Myšlení lidem, hesla strojům! Už vás nebaví pracně vymýšlet hesla k internetovým službám, která dříve či později zapomenete? Máme pro vás řešení! V tomto článku do detailu rozebíráme správce hesel, kterým můžete svá hesla svěřit a automatizovat práci s nimi. Od teď si můžete pamatovat jen jedno hlavní heslo. Uvádíme na pravou míru také obavy, které slýcháme od účastníků našich kurzů kybernetické bezpečnosti.
Co je (a není) správce hesel
Správce hesel je specializovaná aplikace, která s hesly pracuje jako váš komorník. V případě potřeby vám heslo vytvoří, bezpečně uloží, nebo vás přihlásí k uživatelskému účtu, pokud k tomu dáte pokyn. Takhle to můžete mít v malíku i vy:
Se správci hesel se můžete setkat i ve svém webovém prohlížeči (Google Chrome, Mozilla Firefox nebo Microsoft Edge atp.). I prohlížeče běžně nabízí možnost „zapamatovat si heslo“, které jsme právě použili, případně nabízí rozšířené možnosti práce s nimi.
Byť se i správci hesel v prohlížečích snaží uložená hesla dobře chránit, komunita kybernetické bezpečnosti dodnes není jednotná v tom, jestli jsou dostatečně bezpečné. Záleží na technickém řešení konkrétního prohlížeče, jeho možnostech i limitech.
V tomto článku se zaměříme výhradně na specializované správce hesel, aplikace, které nám jako uživatelům dávají příslib maximální ochrany a jejich technické řešení je lépe připraveno na útoky hackerů. To je ten hlavní rozdíl mezi specializovaným správcem hesel a správcem hesel ve webovém prohlížeči.
Bezpečnost zakódovaná v DNA
Specializovaní správci hesel jsou navrženi a vyvíjeni tak, aby si na nich hackeři vylámali zuby. Kybernetická bezpečnost je jejich maximální priorita. Říká se tomu také „secure by design“ či „security first“. Důvěryhodní správci hesel fungují na technickém principu, který nazýváme „nulová znalost“.
Důvěryhodný provozovatel správce hesel by nikdy neměl ukládat naše hesla jinak než důsledně zašifrována. Jeho pracovníci se mohou dostat pouze k heslům v zašifrované podobě. Všechna hesla a data, která ukládáte na servery provozovatele správce hesel, odesíláte již zašifrována. Šifrují se na vaší straně.
Dobrým standardem pro šifrování, který mnoho důvěryhodných správců hesel využívá, je 256bitové šifrování AES. To bývá považováno za neprolomitelné při současných možnostech výpočetního výkonu. Také proto bývá toto šifrování využíváno i pro ochranu přísně utajovaných informací. Využívají ho vlády, banky nebo armády.
Jediný způsob, jak získat přístup k zašifrovaným heslům uloženým ve správci hesel a dále s nimi pracovat, je použít šifrovací klíč. To znamená zadat hlavní heslo do správce hesel. Důvěryhodný provozovatel správce hesel by ho opět neměl znát.
Je opravdu bezpečné mít všechna hesla na jednom místě?
S ohledem na to, jak důvěryhodní správci hesel fungují, vám jako uživateli více přináší než berou. Pokud bychom vzali váhu, do jedné misky dali bezpečnostní přínosy a do druhé bezpečnostní rizika, přínosy jasně zvítězí.
Ruku na srdce: hesla máte v podstatě vždycky na jednom místě (v hlavě, v deníku). A my, lidé, se dáme hacknout jednodušeji než správce hesel. Pokud jako uživatelé máme dodržovat bezpečnostní doporučení pro hesla a máme si je navíc pamatovat, dokážeme jich v hlavě nosit jen omezené množství. To postupem času vede k tomu, že si ulehčujeme život: využíváme jedno heslo pro všechny své služby, vytváříme si velmi podobná hesla, musíme si je značit a lepíme lístečky na monitor atp.
Je lepší mít zašifrovaná hesla uložená v důvěryhodném správci hesel a pro každou službu mít jiné, zcela unikátní a komplexní heslo. Toho nám správce hesel pomůže dosáhnout. Někteří odborníci zastávají názor, že heslo do e-mailu nebo internetového bankovnictví nepatří ani do důvěryhodného správce hesel. Volba strategie pro ukládání těchto citlivých hesel je tedy na vašem zvážení, záleží i na osobní situaci a potřebách.
Kde jsou moje hesla fakticky uložena?
Existují i správci hesel, kteří zašifrovaná hesla ukládají lokálně, jen a pouze ve vašem zařízení. Někteří správci vám dávají i na výběr, zda chcete hesla hesla ukládat lokálně nebo v cloudu (na serverech provozovatele správce hesel).
Většina správců hesel v dnešní době funguje právě v cloudu. Toto řešení uživatelům přináší více výhod, především synchronizaci mezi různými zařízeními, které využíváte a chcete v nich svého správce mít k dispozici (notebook, tablet, chytrý mobil, …). Cloudová řešení také umožňují přístup k heslům kdekoliv, kde se můžete připojit k internetu.
Mohou správce hesel napadnout hackeři?
Ano, mohou. Stejně jako každou technologii připojenou k internetu. Kdybychom tvrdili, že ne, bylo by to přikrášlené a nefér. Důležité ale je, že pokud se stane malér, důvěryhodní správci hesel nás nezradí a nenechají na holičkách. Už ve článku zazněl princip „nulové znalosti“. Naše hesla jsou ukládána bezpečně zašifrovaná.
Důvěryhodní správci hesel také předpokládají a aktivně se připravují na to, že budou napadeni. Aplikují opatření proti různým typům kybernetických útoků. I pokud by se stalo, že hackeři úspěšně napadnou provozovatele správce hesel, měli by v tom nejhorším případě získat pouze znehodnocená zašifrovaná hesla.
Opravdu se nedají zneužít ani zašifrovaná hesla?
Aby bylo možné naše hesla dešifrovat, je k tomu potřeba naše hlavní heslo do správce hesel. A jak už víme, naše hlavní heslo důvěryhodný provozovatel správce hesel nezná, známe ho jen my. Zásadní je nepodcenit sílu hlavního hesla, pomocí kterého do správce hesel vstupujete. To je váš důležitý úkol.
Dalším vaším úkolem je aktivovat si pro správce hesel dvoufaktorové ověřování. Dvoufaktorové ověřování slouží jako záchranná brzda proti neoprávněným přístupům a dává nám možnost je zamítnout. To znamená, že i kdyby naše hesla v zašifrované podobě někdo získal a i kdyby se mu podařilo získat naše hlavní heslo, nebude to mu to stačit. Myslete také na to, že i jednotlivá hesla, která máte ve správci hesel uložená, můžete mít doplněna o dvoufaktorové ověřování. To je silný řetězec zabezpečení.
Proč mám správci hesel důvěřovat?
Specializovaní správci hesel (jako všechny aplikace) mohou být dvojího řešení: open-source (otevřené programové řešení) a proprietární (uzavřené programové řešení). Obě dvě řešení mají své výhody a nevýhody. Větší část specializovaných správců hesel, se kterými jsme se doposud setkali, fungovaly na principu open-source.
Za hlavní výhodu open-source bývá označováno, že každý, kdo má potřebné znalosti, se může podívat, jak je programový kód správce hesel napsaný. Jak funguje a jestli to, co deklaruje, platí. V praxi to tak růžové není. Těch, kdo dokážou skutečně a komplexně posoudit kvalitu a bezpečnost programového řešení, je minimum.
Důvěryhodní správci hesel prochází nezávislými audity a kontrolami bezpečnosti. Na jejich webu byste měli být schopni dohledat výsledky auditů a opatření, jak byly zjištěné nedostatky opraveny.
Faktem je, jako uživatelé dáváme i kus důvěry. Ale to v konečném důsledku platí vždy. Když jedeme autem, spoléháme na to, že zabrzdí nebo nepraskne pneumatika. Když si kupujeme v obchodě jídlo, důvěřujeme výrobci, že složení odpovídá etiketě. Spoléháme na to, že to někdo dobře vyrobil a hraje fér hru.
Kdo platí vývoj správců hesel?
Provozovatel správce hesel potřebuje produkt stále aktualizovat. Implementovat novější technologie nebo odstraňovat bezpečnostní nedostatky, které objevil nezávislý audit. To vyžaduje stálé investice do vývoje. Bezplatné open-source správce hesel obvykle financují komunity uživatelů a vývojářů.
Někdy bývá financování zajištěno prostřednictvím dobrovolných příspěvků, crowdfundingových kampaní, nebo sponzorství. Některé projekty mohou také získávat finanční prostředky prostřednictvím grantů. Zpravidla ale nežijí z reklam ani nejsou zavázány výhradním sponzorům.
Přidejte se k nám!
Rádi objevujete digitální svět a chcete získat více tipů? Staňte se součástí skupiny Digitální doteky na Facebooku, aby vám nic nového neuteklo. Pojďme být v kontaktu!
Chci do komunityDůvěryhodní správci hesel
Nabídka správců hesel a licencí je široká. Mezi zajímavá řešení patří například: 1Password, Dashlane, Apple klíčenka, Bitwarden nebo Proton Pass. Na poslední dva zástupce se za chvíli podíváme v podrobném srovnání. Obvykle jsou správci hesel placené aplikace, ale téměř vždy nabízí i bezplatnou, omezenou, licenci. Ty ale mívají různé limity, proto mějte při výběru na mysli alespoň tyto otázky a hledejte na ně odpovědi:
- Mohu ho využívat neomezeně, nebo třeba jen na 30 dnů?
- Kolik hesel si můžu uložit?
- Kolik složek si můžu založit?
- Na kolika ho můžu mít zařízeních?
- Má dobrou mobilní aplikaci?
- Má dobrý doplněk do prohlížeče?
Doplněk do prohlížeče je užitečný pomocník. Můžete si díky němu přímo do svého webového prohlížeče nainstalovat správce hesel a budete ho mít neustále po ruce.
První kroky ve správci hesel
Ať už si vyberete jakéhokoliv důvěryhodného správce hesel, tohle platí vždycky! Při zakládání účtu a tvorbě hlavního hesla dbejte na to, aby bylo opravdu silné. Zkuste se podívat také na náš článek o frázových heslech, které se vám budou snadněji pamatovat.
Ihned po vytvoření účtu jděte prozkoumat nastavení, aktivujte si tzv. dvoufaktorové ověřování (2FA). Získejte a dobře si uložte záložní kódy pro přístup v případě nouze. Pokud s těmito kroky prozatím nemáte zkušenost, najdete na našem blogu další kompletní článek, kde 2FA prakticky a krok po kroku rozebíráme.
Najdete i další možnosti, které můžete nastavit a vyplatí se si nastavení proklikat. Zpravidla můžete nastavit, co se má stát, pokud jste přihlášeni do správce hesel a vyprší daný časový limit nebo přístup do správce hesel pomocí biometriky. Díky biometrice můžete například na mobilu odemykat správce hesel otiskem prstu / rozpoznáním obličeje a nepotřebujete zadávat hlavní heslo. Tato bezheslová metoda může být také v konečném důsledku ještě bezpečnější. Vaše identita je totiž ověřena „tím, kdo jste“ a ne „tím, co znáte“ (hlavní heslo).
Lepší odolnost proti phishingu
Na našich kurzech kybernetické bezpečnosti se setkáváme s tím, že se lidé správců hesel bojí a hledají na nich potenciální nedostatky (která zpravidla pramení v nepochopení technologie správce hesel). Méně se ale soustředí na to, že do častějších malérů je může dostat vlastní lidské pochybení. Ne nadarmo se říká, že uživatel je největší slabina systémů.
Hackeři se sice mohou pokusit prolomit zabezpečení správce hesel a získat naše hesla za využití technických postupů, ale jednodušší je využít metody sociálního inženýrství pro manipulaci s lidmi. Jednou z účinných metod je phishing.
Co je to phishing?
Phishing spoléhá na to, že zadáme své přihlašovací údaje (jméno, heslo, případně další ověřovací kód) na podvodné webové stránce, která však může vypadat vizuálně důvěryhodně. Typicky nám přijde podvodná zpráva se smysluplnou zápletkou, která má za cíl přinutit nás kliknout na přiložený odkaz, odvést nás na podvodný web a přimět nás zadat sem své přihlašovací údaje (jméno, heslo, případně ověřovací kód).
Pokud to na podvodné stránce uděláme, útočníci získají naše přihlašovací údaje a mohou je zneužít pro přístup k našemu opravdovému účtu. Tento způsob odcizení přístupových údajů je v praxi častý.
Proto je fajn, že správce hesel neukládá jen naše zašifrovaná hesla, ale umí si také pamatovat, ke kterému webu a přesné adrese patří. Kupříkladu, pokud si uložíme uživatelské jméno a heslo pro web https://voyo.nova.cz/, správce hesel nám bude tyto přihlašovací údaje nabízet jen pro web s adresou https://voyo.nova.cz/. Avšak ne pro web, který se za Voyo pouze vydává a napodobuje ho.
V případě, že správce hesel vyplňuje naše přihlašovací údaje na náš pokyn, na podvodnou stránku nás nepřihlásí. Protože ji nebude znát, nebude mít uloženou její adresu a nenechá se nachytat. To je důležitý moment pro to, abychom se mohli uvědomit: pozor, něco se děje.
Další zajímavé funkce správců hesel
Mezi další funkce, které uživatelé oceňují, patří například:
Hide my e-mail aliasy
Někteří správci hesel nabízí možnost „zamaskovat e-mail“. Pokud se zaregistrujete do služby a máte zadat svoji e-mailovou adresu, můžete ji jedním kliknutím schovat za masku. E-maily ze služby vám budou chodit, ale služba nebude znát vaši opravdovou e-mailovou adresu. Pokud si masku e-mailu ve správci hesel smažete, e-maily vám přestanou chodit. Ušetříte si nervy i místo v e-mailové schránce.
Sdílení hesel a sdílené účty
Pokud to lze, hesla bychom sdílet neměli. V pracovním prostředí je lepší pracovat s uživatelskými oprávněními (v systému nastavíme dalšímu uživateli oprávnění, která potřebuje pro svoji práci a heslo ke svému účtu nesdílíme).
Jako domácí uživatelé se ale můžeme dostat do situace, kdy potřebujeme naše heslo sdílet s někým dalším. Například, pokud máme 1 rodinnou licenci pro Voyo a 1 rodinné heslo. Správci hesel obvykle nabízí možnost sdílet hesla elegantně a šetrně. Běžnou možností bývá získat odkaz ke sdílení, pro který můžeme nastavit, jak se má chovat (například, že obsah zmizí za 10 minut, hodinu, po 1 otevření, 5 otevřeních atp.). Máme také možnost obsah odkazu kdykoliv vymazat a tím mít alespoň nějakou možnost kontroly.
Pro ty, kdo si s digitálními technologiemi spíše nerozumí, může být fajn, že svého správce hesel mohou sdílet s někým, kdo k nim má blíže (pro seniory například dospělá vnoučata).
Bezpečný prostor na poznámky
Všichni známe situaci, kdy si někam poznačíme důležité údaje (například číslo smlouvy, PIN SIM karty nebo kód pro komunikaci s mobilním operátorem) a když je potřebujeme, nemůžeme je najít. Správci hesel nám obvykle poskytují možnost uložit si i další poznámky. Takže je máme neustále po ruce.
Monitoring uniklých hesel
Jedna z cest, jak se mohou naše přihlašovací údaje dostat do ohrožení, je pochybení na straně provozovatele služby. Pokud máme například registraci na e-shopu a zaměří se na něho hackeři, může v kritických případech dojít i k úniku našich uživatelských dat. Záleží pak hodně na tom, jaké technologie daný e-shop používá pro ochranu našich dat.
Pokud využívá zastaralé a překonané technologie, mohou být naše přihlašovací údaje prozrazeny i tímto způsobem. Je poměrně běžné, že má správce hesel funkci, která se snaží monitorovat známé úniky dat o uživatelích a pokud najde nějakou spojitost s námi, upozorní nás na to.
Clipboard s časovým limitem
Zjednodušeně řečeno, clipboard je schránka pro kopírování, díky které funguje CTRL+C a CTRL+V. Pokud budete v situaci, kdy musíte ze správce hesel své heslo okopírovat a někam jinam vložit, bývá pro tento úkon nastaveno časové omezení. Například, že pokud schránku nevyprázdníte do 20 vteřin, bude vyprázněna automaticky. Je to z toho důvodu, abyste nezapomněli, že máte ve schránce citlivé údaje a omylem je nevložili někam jinam a neprozradili je tak.
Srovnání Bitwarden a Proton Pass
S klidným svědomím můžeme doporučit Bitwarden a Proton Pass. Patří mezi důvěryhodná řešení. Sami s nimi pracujeme a máme dobrou uživatelskou zkušenost. Cílem tohoto článku není popisovat jednotlivé funkce. Nejlépe uděláte, když si založíte vlastní účet a zkusíte si ho sami proklikat. Tím padne první překážka a uděláte krok k tomu, že práci se svými hesly automatizujete i vy.
V tabulce může vidět zhodnocení vlastností, o kterých jsme v tomto článku psali. Některé se však porovnávají obtížně, protože Bitwarden i Proton Pass některé věci řeší po svém:
Správce hesel | Bitwarden | Proton Pass |
Programový kód | Open-source | Open-source |
Šifrování dat | 256bitové šifrování AES | 256bitové šifrování AES |
Právní jurisdikce | USA | Švýcarsko |
Počet trezorů / složek | 1 trezor / neomezeně složek | 2 trezory / 0 složek (důraz na vyhledávání) |
Časové omezení bezplatné licence | Neomezeno | Neomezeno |
Sdílení trezorů | vy + 1 uživatel | vy + 2 uživatelé |
Počet uložených hesel | Neomezeno | Neomezeno |
Počet synchronizovaných zařízení | Neomezeno | Neomezeno |
Hide my e-mail aliasy | Bohaté možnosti nastavení | Můžete si jich vytvořit celkem 10 |
Sdílení hesel | Pomocí funkce Send (můžete vytvořit položku pro sdílení a nastavit, jakým způsobem má fungovat, jak dlouho má být dostupná atp.) | Lze sdílet pouze celý trezor, za to ale elegantním způsobem, lepší možnosti sdílení jsou v placené verzi (díky neomezenému počtu trezorů) |
Odemknutí premium funkcí | cca 250 Kč / rok | cca 600 Kč / rok |
Možnost integrovaného authenticatoru (2FA) | V premium verzi | V premium verzi |
Grafické a ovládací rozhraní | 80 % (hodnoceno subjektivně) | 95 % (hodnoceno subjektivně) |
Na tohle si dejte pozor
Pokud se rozhodnete využívat specializovaného správce hesel, mějte na mysli, že mnoho provozovatelů neumožňuje obnovení přístupu do správce hesel, pokud zapomenete své hlavní heslo. To znamená, že pokud zapomenete hlavní heslo, hrozí, že ztratíte všechna zašifrovaná hesla v něm uložená.
U správců hesel zpravidla nenajdete volbu „zapomněl jsem heslo“, kterou byste si do e-mailu poslali odkaz obnovení hesla. Je to bezpečnostní opatření. Například pro případ, kdy by někdo nepovolaný získal přístup k vašemu e-mailu. A také proto, aby ani provozovatel neměl v systému možnost heslo resetovat, přenastavit a získat tím přístup k vašim heslům.
Předem si ověřte, zda nějaké možnosti či postupy obnovení váš správce nabízí a mějte o nich přehled dříve, než se dostanete do maléru. Můžete také včas učinit opatření, která vám z maléru pomohou.
Aby správce hesel dobře fungoval a mohli jste automatizovat vyplňování přístupových údajů (tzv. autofill), budete muset udělat v nastavení svého zařízení, případně prohlížeče, jeden krok. Určit, že správce hesel je hlavní nástroj, odkud se mají vaše hesla čerpat a vyplňovat. Kroky se budou lišit zařízení od zařízení, systém od systému, verze od verze, správce od správce. Nebojte, zní to složitější, než to je. Například tímto zakliknutím to lze vyřešit na Macbooku:
Navštivte také nastavení vašeho prohlížeče a zakažte, aby se vám nabízela volba „zapamatovat si heslo“, kterou nabízí přímo webový prohlížeč, jak jsme si popisovali úvodem článku. Pokud byste tuto volbu neomezili, bude to pro vás jako uživatele zbytečně matoucí a tato funkce se bude se správcem hesel zbytečně tlouct.
Pozor také při stahování aplikací (ať už pro mobil nebo pro počítač). Jsou známy případy, kdy hackeři rozšířili do nabídky ke stažení podvodné aplikace, které se maskovaly jako správci hesel. Pokud bychom si takovou podvodnou aplikaci stáhli, nainstalovali a přihlásili se do ní, svá hesla bychom ohrozili. Proto při stanování aplikace správce hesel důsledně kontrolujte, zda stahujete tu správnou.
Budoucnost: bezheslová řešení a Passkeys
Správci hesel neslouží jen k ukládání hesel. Budoucností jsou přístupové klíče, tzv. passkeys. Jedná se o způsob přihlašování do internetových služeb, kdy nemusíte zadávat heslo. Vytvoříte si přístupový klíč a jeho použití potvrzujete biometrickou metodou (otiskem prstu nebo rozpoznáním obličeje). Stačí pohodlně ověřit svoji identitu a budete automaticky přihlášeni. Pokud máte účet Google (pro Gmail, Disk, Kalendář apod.), můžete si to vyzkoušet.
Přístupové klíče řeší některé slabiny hesel a jsou pohodlnější. Stále však potřebujeme své přístupové klíče někam bezpečně uložit. Správci hesel tuto možnost začínají nabízet jako standard.
Konec zapomínání hesel!
Specializovaní a důvěryhodní správci hesel nám mohou při využívání internetu velmi zjednodušit život a výrazně přispět k naší osobní kybernetické bezpečnosti. Jejich technická architektura naše hesla chrání.
Mohou také zvýšit naši odolnost před phishingovými útoky, protože na podvodných webech nenabídnou automatické přihlášení. Nepleťte si ale specializované správce hesel s funkcí zapamatovat si heslo, kterou nabízí webové prohlížeče. Specializované správci hesel jsou důmyslnější.
Vždy však platí: ihned po registraci si svého správce dobře zabezpečte. Opravdu silné hlavní heslo je základ. Nastavte si také dvoufaktorové ověřování. A prozkoumejte další možnosti zabezpečení a prevence krizových situací. Nedoporučujeme používat správce hesel a nemít tyto věci ohlídané.
Bitwarden i Proton Pass považujeme za zajímavé a důvěryhodné správce hesel a máme s nimi fajn zkušenosti. Oba mají něco do sebe a věříme, že vás nezklamou. Bitwarden podle našeho názoru nabízí i v bezplatné verzi rozmanitější paletu funkcí a možností. Pokud jste hračičkové, kteří se rádi šťourají v možnostech nastavení, mohl by vás zaujmout více.
Pokud naopak preferujete méně klikátek, mohl by u vás zabodovat Proton Pass. Jako nového uživatele vás lépe vede a ukazuje, co a jak máte udělat. Jeho výhodou je i modernější design. Zajímavou předností Proton Passu je také švýcarská legislativa, která uživatelům švýcarských digitálních služeb slibuje vysoce nadstandardní ochranu soukromí.
V klidu si prohlédněte nastavení správce hesel, webového prohlížeče i mobilu. Pokud vám něco nebude fungovat na první pokus, nevzdávejte se. Chce to cvik. Zhodnocení udělejte třeba až po týdnu, kdy si správce lépe vyzkoušíte v běžném provozu. Fungování správce hesel si můžete i vypiplat. Vyplatí se to. Nám už stačí jen otisk k prstu a vše ostatní se děje samo, automaticky.
Budoucností hesel jsou bezheslová řešení a přístupové klíče. Specializovaní správci hesel umožňují pracovat i s nimi. Stávají se tedy bezpečnými „správci passkeys“.
A v případě, že si stále nejste jisti, jak začít, připravili jsme pro vás kompletní videonávod pro Bitwarden. Provede vás založením účtu, jeho základním zabezpečením a bude vám oporou pro první kroky:
Tento článek nám pomohli připravit a revidovat experti Michal Špaček a Patrik Žák. Děkujeme!