Vlákno názorů k článku
Světový den hesel připomíná, jak důležité je správně pracovat s hesly od Libor Peltan - Vnímám rady a nabádání, abych používal správce hesel....

Vnímám rady a nabádání, abych používal správce hesel. Jenže si nějak nedokážu představit, že (a jak) bych správce hesel používal.

1) správce hesel v cizím cloudu -- není to daleko větší bezpečnostní riziko? Jak to přesně funguje?
2) správce hesel ve vlastním cloudu -- single point of failure? (nehledě na to, že vlastní cloud (ještě) nemám)
3) správce hesel bez cloudu -- může se synchronizovat mezi zařízeními? Jak?
4) správce hesel v konkrétním zařízení -- co když ho někde rozflákám?

Celkově mi to připadá takové nepružné. Často dělám to, že si na nějakém cizím (třeba kamarádově) počítači otevřu "pornomód" a přihlašuju se někam. Se správcem hesel bych byl limitovaný tím, že bych se mohl přihlašovat jen z přístrojů, kde je nainstalovaný, nakonfigurovaný a synchronizovaný.

V hlavě udržím několik hesel (nevím kolik, ale zatím snad všechna). Přiznám se, že některá hesla mám na více službách stejná či podobná, ale jde o nekritické služby. Kromě toho mám i mustr na hesla, která pak vypadají rozdílně, ale mám na ně svůj mentální algoritmus (středně těžko odhalitelný). Ale není to ono, a to hlavně v konfliktech s tím, jak různé služby vynucují určitý formát hesel (např. musí tam být speciální znak, ale ne čárka atd...)

Výše uvedené problémy se řeší zálohováním, tohle přeci není problém. Synchronizace je řešitelná mnoha způsoby, nemusí v tom být ani žádný cloud. Pokud se vám cloud nelíbí, nepoužívejte ho.

Já se hlásím výhradně ze svých zařízení, ale i kdybych se hlásil na jiném, není problém vytáhnout z kapsy mobil a to jedno heslo do cizího počítače opsat. Nemusím si tam instalovat správce hesel a dávat cizímu počítači přístup ke všem svým heslům. Ale jak říkám, v praxi to vůbec není problém, dnes se připojím přímo z mobilu nebo mám po ruce vlastní notebook.

"Synchronizace je řešitelná mnoha způsoby, nemusí v tom být ani žádný cloud." neodpovídá na otázku jak to udělat.

1) Neviem presne ako funguju ostatni spravcovia hesiel, ale kedysi som prispieval nejake tie commity do bitwarden_rs (teraz vaultwarden) co je 3rd party implementacia Bitwarden servera a tam to funguje tak, ze server samotny ma pristup iba k sifrovanym datam. Takmer vsetko je sifrovane client side okrem par nevyhnutnych metadat aby fungovala synchronizacia a zdielanie.

Dokonca ani hlavne heslo ktorym sa prihlasujes sa neposiela priamo na server ale sa z neho vygeneruje hash a tym ta server overi. Keby si sa nejako dostal k datam na serveri, este stale potrebujes samotne hlavne heslo (ktore na server nikdy neposielas) aby si desifroval data. Preto je potrebne toto hlavne heslo mat naozaj dobre.

Cela praca s heslami sa potom deje client-side, cize tam lezi ta skutocna dovera a ak sa niekomu podari kompromitovat konkretnu aplikaciu, tak moze dojst k uniku hesiel - ale to je spolocne asi pre vsetkych spravcov hesiel. Videl som ze niektori ludia riesia aj tuto moznost tak, ze k dolezitym strankam maju ulozene heslo v spravcovi a potom este dopisu nejaky kratky text rucne ked sa prihlasuju - a ten si nikam neukladaju. (taky extra "salt" toho hesla)

Ono to znie ako riziko (a aj je) ale prakticky vzate alternativa je zvycajne taka ze ludia pouzivaju to iste heslo "na par strankach" (realne na kvante stranok, na mnohe uz davno zabudli) a pre unik takeho hesla staci aby ktorakolvek z tych sluzieb bola hacknuta. Dobry vyvojar spravcu hesiel bude mat trosku ine bezpecnostne standardy ako nahodny eshop ktory spravuje "svagrov syn za par drobnych". (prehanam, ale chapeme sa)

2) Pri self hostingu plati to iste ako pri cloud verzii bitwardenu, ze server samotny v principe je "untrusted" a naraba iba so sifrovanymi datami. Ak ti niekto hackne server, opat zalezi ako silne je tvoje hlavne heslo. V pripade toho bitwardenu niektori ludia maju svoj server dostupny iba v ramci LAN (napriklad firmy kde ludia nepotrebuju pristup k heslam mimo siete, alebo kde staci mimo LAN read-only pristup) alebo cez VPN. Cize teoreticky narozdiel od cloud sluzby mozes mat spravcu hesiel dostupnu iba "interne".

Tu ale tiez musis nejako riesit zalohy - inak ti hrozi prave ten single point of failure. Vaultwarden zalohy pre par pouzivatelov dokazu byt dost male (ak ludia neukladaju vela velkych suborov) typicky nejakych max 5MB, cize to je vec ktoru mozes kludne z cronu posielat niekam do S3 alebo kdekolvek inde (v prilohe emailu?) kludne aj kazdy den. Zalohy by si samozrejme mal sifrovat, ale aj keby nie, opat plati, ze tie data ktore Vaultwarden uklada su uz z principu sifrovane, lebo tak ich posiela klientska appka.

Vela ludi Vaultwarden pouziva na raspberry pi - dokonca aj na tom najmensom pi zero bezi v pohode. (pre par pouzivatelov) Cize nejaky "vlastny cloud" mozes mat pomerne jednoducho. Ale opat, mysli na zalohy - vratane toho ako ich obnovis ked nebudes mat pristup k heslam v tom spravcovi hesiel, lebo tvoje raspberry zhorelo, alebo nieco take.

3) Videl som ludi pouzivat keepass a potom samotne subory ktore keepass pouziva synchronizovat napriklad cez syncthing. V takom pripade nepotrebujes ziaden "cloud" ale opat potrebujes nejako riesit zalohy.

4) Zalohy. Dokonca aj v pripade toho cloud providera by si tie zalohy mal nejake mat. Lebo moze sa stat ze firma jedneho dna zmizne.

Co sa tyka tej nepruznosti, mozes na druhej strane povedat ze tvoj system je tiez nepruzny lebo si prakticky nuteny pouzivat tie iste hesla na viacerych strankach.

V ramci rodiny mame niekolko zdielanych hesiel - urobit nieco take bez spravcu hesiel opat zvycajne spolieha na to ze mate nejake spolocne heslo ktore pouzivate vsade. A ak ho musis zmenit tak to musis vsetkym nejako oznamit namiesto toho aby sa proste nove heslo synchronizovalo u vsetkych pouzivatelov.

V ramci toho ze mam vlastnu domenu, mozem pouzivat rozne adresy na registraciu na roznych strankach - opat nemusim si pamatat ktory email som pouzil kde. A tiez ked mi zacne chodit spam na konkretnu adresu, viem kto moju adresu zverejnil. (gmail umoznuje robit nieco podobne cez adresa+hocico@gma­il.com - cize aj bez vlastnej domeny mozes robit nieco podobne hoci vela spammerov asi bude dostatocne inteligentna aby ten suffix odstranili)

Tiez si spomenul ze nie vzdy sa da konkretne heslo pouzit na konkretnej stranke pretoze maju svoje vlastne pravidla ako ma heslo vyzerat. Toto je opat problem s flexibilitou tvojho pristupu, spravcovia hesiel s tym nezvyknu mat problem.

A pre mna najvacsia vyhoda toho celeho je, ze moj spravca hesiel je tak trochu aj "spravca zaloziek" a taka miniaturna knowledge base. Vela krat si neviem spomenut konkretnu adresu stranky, ale v poznamke mam napisane nieco ako "platba odvoz smeti" a proste len v Bitwardene zadam "smeti" a kliknem "otvorit" a otvori mi rovno prihlasovaci formular. Pri niektorych heslach mam napriklad poznamky ako dane heslo pouzit. (typicky napriklad hesla k roznym zariadeniam, ktore napr. potrebuju nejaky specialny sposob ako sa k nim dostat - cez VPN, nejaky port forwarding a podobne) Opat si tieto veci nemusim pamatat. Nevravim ze to pouzivam ako Wiki, ale take male textove poznamky sa vela krat hodia.

Mam shodny pohled na svet hesel jako vy.

Naprosto nechapu pouzivani password manazeru, kde po prolomeni jednoho "vchodu" ma utocnik vsechna moje hesla vsude... masakr. A je mi uplne jedno, jestli na tom vchode jsou 2 zamky, 3 nebo za prvnim vchodem jsou jeste jedny dvere...

Osobne take delim hesla na nekolik urovni/typu a dle toho je vytvarim, vzdy svym (pekne jste to nazval) mentalnim algoritmem, tudiz mam rekneme 20-30 hesel, ktera pouzivam na rekneme 150-300 sluzeb/zarize­ni/endpointu.

A 20-30 hesel, ktera jsou mi mentalne blizka, si proste pamatuju.

Je třeba si položit otázku, před čím se chráníte? Praxe ukazuje, že je třeba se bránit před uhádnutím hesla a únikem hesel ze služeb. Tomu brání nejlépe situace, kdy je každé heslo unikátní a velmi složité. Pak jej nelze uhádnout a jeho únik z databáze neublíží dalším službám. Toho lze efektivně dosáhnout jen správcem hesla.

Proti tomu útok na správce hesel je hypotetická koncepce. Pokud máte takto hesla uložená na svém počítači a pod svou kontrolou (je nesmysl automaticky slučovat správce hesel a cloud), pak hrozí jen minimální riziko.

Pokud mi navíc někdo kompromituje počítač, je jedno, jestli mám hesla v něm zapsaná nebo je ťukám z hlavy. Protože pokud ovládá můj počítač, v každém případě se k nim dostane. Jen tou variantou memorovací mám možnost si ta hesla oslabit, protože si rozhodně neumím zapamatovat stovky unikátních náhodných hesel.

„Pokud mi navíc někdo kompromituje počítač, je jedno, jestli mám hesla v něm zapsaná nebo je ťukám z hlavy. Protože pokud ovládá můj počítač, v každém případě se k nim dostane.“

To asi nebude pravda. Když jsou hesla v manažeru, stačí útočníkovi stáhnout jeho úložiště a pak už jej buďto lámat kdekoliv libovolnou silou, nebo zachytit jediné heslo keyloggerem, kdy po prolomení získává útočník vše. Bez manažeru získává útočník pouze to, co uživatel vepíše po spuštění keyloggeru a trvání útoku, zbytek zůstává skryt. I přes jiné výhody je z tohoto pohledu manažer hesel slabým místem.

To předpokládá, že má útočník omezený čas ovládat ten počítač. V praxi ale může malware zachytávat hesla celé měsíce. Nemít kompromitovaný počítač je v každém případě pro jakoukoliv bezpečnost zásadní.

Ano, správce hesel není ultimátní neprůstřelné řešení. To ale nikdo netvrdí. Ale když porovnáte používání správce hesel a psaní hesel z hlavy, je správce hesel nesrovnatelně bezpečnější.