Password managery jsou pohodlné, cílenému útoku se ale neubrání

Hesel, která si musí zapamatovat běžný uživatel počítače, jsou dnes desítky – včetně rodného čísla, čísla kreditní karty a řady dalších údajů. Existují programy, které vám tuhle práci ušetří. Jak fungují a jsou bezpečné?

Pozn. aut.: česky se password manager řekne správce hesel.

Na testování jsme vybrali pětici programů: RoboForm, LastPass, KeePass, Handy Password a Kaspersky Password Manager. Některé jsou zadarmo, za jiné se platí.

RoboForm

verze:
  • RoboForm (omezená verze)
  • RoboForm2Go (instalace na USB flash disk)
  • Roboform Pro (plná verze)
  • RoboForm for iPhone
  • RoboForm for Android
platformy (podle údajů výrobce):
  • Windows 98/2000/XP/Vista/7
  • iPhone, Android
  • prohlížeče: Explorer, Firefox, Opera, Safari a desítky dalších
kde a za kolik:
recenze:

Hned na začátku vás program vyzve k nastavení hlavního hesla, které má chránit „Totožnosti“ (soubory údajů, které se vyplňují do formulářů), „Karty“ (místa, kam se ukládají hesla) a „Tajné poznámky“ (zamknuté dokumenty, kam se dá napsat kód od trezoru apod.). Zde se ukazuje určitá svévole tvůrců vůči uživateli. Nazvat „úložiště hesel“ „kartou“ snižuje intuitivnost a pohodu práce s programem – ale člověk si na druhou stranu rychle zvykne. A je taky hezké, že RoboForm umí česky.

V prohlížeči by se vám po instalaci měl objevit toolbar s ovládacími tlačítky. Nutno říct, že tento toolbar jsem našel jen v Internet Exploreru. Ačkoliv by program měl umět zacházet i s mnoha dalšími prohlížeči, neinstaloval do nich ani žádný toolbar ani nevyhazoval okno při zadávání hesel (odzkoušeno na Firefoxu, Chrome a Opeře). V trayi se objevila malá ikonka a ukousla si 7 MB RAM.

Ukládání hesel zafungovalo bez problémů. Při prvním zadání hesla vyběhne okno RoboFormu a požádá o označení hesla („pojmenování karty“ – například „mail práce“ a podobně). Když se znova ocitnete na stránce, kam je potřeba heslo zadat, program vytuční tlačítko v toolbaru. Po kliknutí na toolbar se vyplní heslo. Problém není ani při práci s několika přihlašovacími jmény na jedné službě.

Přímo z toolbaru je možné se rovnou přihlásit ke službě s uloženým jménem/heslem. S jinými prohlížeči a počítači se dají data synchronizovat přes server RoboFormu, program ještě obsahuje generátor hesel.

Následně jsem vyzkoušel vyplňování formulářů. Narazil jsem na menší nedomyšlenosti, například titul nešel zadat s tečkou (např. Mgr.), pobavilo mě políčko „Důchod“, nevím jestli se tím myslí příjem důchodce nebo třeba národní důchod. Testování vyplnění formulářů dopadlo bídně, program byl schopen rozeznat prakticky jen jméno, příjmení a možná ještě pohlaví nebo rok narození, u zbytku se nechytal.

Shrnutí:

Jednoduchý program, když si na něj zvyknete. Nic víc než ukládání hesel od něj nečekejte. Kdo nemá Internet Explorer, může se setkat s problémy. Dát za tohle 30 dolarů? Asi ne.

1-RoboForm

LastPass

verze:
  • základní verze
  • verze Premium (obsahuje navíc LastPass pro iPhone, Blackberry, Android, WM, Symbian, podporu Yubikey a další)
platformy (podle údajů výrobce):
  • základní: Windows 2000/XP/Vista/7
  • MAC OS X (10.5+)
  • Linux: Ubuntu, Fedora
  • Premium navíc: iPhone, Blackberry, Android, WM, Symbian
  • prohlížeče: Explorer, Firefox, Safari, Chrome
kde a za kolik:
recenze:

LastPass zaujme už při instalaci roztomilými překlady do češtiny, zaujala mě například výzva k nainstalování OK, do toho! nebo heslo „věřit“, které infinitivem evokuje „pomáhat a chránit“ případně „pokorčilá nastavení“ či „kontektujte nás“. Vím, že to není moc důležité, ale splash screen při instalaci mi svojí grafikou zastavil srdce, protože se tvářil jako ty viry, co vám milionkrát zduplikují nějaké okno. Aha, to měla být jakási animace. Dosti posměšků, OK, do toho.

LastPass hned poznal, jaké mám prohlížeče a nabídl mi do nich toolbary. V druhém kroku instalace se dozvíte, že na rozdíl od RoboFormu, který ukládá hesla na vašem PC a odesílá je na server jen, pokud chcete synchronizovat, LastPass komunikuje čile se serverem (kódované, zabezpečené, superbezpečné, nečitelné, bla, bla, bla). Třeba je zde také určit master heslo a nápovědu k němu. Program následně nabídne jakousi importovací funkci, která vytáhne hesla uložené přímo v prohlížečích (Operu ale minul) a přehraje krátký video tutoriál.

Ovládání programu je jednoduché a rychlé, při prvním zadání hesla se LastPass zeptá, jestli si ho má pamatovat, při další návštěvě stránky sám hned vyplní pole (a vpravo do pole vloží svoji ikonu), stačí tedy kliknout a jste přihlášeni. Toolbar programu ve skutečnosti není toolbar s řadou tlačítek, ale tlačítko jediné, což šetří místo v prohlížeči. Přihlásit se je možné také přímo z tlačítka LastPassu v prohlížeči. Rozumně LastPass zafungoval hlavně na Firefoxu a Exploreru, v Chrome chybělo rozbalovací menu a v Opeře se ne a ne ukázat.

Program dále nabízí vyplňování formulářů, a to nefunguje špatně, poznalo asi 80–90 % údajů, které bylo třeba vyplnit v testovacích formulářích. Je také možné psát zabezpečené poznámky. V neposlední řadě umí program exporty do CSV, tisknutí hesel do tabulek nebo generovat hesla. Zaujala mě funkce Grid Authentication. Jde o to, že si necháte programem vytisknout tabulku plnou čísel a znaků, která připomíná šachovnici. Když pak zadáváte hlavní heslo LastPass, musíte zadat na základě (náhodně generovaných) souřadnic 4 čísla z tabulky. Funguje to například jako ochrana proti keyloggerům.

Shrnutí:

Chytrý program, zajímavé funkce, bezproblémové používání. Funguje na více prohlížečích a taky na MAC a třeba Ubuntu. Občas divný překlad do češtiny. Pokud důvěřujete serverům služby, je to dobrá volba.

2-LastPass

KeePass

verze:
  • Classic Edition
  • Professional Edition (vlastně novější verze programu s více vlastnostmi, ale pro běh vyžaduje .Net 2.0+ nebo Mono 2.6+)
  • KeepPassX (pro Linux a MAC)
platformy:
  • Windows 98/2000/XP/Vista/7
  • Linux, Mac OS X
  • PocketPC, mobilní J2ME, iPhone, BlackBerry, PalmOS, Android
  • PortabbleApps Suite, U3, PE
  • prohlížeče: IE, Firefox, Chrome, Safari
kde a za kolik:
recenze:

KeePass je sympatický opensourcový projekt. Má díky tomu zajímavé přednosti, ale i některé nedostatky. Předností je transparentnost, program jasně říká, co dělá, kam to ukládá a tak dále. Hned po instalaci vás vyzve, abyste pojmenovali zašifrovanou databázi s hesly a uložili ji někam na disk. Víte tak přesně, kam se ukládají citlivé informace a máte možnost s umístěním manipulovat.

KeePass nicméně řeší problémy spojené s hesly „hrubou silou“. Nenabízí pohodlné zadávání hesel do databáze přímo z prohlížeče. Místo toho obsahuje přehlednou tabulku, kam musíte „ručně“ vložit přihlašovací stránku, jméno i heslo a případně další informace.

Když pak chcete uložené údaje zadat do polí formuláře na webu, musíte KeePass otevřít z traye (v nastavení programu je možnost minimalizování případně „zavření“ programu do traye, takže se dá dojít k poměrně pohodlné práci), kliknout v seznamu na správný řádek s požadovanou položkou a stisknout CTRL-V. Program následně simuluje klávesnici, postupně napíše jméno, stiskne tabulátor, napíše heslo a stiskne ENTER. Pořadí a klávesy stisknuté mezi vyplňováním se dají snadno nastavit (například zaškrtnutí políčka mezerníkem apod.).

Protože simulace stisknutí kláves je zachytitelná keyloggerem, lze nastavit roztomilou „obfuskaci“, KeePass náhodně některé znaky vynechá, vyplní pole zbytkem znaků a pak se vrací šipkou doleva a doplňuje vynechané znaky.

Další zajímavou výhodou KeePassu jsou pluginy, které se dají do programu instalovat. Jeden například pomůže s vyplněním formulářů, jiný spojí Mozillu Firefox s Keepassem.

Shrnutí:

Robustní program, jasně víte, co kde je, transparentní, open source. Dobré zabezpečení dat. Poněkud méně pohodlná práce. Pro paranoiky výborné.

3-KeePass

HandyPassword

verze:
  • Handy Password
  • Handy Password USB Edition
platformy:
  • Windows 2000/XP/Vista/7
  • prohlížeče: Internet Exporer nebo Mozilla Firefox
kde a za kolik:
recenze:

Také Handy Password ukládá hesla do šifrované databáze, kterou můžete umístit podle svého uvážení. Při instalaci chce program nejen hlavní heslo, ale také heslo k databázi (a zapamatování dvou hesel už není taková pohoda jako jednoho hlavního hesla).

Podle nápovědy by se měl objevit v Exploreru a ve Firefoxu toolbar, mně se ale objevil jen v Exploreru. Z testování jsem byl značně zklamán, hesla se ukládala pohodlně přímo z prohlížeče, ale automatické vyplňování dělalo zmatky, zpomalovalo prohlížeč a zhruba v polovině případů vůbec nefungovalo. Přihlášení na mail se z neznámého důvodu uložilo do databáze jako přihlášení do e-shopu. Program si nevěděl rady s přesměrováním stránek, netrefoval se do správných polí ve správném formuláři nebo nedokázal přihlásit vůbec. Do toolbaru navíc vnutil vyhledávání Google a odkaz na Amazon.com. Za tohle 30 dolarů?

Shrnutí:

Hrůza, napůl nefunkční zmetek. Tomuhle se vyhněte.

4-Handy Password

Kaspersky Password Manager

verze:
  • Handy Password
  • Handy Password USB Edition
platformy:
  • Windows XP/Vista/7
  • prohlížeče: Explorer, Firefox, Avant, Green, Crazy Browser, Enigma Browser, Maxthon 2, Flock, Seamonkey
kde a za kolik:
recenze:

Hned od začátku nabízí Kaspersky zajímavé funkce a nastavení. Při instalaci se vás zeptá, jestli chcete odemykat program heslem nebo USB či Bluetooth zařízením nebo pouštět program bez ochrany. Následuje dotaz, jestli při nečinnosti počítače má program žádat o heslo a po jak dlouhé době. Následuje možnost importu hesel z Exploreru/Fi­refoxu/Outloo­ku/Thunderbir­du a dokonce z Roboformu nebo KeePassu. Zkusil jsem hned ten KeePass, přistupovat k jeho databázi se nepodařilo, přes XML export nebyl problém. Kaspersky PM také nabídl instalaci doplňku do Firefoxu.

Ovládání se tváří moderně, graficky vypadá jako ribbon z nových MS Office, ale jde jen o normální lištu, jen drobet širší a hezky vymalovanou. Ve Firefoxu byla práce velmi pohodlná, doplněk okamžitě rozeznal vyplňování jména a hesla a při příštím vyťukání stránky nabídl uložení. Perfektně se Kaspersky PM vypořádal s několika účty na téže službě: u přihlašovacího pole vyběhla bublina, ve které šlo vybrat požadovaný účet. Prostě vychytané.

Místo ošklivých lišt a zbytečných tlačítek přidá program nenápadné tlačítko do hlavičky prohlížeče, vedle tlačítka pro minimalizaci okna. Žel, vychytávky končí u Exploreru a Firefoxu, Chrome a Safari se nechytaly. Pro další programy nebo nepodporované programy je možné z traye na chvíli vložit heslo do schránky a vytáhnout ho z něho CTRL+V, docela jsem se ale zhrozil, když jsem heslo uviděl v plaintextu po vložení do notepadu. No, tak to je menší díra.

Správa identit a vyplňování formulářů fungovaly velmi dobře. Drobný nedostatek je správa databáze hesel, nejdou třeba přehazovat řádky – což může být problém při správě stovek hesel (patřím zrovna mezi takové exempláře).

Shrnutí:

Propracovaný program i v maličkostech, jednoduchost ovládání, pro Firefox skvělý, pro Explorer použitelný, pro ostatní programy ujde. Vždy spolehlivý.

MIF16

5-Kaspersky


Co říct na závěr srovnání pěti programů? Je ukládání hesel ve specializovaném softwaru vůbec bezpečné? Skvěle na to odpovídá dokumentace ke KeePassu:

Tato sekce odpovídá na otázky jako:

  • zvýšilo by to bezpečnost, kdyby se zašifroval konfigurační soubor, aby se zabránilo změnám škodlivým softwarem?
  • zvýšilo by bezpečnost zašifrování celé aplikace?
  • šlo by zabránit nahrání některých pluginů, aby se zvýšila bezpečnost?

Odpověď na všechny tyhle otázky je: ne. KeePass vás ochrání před běžnými obecnými hrozbami jako jsou keyloggery, monitory schránky, sledovače paměti nebo offline lámání databáze.
Ale v položených otázkách předpokládáme, že na počítači běží spyware specializovaný na průnik do KeePassu. A v takové situaci i ty nejlepší bezpečnostní prvky zklamou. Platí následující pravidlo: „jestliže vás špatní hoši přesvědčí, abyste na svém počítači spustili jejich program, už to není váš počítač.

Upřímnost tvůrců prozrazuje jejich realistické názory na věc, které by ovšem obchodník u jiných produktů zametl pod koberec. Text mimochodem pokračuje příkladem, jak by šlo KeePass napadnout a například zde na q-protex.com najdete návod i s programem na lámání databáze.

Anketa

Používáte nějaký program na ukládání hesel?

42 názorů Vstoupit do diskuse
poslední názor přidán 5. 6. 2016 15:10

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»