Vlákno názorů k článku Co se stalo LastPass a jak vytvářet silná a zapamatovatelná hesla od . . - a co změna hesla? Trochu blbé, když tvoje...
-
Lábus (neregistrovaný)
Dříve jsem používal na ukládání hesel program Roboform, pak jsem přešel na LastPass a jsem s ním spokojen.
Jedna věc mi ale vadí. V Roboformu byla možnost, používat vybraná hesla bez nutnosti přihlášení do programu pomocí master hesla.U LastPassu údajně tato možnost dle jejich helpdesku není, obcházím to trochu nešikovně tím, že jsem trvale přihlášen do LastPassu, většinu hesel mám nastavenou tak, že při jejich použití musím znovu zadat master heslo.
Těch pár bezvýznamných hesel, co používám víceméně kvůli automatickému vyplnění, nemám chráněno znovuzadáním hlavního hesla, vyplním tedy přihlašovací stránku jedním kliknutím.
Neexistuje nějaké elegantnější řešení?
-
Na tohle by mohl pomoct Password hasher… aplikace v zásadě podobná jako LastPass, ale s tím rozdílem, že si hesla nepamatuje, ale pokaždé je znovu generuje z 'master hesla' (a dalších faktorů). Dělá vlastně takový hash názvu webu (aplikace/služby/vlastního textu) a master password.
Výhoda je pak jasná, že nejde cracknout či jinak z ní vytáhnout hesla, když v ní vlastně nejsou… nevýhoda pak, že si člověk hesla nemůže sám napsat jak ho napadne (což může být i výhoda, protože generuje silná hesla).
Má to aplikaci pro android ( https://play.google.com/store/apps/details?id=com.ginkel.hashit ) , html (+javascript) verzi, pluginy pro Chrome ( https://chrome.google.com/webstore/detail/password-hasher-plus-pass/glopbmohkffbnplcjbbbfmmimfhfnhgd ) a FF ( https://addons.mozilla.org/en-US/firefox/addon/password-hasher/ ) … podrobně princip fungování popisuji zde: http://icweb.eu/clanky/o-heslech
-
Změna hesla je taky velice snadná… je tam na to 'Bump' tlačítko které přidá za první řetěze pro hashování číslo, čímž samozřejmně vznikne úplně jiný hash a tedy úplně jiné heslo.
Aplikace (všechny aplikace) si to může ukládat v sobě, které weby mají 'bumpnuté' heslo, aby tím nezatěžovali uživatele.
Ale ještě se mi nestalo, že by mi uniklo heslo… ono když je pro každý web/službu/aplikaci jiné, tak když to ukradne poskytovatel (což je možné), tak zná jen to heslo pro jeho samotného, což je mu k ničemu.
Horší by bylo určitě kdyby někdo zjistil hlavní heslo (a private key, pokud je použit), to by pak bylo na změnu všech hesel na všech službách, pořádné peklo. -
. . (neregistrovaný)
lastPass začíná testovat automatickou změnu hesla, učí se formuláře jednotlivých služeb a poskytuje v betě tlačítko na rychlo změnu hesla, to může být zajímavá věc.
I tak mi to připadá zvrhlé, heslo se dá odposlouchat přes wifi jak nic. Mít potřebu občas heslo zadat třeba přes mobil nebo cizí počítač je také v tom případě dost složité. Raději bych šel do yubico či jiného HW.
