Ukládáme hesla do cloudu
21.3.2013, Radan Tuhý, článek
Spolu se zvyšujícím se počtem internetových služeb roste i množství přihlašovacích informací. Uložením hesel do cloudu stačí jedno silné heslo. O vše ostatní se postará některá z cloudových služeb. Jak to funguje a jaké jsou možnosti?
Kapitoly článku:
Jednou z nejznámějších internetových služeb na správu hesel je LastPass. Pokud jste se někdy o ukládání hesel online zajímali, je vysoce pravděpodobné, že jste již o této cloudové službě slyšeli.
LastPass přináší velké množství funkcí, které jsou vyzkoušené, funkční, a naprostá většina služeb je k dispozici zdarma. Jako doplněk je možné sjednat si prémiovou službu, která obsahuje funkce a zabezpečení navíc.
Pokud se rozhodneme začít používat LastPass, prvním krokem je stažení programu z webových stránek. V podstatě se jedná o instalaci rozšíření pro jednotlivé prohlížeče, která obsahují všechny potřebné funkcionality. Pro operační systém Windows je navíc vytvořen univerzální balíček, který obsahuje vše potřebné k vytvoření účtu u této služby a instalaci rozšíření pro prohlížeče Internet Explorer, Firefox, Chrome, Safari a Opera.
Během instalace je potřeba vytvořit silné heslo, o které bude sloužit jako hlavní heslo pro přístup k naší nové databázi hesel. Jedním z dialogů je také zaškrtnutí instalovaných součástí pro jednotlivé prohlížeče (není nutné instalovat plugin pro každý, ale je to praktičtější), včetně možnosti zakázat výchozí správce hesel. Následně již stačí přihlásit se do tohoto rozšíření a můžeme začít LastPass používat.
Hlavní výhodou je již zmíněné jediné heslo, které slouží pro přístup k databázi. Jedná se tedy (dle sloganu služby) o poslední heslo, které si budete muset pamatovat. Skutečně to tímto způsobem funguje. Po přihlášení tímto heslem se aktivují všechny funkce rozšíření prohlížeče. Pokud jsme jediní, kteří přistupují k našemu počítači (a jsme si jisti, že nemůže dojít ke zneužití), lze si nastavit zapamatování hlavního hesla, takže pokud na našem počítači otevřeme prohlížeč, automaticky se přihlásíme ke službě LastPass.
Mezi klíčové funkce patří automatické vyplňování přihlašovacích formulářů. LastPass si pamatuje adresu přihlašovací stránky, na kterou když vstoupíme, automaticky dojde k vyplnění uživatelského jména a hesla, které jsme si do databáze uložili. Pokud zadáváme uživatelské jméno a heslo poprvé, po jeho vložení a úspěšném přihlášení se LastPass zeptá, zda si přejeme toto heslo uložit. Pokud tak učiníme, příště jej již nebudeme muset vyplňovat.
Podobným způsobem lze nastavit také vyplňování registračních formulářů. V rozhraní aplikace si nastavíme potřebné údaje (jméno, příjmení, adresa, atp.) a tyto údaje budou v registračním formuláři předvyplněny. Kliknutím do políčka pro zadání nového hesla se objeví nabídka aplikace na vygenerování nového hesla. Po nastavení odpovídajících parametrů dojde k vygenerování hesla a automatickému uložení tohoto nového hesla (spolu s přihlašovacím jménem) do databáze. Registrace jsou díky tomu velmi jednoduché.
LastPass sice využívá data v cloudu, ale zároveň si udržuje také šifrovanou podobu databáze na lokálním disku. Tím je zajištěno to, že pokud by se náhodou stala internetová služba z jakéhokoli důvodu na chvíli nedostupnou, my budeme mít přesto možnost pracovat s hesly nadále. Nebýt výstrahy aplikace (práce v režimu offline), pravděpodobně bychom si toho ani nevšimli.
Kromě těchto základních součástí je možné využít LastPass k ukládání bezpečných poznámek (typicky licenční čísla k různým programům), sdílení vybraného hesla s přáteli nebo kolegy (jako alternativa zasílání nových hesel emailem nebo prostřednictvím SMS), případně využít online nástroje k detekci slabých hesel. V neposlední řadě je zde obsažena softwarová klávesnice, kterou můžeme k zadávání hesel využít (jedná se o bezpečný způsob, který nás chrání proti tzv. keyloggers a keysniffers).
Všechna data, která tímto způsobem vytvoříme, můžeme kdykoli exportovat do námi vybraného formátu. Obdobným způsobem je možné také provést import dat, případně data zálohovat.
Z pohledu bezpečnosti služby a celkového zabezpečení je nutno podotknout, že zde LastPass odvedl kus dobré práce. Veškeré přenosy jsou zašifrovány pomocí 256bitového AES, a to včetně lokální kopie databáze hesel a souvisejících informací. LastPass tvrdí, že jejich datacentrum je velmi dobře zabezpečené. I kdyby se náhodou někomu podařilo data z jejich datacentra získat, jsou útočníkovi k ničemu. K prolomení zabezpečení prakticky nemůže dojít ani tzv. metodou brutal force, a to především díky využití PBKDF2-SHA256.
Drobnou nevýhodou je skutečnost, že ačkoli existuje i nepřeberné množství mobilních aplikací (pro iPhone, BlackBerry, Windows Phone, Android, včetně mobilní verze prohlížečů Firefox nebo Dolphin), jsou dostupné pouze těm uživatelům, kteří se rozhodli zakoupit si placenou verzi služby. Tato služba stojí 12 USD ročně (přibližně 240 Kč) a mimo výše uvedené vlastnosti nabídne také druhou úroveň autentifikace, tzv. LastPass Sesame. Jedná se o doplňkovou aplikaci, která po instalaci před každým přihlášením vygeneruje jednorázové heslo, a to na základě zaslaného emailu s aktivačním odkazem. Samozřejmostí je také technická podpora.
Druhou variantou přidání druhé úrovně autentifikace je využití tzv. Yubikey, který se spáruje s našim účtem a při každém přihlášení vygeneruje speciální kód. Jelikož se jedná o samostatné zařízení do portu USB, je nutné je zakoupit samostatně. Cena Yubikey spolu s ročním předplatným služby LastPass je 33 USD (přibližně 660 Kč).
LastPass přináší velké množství funkcí, které jsou vyzkoušené, funkční, a naprostá většina služeb je k dispozici zdarma. Jako doplněk je možné sjednat si prémiovou službu, která obsahuje funkce a zabezpečení navíc.
Jak LastPass funguje
Pokud se rozhodneme začít používat LastPass, prvním krokem je stažení programu z webových stránek. V podstatě se jedná o instalaci rozšíření pro jednotlivé prohlížeče, která obsahují všechny potřebné funkcionality. Pro operační systém Windows je navíc vytvořen univerzální balíček, který obsahuje vše potřebné k vytvoření účtu u této služby a instalaci rozšíření pro prohlížeče Internet Explorer, Firefox, Chrome, Safari a Opera.
Během instalace je potřeba vytvořit silné heslo, o které bude sloužit jako hlavní heslo pro přístup k naší nové databázi hesel. Jedním z dialogů je také zaškrtnutí instalovaných součástí pro jednotlivé prohlížeče (není nutné instalovat plugin pro každý, ale je to praktičtější), včetně možnosti zakázat výchozí správce hesel. Následně již stačí přihlásit se do tohoto rozšíření a můžeme začít LastPass používat.
Hlavní výhodou je již zmíněné jediné heslo, které slouží pro přístup k databázi. Jedná se tedy (dle sloganu služby) o poslední heslo, které si budete muset pamatovat. Skutečně to tímto způsobem funguje. Po přihlášení tímto heslem se aktivují všechny funkce rozšíření prohlížeče. Pokud jsme jediní, kteří přistupují k našemu počítači (a jsme si jisti, že nemůže dojít ke zneužití), lze si nastavit zapamatování hlavního hesla, takže pokud na našem počítači otevřeme prohlížeč, automaticky se přihlásíme ke službě LastPass.
Mezi klíčové funkce patří automatické vyplňování přihlašovacích formulářů. LastPass si pamatuje adresu přihlašovací stránky, na kterou když vstoupíme, automaticky dojde k vyplnění uživatelského jména a hesla, které jsme si do databáze uložili. Pokud zadáváme uživatelské jméno a heslo poprvé, po jeho vložení a úspěšném přihlášení se LastPass zeptá, zda si přejeme toto heslo uložit. Pokud tak učiníme, příště jej již nebudeme muset vyplňovat.
Podobným způsobem lze nastavit také vyplňování registračních formulářů. V rozhraní aplikace si nastavíme potřebné údaje (jméno, příjmení, adresa, atp.) a tyto údaje budou v registračním formuláři předvyplněny. Kliknutím do políčka pro zadání nového hesla se objeví nabídka aplikace na vygenerování nového hesla. Po nastavení odpovídajících parametrů dojde k vygenerování hesla a automatickému uložení tohoto nového hesla (spolu s přihlašovacím jménem) do databáze. Registrace jsou díky tomu velmi jednoduché.
LastPass sice využívá data v cloudu, ale zároveň si udržuje také šifrovanou podobu databáze na lokálním disku. Tím je zajištěno to, že pokud by se náhodou stala internetová služba z jakéhokoli důvodu na chvíli nedostupnou, my budeme mít přesto možnost pracovat s hesly nadále. Nebýt výstrahy aplikace (práce v režimu offline), pravděpodobně bychom si toho ani nevšimli.
Kromě těchto základních součástí je možné využít LastPass k ukládání bezpečných poznámek (typicky licenční čísla k různým programům), sdílení vybraného hesla s přáteli nebo kolegy (jako alternativa zasílání nových hesel emailem nebo prostřednictvím SMS), případně využít online nástroje k detekci slabých hesel. V neposlední řadě je zde obsažena softwarová klávesnice, kterou můžeme k zadávání hesel využít (jedná se o bezpečný způsob, který nás chrání proti tzv. keyloggers a keysniffers).
Všechna data, která tímto způsobem vytvoříme, můžeme kdykoli exportovat do námi vybraného formátu. Obdobným způsobem je možné také provést import dat, případně data zálohovat.
Z pohledu bezpečnosti služby a celkového zabezpečení je nutno podotknout, že zde LastPass odvedl kus dobré práce. Veškeré přenosy jsou zašifrovány pomocí 256bitového AES, a to včetně lokální kopie databáze hesel a souvisejících informací. LastPass tvrdí, že jejich datacentrum je velmi dobře zabezpečené. I kdyby se náhodou někomu podařilo data z jejich datacentra získat, jsou útočníkovi k ničemu. K prolomení zabezpečení prakticky nemůže dojít ani tzv. metodou brutal force, a to především díky využití PBKDF2-SHA256.
Drobnou nevýhodou je skutečnost, že ačkoli existuje i nepřeberné množství mobilních aplikací (pro iPhone, BlackBerry, Windows Phone, Android, včetně mobilní verze prohlížečů Firefox nebo Dolphin), jsou dostupné pouze těm uživatelům, kteří se rozhodli zakoupit si placenou verzi služby. Tato služba stojí 12 USD ročně (přibližně 240 Kč) a mimo výše uvedené vlastnosti nabídne také druhou úroveň autentifikace, tzv. LastPass Sesame. Jedná se o doplňkovou aplikaci, která po instalaci před každým přihlášením vygeneruje jednorázové heslo, a to na základě zaslaného emailu s aktivačním odkazem. Samozřejmostí je také technická podpora.
Druhou variantou přidání druhé úrovně autentifikace je využití tzv. Yubikey, který se spáruje s našim účtem a při každém přihlášení vygeneruje speciální kód. Jelikož se jedná o samostatné zařízení do portu USB, je nutné je zakoupit samostatně. Cena Yubikey spolu s ročním předplatným služby LastPass je 33 USD (přibližně 660 Kč).
Plusy+ Ověřená a rozšířená služba + Vysoká úroveň zabezpečení + Neomezené množství hesel v bezplatné verzi + Integrace do všech běžných prohlížečů + Doplňkové funkce a možnosti | Minusy- Mobilní aplikace pouze u placené verze - Druhá úroveň autentifikace až u placené verze |
