Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Tato přednáška byla doplněna a nahrazena novější přednáškou "Hlava není na hesla", prohlédněte si raději tu. Najdete ji na https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
Odkazy z článku jsou také na http://www.michalspacek.cz/prednasky/zapomente-vase-hesla-new-media-inspiration
Přednáška s podtitulkem Jak vytvářet, ukládat, používat hesla, jaké nástroje k tomu používat a proč proboha.
Používáte hesla? Kolik jich máte? Asi dost, co. Znáte nějaký program pro správu a pamatování hesel nebo snad používáte jedno heslo na více místech? Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Šmarjá, opravdu? Když náhodou takové službě unikne databáze emailů a hesel, včetně toho vašeho, tak pak případný zlý hoch může získat přístup i k dalším službám, protože do vaší emailové schránky vám chodí např. zapomenutá hesla nebo odkazy na nastavení hesel nových. Pokud k tomu tedy dojde, tak vás může zachránit už jen dvoufaktorová autentizace, víte, co to je? To je otázek, že… ale nebojte, mám i odpovědi.
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Tato přednáška byla doplněna a nahrazena novější přednáškou "Hlava není na hesla", prohlédněte si raději tu. Najdete ji na https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
Odkazy z článku jsou také na http://www.michalspacek.cz/prednasky/zapomente-vase-hesla-new-media-inspiration
Přednáška s podtitulkem Jak vytvářet, ukládat, používat hesla, jaké nástroje k tomu používat a proč proboha.
Používáte hesla? Kolik jich máte? Asi dost, co. Znáte nějaký program pro správu a pamatování hesel nebo snad používáte jedno heslo na více místech? Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Šmarjá, opravdu? Když náhodou takové službě unikne databáze emailů a hesel, včetně toho vašeho, tak pak případný zlý hoch může získat přístup i k dalším službám, protože do vaší emailové schránky vám chodí např. zapomenutá hesla nebo odkazy na nastavení hesel nových. Pokud k tomu tedy dojde, tak vás může zachránit už jen dvoufaktorová autentizace, víte, co to je? To je otázek, že… ale nebojte, mám i odpovědi.
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
EU US Privacy Shield vs. GDPR Infographic from TRUSTeTrustArc
Infographic that compares the timelines and compliance of EU-US Privacy Shield and EU General Data Protection Regulation (GDPR) framework.
Visit https://www.truste.com/business-products/eu-privacy-shield/ to make your business EU US privacy shield regulation compliant.
2015 TRUSTe US Consumer Privacy Confidence Index – InfographicTrustArc
Infographic on the consumer concerns on data privacy, business impact of neglecting consumer privacy and 6 ways to improve consumer trust in the US from TRUSTe.
Download the infographic http://www.truste.com/us-consumer-confidence-index-2015/
How Good Privacy Practices can help prepare for a Data Breach from TRUSTe TrustArc
Webinar on data privacy guidelines and best practices that will go a long way to prepare your company for a data breach.
Access the complete webinar from industry experts on how to be ready for a big data breach https://info.truste.com/On-Demand-Webinar-Reg-Page-V3.html?asset=IZC8I93X-553
Webinar on New DAA Guidelines for Ads Compliance in 2016 from TRUSTeTrustArc
On-demand webinar on insights for responsible data collection and privacy requirements in 2016 based on the new implementation guidelines for the U.S. market by Digital Advertising Alliance (DAA).
Visit https://info.truste.com/WB-2016-01-21-DAA-Webinar_On-Demand-Recording.html to access the complete webinar.
Interoperable Solutions for Cross Border Data Transfers – APEC, CBPR, BCR fro...TrustArc
With the recent CJEU ruling on the invalidity of Safe Harbor, companies should focus on Interoperable Privacy Frameworks to tackle cross border data transfers with a BCR (Binding Corporate Rules) platform.
Watch the complete webinar on how APEC, CBPR & BCR should come together for global interoperability https://info.truste.com/On-Demand-Webinar-Reg-Page-V3.html?asset=XCPH8VUG-586
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
Proč by na HTTPS měly běžet i weby, ke kterým se nepřihlašujete? Co znamenají chyby nalezené v SSL/TLS za poslední rok? V čem se můžeme poučit z kauzy Hacking Team? Jak se s přechodem na HTTPS vypořádávají vyhledávače? Jak si nerozbít web při honbě za A+ ratingem u SSL Labs? Co přináší nový HTTP/2 protokol? A proč má být na webhostingu HTTPS k dispozici zdarma a všem?
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
KeePass Advanced Using of Application with global auto-type. Presentation from online presentation.
Pokročilé využití aplikace KeePass včetně globálního samodoplňování. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-zaklady-pokrocile-vyuziti-a-keepass-enterprise-ctvrtek-14-4-2022-8593
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Similar to Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení (16)
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Operations security (OPSEC) is a term originating in U.S. military jargon. In IT, it says what to do to protect your servers, developers, information, and other resources. Targeting developers, new trend in computer security, is becoming increasingly common because they usually have access to production servers and other critical infrastructure.
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
HTTP Strict Transport Security (HSTS) provides secure transport of data, by removing the possibility of HTTPS stripping. HSTS is an HTTP header issued by the server. After receiving such header, the browser will perform internal redirects from http:// to https:// for given amount of seconds.
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
Users often forget their passwords, so applications often must have a password reset mechanism. There are several options for how to do it; some of them are good, most of them not so good. Generate a password and send it in an email? No. Security questions? No way. Reset passwords via a phone call? Rather not. This talk presents some really creative examples of botched password reset implementations, as well as a proven method for resetting passwords securely.
From unsalted SHA-1 to bcrypt, from generated passwords sent in e-mails to just links and other stories of securing user passwords at your regular e-commerce site from web developer's point of view.
Video of the talk available at http://www.michalspacek.cz/prednasky/the-problem-with-the-real-world-passwords
1. SPRÁVCI HESELSPRÁVCI HESEL
DO HLOUBKYDO HLOUBKY
Michal ŠpačekMichal Špaček www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
Jakožto odborníci v IT už víte, že máte používat nějaký password manager,
že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od
LastPassu, tedy kromě ceny? Původní slajdy tyto poznámky neobsahují.
2. Kolik máte účtů na různých webech? Docela dost, co? Twitter profil, falešný Twitter
profil, profil na Facebooku, falešný profil na Facebooku, LinkedIn profil, falešný…
to je jedno. Nebudeme rozebírat výhody nebo nevýhody správců hesel, o těch
jsem mluvil v přednášce Hlava není na hesla, ale spíš se na některé podíváme
trochu víc do hloubky.
3. Správců hesel je tuna. I v Čechách a na Moravě se nějaký ten správce vyrábí. V
Čechách je to Avast Passwords, na Moravě Sticky Password. V přednášce dále
budu mluvit o dvou oblíbených password managerech, o 1Password a LastPassu.
4. Jeden z nejznámějších správců hesel je LastPass. Co o něm víme? LastPass je
online password manager, to znamená, že zašifrovaná hesla jsou uložena na
serverech LastPassu. Je tedy možné se k nim dostat odkudkoliv, jen pomocí
prohlížeče, po zadání správného hlavního hesla. Někdy se takovým správcům
hesel říká cloudový správce hesel. Používání LastPassu na jednom typu zařízení
je zdarma. Může to být desktop nebo mobilní appka (a to i klidně víc desktopů
nebo aplikací), podle toho, kde LastPass začnete používat. Pokud chcete
LastPass používat na desktopu i na mobilu zároveň, musíte si službu předplatit,
na rok stojí $12. LastPass byl na podzim roku 2015 koupen firmou LogMeIn,
která není zrovna moc důvěryhodná. (Aktualizace: v létě 2016 byla firma
LogMeIn společně s LastPassem koupena společností Citrix.) Právě důvěra je u
bezpečnostního software velmi důležitá. Také víme, že LastPass byl dvakrát
hacknutý a že se občas najdou i jiné menší nebo větší bezpečnostní problémy.
5. Na jeden takový drobný jsem během chvilky přišel i já. LastPass požaduje zadání
něčeho, co vám heslo připomene. Do LastPassu používám heslo generované, které
si nepamatuju a mám ho uložené v jiném správci hesel, takže neexistuje nic, co by
mi to heslo připomnělo. Tak jsem tam napsal to, co vždy.
6. K mému překvapení se po uložení tento JavaScript spustil. Chybu jsem nahlásil,
LastPass ji opravil a jako odměnu jsem dostal … poděkování, protože tahle chyba
nešla nijak zneužít. To jen tak pro pobavení.
7. Šifrovací klíč
PBKDF2-HMAC-SHA-256(heslo, e-mail, count)
Víme také, jak LastPass ukládá hesla. Hesla šifruje algoritmem AES přímo v
prohlížeči pomocí JavaScriptu. Šifrovací klíč je odvozen z hlavního hesla a e-mailu.
Parametr count je standardně nastaven na 5000 a lze uživatelsky změnit.
8. Ověřovací hash
SHA-256(šifrovací klíč)
Pro přihlášení uživatele se na server posílá SHA-256 hash vypočítaný ze
šifrovacího klíče, tedy z PBKDF2-HMAC-SHA-256(heslo, e-mail, count).
9. Uložený hash
PBKDF2-HMAC-SHA-256(ověř. hash, sůl, 100k)
Na serverech LastPassu je uložen PBKDF2 hash se 100000 iteracemi vypočítaný
z ověřovacího hashe z předchozího slajdu. Po bezpečnostním incidentu z léta
roku 2015 chtěl výrobce ještě navíc přidat scrypt hash, není ale známo jak přesně.
10. 1Password je další z oblíbených správců hesel. Na rozdíl od LastPassu to je
klasická aplikace, kterou si nainstalujete. (Aktualizace: od srpna 2016 funguje
1Password i jako online aplikace, dostupná z jakéhokoliv browseru.) Má trochu jiné
financování, každou „velkou“ verzi programu si musíte koupit a pak ji můžete
neomezeně dlouho používat. Výrobce často nabízí různé slevy, takže se dostanete
třeba i na poloviční cenu, zhruba $25, někdy i níže. Základní mobilní aplikace jsou
zdarma, ale můžete si za jednorázový poplatek přikoupit vlastnosti navíc.
1Password je offline password manažer, výrobce tedy neví, kdy a odkud program
používáte (pokud při každém spuštění nebudete automaticky zjišťovat, jestli nebyla
vydána nová verze). 1Password uchovává data pouze lokálně, ne na svých
serverech, proto offline správce. Synchronizaci mezi zařízeními musíte řešit jinak,
například přes Dropbox, iCloud nebo lokální Wi-Fi. Zálohování dat z 1Passwordu je
velmi důležité, ale jakmile zálohujete do cloudu, tak z toho z jistého úhlu pohledu
máte v podstatě zase cloudový správce hesel.
11. OPVault: PBKDF2-HMAC-SHA512
AgileKeychain: PBKDF2-HMAC-SHA1
1Password odvozuje šifrovací klíče pomocí funkce PBKDF2 (Password-Based Key
Derivation Function 2). Novější formát OPVault ji používá ve spojení s HMAC-
SHA512 a počet opakování záleží na zařízení, na kterém byla databáze vytvořena.
Nikdy však neklesne pod 10000. Starší formát AgileKeychain používá PBKDF2
společně s HMAC-SHA1. Počet opakování byl původně nastaven na 1000, koncem
roku 2011 byl zvýšen na 10000. Od 1Passwordu verze 4 je počet iterací proměnlivý,
minimální hranice je například pro 1Password for Mac 5 nastavena na 40000.
12. AgileKeychain: unencrypted URLs
Rozdílů mezi formáty OPVault a AgileKeychain je více. Další podstatný je ten,
že starší AgileKeychain má nešifrované URL adresy, takže pokud by se někdo
dostal k vaší databázi, tak může jednoduše zjistit, k jakým webům máte uložené
přístupové údaje. Hesla šifrovaná samozřejmě jsou. Pokud vám nešifrované
adresy vadí, tak zkontrolujte, že používáte OPVault, případně na něj přejděte.
13. LastPass: unencrypted URLs
LastPass také leakuje metadata, prý proto, aby bylo možné zobrazovat favicon,
navíc informace o adresách může používat pro zobrazování relevantnějších
reklam. Ale tohle všechno je známé, není třeba panikařit, obojí to bylo několikrát
popsáno, navíc je to zmíněno jak v dokumentaci 1Passwordu, tak i LastPassu.
14. OPEN SOURCE
Zdrojové kódy pro 1Password ani LastPass nejsou k dispozici, ale zas tak moc to
nevadí. 1Password má obsáhlou dokumentaci, včetně popisu datových formátů,
autoři na blogu navíc poměrně často komentují a zdůvodňují svá rozhodnutí. Pokud
jste skálopevně přesvědčeni, že open source je bezpečný, tak si vzpomeňte
na chybu Heartbleed.
15. 2FA
Authentication
LastPass podporuje ověřování přihlášení pomocí SMS nebo aplikace na telefonu
(2FA, Two-Factor Authentication, někdy 2SV, Two-Step Verification), 1Password
ne. Ale vůbec to nevadí a ani by to nemělo smysl. Jakožecože? To A v 2FA totiž
znamená Authentication, tedy ověření a 1Password vás nijak ověřovat nemusí.
Jenom z hesla odvodí šifrovací klíč a data dešifruje. Ani LastPass pro dešifrování
dat žádný kód z SMS nebo appky nepoužívá. Když se někdo dostane k
zašifrovaným datům LastPassu, žádné 2FA/2SV vám nepomůže. Pamatujete na
klíč, který LastPass odvozuje pomocí PBKDF2-HMAC-SHA-256(heslo, e-mail,
count)? Žádný token tam není, že? LastPass ho totiž používá jen pro ověření, že
vám může poslat zašifrovaná data, ne pro samotné dešifrování. Kdybyste měli
databázi 1Passwordu třeba na Dropboxu a pro přístup k němu měli nastaveno
ověřování pomocí SMS, tak je to stejné, jako 2FA/2SV v LastPassu. 1Password
má data lokálně, nic vám neposílá, nemělo by tedy moc smysl chtít po uživatelích
zadávat nějaký kód navíc. Generovat takové kódy pro zadávání do webových
aplikací ale 1Password samozřejmě umí.
16. Hesla umí ukládat i webové prohlížeče. Pokud pro jejich zobrazení nepoužíváte
speciální heslo, tak je může přečíst jakýkoliv program, který na vašem počítači
spustíte vy nebo někdo jiný a to i přesto, že jsou uložena zašifrovaná. Například
Chrome ani žádné speciální heslo neumožňuje zadat. Vám sice uložená hesla
zobrazí až po kliknutí na tlačítko Show a zadání hesla, kterým se přihlašujete do
operačního systému, ale programy běžící na vašem počítači k heslům uloženým v
Chrome mají přístup i bez zadávání tohoto hesla. Plnohodnotný správce hesel
navíc umí hesla i generovat, to prohlížeče zatím běžně nedělají.
17. 10 Immutable
Laws of Security
První z 10 neměnných zákonů bezpečnosti říká: „Pokud vás mizera dokáže
přesvědčit k tomu, abyste si na počítači spustili jeho program, tak už to není váš
počítač.“ Záleží tedy jen na tom, jestli vám vadí, že by ten mizera měl přístup i k
vašim heslům uloženým v prohlížeči. Pokud nevadí, nebo pokud používáte např.
Firefox a hesla chráníte pomocí master password, v klidu používejte správce hesel
v prohlížeči. Jen nezapomeňte hesla generovat třeba pomocí metody diceware.
18. Teams
Správci hesel umí hesla sdílet, ale pokud je ve firmě potřebujete sdílet ve velkém,
tak raději sáhněte po nějakém specializovaném produktu. Ty fungují trochu odlišně,
šifrovací klíče nemohou odvozovat od přístupových údajů, protože by je ostatní
uživatelé s jinými uživatelskými jmény a hesly nedokázali rozšifrovat.
19. Jedním z produktů pro správu a sdílení hesel ve firmách je 1Password for Teams. Od
standardního 1Passwordu se poměrně liší. Funguje v prohlížeči a data jsou uložena
na serverech výrobce 1Passwordu. Nejen proto je důležité vědět, co a jak se na
serverech vlastně uchovává, jak se posílají a šifrují hesla a vůbec všechno, co by
mohlo bezpečnost firemních dat nějak ohrozit. Pro uživatele 1Password for Teams,
a nejen pro ně, je proto k dispozici dokument nazvaný Security Design, ve kterém na
více než 60 stránkách najdete všechno, co potřebujete vědět.
20. STAY SAFE
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
Většina článků o správcích hesel je porovnává jen z pohledu uživatele a podle
množství vlastností, případně ceny. Zabezpečení dat je ale neméně důležité.
Držím palce, ať si vyberete správně!