Vlákno názorů k článku
Seznam.cz zavádí dvoufaktorovou autentizaci pomocí OTP a ruší kontrolní otázky od oss - Facinuje ma kolko pouzivatelov roota je v bezpenostnom...

Tak mail, přes který můžu vyresetovat všechna hesla, asi nebude bezcenná stránka a bude mít unikátní heslo, ne?
Já třeba smartphone nemám.

"Tak mail, přes který můžu vyresetovat všechna hesla, asi nebude bezcenná stránka"

Pokud neco takoveho mas na freemailu, tak to zcela zjevne zcela bezcenne je.

Nektere loginy jsou natolik bezcenne, ze i to klikani na spravce hesel, aby vygeneroval nove unikatni, je zbytecne pomale, a natukat na klavesnici nejake obecne primitivni heslo je proste rychlejsi.

No mne sa tam rovno objavi 'suggest password' a iba kliknem takze to tukanie do klavesnice nie je rychlejsie.

Aha, tak to mam asi spatneho spravce hesel.

> Když používáte správně správce hesel, recyklovat hesla by vás ni nenapadlo, protože by to pro vás byla zbytečná komplikace.

Když jsem používal správce hesel podle doporučení, tak jsem 2x přišel o všechna hesla a musel je resetovat. Takže jsem toho zase nechal. Takové zbytečné komplikace, jaké mi způsobil správce hesel jsem nikde jinde nezažil.

Jde o to, že jak začnete hesla ukládat do správce, přestávají být "něco co znám". Jste vydán na milost a nemilost zařízení s tím správcem a jeho synchronizaci. Když rozchození správce na čistém stroji vyžaduje něco víc než co zadáváte pravidelně a díky tomu si to pamatujete, tak máte problém.

Nejlepsi spravce hesel je papir v supleti.

Ale zálohovaný! :D

Když jsem používal správce hesel podle doporučení, tak jsem 2x přišel o všechna hesla a musel je resetovat.
Tam ale bylo „když používáte správně správce hesel“. To správně zahrnuje i to, že jsou hesla synchronizovaná na více zařízení, tudíž zálohovaná.

Jde o to, že jak začnete hesla ukládat do správce, přestávají být "něco co znám".
To je v pořádku, proto se správce hesel používá. Pokud znáte více než pár hesel, nebo zadáváte hesla k webům ručně nebo přes schránku, nepracujete s hesly bezpečně.

Když rozchození správce na čistém stroji vyžaduje něco víc než co zadáváte pravidelně a díky tomu si to pamatujete, tak máte problém.
Pokud rozchození správce hesel na čistém stroji vyžaduje nějaký další údaj, klíč, můžete si tenhle klíč také uložit do správce hesel.

> To správně zahrnuje i to, že jsou hesla synchronizovaná na více zařízení, tudíž zálohovaná.

Ano, přesně tak jsem ho použil. Jen jedna drobná chybička se vloudila.

> Pokud rozchození správce hesel na čistém stroji vyžaduje nějaký další údaj, klíč, můžete si tenhle klíč také uložit do správce hesel.

A ano, přesně tam jsem si to uložil a díky tomu jsem o všechno přišel. Zpětně si říkám, jak mě tahle kravina vůbec mohla napadnout. Ale jsem rád, že aspoň nejsem sám.

Ona je to past. Pokud k rozchození správce hesel něco potřebuju, tak je mi úplně k ničemu, že to mám v tom správci hesel uložené. Protože dokud toho správce hesel nerozchodím, tak se k tomu prostě nedostanu.

Aby byly zálohy co k čemu, tak ani jeden krok v tom řetězci nesmí na tom správci hesel záviset. Ale opravdu to hlídáte, když máte všechno pohodlně uložené ve správci a normálně to jinak nepoužíváte?

Ona je to past. Pokud k rozchození správce hesel něco potřebuju, tak je mi úplně k ničemu, že to mám v tom správci hesel uložené. Protože dokud toho správce hesel nerozchodím, tak se k tomu prostě nedostanu.

Tady mi asi něco uniká. Co konkrétně bych mohl potřebovat? Prostě nainstaluju příslušný software, nakopíruju tam databázi a ta je zašifrovaná právě tím heslem, které k ní používám skoro každý den.

Co konkrétně bych mohl potřebovat? : "nakopíruju tam _databázi_"

Nenosíte ji s sebou na flashce, ale je někde v cloudu. A pak stačí slabší chvilka, kdy vám správce navrhne použít pro ten cloud bezpečné vygenerované heslo. To si zaručeně nezapamatujete a ani zapsat jednoduše nejde.
A už se točíte v kruhu, kdy jste si k té databázi "zabouchl klíče".Jen tady ty zabouchnuté klíče zaregistrujete až za X měsíců a neodvrtáte to.

Jo, byla to moje chyba. Správce hesel mě do té pasti "jen" zavedl jak ovci.

Nejak asi nechpu co se stalo, to jste si u spravce hesel zmnil main heslo ktere vygeneroval on a jeste ho do ne ulozil?

Presne proto mam famili Bitwarden kdy jde resetnou heslo tomu druhemu, jen se to musi dopredu nastavit, ze ma tu moznost ten druhej uce ve famili to udelat...

Nepřišel jsem o master heslo. Přišel jsem o hesla k zálohám databáze hesel (protože jsem to nakonec měl uložené jen v té databázi, správce mě postupně do téhle situace navedl). A pak jsem potřeboval obnovit správce ze záloh a neměl jsem jedinou jeho funkční instanci.

Přišel jsem o hesla k zálohám databáze hesel (protože jsem to nakonec měl uložené jen v té databázi, správce mě postupně do téhle situace navedl). A pak jsem potřeboval obnovit správce ze záloh a neměl jsem jedinou jeho funkční instanci.
Takže jste neměl hesla synchronizovaná na více zařízení. To, že jsem psal o synchronizaci hesel, nebylo jen tak z plezíru – fakt je to nutná podmínka pro bezpečný setup. Zálohování nestačí, důvod už jste sám objevil. Důležité je právě to, že nemáte hesla jenom někde zazálohovaná, ale že máte funkční správce hesel na více zařízeních. Takže když o jednu instanci přijdete, máte jiné instance, které jsou funkční.

No ale pokud není možné správce hesel provozovat bezpečně, pokud máte jen jedno zařízení, tak je to kapku problém, ne? To z něj dělá nebezpečnou past pro všechny, kterým stačí jen smartphone bez počítače (nebo naopak).
Takoví uživatelé nejsou zas tak vzácní.

A pak tu máme druhý problém, když se bezpečnostní program nechá bez problémů provozovat v nenápadně nebezpečném režimu.

No ale pokud není možné správce hesel provozovat bezpečně, pokud máte jen jedno zařízení, tak je to kapku problém, ne?
Ne. Protože drtivá většina uživatelů, kteří mají počítač, mají i chytrý mobil. Takže mají minimálně dvě zařízení.

A pak tu máme druhý problém, když se bezpečnostní program nechá bez problémů provozovat v nenápadně nebezpečném režimu.
Já tu celou dobu píšu o tom, že je potřeba používat dobré správce hesel a používat je dobře. To, že si nenastavíte synchronizaci, to fakt žádný správce hesel neošetří.

JSH: Nějak nechápu, jak jste to teda používal. Když mám správce hesel na více zařízeních se synchronizovanými daty, jsou to minimálně dvě zařízení plus webový přístup. Takže když přijdete o jedno zařízení, obnovíte ten přístup z druhého zařízení. Musel byste přijít o obě zařízení najednou. A i kdybyste chtěl mít podchycený tenhle případ, stačí ten inicializační klíč uložit ještě někam jinam – třeba ho vytisknout a uložit doma na bezpečné místo, kde máte jiné citlivé věci.

Ona je to past. Pokud k rozchození správce hesel něco potřebuju, tak je mi úplně k ničemu, že to mám v tom správci hesel uložené. Protože dokud toho správce hesel nerozchodím, tak se k tomu prostě nedostanu.
To ale předpokládáte, že máte toho správce hesel jenom v jedné instanci. Což je v rozporu s tím, že je máte synchronizovaná na více zařízení.

Musel byste přijít o obě zařízení najednou. A i kdybyste chtěl mít podchycený tenhle případ, stačí ten inicializační klíč uložit ještě někam jinam – třeba ho vytisknout a uložit doma na bezpečné místo, kde máte jiné citlivé věci.

Asi jsem paranoidní, ale při čtení tohoto komentáře mi v hlavě okamžitě vyskočila představa požáru, při kterém vezme za své můj desktop, notebook i to "bezpečné místo". Něco jako ta firma, kterou léto 2002 vyléčilo z přesvědčení, že mít dvě datová centra, jedno v Podolí a druhé v Karlíně, je dostatečná míra redundance proti všemu, co se reálně může stát. :-)

Jedno z těch míst je v mém případě i chytrý telefon, který mám obvykle u sebe. Samozřejmě i to může selhat, pokud by mne při požáru vynášeli v bezvědomí, mobil mi s sebou brát nebudou. Nicméně bezpečné místo může být i jinde – u rodičů, u dětí, v práci… A může jich být víc. Každopádně riziko takového všezničujícího požáru bych řešil zálohami údajů nutných k obnově přístupu, ne tím, že správce hesel vůbec nebudu používat a budu si vše pamatovat. Ono se při tom požáru také může stát, že mi spadne něco na hlavu, a co jsem si pamatoval dočasně nebo trvale zmizí. Lepší správci hesel umí řešit třeba nouzový přístup pro osoby blízké, rodinné sdílení hesel apod. To řeší tyhle situace daleko lépe, než nepoužívat správce hesel.

ne tím, že správce hesel vůbec nebudu používat a budu si vše pamatovat

Ne, to jsem svým komentářem rozhodně navrhovat nechtěl. Jen mi to prostě připomnělo, jak často řešení z kategorie "tohle prostě musí stačit, ať se stane cokoli" ztroskotá na scénáři, který není až tak hypotetický, ale dotyčného prostě nenapadl. Osobně to řeším právě nejméně jednou zálohou "mimo barák".

> Osobně to řeším právě nejméně jednou zálohou "mimo barák".

Bacha, na tohle jsem dojel. Pokud vám "shoří" všechny funkční instance toho správce, tak se k zálohám taky nemusíte dostat.

tohle prostě musí stačit, ať se stane cokoli
Pokud si někdo opravdu myslí, že platí to „cokoli“, tak si to myslí špatně tak jako tak. Ale jak se říká, letecké (a železniční) předpisy jsou psané krví – to, že může nějaká nepravděpodobná událost nastat, se často zjistí, až když nastane.

Takhle jsem z pohodlnosti zapomněl telefonní čísla.