Názory k článku
Password managery jsou pohodlné, cílenému útoku se ale neubrání

Proc? Jakmile vymazes nastaveni prohlizece, pamatovani hesel je pryc. Take to neresi pamatovani hesel napric pocitaci. MYSLI CLOVECE!

Vy nepoužíváte nic jiného než prohlížeč?

Z pohledu bezpečnosti a způsobu ukládání hesel v prohlížečích nevidím velký rozdíl mezi uložením jména/hesla do prohlížeče a jejich vystavení na faceboooku.

Např. keepass se všemi hesly (nejen od webových aplikací) lze mít synchronizovaný s PC v mobilu a hesla jsou tak v případě výpadku paměti (nebo PC) vždy po ruce... nevím kam si ukládá hesla Maxthon, ale kde budete mít svoje hesla až odejde váš disk a nebo pošlete PC i s HDD servisu?

Z pohledu bezpečnosti a způsobu ukládání hesel v prohlížečích nevidím velký rozdíl mezi uložením jména/hesla do prohlížeče a jejich vystavení na faceboooku.

To je silně přehnané tvrzení.

Pokud proti sobě postavíme hesla v password manageru a hesla v prohlížeči, je na tom password manager lépe, ale ne až tak zásadně a vesměs jde jen o implementační rozdíly, ne principiální. Hlavní výhody jsou dvě: nutný mezikrok (nestačí se probourat do jednoho programu, ale do dvou) a jemnější granularita (víc databází hesel, podle důležitosti dat).

Např. keepass se všemi hesly (nejen od webových aplikací) lze mít synchronizovaný s PC v mobilu a hesla jsou tak v případě výpadku paměti (nebo PC) vždy po ruce...

Totéž se dá říct o browserech, aspoň v principu (v praxi to takhle umí jen některé - ale není žádný závažný důvod, proč by to nemohly umět všechny, kdyby po tom byla poptávka).

kde budete mít svoje hesla až odejde váš disk

Na záloze.

a nebo pošlete PC i s HDD servisu?

Přímo v počítači, zašifrovaná master heslem - stejně jako u password manageru.

Netvrdím, že jsem to trochu nepřitáhl za vlasy abych nezdůraznil za jak moc hloupý nápad považuji ukládat hesla do něčeho takového jako je browser (nebo třeba MUA) ;-). Principy jsou jedna věc a praxe věc druhá, zatímco třeba u firefoxu stačí vzít profil uživatele z jeho PC někam jinam a tam použít vestavěnou funkci pro zobrazení uložených hesel (a jistě se po webu válí nějaké programy, které to zvládnou i jinak a i s jinými prohlížeči), tak v případě password manageru si už tak jistý úspěchem nejsem.

Pokud jde o moji víceméně řečnickou otázku ohledně uložení hesel, tak je mi celkem jasné že browsery jsou schopné si hesla nebo i celý profil zálohovat na ftp nebo do cloudu (buď samy, nebo pomocí rozšíření) ani nezpochbňuji úroveň zabezpečení vašeho PC. Tahle otázka směřovala k člověku, který bezpečnost svých hesel svěřil Maxthonu a zpochybnil smysl password managerů.

Jak se liší, když vezmete profil uživatele Firefoxu/Thunderbirdu a když vezmete databázi password manageru?

Některé prohlížeče jako Google Chrome nebo Maxthon 3 master password k zašifrování uložených hesel nemají, takže tam password manager je jediné řešení.

Kdo posílá PC nebo notebook do servisu i s HDD je idiot.

Jen se neboj, na tvoje německý fekalporno z 80. let zas tak každej zvědavej není

Proč?

/dev/sda2: LUKS encrypted file, ver 1 [aes, xts-plain, sha1] UUID: d747bbfe-816f-4010-b49c-2d04a54

> kde budete mít svoje hesla až odejde váš disk

Na zálohách. Kdo neche přijít o data, měl by je mít zazálohované. Optimálně na více místech, ale minimálně jednou. Už spoustakrát jsem řešil problém, kdy někdo přišel o data na disku (porucha HW, omylem zformátovaný disk místo flashky, atd ...) a ne vždy se ty data podaří zachránit.

> pošlete PC i s HDD servisu

Počítač si osobně spravuji sám, ale pokud je disk šifrovaný, tak v posílání HDD na reklamaci nevidím problém :)

Co je na tom špatného? Pokud někdo dokáže převzít kontrolu nad mým prohlížečem, může mi do něj stejně tak nainstalovat keylogger nebo nastavit, aby všechna data tekla přes jeho proxy.

Nevím kde bych byl bez KeePassu, mám tuny hesel v práci a další hromadu používám privátně. Co se týká (ne)integrace s browsery, díky Bohu za to, nesnáším všemožné toolbary a otravné okna. V práci používáme ještě Password Manager XP (pěkně hnusná aplikace, zadarmo drahá a ještě za to chtějí prachy) a první co dělám po jeho instalaci je, že vypínám integraci do prohlížečů.

Autor Keepass moc neprostudoval, obsahuje funkci Auto-Type, kde si člověk přiřadí jedné vkládací sequenci více oken (podle jejich titulků - lze i masky) a pak při stisku CTRL-ALT-A podle titulku dohledá v db příslušný záznam a doplní vstupní pole. Pokud zadané masce vyhovuje více záznamů s hesly nabídne všechny odpovídající.

Keepass používám už dost dlouho a řekl bych, že je celkem vychytaný, kdyby fungoval tak složitě jak popisuje autor, tak by ho asi moc lidí nepoužívalo.

A tuto funkci mají obě verze, nebo jenom ta novější, co vyžaduje .NET ?

Sice už dlouho používam tu verzi 2.x, ale pokud mě pamět neklame, tak to umí i ta větev 1.x

Autor se již v perexu odkazuje na číslo kreditní karty a titulek odkazuje zcela jednoznačně na to, že se bude hovořit o bezpečnosti. Jeké je zklamání, že článek je jen o uživatelské přítulnosti daných programů.

Dá se předpokládat, že každý potřebuje uchovávat i nějaké ty citlivější údaje - např. přihlášení do internetbankingu, paypalu apod.

Tato hesla by měla být výrazně složitější než aby si je člověk všechna snadno pamatoval - a od toho jsou tu ty password managery. Ale pokud tam hodlám uložit i něco víc, než jen přihlášení do diskuse na Lupě (které když mi někdo ukradne, je mi to šumafuk) pak potřebuji vědět, jak bezpečně jsou tyto údaje zabezpečeny.

A o tom se autor zmiňuje jen dvakrát - jednou posměšně (bla,bla,bla) a podruhé u KeePassu, kde konstatuje že je to úplně k ničemu, protože na počítači se speciálním programem se to prolomí.

Kde jsou u jednotlivých služeb nějaké informace o použitém šifrování? Použitém přenosu na server? Když pominu to, že bych tyto údaje serveru vůbec nesvěřil, proč tam není třeba uvedeno, že KeePass umožňuje zvolit jaké šifrování se má použít nebo že umožňuje použít pro přístup k databázi hesel také kombinaci master hesla + speciálního souboru na USB klíčence. To jsou ty zajímavé věci.

Nechci prosazovat KeePass, píšu o něm jen proto že ho používám a tak o něm vím nejvíc. Ale pokud si chci svoje hesla nosit sebou třeba na klíčence, co mě zajímá nejvíc? Pokud tu klíčenku ztratím, jestli můj soubor s hesly někdo otevře, alespoň s náklady, které by vyvážily to co by mohl ze souboru získat (i kdyby se tam dostal, já mohu účty a karty zablokovat takže to není všespásné...)

Tohle jsem čekal, že mi článek zodpoví i u ostatních programů. Ale to co článek říká, je o ničem. Bez urážky.

L.P.

Chtělo by to vážně vyzkoušet Roboform trochu více. Ve Firefoxu funguje spolehlivě, naproti tomu ve Chrome pravidelně padá (poslední dostupná beta už ne), což je dost problém.

Jinak pointa je v použitém šifrování a dalších věcech, například z Roboformu lze snadno vytisknout kompletní seznam a dát jej do trezoru.

Bylo by rozumné podobný typ programu nejdřív používat a pak mudrovat. No jako dycky :-)

využívám i já. Jmenuje se Sojkovec Password Keeper. Jeho výhodou je absolutní bezpečnost. Nevýhodou je jeho nulová platformová kompatibilita. Je kompatibilní jen s mým mozkem. S prohlížeči spolupracuje jen skrz mé ruce a klávesnici (oči netřeba, lze zadat i poslepu). Není odolný proti keyloggerům (řešeno jinde, taktéž mozkem). Sojkovec Password Keeper si pamatuje zhruba kolem 30 hesel o délce 30 znaků, nesmyslných, nic neříkajících, generovaných jakýmsi pseudogenerátorem pseudonáhodných znaků. Není odolný proti zneužití kolizí výsledků jednosměrných šifrovacích algoritmů AES a MD5 (proti MD5 určitě ne, předchozí je prozatím pomluva, ale jen prozatím). Poslední nevýhodou je naprostá nemožnost koupě i prodeje (případná autonehoda či obdobný incident má za následek znehodnocení kódu).

Jeho výhodou je absolutní bezpečnost.

Součástí bezpečnosti jsou i zálohy...

Není odolný proti zneužití kolizí výsledků jednosměrných šifrovacích algoritmů AES a MD5

AES není jednosměrný a kolize ho vůbec neovlivňují. MD5 je jednosměrný a dají se k němu hledat kolize, ale pro účely password managerů to není relevantní.

Taky jsem mohl rovnou napsat, že MD5 sice je jednosměrný a jsou pro něj kolize, ale zase to není šifrovací algoritmus...

No, dnes uz samozrejme vime, ze H2SO5 existuje, je to kyselina peroxosirova, ale tim si preci ten hezky vtip nenechame zkazit.

Pokud autor dostal za tento článek jakýkoliv honorář, měl by ho vrátit. Takhle povrchní a neprofesionální porovnání programů by možná obstálo v Blesku, ale ne na odborných stránkách na Lupě.

Také jsem byl zvědavý hlavně na tu bezpečnost těchto programů obecně, než na popis toho, jestli který program má či nemá lištu do kterých prohlížečů... Ale to už tu padlo.

Spíš se chci zeptat, proč u programu "Kaspersky Password Manager" jsou jako verze uvedeny tyto?

* Handy Password
* Handy Password USB Edition


To je tam nějak zkopírováno omylem od předchozího programu, ne?

Dobrý den,
jak je na tom systémová klíčenka Macu s bezpečností? Podle mě velmi dobře, ale co si myslí odborníci?

Všechny tyhle password managery jsou na tom s bezpečností v podstatě velmi podobně - fungují, dokud jsi na svém počítači pánem. To je asi ta největší míra bezpečnosti, které lze dosáhnout, pokud pomineme externí podepisovačky s displejem.

Zda se, ze netusite, co je mac os x keychain access :(

Přiznám se, že opravdu netuším. Ale z rychlého progooglení jsem nabyl dojmu, že je to password manager podobný těm prezentovaným v článku.

Zkuste googlit pečlivěji :-). Je to systémový správce hesel (i poznámek a certifikátů), s API pro ostatní aplikace. Většina aplikací pro Mac jej využívá k ukládání svých přístupových údajů, například FTP klient. Pokud se chce připojit, tak požádá Keychain Access o heslo, ten ověří, jestli uživatel povolil aplikaci přístup k tomuto heslu a integritu aplikace (jestli nebyla změněna nějakým škodlivým kódem). Podobně to funguje i pro interentové prohlížeče.

Výhodou je, že to opravdu používá většina aplikací, prakticky všechny nativní pro Mac. Hesla jsou uložena v zabezpečeném souboru, do kterého systém pustí jen démona Keychainu. Podle mě tak není možnost, jak by mohl škodlivý kód hromadně vytáhnout všechny hesla, leda že by se dotazoval API na každé heslo zvlášť a uživatel každé potvrdil.

No pokud je nějak vyřešeno, aby root nemohl ten démon změnit (např. při instalaci DMG obrazu s podstrčeným malwarem), tak to zní zajímavě.

Nevím přesně jak, ale pamatuju, že mi jednu kritickou věc nedovolil systém ani pod rootem. Navíc root se používá jen na nutné systémové věci, při instalaci softwaru ne.

Keychain je samozrejme bezpecny, ale moc prakticky. U programu, ktere ho nevyzivaji (firefox...) by jste si tam ty udaje musel vkladat zdlouhave rucne a nema podporu dalsich zarizeni. Krome toho jeho defaultni zabezpeceni je vase vlastni heslo do systemu, nic vic. Osobne jsem treba v Safari zakazal pamatovani hesel a pouzivam jen nasledujici reseni.

Doporucuju vyzkouset 1Password, pouziva stejne silne sifrovani jako Keychain (AES), ale ma vlastni tzv. Master password. Podporuje vsechny prohlizece a je multiplatformni – svoje zarizeni muzete synronizovat po lan, wifi a nova verze dokonce podporuje ulozeni databaze na DropBoxu, takze vsechna vase zarizeni jsou automaticky realtimove synchronizovana bez jakekoliv aktivity z vasi strany!

Co se tyce funkcionality, urcite predci vsechna zde uvadena reseni, muzete prehledne ukladat loginy, pristupy mimo prohlizec (itunes, skype...), licencni kody, poznamky a kreditni karty. Samozrejme muzete spravovat identity pro automaticke vyplnovani formularu. Muj workflow pro loginy asi takovy: kliknu na strance weboveho registracniho formulare na tlacitko 1P v prohlizeci, program vyplni co umi, pak dam pres stejne tlacitko 1P strong password generator, kde si vytvorim treba 20 znakove heslo, kliknu Fill a odeslu registracni formular... 1Password se zepta, zda si tento login pamatovat a priste uz pro prihlaseni jen zvolim Fill & go, pripadne klavesovou zkratku cmd sipka doprava... takze napisu treba gmail.com, zmacknu cmd sipka a jsem zalogovany.

Tresnickou na dortu je, ze onu databazi hesel si muzete zkopirovat treba flashku, nebo kamkliv na web a otevrit ji v jakemkoliv prohlizeci, protoze v koreni ma soubor index.html, ktery umi na zaklade zadani Master password cist a rozsifrovavat vsechny ulozene udaje (ulozene v XML)

Mimochodem, sytémový Keychain Access umí změnit master heslo jen k té klíčence (může jich být i víc), systémový účet nechá stejný.

1Password můžu jedině doporučit. Nově integrovaná podpora Google Chrome byla poslední, co mi tam chybělo.
jenom synchronizaci s iPhone a iPadem používám "po staru" přes WiFi, protože je mi nějak proti mysli vystavit databázi s více jak tisíci hesly někam na Internet (DropBox)

Zajímalo by mě, jak by si autor článku představoval password manager, který se ubrání cílenému útoku (únos počítače).

Zkuste tohle, zatím nejlepší co jsem zkoušel.....

Sme mala firma a hľadali sme riešenie, ktoré umožní prístupy vnútrofiremne nejakým spôsobom zdieľať.

Keepass nepodporuje zdieľanie hesiel, V lastpasse je možné nazdieľať aj vo free verzii vo formaté share (používateľ heslo nevidí - da sa to skriptom obísť) alebo give (užívateľ ho vidí a môže ho ďalej zdieľať), v platenej verzii funguje aj synchronizácia zdieľaných hesiel.

Ďalšou výhodou je, že program má dobrú integráciu so všetkými majoritnými prehliadačmi.

Platenú verziu stačí zakúpiť len pre administrátorov hesiel, ostatným užívateľom stačí tá free.