Názory k článku Softwarová sklizeň (7. 9. 2022): kontrola kvality hesel

Kontrola bezpečnosti hesla:
Napište heslo, které chcete zkontrolovat: *******************
Heslo jste právě vyzradili zcela nedůvěryhodné aplikaci = není bezpečné.
Prosím, změňte si je všude, kde je používáte.

Teoreticky máš pravdu. Ale která aplikace je pak důvěryhodná? Je důvěryhodný správce hesel? Cloudový správce hesel? (Ani náhodou!) Je důvěryhodný prohlížeč? Je důvěryhodný prohlížeč, do kterého si většina lidí přidá tunu doplňků?

Prošel jsem si zdrojáky (chválím - krátké a přehledné) a je tam jediná I/O komunikace - online kontrola hashe hesla, jestli někde neuniklo. Čistý neosolený hash hesla.

Za mě to je důvěryhodná aplikace, paranoik si to může sám zkompilovat a případně smazat http kontrolu hashe.

Jenže: kolik z nás tu kontrolu zdrojáku udělá, kolik z nás je natolik schopných mu porozumět? A kolik z těch, kdo to jsou schopni udělat (a udělají) skutečně potřebuje kontrolovat svá hesla?
Mnohem častěji se vyskytují uživatelé, kteří jsou schopni napsat své heslo kamkoliv, libovolné aplikaci, která si o to právě řekne. (Jenže ti si ta hesla stejně kontrolovat nebudou...)

Cloudový správce hesel je stejně bezpečný, jako necloudový.

Prohlížeč se hesla používaná na webu stejně dozví, takže jemu musíte důvěřovat už z principu. Doplňky v prohlížeči mají různá oprávnění, takže to, že máte v prohlížeči doplněk, automaticky neznamená, že se může dostat k heslům. Jinak ale souhlasím, také jsme vypozoroval, že spousta lidí chce vylepšit bezpečnost svého prohlížeče a řeší to tak, že nainstalují spoustu doplňků z pochybných zdrojů a udělí jim ta nejvyšší oprávnění.

Než tu aplikaci kontrolovat, kompilovat a zakazovat vzdálenou kontrolu hashe, připadá mi jednodušší tu aplikaci spustit v prostředí, ve kterém nemá žádnou možnost komunikovat po síti. V kontejneru bez síťového rozhraní, ve virtuálním stroji, nebo prostě při použití vytáhnout síťový kabel nebo vypnout WiFi.

Cloudové správce hesel jsou zpravidla E2E šifrované. Jasně, je možné vydat update, který ukradne šifrovací klíč. Jenže stejně tak je možné vydat update, který pošle někam hesla z toho necloudového.

Škoda, že tá aplikácia nie je online. Takto je potrebné mať go, make, etc ... Následne to sťahovať, kompilovať, nastavovať, riešiť chýbajúce knižnice. Ak by to bolo ako online služba, len tam uploadnem zoznam hesiel, pekne mi vypíše, ktoré sú problematické a hotovo. Škoda no ... alebo je to diera na trhu?

Zdrojáky jsou volně dostupné, můžeš to udělat.

Lokální aplikaci, kteoru jsem si zkompiloval, ještě trochu věřím.

Nahrávat hesla do cloudu je ale fakt pěkná blbost.

Samozrejme bolo to myslené ironicky :) Aj keď sa obávam, že ak by taká stránka existovala, našlo by sa množstvo ľudí, ktorí by tam heslá naozaj dali na kontrolu :(

Ja predpokladam, ze jedine co ta aplikacia robi je, ze to heslo posle do https://haveibeenpwned.com/ (respktive prve 4 znaky jeho SHA1).

takze sa na nu moze clovek rovno vy... a pouzit haveibeenpwned priamo.

Myslíte, že ty ostatní funkce, které jsou u aplikace popsané, si autor aplikace vymyslel a doufá, že se nepřijde na to, že to aplikace nedělá?

Tu osttanu funkcionalitu poskytuje kazdy password manazer, kludne aj taky offlinovy Keepass. Su to veci, bez ktorych sa clovek lahko zoabide. Popripade si ich viem nakodit lahko sam (nie, ze by som to mal v plane).

Z toho, že to dělají jiné aplikace, ovšem neplyne, že to tato aplikace nedělá. Například frekvenci použití jednotlivých znaků podle mne vyhodnocuje málokterý password manažer – většinou jenom zjišťují, které kategorie znaků jsou použité a násobí to délkou hesla.