Vlákno názorů k článku
Světový den hesel připomíná, jak důležité je správně pracovat s hesly od K> - Clanek na mesec.cz je dobry v tom, ze...

Clanek na mesec.cz je dobry v tom, ze treba poradi si hesla zapsat na papirek.
Ale stejne mam pocit, ze chybi nejaky poradny clanek o spravcich hesel. Protoze vsude se pise - pouzivejte spravce hesel, ale uz malokde napisou jak a ktery.

Si predstavuji nejaky clanek, kde by bylo napsanych nekolik moznosti spravcu hesel, ktery spravce treba prosel auditem, jake jsou vyhody, nevyhody, jak instalovat, jak pozivat, co delat nebo nedelat. S obrazky a nazorne, protoze BFU to potrebuji.

Mám v hlavě dlouho plán takový článek pro Měšec napsat. Chtěl jsem v něm spíš vysvětlit, proč je dobré správce hesel používat a poprat se v něm s těmi mýty, které o nich kolují. Ale zabývat se konkrétními variantami dává samozřejmě taky smysl. Jestli k tomu ještě někdo máte nějaký tip, sem s ním, pomůže mi to. Díky

mě by zajímalo:
- jestli jsou známé nějaké úniky ze správců hesel
- jestli jsou známé nějaké "trojské" správce hesel
- jestli a jak někdo dělá bezpečnostní audit správců hesel
- jak probíhá synchronizace mezi správci hesel na více zařízeních
- jestli by uživatelé měli své heslo ke správci hesel přidávat do závěti, aby v případě náhlého odchodu pozůstalí dokázali třeba ovládat tzv. chytrou instalaci v domě či podobné radosti

jestli jsou známé nějaké úniky ze správců hesel

LastPass ich mal niekolko tusim. Vseobecne mali v minulosti dost otazny pristup k bezpecnosti. Urcite je to vec co by som chvilu Googlil nez si spravcu hesiel vyberiem. (alebo si nechal poradit od niekoho komu v tomto doverujem)

jestli jsou známé nějaké "trojské" správce hesel

Nepochybne. Opat sa oplati hladat na internete co ludia vseobecne odporucaju.

jestli a jak někdo dělá bezpečnostní audit správců hesel

Zalezi od konkretnej spolocnosti. Bitwarden ma k tomu nejake info tu: https://bitwarden.com/help/article/is-bitwarden-audited/

jak probíhá synchronizace mezi správci hesel na více zařízeních

Opat zalezi od konkretneho spravcu hesiel. Bitwarden pri vytvarani hesla sifruje client-side a takto to posiela na server. Ostatne zariadenia potom stahuju sifrovane polozky zo servera a desifruju opat client-side.

jestli by uživatelé měli své heslo ke správci hesel přidávat do závěti, aby v případě náhlého odchodu pozůstalí dokázali třeba ovládat tzv. chytrou instalaci v domě či podobné radosti

Niektori spravcovia hesiel maju tuto funkcionalitu priamo zabudovanu. Bitwarden ma nieco co sa vola emergency access: https://bitwarden.com/help/article/emergency-access/

ve svém okolí zažívám předsudek, že práce se správcem heslem je komplikované, že to chtějí jednoduché. Možná by stálo za to ukázat jak práce probíhá, ideálně na krátkém gifu/videu. Hodně lidí z okolí jsem přesvědčil, když jsem jim reálně ukázal, jak s tím vlastně pracují, z popisu jim to nebylo vůbec jasné, pak jakékoliv argumenty narážejí do zdi.

Podle mne jsou v tomto ohledu tři typy uživatelů (tři přístupy)
- "hurá, kliknu na všechno a nainstaluji si prvního správce hesel, kterého najdu a je mi jedno, jak to funguje"
- "zvážím všechna známá rizika, zjistím, jak přesně to funguje a vyberu si nejdůvěryhodnější řešení"
- "vůbec nechápu, co se v počítači děje, raději si svoje hesla zapíšu do notýsku, kterému rozumím"

kéž by heslo do notýsku, když se podívám mimo IT obor, lidé mají prostě jedno heslo na úplně vše, občas mají i více variant, když je někde trochu jiný požadavek. Správce hesel nepotřebují, jedno heslo si zapamatují, považují to za bezpečnější, protože ho nikde nemají uložené. Nedívají se kam heslo zadávají, kamile se objeví formulář, šup ho tam. Reálná zkušenost s občasné podpory wifi sítí u uživatelů. Nelze to asi generalizovat, ale může to nabízet určitý pohled mimo bublinu.

Chtělo by to střízlivě probrat rizika. Proti čemu ten správce chrání, proti čemu naopak ne. Jaký dodatečný opruz používání toho správce přinese. A jaké chování tu ochranu efektivně ruší. Bez toho si uživatel pro něj přijatelný poměr rizika a opruzu nezvolí.

Příklady:
- Co mi přinese zaheslovaný správce navíc oproti nezaheslovanému uložení hesel v prohlížeči? Pomůže mi to nějak pokud padouch získá přístup k mému počítači?
- Co mi hrozí pokud pro všechny nedůležité stránky použiju stejné heslo? Proč by mi mělo vadit, že někdo vyhákuje nějakou databázi a zvládne se pod mým jménem přihlásit třeba tady na root?

A pak by se hodily tipy, jak řešit některé málo časté ale reálné situace:
- Jsem u nového počítače a chci se dostat ke svým heslům jen s tím, co mám v hlavě. Tohle byla pro mně poslední kapka, kvůli které jsem zase přestal správce hesel používat.
- Co pokud člověk nevlastní smartphone?

Co mi přinese zaheslovaný správce navíc oproti nezaheslovanému uložení hesel v prohlížeči? Pomůže mi to nějak pokud padouch získá přístup k mému počítači?
Pokud padouch získá přístup k vašemu počítači, pomůže vám akorát 2FA.

Co mi hrozí pokud pro všechny nedůležité stránky použiju stejné heslo? Proč by mi mělo vadit, že někdo vyhákuje nějakou databázi a zvládne se pod mým jménem přihlásit třeba tady na root?
Soustředíte se na nedůležitá hesla. Já bych se spíš zaměřil na ta důležitá.

Jsem u nového počítače a chci se dostat ke svým heslům jen s tím, co mám v hlavě.
Jak často měníte počítač? Je tedy ta podmínka „jen s tím, co mám v hlavě“ důležitá?

Co pokud člověk nevlastní smartphone?
Může používat správce hesel na počítači. Nicméně to, že mám všechna hesla kdykoli po ruce, je docela užitečná funkce. Zejména pro lidi, kteří mají těch účtů spoustu, protože třeba spravují nějaké systémy. Smartphone nemusíte používat pro telefonování, můžete ho mít čistě jako kapesní počítač.

"Nicméně to, že mám všechna hesla kdykoli po ruce, je docela užitečná funkce."

Souhlasím, jen bych nevsázel vše na to, že ten telefon bude vždy fungovat. Třeba ho zapomenu dobít, nešikovně mi spadne či se pokazí nějaká aktualizace a já zrovna nutně to heslo budu potřebovat. Viděl jsem takové případy u nešťastných cestujících, kterým telefon nějak selhal a oni nemohli ukázat jízdenku.

A tohle je skvělá ukázka odpovědí, které jsou mi úplně k ničemu. Pan Krčmář to může využít jako odstrašující příklad.

>Pokud padouch získá přístup k vašemu počítači, pomůže vám akorát 2FA.

A ten správce místo nezaheslovaného prohlížeče mi je teda k čemu? Obzvlášť v kontextu zmíněných problémů se synchronizací.

> Soustředíte se na nedůležitá hesla. Já bych se spíš zaměřil na ta důležitá.

A já se zase soustředím na ta nedůležitá, protože ta důležitá mám unikátní a pamatuju si je. A těch nedůležitých je podstatně víc.

> Jak často měníte počítač? Je tedy ta podmínka „jen s tím, co mám v hlavě“ důležitá?

Spíš jak často nemám svůj počítač u sebe. Psal jsem že jsem kvůli tomu přestal správce používat, takže evidentně důležitá je.

> Smartphone nemusíte používat pro telefonování, můžete ho mít čistě jako kapesní počítač.

Když už bych smartphone měl, tak bych ho na telefonování samozřejmě používal. Proč bych měl v takové situaci nosit nějakou další krabičku?

Bylo by fajn se zminit i o 'cloudovych' problemech - co kdyz hacknou cloud serveru, co kdyz cloudova sluzba skonci a ja budu muset resit prenos 200 hesel jinam, co kdyz nepojede internet...

Podle mě tohle částečně řeší "offline" databáze toho správce hesel a cloud se používá jenom na synchronizaci nebo zálohování. Zcizení databáze by mělo být ošetřeno silným šifrováním.

Cloudové problémy jsem zmínil – nejsou žádné. Když hacknou cloud, dostanou se k šifrovaným heslům. Cloud se používá jen k synchronizaci, takže problémy jako konec služby nebo nefunkčnost internetu nijak neovlivní používání správce hesel. Nanejvýš bych musel najít jinou službu pro synchronizaci. Ale jsou i takoví správci hesel, kteří pro synchronizaci používjaí obyčejné soubory a můžete si vybrat, zda je budete synchronizovat přes Dropbox, GDrive, Box nebo další služby.

Je to jistě otázka důvěry. Na jedné straně je fakt, že shromáždíte svoje hesla v zařízení připojeném k počítačové síti. Na druhé straně je důvěra ve správce hesel a sílu jeho šifrování. Člověk musí něčemu věřit, jinak by se zbláznil :)

Stručný "článek" o správcích hesel je bod 21 z přednášky M. Špačka https://www.michalspacek.cz/prednasky/hlava-neni-na-hesl0123-alef/1password-lastpass-keepass Zmíněné 3 možnosti by stačilo doplnit o obrázky použití.

To je pekne, dik

Trochu mi na tom clanku vadi, ze je tam Bitwarden a Dashlane napisany ako alternativa KeePass - zrejme preto ze je to opensource. Ale z praktickeho hladiska by mi prislo vhodnejsie to spomenut ako alternativu LastPass alebo 1Password kedze funkcne su to viac pribuzne aplikacie. (a predpokladam, ze vela ludi zaujima primarne funkcionalita, nie licencia)