Vlákno názorů k článku
Zranitelnosti správců hesel Bitwarden, LastPass, Dashlane a 1Password
od Wasper - Tak jsem tak zběžně kouknul na ten originální...
-
Tak jsem tak zběžně kouknul na ten originální paper - je to velmi ošklivé čtení. To opravdu nejsou nějaké zapomenuté chyby programátora, ale spíš kategorie "od začátku skoro všechno špatně".
Až zase nějaký věrozvěst bude básnit o password managerech, tak vytisknout 100x na čtvrtku a výtisky mu narvat do všech tělních otvorů.
-
Tak to já třeba básnit pořád budu. Protože i přes tyhle faily (které alespoň sem tam někdo opraví) mi to pořád přijde lepší, než to co vidím reálně co tu dělá běžný lid: jednoduché už tak skoro úhadnutelné heslo, do všech služeb stejné (maximálně v obměně aby to prošlo přes tu kterou complexicity policy) a nejlépe ještě napsané na papíře vedle klávesnice.
-
Je to tak ... Běžný člověk si nedokáže zapomatovat hesla ve stylu pro každou službu speciální. Vidím to kolem sebe -- lidi mají 2, 3 hesla a ani nevědí kde je všude mají. Pak se někam snaží přihlásit a je to pokus/omyl, případně ještě hůř (jak píšete, což jsem tomu nevěřil že to ještě někde uvidím): hesla na papírkách u počítače. Nedavno jsem to právě zrovna viděl u zubařky. Vtipný bylo že tam byly i adresy portálů a co heslo, to samostatný paírek velkým písmem :-) Úplně vpohodě jsem to přečetl bez námahy i z metru...
-
Tak isto sa obavate chodit po ulici bez masky, pretoze by vas mohol niekto natocit a zneuzit vasu tvar?
Uplny zaklad v takychto pripadoch je nejaka trivialna risk-analyza. Je uplne ocividne, ze vec bezvyznamnej hodnoty kde je riziko zneuzitia minimalne, si nezasluzi ani cent namahy na ochranu.K meritu veci: no tak zmenim heslo, vyrobim novy papierik a zdzubem ftipalka. (ked uz z nejakeho dovodu chcem pouzivat papierik)
-
Myslíte ten vestavěný password manager, který je celou dobu volně na disku, a i když má možná master password, tak je stejně prakticky celou dobu i v paměti (a když odejde disk, tak je v ... trapu)?
Nebo ten úžasný password manager, kde si může provozovatel (nebo hacker, co ho hacknul) usmyslet, že do paketu po přihlášení pošle další vlastní public key a on ochotně, při nejbližším save jím zašifruje master key, jak je popsáno v článku na který reagujete?BTW ne v každé domácnosti je zvykem se bezmyšlenkovitě fotit, aby ten papírek utekl, a ke zneužití je potřeba, aby útočník ovládal počítač právě ve chvíli, kdy ho člověk přepisuje...
-
Bez ohledu na to, co kam chcete komu narvat, pořád jsou správci hesel zdaleka nejbezpečnější způsob, jak zacházet s hesly. A hesel se bohužel ještě nějakou dobu nezbavíme.
Ty chyby nejsou „od začátku skoro všechno špatně“, ale „u téhle nové funkce je potřeba dávat pozor ještě na tohle“. Asi jako když se ukázalo, že je v kryptografii potřeba dávat pozor i na to, jak dlouho co trvá, protože sítě už jsou tak rychlé, že útočník může měřit rozdíl rychlosti třeba pro správný nebo špatný prefix hesla. Nebo když se později ukázalo, že lze (náhodou opět měřením času) přečíst data z cache jiného vlákna procesoru.
Chyby se opraví, správci hesel budou ještě bezpečnější a drtivá většina útoků bude pořád dál vedena na hesla, která nejsou uložena ve správci hesel, jenom prostě dotyčný používá jedno heslo na více místech, používá slabé heslo nebo to heslo sám zadá do phishingové stránky.
-
Nejbezpečnější je hesla nemít. Ověřovat se třeba pomocí passkey HW tokenem.
Ale ano, jestli si vybrat všude stejná hesla, hesla na papírku nebo password manager, tak také volím to poslední, jednoznačně.
Třeba věc na kterou se často zapomíná je fakt, že password manager může hodně pomoci s podvodnými stránkami ... pokud mi browser nenabídne sám jméno a heslo k vyplnění, tak to znamená, že jsem nejspíš jinde než kde očekávám že jsem. Minimálně je to důvod se zastavit a vše si pečlivě překontrolovat.
ČLÁNKY DO MAILU