Vlákno názorů k článku Nebezpeční správci hesel? K panice není důvod, jen nechrání před vším od jdobry - Myslim, ze lepsi varianta spravci hesel neverit (ani...

Myslim, ze lepsi varianta spravci hesel neverit (ani vlastnimu, chyby jsou vsude) a k heslu pridat neco z hlavy.
Napriklad vsechny cislice v hesle zvysit o 1, nebo vzdy mezi 2 a 3 znak pridat "XyZ" a moznosti je spousta.
Vyhoda, hesla ukradena za spravce hesel jsou utocnikovy skoro nanic.
Nevyhoda: nelze pouzit automaticke vyplnovani hesla ze spravce.

To je zajímavý kompromis, ovšem uživatel tím přichází právě o to automatické vyplňování, které je dost zásadní. Jednak je pohodlné, ale hlavně vám nevyplní heslo do phishingové stránky. Vy si tak všimnete, že se něco děje, protože to samo nevyplnilo tenhle přihlašovací formulář a ejhle, on je na cizí doméně.

Tohle mi prijde jako jedna z nejzasadnejsich vyhod spravcu s automatickym vyplnovanim. Pritom mam pocit, ze se na ni dost casto zapomina. V pohode dokaze ochranit i proti IDN phishingu, coz je jinak tezko resitelny problem (i kdyz mam pocit, ze prohlizece uz asi zacaly nektere IDN vypisovat v osklive podobe, ale tipuju, ze to bude jenom rucne sestaveny a velmi kratky seznam).

Priznam se, ze tahle vyhoda me ani nenapadla. Protoze automaticke vyplnovani nepouzivam. Spravce hesel mam zamerne mimo pocitac (na telefonu).
Puvodni napad byl aby pri napadeni pocitace neutekla i hesla ze spravce. A obracene pri napadeni telefonu utecou sice hesla, ale neni tam vazba k jake sluzbe jsou. Ale kdyz nad tim premyslim zpetne, tak to o moc vetsi zabezpeceni neni, jesli to za to stoji.

na druhou stranu je možné díky tomu donutit správce hesel vyplnit hesla na cizí web (stačí podvrhnout A záznam), ve spojení s uniklými CA od antiviru nebo z firmy, napadenou wifi lze poměrně elegantně podvrhnout web, který si virtuálně otevře spousty webů a nechá si heslo vyplnit od správce hesel, takové heslo je pak čitelné přes input.value. Lastpass a další již měly problém s parsování url a stačila adresa cílového webu uvnitř url.

Na pro mě důležité weby nepoužívám automatické vyplňování, musí si to vybrat ručně, avšak i při této možnosti mi to nenabídne heslo na špatné stránce.