Software | Bezpečnost | Prohlížeče | Heslo

Používáte správce hesel? Ani jeden není bezpečný, pokud počítač napadne virus

  • LastPass, 1Password aj. se starají o hesla milionů uživatelů
  • Jejich prolomení by byla pro mnohé katastrofa
  • Pro malware, který ovládne PC, to přitom může být snadné

Není měsíce, aby se na Pastebinu a dalších neobjevil nějaký další únik přihlašovacích jmen a dešifrovaných hesel z nejrůznějších populárních i naprosto okrajových služeb. To je dnešní realita a je pouze na uživateli, jakou zvolí obranou strategii.

Buď neudělá nic a bude se i nadále registrovat na webu s jedním, nebo jen několika málo hesly, anebo bude na každém webu volit odlišné s tím, že jej nechá zapamatovat webový prohlížeč, což dnes umějí prakticky všichni hráči na trhu.

Klepněte pro větší obrázek
Základní správce hesel v prohlížeči Opera

Správci hesel se dnes starají o bezpečí desítek milionů surfařů

Pak je tu ale ještě třetí možnost – specializovaný správce hesel, který je oproti tomu základnímu vestavěnému v prohlížeči zpravidla lépe zabezpečený a nabízí bohatší servis a funkce. A co je nejdůležitější, skrze doplněk jej můžete doinstalovat jak do Chromu a Firefoxu, tak do Opery, Edge či Safari.

Pokročilí správci hesel se postarají o to, aby vám u každé nové služby vygenerovali dostatečně složité heslo a vy si jej nebudete muset pamatovat, protože jej správce uloží do své silně zašifrované databáze a při příští návštěvě webu sám předvyplní do přihlašovacího formuláře.

Mohu věřit jakési relativně malé firmě a svěřit ji všechna svá hesla?

Zní to jako bezpečnostní ideál, bedlivý čtenář si ale zákonitě musí položit principiální otázku: Pokud svěřím všechna svá webová hesla třetí osobě, mohu ji důvěřovat?

Pomineme-li obecnou důvěryhodnost takového provozovatele, což jsou zpravidla relativně malé internetové firmy, o kterých toho zase až tak moc nevíme (na rozdíl od velkých ekosystémových hráčů počínaje Googlem a konče Facebookem), nabízí se spíše otázka jejich zabezpečení.

Klepněte pro větší obrázek
Správce hesel 1Password

Jinými slovy, 1Password, LastPass, KeePass nebo Dashlane, kteří patří k největším správcům na scéně, sice možná perfektně spravují hesla na ty desítky a možná i stovky webů, které navštěvujeme, ale jsou jejich programy dostatečně bezpečné? Nejsou v nich chyby a nejrůznější zranitelnosti, které by mohl nějaký útočník zneužít?

Klepněte pro větší obrázek
Správce hesel LastPass

Po prolomení hlavního hesla takové služby touží celý zástup hackerů, pro které by to byl jistě zlatý důl. Představte si například ransomware, který by namísto výhrůžek že vám smaže disk na počítači (osobně by mi to nijak neublížilo – kritická data mám zálohovaná v cloudu), požadoval třeba nějaký ten zlomek bitcoinu za to, že vám nezlikviduje profil a všechna data na těch 150 webech, na kterých jste se v minulosti registrovali.

Klepněte pro větší obrázek
Správce hesel KeePass je jako jediný ze čtveřice open-source

To by mohlo leckoho bolet mnohem více i s ohledem na to, že dvoufázové přihlašování stále není samozřejmostí a zpravidla se omezuje jen na ty největší ekosystémové weby.

Klepněte pro větší obrázek
Správce hesel Dashlane

Expert se podíval na bezpečnost pěti nejznámějších správců hesel

Zabezpečení správců hesel musí být tedy bez nadsázky dokonalé – dokonalejší než u jakékoliv jiné aplikace na počítači i na webu. A právě na toto se podíval bezpečnostní konzultant Adrian Bednarek z americké Independent Security Evaluators.

Jak se dalo čekat, Bednarek způsobil v bezpečnostní scéně pořádný poprask a vysloužil si kritiku jak některých provozovatelů správců hesel, tak dalších expertů. Proč? Jednoduše poukázal a to, že absolutní bezpečnost neexistuje a ano, správci hesel mají slabiny.

Nutno podotknout, že je mají z principu a stejně jako další programy, které nyní spouštíte na svém počítači. Jak už jsem ale napsal výše, správce hesel není ledajaký program. Je to klíč k vaší digitální existenci.

Databáze s hesly jsou silně šifrované

Ale pěkně popořadě. Bednarek se podíval na to, jak se svými daty pracují nejpoužívanější správci hesel. Už jsem je v článku všechny zmínil, ale pro pořádek:

  • 1Password (4.6.2.626)
  • 1Password (7.2.576)
  • Dashlane (6.1843.0)
  • KeePass (2.4)
  • LastPass (4.1.59)

Poté zkoumal, jak jsou tyto programy bezpečné ve vypnutém a aktivním stavu. Pokud je program vypnutý a nemá tedy nahraná žádná data v operační paměti RAM, zbývá jen pevný disk, nebo SSD s uloženou zašifrovanou databází.

Klepněte pro větší obrázek
Zabezpečení databáze splňuje doporučení úřadů

Zde je podle Bednareka vše v pořádku. Správci hesel sice používají různé šifrovací algoritmy (především PBKDF2-SHA256), všechny ale splňují přinejmenším americkou normu zabezpečení dle doporučení NIST (National Institute of Standards and Technology – obdoba České agentury pro standardizaci).

Prolomení hesla by se nevyplatilo

Zdá se tedy, že databáze uložená v počítači je pro případného útočníka nedobytná – respektive náklady na její prolomení budou násobně vyšší než hodnota informací, které by útočník u drtivé většiny uživatelů získal (jeden z hlavních principů současné kryptografie).

Jinými slovy, když byste kdesi na pustém ostrově postavili obří výpočetní centrum, možná byste po blíže nespecifikované době skutečně prolomili trezor s hesly pana Nováka z Bystřice nad Pernštejnem, otázkou však zůstává, zdali by znalost hesla k jeho profilu na Instagramu, které si mezi tím možná i změnil, byla stejně hodnotná jako mnohamiliardová investice do celého dešifrovacího zařízení.

Pokud počítač ovládne malware, může se dostat i k hlavnímu heslu

Po malé odbočce zpět k výzkumu Adriana Bednareka, v dalším kroku se totiž podíval na správce hesel v bdělém stavu – když jsou spuštěné a jejich data nahraná v operační paměti RAM. Tedy třeba zrovna v tom okamžiku, kdy se pan Novák přihlašuje k Instagramu, na který chce vystavit selfie s manželkou, no a správce hesel předvyplní do formulářového políčka heslo z trezoru.

Klepněte pro větší obrázek
Přihlašovací formulář správce 1Password. Stačí jen zadat hlavní heslo...

Přesně v tento okamžik totiž dochází k těm několika situacím, kdy heslo opouští zašifrovanou databázi a program jej předává dál – cílové webové aplikaci – v čitelném stavu. To vše se odehrává v operační paměti RAM, kterou může odposlouchávat malware.

Klepněte pro větší obrázek
Pokud bude operační systém kompromitovaný malwarem, dokáže z RAM vyčíst podobu hlavního hesla

Podobným způsobem by mohl malware odposlechnout i hlavní heslo k celému trezoru s hesly – prostě by sledoval okamžik, kdy jej pan Novák vyplní do políčka ve formuláři.

Klepněte pro větší obrázek
Podobný útok na Dashlane, kdy útočník získal přihlašovací údaje k webům

Tak dnes prostě ale funguje software

No, a to se už konečně dostáváme k vlně kritiky, která se krátce poté snesla na nebohého Bednareka zejména z řad výrobců těchto správců hesel. Ti totiž přirozeně kontrovali, že tak dnes prostě software funguje, a pokud je kompromitovaný samotný operační systém malwarem, který dokáže číst obsah RAM, oni s tím těžko něco udělají.

Poukazují na další bezpečnostní poučku, která stručně řečeno praví, že pokud útočník kompromituje virem váš počítač, patří už i jemu a tím pádem jsou všechna data na něm uložená z principu také kompromitovatelná.

Bednarek tedy podle kritiků napsal celý stoh o tom, co je obecně známo a co do jisté míry není chyba, ale design. I kdyby tomu tak bylo, je dobré, že Adrian Bednarek podobnou bouři způsobil, protože se o ní, možná k nelibosti některých tvůrců správců hesel, dozvěděli i běžní smrtelníci, kteří se po večerech nebaví reverzním inženýrstvím softwarového kódu.

Ti by si měli z celé kauzy odnést klíčové poselství: Bezpečnost správců hesel je pouze tak bezpečná, jak bezpečný i váš počítač. Pokud to přestane platit, správce hesel nemůže garantovat prakticky nic.

Na stranu druhou Bednarek přispěchal i s několika doporučeními, jak bezpečnost správců hesel v bdělém stavu přece jen ještě vylepšit. Například tím, že budou citlivá data v paměti RAM držet co nejméně krátkou dobu. Tedy že jakmile nějakou informaci zpracují, postarají se o to, aby z operační paměti zmizela. Tím se snižuje šance, že bude mít útočník dostatek času, aby ji odposlechnul.

Diskuze (69) Další článek: Mechanické počítače se vrátí v miniaturizované podobě. Budou vytištěné 3D tiskárnou a integrují se do materiálů

Témata článku: Software, Google, Bezpečnost, Prohlížeče, Facebook, Web, Bitcoin, Opera, Chrome, Firefox, Instagram, Malware, Heslo, Viry, Investice, LastPass, Odposlech, Dvoufázové ověření, Bedna, NIST, Kryptografie, Dashlane, KeePass, Správce, Novák


Určitě si přečtěte

Zapomeňte na destičky. Raspberry Pi 400 je nový počítač zabudovaný do klávesnice
Lukáš Václavík
Raspberry PiPočítače
Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

** Z WhatsAppu kvůli novým podmínkám utíkají tisíce uživatelů ** Čím nahradit populární aplikaci pro zasílání zpráv? ** Vybrali jsme pro vás 10 alternativních komunikátorů

Karel Kilián | 110

Karel Kilián
KomunikaceWhatsAppInstant Messaging
Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

** Kam doma natrvalo uložit data? Vyplatí se ještě optická média? ** Jaké kapacity disků a médií má smysl koupit? ** Cenovou výhodnost si ukážeme na příkladech s 2TB úložištěm

Lukáš Václavík | 118

Lukáš Václavík
ZálohováníÚložištěPevné disky
Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

redakce
Mapy GoogleStreet View
Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 94

David Polesný
Jak vybrat notebookNotebooky
Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

** Vybrali jsme nejlepší monitory na práci i pořádné hraní ** Nejlevnější monitor s kvalitním panelem nestojí ani tři tisíce ** Rozlišení 4K a větší obrazovka už není nedostupný luxus

David Polesný | 30

David Polesný
Monitory
Messenger a Instagram přicházejí v Evropě o funkce. Kvůli nové směrnici o soukromí
Vladislav Kluska
EvropaInstagramFacebook Messenger
Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

** Reddit se začíná plnit zkušenostmi se Starlinkem ** Při přímé viditelnosti dá i 120 Mb/s ** Klasický satelitní internet už teď dalece překonává

Jakub Čížek | 48

Jakub Čížek
StarlinkPoskytovatelé internetu

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5