Software | Prohlížeče | Bezpečnost | Heslo

Používáte správce hesel? Ani jeden není bezpečný, pokud počítač napadne virus

  • LastPass, 1Password aj. se starají o hesla milionů uživatelů
  • Jejich prolomení by byla pro mnohé katastrofa
  • Pro malware, který ovládne PC, to přitom může být snadné

Není měsíce, aby se na Pastebinu a dalších neobjevil nějaký další únik přihlašovacích jmen a dešifrovaných hesel z nejrůznějších populárních i naprosto okrajových služeb. To je dnešní realita a je pouze na uživateli, jakou zvolí obranou strategii.

Buď neudělá nic a bude se i nadále registrovat na webu s jedním, nebo jen několika málo hesly, anebo bude na každém webu volit odlišné s tím, že jej nechá zapamatovat webový prohlížeč, což dnes umějí prakticky všichni hráči na trhu.

Klepněte pro větší obrázek
Základní správce hesel v prohlížeči Opera

Správci hesel se dnes starají o bezpečí desítek milionů surfařů

Pak je tu ale ještě třetí možnost – specializovaný správce hesel, který je oproti tomu základnímu vestavěnému v prohlížeči zpravidla lépe zabezpečený a nabízí bohatší servis a funkce. A co je nejdůležitější, skrze doplněk jej můžete doinstalovat jak do Chromu a Firefoxu, tak do Opery, Edge či Safari.

Pokročilí správci hesel se postarají o to, aby vám u každé nové služby vygenerovali dostatečně složité heslo a vy si jej nebudete muset pamatovat, protože jej správce uloží do své silně zašifrované databáze a při příští návštěvě webu sám předvyplní do přihlašovacího formuláře.

Mohu věřit jakési relativně malé firmě a svěřit ji všechna svá hesla?

Zní to jako bezpečnostní ideál, bedlivý čtenář si ale zákonitě musí položit principiální otázku: Pokud svěřím všechna svá webová hesla třetí osobě, mohu ji důvěřovat?

Pomineme-li obecnou důvěryhodnost takového provozovatele, což jsou zpravidla relativně malé internetové firmy, o kterých toho zase až tak moc nevíme (na rozdíl od velkých ekosystémových hráčů počínaje Googlem a konče Facebookem), nabízí se spíše otázka jejich zabezpečení.

Klepněte pro větší obrázek
Správce hesel 1Password

Jinými slovy, 1Password, LastPass, KeePass nebo Dashlane, kteří patří k největším správcům na scéně, sice možná perfektně spravují hesla na ty desítky a možná i stovky webů, které navštěvujeme, ale jsou jejich programy dostatečně bezpečné? Nejsou v nich chyby a nejrůznější zranitelnosti, které by mohl nějaký útočník zneužít?

Klepněte pro větší obrázek
Správce hesel LastPass

Po prolomení hlavního hesla takové služby touží celý zástup hackerů, pro které by to byl jistě zlatý důl. Představte si například ransomware, který by namísto výhrůžek že vám smaže disk na počítači (osobně by mi to nijak neublížilo – kritická data mám zálohovaná v cloudu), požadoval třeba nějaký ten zlomek bitcoinu za to, že vám nezlikviduje profil a všechna data na těch 150 webech, na kterých jste se v minulosti registrovali.

Klepněte pro větší obrázek
Správce hesel KeePass je jako jediný ze čtveřice open-source

To by mohlo leckoho bolet mnohem více i s ohledem na to, že dvoufázové přihlašování stále není samozřejmostí a zpravidla se omezuje jen na ty největší ekosystémové weby.

Klepněte pro větší obrázek
Správce hesel Dashlane

Expert se podíval na bezpečnost pěti nejznámějších správců hesel

Zabezpečení správců hesel musí být tedy bez nadsázky dokonalé – dokonalejší než u jakékoliv jiné aplikace na počítači i na webu. A právě na toto se podíval bezpečnostní konzultant Adrian Bednarek z americké Independent Security Evaluators.

Jak se dalo čekat, Bednarek způsobil v bezpečnostní scéně pořádný poprask a vysloužil si kritiku jak některých provozovatelů správců hesel, tak dalších expertů. Proč? Jednoduše poukázal a to, že absolutní bezpečnost neexistuje a ano, správci hesel mají slabiny.

Nutno podotknout, že je mají z principu a stejně jako další programy, které nyní spouštíte na svém počítači. Jak už jsem ale napsal výše, správce hesel není ledajaký program. Je to klíč k vaší digitální existenci.

Databáze s hesly jsou silně šifrované

Ale pěkně popořadě. Bednarek se podíval na to, jak se svými daty pracují nejpoužívanější správci hesel. Už jsem je v článku všechny zmínil, ale pro pořádek:

  • 1Password (4.6.2.626)
  • 1Password (7.2.576)
  • Dashlane (6.1843.0)
  • KeePass (2.4)
  • LastPass (4.1.59)

Poté zkoumal, jak jsou tyto programy bezpečné ve vypnutém a aktivním stavu. Pokud je program vypnutý a nemá tedy nahraná žádná data v operační paměti RAM, zbývá jen pevný disk, nebo SSD s uloženou zašifrovanou databází.

Klepněte pro větší obrázek
Zabezpečení databáze splňuje doporučení úřadů

Zde je podle Bednareka vše v pořádku. Správci hesel sice používají různé šifrovací algoritmy (především PBKDF2-SHA256), všechny ale splňují přinejmenším americkou normu zabezpečení dle doporučení NIST (National Institute of Standards and Technology – obdoba České agentury pro standardizaci).

Prolomení hesla by se nevyplatilo

Zdá se tedy, že databáze uložená v počítači je pro případného útočníka nedobytná – respektive náklady na její prolomení budou násobně vyšší než hodnota informací, které by útočník u drtivé většiny uživatelů získal (jeden z hlavních principů současné kryptografie).

Jinými slovy, když byste kdesi na pustém ostrově postavili obří výpočetní centrum, možná byste po blíže nespecifikované době skutečně prolomili trezor s hesly pana Nováka z Bystřice nad Pernštejnem, otázkou však zůstává, zdali by znalost hesla k jeho profilu na Instagramu, které si mezi tím možná i změnil, byla stejně hodnotná jako mnohamiliardová investice do celého dešifrovacího zařízení.

Pokud počítač ovládne malware, může se dostat i k hlavnímu heslu

Po malé odbočce zpět k výzkumu Adriana Bednareka, v dalším kroku se totiž podíval na správce hesel v bdělém stavu – když jsou spuštěné a jejich data nahraná v operační paměti RAM. Tedy třeba zrovna v tom okamžiku, kdy se pan Novák přihlašuje k Instagramu, na který chce vystavit selfie s manželkou, no a správce hesel předvyplní do formulářového políčka heslo z trezoru.

Klepněte pro větší obrázek
Přihlašovací formulář správce 1Password. Stačí jen zadat hlavní heslo...

Přesně v tento okamžik totiž dochází k těm několika situacím, kdy heslo opouští zašifrovanou databázi a program jej předává dál – cílové webové aplikaci – v čitelném stavu. To vše se odehrává v operační paměti RAM, kterou může odposlouchávat malware.

Klepněte pro větší obrázek
Pokud bude operační systém kompromitovaný malwarem, dokáže z RAM vyčíst podobu hlavního hesla

Podobným způsobem by mohl malware odposlechnout i hlavní heslo k celému trezoru s hesly – prostě by sledoval okamžik, kdy jej pan Novák vyplní do políčka ve formuláři.

Klepněte pro větší obrázek
Podobný útok na Dashlane, kdy útočník získal přihlašovací údaje k webům

Tak dnes prostě ale funguje software

No, a to se už konečně dostáváme k vlně kritiky, která se krátce poté snesla na nebohého Bednareka zejména z řad výrobců těchto správců hesel. Ti totiž přirozeně kontrovali, že tak dnes prostě software funguje, a pokud je kompromitovaný samotný operační systém malwarem, který dokáže číst obsah RAM, oni s tím těžko něco udělají.

Poukazují na další bezpečnostní poučku, která stručně řečeno praví, že pokud útočník kompromituje virem váš počítač, patří už i jemu a tím pádem jsou všechna data na něm uložená z principu také kompromitovatelná.

Bednarek tedy podle kritiků napsal celý stoh o tom, co je obecně známo a co do jisté míry není chyba, ale design. I kdyby tomu tak bylo, je dobré, že Adrian Bednarek podobnou bouři způsobil, protože se o ní, možná k nelibosti některých tvůrců správců hesel, dozvěděli i běžní smrtelníci, kteří se po večerech nebaví reverzním inženýrstvím softwarového kódu.

Ti by si měli z celé kauzy odnést klíčové poselství: Bezpečnost správců hesel je pouze tak bezpečná, jak bezpečný i váš počítač. Pokud to přestane platit, správce hesel nemůže garantovat prakticky nic.

Na stranu druhou Bednarek přispěchal i s několika doporučeními, jak bezpečnost správců hesel v bdělém stavu přece jen ještě vylepšit. Například tím, že budou citlivá data v paměti RAM držet co nejméně krátkou dobu. Tedy že jakmile nějakou informaci zpracují, postarají se o to, aby z operační paměti zmizela. Tím se snižuje šance, že bude mít útočník dostatek času, aby ji odposlechnul.

Diskuze (69) Další článek: Mechanické počítače se vrátí v miniaturizované podobě. Budou vytištěné 3D tiskárnou a integrují se do materiálů

Témata článku: Software, Google, Web, Prohlížeče, Facebook, Instagram, Chrome, Bezpečnost, Bitcoin, Firefox, Opera, Malware, Investice, Heslo, Odposlech, LastPass, Dvoufázové ověření, Viry, Bystřice nad Pernštejnem, Hlavní heslo, KeePass, NIST, Novák, Počítač, Správce


Určitě si přečtěte

Čistič moře nejenže nefunguje, ale navíc se láme

Čistič moře nejenže nefunguje, ale navíc se láme

** Zařízení v hodnotě 40 milionů dolarů mělo sbírat z hladiny oceánu plovoucí plastový odpad ** Mise ale nenaplňuje očekávání ** Šest set metrů dlouhé monstrum nejen moře nečistí, ale navíc rozpadá

Jaroslav Petr | 28

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

** Letecká doprava patří k nejbezpečnějším způsobům cestování ** Čerstvá aféra s Boeingy Max důvěru v bezpečnost létání narušila ** Připomeňme si největší nedávné letecké nehody. Každá ale přispěje k bezpečnosti dalších letů

Karel Kilián | 29

Ověřte si, jak je na tom váš disk nebo SSD: 8 tipů na aplikace, které vám to řeknou

Ověřte si, jak je na tom váš disk nebo SSD: 8 tipů na aplikace, které vám to řeknou

** Na pevných discích bývá uloženo to nejcennější – naše data ** Sledujte jejich „zdravotní stav“ pomocí jednoho z nástrojů ** Případné problémy díky nim odhalíte dříve než nastanou

Karel Kilián | 21