Názory k článku Nebezpeční správci hesel? K panice není důvod, jen nechrání před vším

Sakra, kdybych to řekl dříve než on, tak bych byl slavnej :)...to je snad jasné, že když mám klíčenku otevřenou na kompromitovaném stroji, tak se do ní útočník může dostat :)).

Správce hesel mi při z určitého úhlu pohledu vychází méně bezpečný než vysmívaný žlutý papírek na monitoru.

Pokud si uvědomíme, že největší počet útoků probíhá vzdáleně, má útočník mnohem větší šanci získat heslo někde uložené (byť šifrovaně) než 100% offline papír.

Osobně pro těch pár důležitých hesel, u kterých hrozí zapomenutí používám právě papírovou zálohu (i když ne na monitoru) + sůl. Takže čistě opsání hesla z papíru by případnému offline útočníkovi nepomohlo.

PS: Jak to mají vlastně různí "cloudoví" správci hesel s byznysmodelem? Pokud vím, často nabízejí své služby bezplatně. To ve mně nezbuzuje příliš důvěry.

Správce hesel má hlavní výhodu v tom, že vám umožňuje mít opravdu silná, náhodná a unikátní hesla pro každý web. Naprosto bez problémů tak můžete používat heslo jako %7nSdZ[K'<G9X*mh, ale s notýskem si těžko budete vymýšlet taková hesla, těžko si je budete zapisovat a ještě hůř pak opisovat do počítače.

Při posouzení, zda je vhodnější žlutý papírek na monitoru či správce hesel si musíte odpovědět na otázku, před kým chcete hesla chránit a proti jakým hrozbám. Ve většině případů dojdete k závěru, že správce hesel je bezpečnější - např. před spolupracovníky, před manželkou a i před policii. Při promyšleném zálohování je i bezpečnější proti ztrátě hesel.

Lze najít situace, kdy je správce hesel na tom hůře - většina problémů ale souvisí se slabým heslem pro správce hesel. Pokud se již někdo dostane na Váš počítač, aby mohl číst paměť jiných procesů, tak může nainstalovat i keylogger a v tomto případě se rizika srovnají. Tedy pokud hesla na papírku aspoň občas použijete.

Výsledky porovnání variant závisí i na zvoleném správci hesel a způsobu jeho používání.

Jak to mají vlastně různí "cloudoví" správci hesel s byznysmodelem? Pokud vím, často nabízejí své služby bezplatně. To ve mně nezbuzuje příliš důvěry.

Neznám žádného bezplatného cloudového správce hesel s výjimkou synchronizace hesel uložených v Chrome.

Firefox taky. A Encryptr. Oba je navic umi chranit master heslem (nevim, jak chrome).

a co tak "password hasher" programy? Heslo sa neuklada nikde a mate silne heslo pre kazdy web...

Třeba Bitwarden má verzi zadarmo s dostatkem funkcí pro běžného uživatele a pak placenou verzi pro rodiny, případně ještě dražší firemní / korporátní řešení.

https://bitwarden.com/#organizations

Již dlouhá léta používám správce hesel typu "notýsek".
Výhoda: vejde se do kapsy a tak ho mám stále při ruce. Nevýhoda: nesmím ho ztratit :-)

Notýsek ANO (mám taky), jen marně přemýšlím PROČ ho tahat stále sebou.
Pokud máte mobil tak tam je možné mít mnohé, a zbytek jistě počká na doma .... (na notýsek)

Já si napsal vlastní spravce/generator hesel pro mobil. Kdyztak je open source

https://ondra-novak.github.io/pocket_pwdgen/

To asi funguje dost podobne jako LessPass

V zásadě jo, ale lesspass je spíš takový proof of concept, já x myšlenky udělal kompaktnější aplikaci aby se dobře ovládala

Uplne mi neni jasne jak ta kompromitace probiha. A mam pocit ze to v clanku nebylo (vubec) rozebrano.
Jasne ze kdyz klicenka zobrazi heslo do windowsiho vypisu, tak je asi dostupne jinymi procesy. Ale to je jen kdyz si to heslo zobrazim ne? Nebo cizi procesy maji pristup k pameti klicenky i kdyz je klicenka jen spustena? To zase naznacuje zprava od LastPass?
A pristup do pameti klicenky i kdyz je klicenka jen spustena maji ostatni procesy vzdy, nebo jen za specialnich podminek, na windows nebo i na linuxu?

Proste jsem to vubec nepochopil. Takze si asi prectu original a tim padem mam pocit ze tenhle clanek mohl byt jen zpravicka odkazujici na original.

Souhlasím, z článku (tohoto na Rootu) podle mě nejde poznat, o co vlastně jde, můj první dojem byl, že se nám snaží sdělit, že password managery při používání mají hesla v paměti, jenže kde jinde by asi tak měla být. Pak jsem pojal podezření, že jde o to, že paměť při „zamčení“ nepřepisují, a teď jsem si prolítl tu studii a opravdu to tak vypadá.

Takže shrnutí (klíčová informace co by měla být v úvodu článku): Password managery při zamčení nepřepisují všechny výskyty soukromých dat v paměti, případně paměť pouze uvolní aniž by ji předtím přepsaly (a tedy v paměti zůstanou i po ukončení, dokud ji operační systém nevynuluje a nepřidělí nějakému jinému procesu).

pro doplnění, tohle téma se řešilo již několikrát, hlavní omezení jsou prohlížeče, z JS a jeho api není možnost, jak data uchránit. Webassembly by to ale mohl změnit. Další problém je samotný prohlížeč a nativní input pro zadávání hesel (či vyplňování na webu), opět nejsou chráněni a data zůstávají v paměti.

Doufám, že tohle je dočasný stav a dostaneme se do fáze, kdy samotné heslo se nemusí posílat na web a ten si ho neumí spravovat, ale přihlašovat se budeme nějakou formou důkazu či podpisu výzvy. Ta doba nejspíš nastane až password managery budou naprosto nedílnou součástí každého systému.

Myslim, ze lepsi varianta spravci hesel neverit (ani vlastnimu, chyby jsou vsude) a k heslu pridat neco z hlavy.
Napriklad vsechny cislice v hesle zvysit o 1, nebo vzdy mezi 2 a 3 znak pridat "XyZ" a moznosti je spousta.
Vyhoda, hesla ukradena za spravce hesel jsou utocnikovy skoro nanic.
Nevyhoda: nelze pouzit automaticke vyplnovani hesla ze spravce.

To je zajímavý kompromis, ovšem uživatel tím přichází právě o to automatické vyplňování, které je dost zásadní. Jednak je pohodlné, ale hlavně vám nevyplní heslo do phishingové stránky. Vy si tak všimnete, že se něco děje, protože to samo nevyplnilo tenhle přihlašovací formulář a ejhle, on je na cizí doméně.

Tohle mi prijde jako jedna z nejzasadnejsich vyhod spravcu s automatickym vyplnovanim. Pritom mam pocit, ze se na ni dost casto zapomina. V pohode dokaze ochranit i proti IDN phishingu, coz je jinak tezko resitelny problem (i kdyz mam pocit, ze prohlizece uz asi zacaly nektere IDN vypisovat v osklive podobe, ale tipuju, ze to bude jenom rucne sestaveny a velmi kratky seznam).

Priznam se, ze tahle vyhoda me ani nenapadla. Protoze automaticke vyplnovani nepouzivam. Spravce hesel mam zamerne mimo pocitac (na telefonu).
Puvodni napad byl aby pri napadeni pocitace neutekla i hesla ze spravce. A obracene pri napadeni telefonu utecou sice hesla, ale neni tam vazba k jake sluzbe jsou. Ale kdyz nad tim premyslim zpetne, tak to o moc vetsi zabezpeceni neni, jesli to za to stoji.

na druhou stranu je možné díky tomu donutit správce hesel vyplnit hesla na cizí web (stačí podvrhnout A záznam), ve spojení s uniklými CA od antiviru nebo z firmy, napadenou wifi lze poměrně elegantně podvrhnout web, který si virtuálně otevře spousty webů a nechá si heslo vyplnit od správce hesel, takové heslo je pak čitelné přes input.value. Lastpass a další již měly problém s parsování url a stačila adresa cílového webu uvnitř url.

Na pro mě důležité weby nepoužívám automatické vyplňování, musí si to vybrat ručně, avšak i při této možnosti mi to nenabídne heslo na špatné stránce.

Mně by zajímalo i to jak je to s bezpečností správců hesel v aktuálním FF a Chrome. Když mám u FF hlavní heslo mohu se cítit relativně bezpečné nebo je to jen klamný pocit bezpečí. Přeci jenom nejvíce hesel je k webovým službám a hesla uložená v prohlížeči nejsnadnější a pohodlná cesta.

Standardizované přístupy umožňují standardizaci útoků.

Hesla ukládám v náhodně pojmenovaném souboru na svém truecryptem šifrovaném oddíle. Ani v názvu, ani v obsahu toho souboru není nic, podle čeho by se dalo určit, že jde o soubor s hesly. Přeji příjemnou zábavu s kradením.

Přitom nejzranitelnější místo bude schránka, přes kterou to heslo kopíruješ ručně a kde to může zůstat. Pokud budeš mít na pc nějaký škodlivý SW, přečte si to z paměti prohlížeče, viz tahle zprávička. Podle frekvence přístupu k souborů lze zjistit ledacos. Disk máš nejspíš dlouho připojený a po použití ho neodpojuješ, to je opět také riziko.

Security by obscurity nebylo nikdy to co se dá doporučovat ostatním, natož to čím se dá chlubit, je to pouze nesystémová ochcávka.