Názory k článku
Zranitelnosti správců hesel Bitwarden, LastPass, Dashlane a 1Password

Tak jsem tak zběžně kouknul na ten originální paper - je to velmi ošklivé čtení. To opravdu nejsou nějaké zapomenuté chyby programátora, ale spíš kategorie "od začátku skoro všechno špatně".

Až zase nějaký věrozvěst bude básnit o password managerech, tak vytisknout 100x na čtvrtku a výtisky mu narvat do všech tělních otvorů.

Tak to já třeba básnit pořád budu. Protože i přes tyhle faily (které alespoň sem tam někdo opraví) mi to pořád přijde lepší, než to co vidím reálně co tu dělá běžný lid: jednoduché už tak skoro úhadnutelné heslo, do všech služeb stejné (maximálně v obměně aby to prošlo přes tu kterou complexicity policy) a nejlépe ještě napsané na papíře vedle klávesnice.

Je to tak ... Běžný člověk si nedokáže zapomatovat hesla ve stylu pro každou službu speciální. Vidím to kolem sebe -- lidi mají 2, 3 hesla a ani nevědí kde je všude mají. Pak se někam snaží přihlásit a je to pokus/omyl, případně ještě hůř (jak píšete, což jsem tomu nevěřil že to ještě někde uvidím): hesla na papírkách u počítače. Nedavno jsem to právě zrovna viděl u zubařky. Vtipný bylo že tam byly i adresy portálů a co heslo, to samostatný paírek velkým písmem :-) Úplně vpohodě jsem to přečetl bez námahy i z metru...

Uz je na case se vsech tech hesel zbavit a prejit na neco jineho.

Povidejte to tvurcum vselimoznych aplikaci ;-) Technologie na to mame.

Ja mozna budu delat jednoduchy web s autentizaci.
Jestli jo, autentizace bude jen pomoci passkeys.
Zadny hesla.
Hotove.

Bez ohledu na to, co kam chcete komu narvat, pořád jsou správci hesel zdaleka nejbezpečnější způsob, jak zacházet s hesly. A hesel se bohužel ještě nějakou dobu nezbavíme.

Ty chyby nejsou „od začátku skoro všechno špatně“, ale „u téhle nové funkce je potřeba dávat pozor ještě na tohle“. Asi jako když se ukázalo, že je v kryptografii potřeba dávat pozor i na to, jak dlouho co trvá, protože sítě už jsou tak rychlé, že útočník může měřit rozdíl rychlosti třeba pro správný nebo špatný prefix hesla. Nebo když se později ukázalo, že lze (náhodou opět měřením času) přečíst data z cache jiného vlákna procesoru.

Chyby se opraví, správci hesel budou ještě bezpečnější a drtivá většina útoků bude pořád dál vedena na hesla, která nejsou uložena ve správci hesel, jenom prostě dotyčný používá jedno heslo na více místech, používá slabé heslo nebo to heslo sám zadá do phishingové stránky.

Nejbezpečnější je hesla nemít. Ověřovat se třeba pomocí passkey HW tokenem.

Ale ano, jestli si vybrat všude stejná hesla, hesla na papírku nebo password manager, tak také volím to poslední, jednoznačně.

Třeba věc na kterou se často zapomíná je fakt, že password manager může hodně pomoci s podvodnými stránkami ... pokud mi browser nenabídne sám jméno a heslo k vyplnění, tak to znamená, že jsem nejspíš jinde než kde očekávám že jsem. Minimálně je to důvod se zastavit a vše si pečlivě překontrolovat.