Blog

Digitální bezpečnost: Správci hesel

Nemusíte být IT specialisté, abyste používali digitální nástroje, které zvyšují a respektují vaše soukromí. Mnoho alternativ nabízí velmi jednoduché ovládání s nepoměrně vyšším zabezpečením. V tomto dílu si ukážeme, jak pomocí jednoduchých nástrojů tvořit bezpečná hesla a ukládat je.

Tento článek je 3. dílem seriálu Digitální bezpečnost

Digitální bezpečnost: Úvod
Digitální bezpečnost: Hesla
Digitální bezpečnost: Správci hesel 
Digitální bezpečnost: Dvoufázové ověření 
Digitální bezpečnost: Komunikace na internetu 
Digitální bezpečnost: Pohyb na internetu

Silné heslo je základ bezpečnosti

Dnes má běžný uživatel internetu desítky, nebo spíše stovky účtů a přihlášení do nejrůznějších služeb od internetového bankovnictví, až po předplatné online novin. Jak jsme si řekli v našem předchozím článku o heslech, používat všude stejné heslo, nebo jeho variaci, není dobrý nápad. Pokud u jedné z využívaných služeb někdo prolomí její ochranu a odcizí vaše přihlašovací údaje, dostane se do všech vašich služeb. Jak to tedy udělat správně?

Správce hesel

Pro udržení přehledu v desítkách účtů je základ mít kvalitní správce hesel. Jedná se o software, který se instaluje jako rozšíření do prohlížeče, případně jako aplikace do desktopu a mobilu, jenž ukládá všechna vaše hesla. Pro přístup ke všem vašim heslům potřebujete znát jen jedno hlavní heslo, kterým se do správce přihlašujete, a které zašifruje všechny vaše ostatní hesla a uložená data. Samotný poskytovatel služby vaše hlavní heslo nezná a nedostane se tedy do vaší soukromé databáze podřízených hesel.

Správce hesel vás může nejen ochránit před různými phishingovými útoky, zjednodušit vám práci s vymýšlením a zapisováním hesel, ale také vám výrazně usnadní a zrychlí pohyb na internetu napříč všemi vašimi zařízeními. Práce na internetu se pro vás v krátké době stane nejen bezpečnější, ale především komfortnější.

Proč nepoužívat základní správce v prohlížeči?

Nástroj zapamatování hesla prohlížeče dnes již nativně nabízejí a vždy se vás ptají, jestli chcete heslo uložit. Jejich řešení však zpravidla není dostatečně bezpečné! Jeho veškerý obsah může být uložen ve vašem počítači v textovém souboru, který není dostatečně šifrován. Zde najdete návod, jak tento soubor rozšifrovat za pár minut a dokáže to opravdu každý. Plnohodnotní správci hesel mají data uložená v cloudu s end-to-end šifrováním na straně uživatele, což je nesrovnatelně bezpečnější, jelikož ani samotný provozovatel služby nemá k vašim heslům přístup. (To neplatí o aplikaci Klíčenka, která je součástí iOS a i v prohlížeči nabízí bezpečné šifrované ukládání hesel. Více se o ní zmiňujeme níže.)

Tyto integrované aplikace také nenabízí další užitečné funkce, jako generování silných hesel, sdílení hesel, ukládání dalších citlivých informací a jejich kategorizaci.

Co když ztratím heslo do správce hesel

Z principu věci je únik/ztráta hlavního hesla největším rizikem při používání správce. Vaše heslo by mělo být dostatečně bezpečné, neměl by se k němu dostat hacker, ale v případě problému by se k němu měli dostat vaši příbuzní, nebo vy sami. Jak na to?

Hlavní heslo je vhodné napsat perem na papír (nebo např. vyrazit na ocelovou destičku) a uložit na bezpečné místo. Dalším tipem pro zvýšení bezpečnosti může být uložení dokumentu do bezpečnostní obálky, u které poznáte pokud ji někdo otevřel. Bezpečným místem může být váš domácí trezor, případě bezpečnostní schránka nebo vaše tajná skrýš, o které ví jen nejbližší. Doporučuje se také vytvořit dvě kopie se stejným heslem a ty umístit na různé geolokace, případně přiložit i k poslední vůli pokud existuje.

Postup, jak vytvořit bezpečné heslo nebo přístupovou frázi pro zabezpečení správce hesel, najdete v našem předchozím článku Digitální bezpečnost: Hesla. 

Správce hesel můžete opatřit ještě druhým faktorem ochrany (2FA), například pomocí generátoru jednorázových hesel pro přihlášení z nového zařízení. (O 2FA se můžete dozvědět více v našem článku Dvoufázové ověření.) Tím je sníženo riziko, že se někdo dostane do vašeho správce i pokud získá přístup k hlavnímu heslu. V takovém případě je ale nutné také bezpečně uložit přístupové údaje ke generátoru jednorázových OTP hesel a to ideálně na jiné místo než samotné hlavní heslo.

Velmi robustním a nadstandardním řešením může být použití Cryptosteel capsule a vyskládat si heslo do bezpečné schránky z nerezové oceli a to klidně ve více kopiích.

Někteří správci hesel navíc nabízejí možnost nastavení nouzových kontaktů, kteří mohou resetovat zapomenuté heslo jinému uživateli. Tuto funkci nabízí například 1Password v případě Family a Business plánu nebo Bitwarden v placené verzi.

Co plnohodnotný správce hesel umí? 

Správce funguje na mobilu, tabletu i na desktopu, automaticky doplňuje hesla pro stránky, které zná a umí také generovat nová a bezpečná hesla i přístupové fráze. Vy už si pak hesla nemusíte pamatovat a mohou tím pádem být velmi dlouhá a silná.

Správce hesel umí navíc ukládat bezpečně i všechny další citlivé informace a dokumenty jako jsou poznámky, skeny dokumentů, adresy bydliště, platební karty, informace o WiFi sítích a routerech apod. To urychluje práci při vyplňování stále opakujících se formulářů. Velkou výhodou je, že svá hesla nemusíte ukládat do schránky (ctrl+c), kde vám je může odcizit například spyware, ukrytý ve vašem zařízení. Hesla se doplňují automaticky.

Ve správci hesel lze hesla i sdílet dalším osobám (kolegům nebo členům rodiny) a někteří správci navíc uložená hesla porovnávají s databází „Have i been pwned?”

Have i been pwned je internetový projekt, tzv. „hodných hackerů”, kteří shromažďují uniklé databáze hesel, které jsou dostupné ve zkryté části internetu tzv. „darknetu". Jde o databáze milionů uživatelů s hesly, uživatelskými jmény a informacemi o platebních kartách nebo adresách. 

Na stránce Have I been Pwned můžete zadat svůj email nebo telefon a zjistit, zda vaše přihlašovací údaje nejsou veřejné na darknetu, tedy zda nemají hackeři přístup k heslům nebo variacím hesel od vašich účtů. Samotná hesla nejsou zobrazována, pouze informace kde a kdy k úniku došlo.

Správce hesel umí tyto databáze automaticky hlídat. Někteří kvalitní správci vás následně upozorní pokud najdou shodu a doporučí, abyste si neprodleně změnili heslo u dané služby. Je nemožné kontrolovat databázi ručně pro všechny vaše účty v dostatečné frekvenci, a proto správce hesel kontroluje vaše hesla automaticky a bezpečně. 

Další zajímavou funkcí správců hesel je funkce ukládání dvou faktorového přístupu do účtů. Tedy v případě, že zabezpečíte svůj účet tzv. 2FA generovaným šestimístným číslem, správce jej vloží automaticky a vy jej nemusíte přepisovat z další aplikace. Nutno dodat, že ukládáním 2FA přístupů do správce hesel tím snižujete své zabezpečení, protože pokud by se někdo dostal do vašeho správce hesel, nezastavila by ho druhá úroveň ochrany vašich účtů. Více o 2FA naleznete v našem článku zde.

Workshop digitální bezpečnosti pro firmy

Doporučení správci hesel

1Password

Správce hesel 1Passsword
Desktopová verze aplikace 1Password

Pro firemní a rodinná řešení je vhodný 1Password. Tato aplikace funguje napříč všemi zařízeními a operačními systémy. Nabízí velmi vysokou míru zabezpečení pomocí end-to-end šifrování heslem na straně uživatele, které poskytovatel nezná. 

Umí generovat rovněž frázová hesla, i když zatím jen v angličtině. Nabízí možnost ukládat k účtům i OTP 2FA hesla. Oproti ostatním správcům je možné ukládat zvlášť i API klíče a dokonce i seedy (zálohy) krypto-peněženek (což u peněženek s vysokým zůstatkem nedoporučujeme). 

Správce nabízí možnost tvorby více účtů a k nim udělovat přístupy dalším uživatelům. To je ideální pro zaměstnance jedné firmy, případně pro rodinu, která chce sdílet hesla do společných služeb a účtů. (Netflix, školní jídelna, Lítačka). Pro zaměstnavatele je zase velmi snadné poskytnout na pár kliknutí zaměstnanci přístup do databáze určitých účtů a stejně tak snadné je mu přístup odebrat. Přitom ale zaměstnavatel nebo rodič samotné hesla svých uživatelů nezná a nemůže k nim přistupovat.

Jinak však můžeme 1Password doporučit na základě několikaletého každodenního používání i pro osobní použití. V této recenzi je to z pohledu placených nástrojů pro většinu uživatelů nejlepší produkt. Alternativou placeného správce může být například také správce Keeper.

Recenze 1Password správce hesel

Pokud vás zajímá detailnější recenze, najdete ji ve speciálním článku.

Bitwarden

Bitwarden kvalitní a bezpečný správce hesel

Tento správce hesel nabízí podporu všech zařízení, na kterých potřebujete hesla zadávat. Jeho výhodou oproti 1Password může pro někoho být, že pro osobní používání nabízí plán, který je zdarma. Umožňuje rovněž sdílet hesla s dalšími uživateli. Aplikace je open-source, což jí dodává vysokou důvěryhodnost. Vaše hesla jsou v Bitwardenu zabezpečena end-to-end šifrováním. Pokud jej budete používat zdarma, budete znevýhodněni jen tím, že do něj nemůžete ukládat soubory a využívat jej pro automatické vkládání OTP při 2FA ověření ve vašich internetových účtech. Tyto funkce jsou až ve vyšším plánu Premium, který stojí 1 USD na měsíc, nebo 10 USD na rok.

Keepass

Alternativní správce hesel pro Linux uživatele
Open-source aplikace KeePassXC

Tato aplikace nabízí výhody open-source systému a synchronizaci skrze šifrované cloudové uložiště (například Dropbox, nebo iCloud). Verzí Keepassu existuje větší množství a lze doporučit KeePassXC pro desktop a KeePassium pro mobil. Nevýhodou aplikace je její pomalejší vývoj a starší vzhled. V tomto případě je právě design cenou za open-source řešení, které je zdarma. Mezi fanoušky Linuxu je to však nejpopulárnější řešení.

Klíčenka

Správce hesel - klíčenka
Nativní aplikace Klíčenka od Apple

Uživatelé Apple ekosystému mohou využít předinstalovanou aplikaci Klíčenka, která je Apple řešením uchovávání hesel a je zdarma. Když se ale blíže podíváte na její uživatelské rozhraní a funkce, tak ty jsou oproti ostatním nástrojům značně omezené. Proto raději doporučujeme dát přednost plnohodnotné aplikaci. Výhodou ale je, že Klíčenku máte předinstalovanou na Macbooku a lze ji nainstolovat i do iPhonu. Systém vám pak uložení hesel nabízí i skrze prohlížeč Safari automaticky. Uživatel v tomto případě nemusí nejen nic platit a služba je velmi dobře integrovaná do ekosystému Apple. Mimo ekosystém ji ale nepoužijete a nemůžete využít funkcí rodinného ani firemního sdílení, nemluvě o dalších funkcích pokročilých správců.

Aplikace je v češtině a šifrovaná stejně jako celý Apple systém. Neumí však generovat hesla, předvyplňovat data do formulářů, ukládat informace o dokladech a kartách, ani není propojená s Have I Been Pwned. Pokud by vám Apple zrušil účet, nebo jste ztratili přístup, přicházíte i o svá hesla. Klíčenka také není open-source a její zdrojový kód tedy není možné auditovat, kopírovat nebo měnit.

Další krok

Existuje-li pouze jedna věc, kterou chcete na svém zabezpečení zlepšit a ještě si usnadnit práci, je to právě používání správce hesel. Dle reportů uniklých dat je uživatelská úroveň v tomto směru velmi alarmující a je spíše otázkou času, než se i vám stane nějaká nepříjemnost spojená s bezpečnostním únikem, pokud správu online účtů podceníte.

Pokud stále používáte správce hesel v prohlížeči, lze jeho obsah snadno exportovat a importovat právě do plnohodnotných správců hesel. Nebudete tedy muset všechna hesla přepisovat, ale na pár kliknutí je do svého nového správce importujete.

Nyní jste tedy zabezpečili své účty bezpečnými hesly. Je ovšem nutné uvažovat ještě o druhém faktoru ověření, který vás ochrání v případě úniku vašich hesel. O způsobu, jak tuto ochranu účinně aplikovat se dočtete v našem příštím článku Digitální bezpečnost: Dvoufázové ověřování.


Tento článek je 3. dílem seriálu Digitální bezpečnost

Digitální bezpečnost: Úvod

Digitální bezpečnost: Hesla

Digitální bezpečnost: Správci hesel

Digitální bezpečnost: Dvoufázové ověření

Digitální bezpečnost: Komunikace na internetu

Digitální bezpečnost: Pohyb na internetu

lubomir.valik@diverzo.cz | web | + další příspěvky

Lubomír je na jedné straně zkušený poradce, na straně druhé lektor který učí na Vysoké škole Ekonomické v Praze. V Diverzu je garantem investiční strategie, vzdělávání a digitálních aktiv.
Lubomír je také členem Asociace finančních poradců ČR a získal řadu certifikátů a osvědčení od ČNB a profesních organizací.

web | + další příspěvky

Viktor sleduje kryptoměny od roku 2014. Během té doby pracoval jako šéfredaktor odborného portálu oPojištění.cz. V Diverzo má na starosti školení v oblasti kryptoměn a marketing Diverzo a Diverzo Academy. Zároveň působí jako Key Account Manager kryptoměnové směnárny Divex.

Viktor je rovněž členem České kryptoměnové asociace a podílí se na rozvoji edukace kryptoměn.