Jak zabezpečit svá hesla, díl 3/3: Roboform a LastPass

0

Specializované doplňky pro prohlížeče

Integrují se do webových prohlížečů, jejich použitelnost je omezena na webové služby. Kromě automatického doplňování přihlašovacích údajů nabízejí i generování silných hesel (náhodných alfanumerických sekvencí). Tito správci hesel často zahrnují i funkci vyplňování formulářů, běžná je i přenositelnost hesel mezi více počítači, bez vazby na konkrétní prohlížeč.

Pro rekapitulaci, předchozí dva díly miniseriálu naleznete zde:
  1. Jak zabezpečit svá hesla, díl 1/3
  2. Jak zabezpečit svá hesla, díl 2/3: webové prohlížeče

RoboForm

Testované verze: 7.1.1, 7.3.2
Licence: shareware
Výrobce: Siber Systems Inc.
Domovská stránka: http://www.roboform.com/

Jedna z nejznámějších a nejdéle existujících aplikací pro správu hesel. Lze jej nainstalovat jako plugin do Internet Exploreru, Firefoxu i Chrome (pro tyto dva jak pod Windows, tak Linuxem či Mac OS), ve vývoji je modul pro Operu. Podporována je i široká škála mobilních zařízení: iPhone, BlackBerry, Android, Windows Mobile, Palm a Symbian.

Nejprve si musíte v Roboformu vytvořit identitu


Potom už si můžete vytvářet „karty“ (passcards) pro jednotlivé stránky.
Přihlásíte se kliknutím na kartu (která se automaticky nabídne na liště) nebo na identitu.


Nová verze, kterou jsem nainstaloval za účelem pořízení screenshotů
do článku, ukládá a doplňuje i hesla do formulářů v okenních aplikacích.

Různé důvěrné údaje lze uložit jako „tajné poznámky“, které jsou stejně jako všechna ostatní data chráněna hlavním heslem. Pro ukládání hesel do jiných aplikací to ale není ani pohodlné, ani bezpečné. Roboform ovšem nabízí i ukládání hesel pro offline aplikace, například IM kecálky nebo FTP klienty. Přísahal bych, že ve verzi 7.1.1, kterou jsem testoval původně, tato funkcionalita nebyla – nebo jsem ji snad přehlédl?

Potěší možnost vybrat si, u kterých hesel bude vyžadováno zadání hlavního hesla a u kterých nikoliv (v tom případě jsou zašifrována nějakým standardním klíčem, textovým editorem je zobrazit nelze). RoboForm také dává na výběr z pěti šifrovacích algoritmů: DES, 3DES, AES, Blowfish a RC6. AES, Blowfish a RC6 jsou považovány za neprolomitelné (tedy „computationally secure“ – prolomení by bylo možné pouze s obrovským výpočetním výkonem, který lidstvo nemá a po další desítky let nebude mít).

RoboForm nabízí rovnou dvě cesty, co se týče přenositelnosti hesel. První možnost spočívá v synchronizaci přes účet na serveru tvůrců aplikace.

Alternativně lze RoboForm nainstalovat na USB klíčenku, kam se budou ukládat i hesla a další údaje. RoboForm2Go lze použít na jakémkoliv počítači s operačním systémem Windows, v prohlížečích Internet Explorer a Firefox. Na rozdíl od klasické offline verze na počítači nezůstávají žádná data – za předpokladu, že na něm klíčenku nezapomenete.

RoboForm vyplňuje uživatelská jména a hesla na stránkách simulací stisků kláves. Provádí to velice rychle, aby keyloggery nestihly klávesy zaznamenat, a minimálně vůči použitým keyloggerům tato taktika funguje. Při zadávání hlavního hesla se proti keyloggerům lze chránit použitím virtuální klávesnice, kde uživatel heslo nakliká myší. Windows 7 mají v základní výbavě softwarovou klávesnici (on-screen keyboard), ta však plnohodnotně simuluje stisky kláves a ty jsou odposlechnuty softwarovým keyloggerem; klávesnice integrovaná v RoboFormu vkládá znaky do jediného (vlastního) textového pole, a tak keylogger nic neodposlechne.

LastPass

Testovaná verze: 1.70.1
Licence: shareware
Výrobce: Marvasol, Inc.
Domovská stránka: http://www.lastpass.com

Funkčně podobný RoboFormu, avšak webové úložiště není jeho přidanou funkcí, nýbrž základem; naopak zálohování hesel na lokální počítač nebo flash klíčenku je doplňková a pro běžné používání ne tak docela nutná funkcionalita. Díky tomu jsou hesla uložená v LastPassu přístupná odkudkoliv, i na počítačích, kde není nainstalován. Doplněk pro prohlížeč zajišťuje automatické doplňování přihlašovacích údajů a u Internet Exploreru, Firefoxu a Chrome dokáže překrýt integrovaného správce hesel (i uložená hesla z něj importovat). Pohodlí pro uživatele je tedy srovnatelné se základním stavem – ne-li dokonce vyšší.

LastPass lze nainstalovat i na širokou škálu mobilních zařízení, pouze verze pro Apple iPad je však zdarma. Další lze stáhnout pouze s Premium účtem, který stojí jeden americký dolar na měsíc.

Přihlašovací dialog na obrazovce.
Screenshoty je převzaty z článku Jana Váni LastPass: Jedno heslo vládne všem.


Import „nebezpečných“ hesel z prohlížečů


LastPass trezor (Vault) sloužící zároveň jako rozcestník na vaše oblíbené stránky

Potřebujeme-li se k LastPass účtu přihlásit v internetových kavárnách nebo na jakýchkoliv počítačích, jejichž bezpečností si nejsme jisti, případné vyzrazení LastPass hesla znamená zároveň vyzrazení všech hesel v něm uložených. Pro tento účel slouží jednorázová hesla (one time passwords). Jednorázové heslo, které je nutné předem vygenerovat, lze pro přístup k účtu využít pouze jednou; jeho vyzrazení při procesu přihlašování tedy nepředstavuje žádné riziko.

Dalším způsobem ochrany je funkce nazvaná Grid Multifactor Authentication (Vícenásobné ověřování pomocí Šifrovací mřížky). Uživatel si může vygenerovat unikátní mřížku (viz obrázek níže). Tu si vytiskne a bude nosit s sebou; při přihlašování do LastPassu na neznámém počítači bude kromě hlavního hesla dotázán i na několik znaků z jeho mřížky na náhodně zvolených souřadnicích. Na počítačích, kterým uživatel důvěřuje, lze toto ověřování vypnout.


Příklad šifrovací mřížky pro LastPass.
Zdroj: https://lastpass.com/help.php?fromwebsite=1&topic=grid

Jako ochranu proti keyloggerům při zadávání hlavního hesla nabízí LastPass softwarovou klávesnici. Tu lze však vyvolat jen při prvním přihlášení. Je-li heslo vyžadováno vícekrát během jedné session, softwarovou klávesnici už nelze vyvolat. Znaky zadané skrze tuto klávesnici, na rozdíl od softwarové klávesnice v základní výbavě Windows, nejsou odposlouchány softwarovým keyloggerem.

Za zmínku stojí také možnost sdílet vybrané přihlašovací údaje s (až padesáti) jinými uživateli. To lze navíc provést tak, že se „obdarovaný“ heslem přihlásí, ale nemůže jej zobrazit v nezamaskované podobě.

Doplňky pro prohlížeče: tabulka hodnocení a shrnutí

  RoboForm 7.3.2 LastPass 1.70.1
Univerzálnost použití web (záznam lze vytvořit pouze pro stránku otevřenou v prohlížeči) a okenní aplikace pouze web (jiná hesla lze uložit, ale jejich načtení je zdlouhavé a heslo je nutné zkopírovat nebo ručně opsat)
Kompatibilita s prohlížeči Internet Explorer, Firefox, Chrome, Safari (RoboForm2Go pouze IE, FF) Internet Explorer, Firefox, Chrome, Safari, Opera (jen verze 11 a vyšší)
Kompatibilita s operačními systémy Windows, Linux, Mac OS
Kompatibilita s mobilními zařízeními Apple iPhone, iPod touch; Android, Windows Mobile
BlackBerry, Palm, Symbian – pouze zobrazování (bez aut. doplňování)
 Apple iPad, iPhone; Android, BlackBerry, HP/Palm webOS, Windows Mobile, Symbian S60, Dolphin Browser HD
Přenositelnost hesel Mezi různými prohlížeči i počítači; přes webové úložiště nebo flashdisk
Pokus o rozluštění „recovery“ aplikace nejsou dostupné
Test keyloggerem nic není zaznamenáno
Test clipboard monitorem nic není zachyceno, maskovaná hesla není možné zkopírovat
Uživatelská přívětivost, rychlost  3/5
(přihlašování je pohodlné, body strhávám za matoucí názvy identit a passcards a za mix češtiny a angličtiny, pokud při instalaci zvolíte češtinu)
5/5
Další funkce vyplňování formulářů, generování silných hesel, softwarová klávesnice pro zadávání hlavního hesla, seznam odkazů na stránky s uloženými hesly, dvě úrovně zabezpečení vyplňování formulářů, generování silných hesel, softwarová klávesnice pro zadávání hlavního hesla, seznam odkazů na stránky s uloženými hesly, jednorázová hesla, Šifrovací mřížka, sdílení přihlašovacích údajů

Silnou stránkou specializovaných doplňků pro prohlížeče je kompatibilita se širokou škálou prohlížečů i mobilních zařízení. Neobejdou se bez špetky důvěry na straně uživatele, který chce mít svá hesla dostupná odkudkoliv z webového úložiště. Pohodlně se používají a při registraci do služeb na webu nenásilnou cestou vedou uživatele k používání silných hesel.

Díky generátoru hesel je možné se zaregistrovat na webovou službu nebo si změnit heslo a následně se přihlašovat, aniž by heslo kdy bylo vystaveno keyloggerům nebo clipboard monitorům; díky složitosti vygenerovaného hesla jeho odpozorování jinou osobou představuje zanedbatelné riziko.

Obě testované utility jsou přeloženy do českého jazyka (i když Roboform poněkud neúplně). V případě, že byste některou z nich chtěli používat ve firemním prostředí, mějte na paměti, že ukládání údajů na serverech výrobce aplikace může být v rozporu s bezpečnostní politikou organizace.

Roboform mě příjemně překvapil pohodlným ukládáním a doplňováním hesel i do okenních aplikací, čímž mé dříve zvolené dělení na offline trezory a doplňky pro prohlížeče postavil na hlavu. LastPass naopak potěšil zvýšenou bezpečností při přihlašování na neznámých počítačích. Jednoznačný vítěz tedy neexistuje – vyberte si podle svých vlastních požadavků.

Srovnání typů aplikací

Kategorie správců hesel, kterým byl miniseriál věnován, mají každá své typické scénáře, pro které jsou dané aplikace vhodné, a naopak případy, kdy nevyhovují.

Správa hesel ve webových prohlížečích primárně zvyšuje pohodlí uživatele a tak je vhodná pro uchovávání přihlašovacích údajů pro nepracovní účely, jejichž odcizení nemůže uživateli způsobit nijak velkou škodu a nikdo tudíž k jejich odcizení není motivován (do této kategorie spadají hesla k účtům na webech, kam uživatelé chodí komentovat a diskutovat). Pokud uživatel dodržuje základní pravidla – zejména nenechávat počítač bez dozoru bez předchozího odhlášení se či zamčení účtu, neinstalovat podezřelé programy, udržovat operační systém a programy aktualizované a chránit se antivirovými programy – je koneckonců i hlavní heslo nadbytečným opatřením. Je to ale právě lidský činitel, který selhává nejčastěji, a prohlížeče uživatelovu zodpovědnost příliš neodlehčují.

Specializované doplňky prohlížečů pro správu hesel a vyplňování formulářů jsou také orientovány především na pohodlí. Možnost hesla přenášet mezi více počítači ale může uživatele přimět k tomu, aby se vzdal svých slabých, snadno zapamatovatelných a na mnoha službách používaných hesel. Přihlašovací údaje jsou v nich uloženy bezpečněji, takže je lze – pochopitelně při dodržení pravidel vytváření a používání hesel – doporučit i pro pracovní účely, kde existuje vyšší riziko napadení cíleným útokem.

 

Prohlížeče ani specializované doplňky pro ně ale neumí uchovávat přihlašovací údaje ke všem aplikacím. Potřebujeme-li hesla doplňovat do samostatně spouštěných „okenních“ nebo konzolových aplikací, potřebujeme i samostatně běžící správce hesel. Některé aplikace, pro něž potřebujeme uchovávat hesla, zejména FTP klienty, mají tuto funkcionalitu zabudovanou. Ne vždy si ale můžeme být jisti bezpečností tohoto řešení a mohou nastat případy, kdy ukládání hesla přímo v programu nelze použít (aplikace nejsou lokálně nainstalované, nebo běží na virtualizovaném desktopu).

Je nutné zdůraznit, že žádná aplikace není stoprocentně bezpečná vůči keyloggerům, neboť heslo může být odposlechnuto při prvním zadávání. S tímto rizikem se lze vypořádat jedině tak, že ve správci hesel předem vygenerujeme silné heslo a necháme bezpečně doplnit už do registračního formuláře (přičemž Roboform a LastPass mají tento proces zvládnutý, s KeePassem musíte toto provádět ad-hoc).

Závěr aneb mají správci hesel smysl?

Používání silných hesel a dodržování pravidel pro práci s nimi může zabránit mnoha (ne všem!) bezpečnostním incidentům a ve srovnání s jinými bezpečnostními prvky je to velice levné opatření – stojí jenom trochu disciplíny. Pamatovat si několik hesel, která se pravidelně mění, ale není v lidských silách. Aplikace pro správu hesel jsou tím prvkem – jak se vznešeně říká, „enabling technology“ – který umožňuje přísná pravidla dodržet. Je ale nutné na existenci těchto aplikací pamatovat při vytváření bezpečnostní politiky organizace, neboť některá doporučení například z české státní normy jsou s jejich používáním v rozporu (jedná se o body, že heslo by mělo být zapamatovatelné a že by nemělo být začleněno do automatizovaného přihlašovacího procesu).

S využitím generátorů hesel, softwarových klávesnic a automatického doplňování se lze vyhnout zaznamenání hesel keyloggery či sledovači schránky. Proti těmto hrozbám je ale nutné se bránit použitím antivirového a antispyware programu (a dodržování odpovídajících praktik, jak již bylo zmíněno v předcházející pasáži), neboť i když nebudou prozrazena hesla, útočník může získat jiné citlivé informace.

Aplikace, které jsem v rámci této práce otestoval, jsou pouze reprezentativním vzorkem, i tak lze ale vyvodit několik závěrů. Za prvé: ačkoliv webové prohlížeče nabízejí zabudovanou funkcionalitu pro správu hesel, jejich bezpečnost je o třídu níže, než u specializovaných aplikací. Chybějící generátor silných hesel a až na výjimky nemožnost je přenést na jiné počítače mají za následek, že uživatel bude spíše volit slabá hesla a používat je na více službách, aby si je dokázal zapamatovat. Hesla navíc nejsou uložena příliš bezpečně.

Pokud bychom lpěli na univerzálnosti použití a přenositelnosti při rozumné míře zdržování uživatele, zvolil bych buď KeePass nebo Roboform2Go (v případě, že je možné oželet doplňování do konzolových aplikací) na flashdisku. Zapojováním flashdisku do infikovaného počítače se ale vystavujeme riziku, že si nějakého červa nevědomky odneseme s sebou. Řešením jsou flashdisky s mechanickým zámkem proti přepisu, z těch prodávaných v České republice by to měla být například řada U339 od PQI.

Správce hesel různých typů je samozřejmě možné kombinovat, přirozeně se nabízí oddělení hesel pro web a pro ostatní aplikace. Další možný způsob dělení je podle bezpečnostních nároků – některé aplikace nemusí být ochráněny tak pečlivě, jako jiné. Pokud se ale tyto kategorie nekryjí s kategoriemi „web“ a „všechno ostatní“, používání více programů by uživatelově pohodlí nijak nepřidalo, spíše naopak.

Jak zabezpečit svá hesla, díl 3/3: Roboform a LastPass

Ohodnoťte tento článek!