Hlavní navigace

Nic a vaše hesla

František Fuka

Pokud se čas od času z libovolných důvodu registrujete na internetových serverech (a asi vás to neminulo, protože dnes už se musíte registrovat, i pokud si chcete číst online mnohé americké noviny), jistě uznáte, že to registrování je otrava. Narazil jsem ale na jedno geniálně jednoduché řešení, které vám může trochu usnadnit život.

Je pravda, že leckteré triviální registrace vyřeší BugMeNot.com, a pokud jde o počítač, ke kterému máte přístup pouze vy, může si vaše hesla pamatovat váš internetový borwser a automaticky vám je předvyplňovat. Ale co když jde o server, kde opravdu potřebujete mít svou vlastní registraci a chcete se tam opakovaně logovat i z počítače, který nesedí na stole ve vašem obýváku?

Já to dodnes řešil Keyringem ve svém Palmu (konkrétně tímto, ale jsou i jiné). Keyring („přívěsek na klíče“) je databáze hesel, která je zakódována pokročilým šifrovacím algoritmem, takže v paměti vašeho Palmu (ani nikde jinde) nejsou hesla k vidění v žádné čitelné podobě a dostanete se k nim pouze pokud znáte „hlavní heslo“, fungující jako klíč pro dekódování. (Ani to „hlavní heslo“ pochopitelně není nijak zpětně zjistitelné, resp. je zjistitelné hodně náročným výpočtem.) Teď jsem ale narazil na téměř geniální nápad, jehož autorem je jistý Nic Wolff (odtud titulek glosy):

Nejdříve si vyberte nějaké své „hlavní heslo“ a pak se podívejte sem. Zapište je do políčka „Master password“ a do políčka „Site name“ vložte adresu serveru, na který se chcete logovat (např. „okoun.cz“). Po kliknutí na „Generate“ je proveden MD5 hash obou zadaných řetězců a jeho prvních 8 znaků je vaším heslem pro tento server. (Vaše „hlavní heslo“ nikdo „cestou“ odchytit nemohl, protože celá kalkulace proběhla v Javascriptu na vašem počítači.)

To celé, pravda, není příliš inovativní a ani vám to nijak výrazně neusnadní logování kamkoliv. Nic ale šel ještě o krok dál a vytvořil „Passwordlet“. Jde o bookmarklet, který si přidáte mezi své bookmarky (nefunguje v Microsoft Exploreru, prý proto, že ho „programovaly cvičené vydry“), a když vstoupíte na stránku, kam se chcete zalogovat, prostě na ten bookmark kliknete. Javascript se vás pouze zeptá na „hlavní heslo,“ vypočte vaše heslo pro tento server na základě hlavního hesla a URL stránky, na které jste, a toto vypočtené heslo automaticky vloží do kolonky nazvané „Password“ na této stránce. Stačí vám jen vše odmáčknout (případně zadat své uživatelské jméno, pokud je nemáte předvyplněné). Pokud se kolonka pro heslo jmenuje jinak než „Password,“ není samozřejmě problém to změnit.

Celé mi to připadá velmi elegantní a rozhodně bezpečnější než mít všude stejné heslo.

MIF17

Samozřejmě, pokud se přihlašujete bez zabezpečení (přes standardní HTTP protokol), tak vaše hesla (a všechno ostatní) může odchytit kdokoliv, kdo má pod kontrolou jakýkoliv počítač na cestě mezi vaším stolem a serverem, na který se přihlašujete. A to vůbec nemluvím o tom, že Nicův skript umožňuje generovat pouze něco přes čtyři miliardy různých hesel, což myslím nevyhovuje minimálním požadavkům na bezpečnost hesla (to se ale dá v tom Javascriptu snadno změnit). Přihlašování se přes WWW kamkoliv je stále ještě v opozici se slovem „bezpečnost.“ Šlo mi spíš o to, že Nic měl zajímavý nápad, který vám může trochu usnadnit život.

P.S.: Příští dva pondělky mé glosy nevyjdou, neboť budu objevovat náměty na nové glosy v rozvinuté asijské zemi.

Našli jste v článku chybu?