smartphone nemusíte používat pro telefonování, můžete ho mít čistě jako kapesní počítač.

Když už bych smartphone měl, tak bych ho na telefonování samozřejmě používal. Proč bych měl v takové situaci nosit nějakou další krabičku?

Bylo by fajn se zminit i o 'cloudovych' problemech - co kdyz hacknou cloud serveru, co kdyz cloudova sluzba skonci a ja budu muset resit prenos 200 hesel jinam, co kdyz nepojede internet...

Podle mě tohle částečně řeší "offline" databáze toho správce hesel a cloud se používá jenom na synchronizaci nebo zálohování. Zcizení databáze by mělo být ošetřeno silným šifrováním.

Cloudové problémy jsem zmínil – nejsou žádné. Když hacknou cloud, dostanou se k šifrovaným heslům. Cloud se používá jen k synchronizaci, takže problémy jako konec služby nebo nefunkčnost internetu nijak neovlivní používání správce hesel. Nanejvýš bych musel najít jinou službu pro synchronizaci. Ale jsou i takoví správci hesel, kteří pro synchronizaci používjaí obyčejné soubory a můžete si vybrat, zda je budete synchronizovat přes Dropbox, GDrive, Box nebo další služby.

Je to jistě otázka důvěry. Na jedné straně je fakt, že shromáždíte svoje hesla v zařízení připojeném k počítačové síti. Na druhé straně je důvěra ve správce hesel a sílu jeho šifrování. Člověk musí něčemu věřit, jinak by se zbláznil :)

Stručný "článek" o správcích hesel je bod 21 z přednášky M. Špačka https://www.michalspacek.cz/prednasky/hlava-neni-na-hesl0123-alef/1password-lastpass-keepass Zmíněné 3 možnosti by stačilo doplnit o obrázky použití.

To je pekne, dik

Trochu mi na tom clanku vadi, ze je tam Bitwarden a Dashlane napisany ako alternativa KeePass - zrejme preto ze je to opensource. Ale z praktickeho hladiska by mi prislo vhodnejsie to spomenut ako alternativu LastPass alebo 1Password kedze funkcne su to viac pribuzne aplikacie. (a predpokladam, ze vela ludi zaujima primarne funkcionalita, nie licencia)