Praktické používanie manažéra hesiel

Bezpečnosť
Zoom Out Zoom In
Od
0178
7:10 11. februára 2025

V tomto článku sa pozrieme bližšie na to:

  • Čo je potrebné vedieť o heslách
  • Čo je manažér hesiel a čo by sme mali od neho očakávať
  • Ako používať manažér hesiel efektívne
  • Kde nám manažér hesiel môže uškodiť a čo s tým vieme spraviť

Používanie hesiel

Pred tým, než sa pustíme do manažéra hesiel, najskôr si povedzme pár slov o heslách, aby bolo jasné, ako nám manažér hesiel môže pomôcť. Heslo je prostriedkom na autentifikáciu a zároveň faktorom “niečo, čo viem”. Viac o faktoroch pripravujeme do článku o multifaktorovej autentizácii (MFA). 

Heslo by malo byť v aplikácii uložené v chránenej podobe ako haš s pridanými náhodne vytvorenými dátami soľ (salt) a korenie (spice). V prípade kompromitácie aplikácie dostane útočník len haš a soľ (v prípade naozaj rozsiahlej kompromitácie aj korenie, ktoré je uložené mimo databázy). Z týchto dát však nie je možné priamočiaro získať naspäť heslo – napr. dešifrovaním. Je potrebné využiť:

  • Útok hrubou silou – generovať postupne heslá a kontrolovať, či výsledný haš sedí. Vždy funguje, avšak niekedy treba čakať viac, ako je vek vesmíru. 
  • Slovníkový útok – brať slová zo slovníka, generovať haše a kontrolovať či výsledný haš sedí.
  • Útok rainbow tables, ktoré sú predgenerované tabuľky heslo – haš. Práve voči tomu má chrániť soľ a korenie (útočník nevie aká je soľ a korenie a nevie vygenerovať tabuľky).
  • Kombinácia útokov vyššie

Pointa písania o útokoch je:

  • Nechceme používať heslo, ktoré je krátke – nie je odolné voči útoku hrubou silou. Microsoft odporúča aspoň 12 znakov, NIST aspoň 15 a napr. Bitwarden aspoň 14.
  • Nechceme používať slovo zo slovníka – nie je odolné voči slovníkovému útoku. Slovníkom nemusia byť len slová z bežného jazyka, ale aj napr. prezradené heslá.
  • Nechceme používať heslo na viacerých aplikáciách – pri kompromitácii jednej aplikácie je naše konto kompromitované aj v ostatných.
  • Nechceme používať prezradené heslo – toto asi netreba viac komentovať 🙂

Ideálne je preto mať dostatočne dlhé, náhodne vygenerované heslo, ktoré používame práve na jedno konto.

Čo je to manažér hesiel

Manažér hesiel je aplikácia, ktorá bezpečným spôsobom ukladá heslá a umožňuje ich jednoduché generovanie, používanie a zmenu. Manažér hesiel môže byť nainštalovaný na jednom zariadení alebo so synchronizáciou hesiel medzi zariadeniami. Manažér hesiel môže byť použitý ako lokálna aplikácia, plugin do prehliadača, mobilná aplikácia alebo kombinácia viacerých možností. 

Do manažéra hesiel je možné ukladať (samozrejme) heslá, ale napr. aj privátne kľúče, one-time pad seedy alebo iné utajené informácie ako napr. tajné poznámky.

Obr.: Bitwarden je príklad manažéra hesiel, ktorý využíva mobilnú aplikáciu, tučného klienta aj plugin do prehliadača. Obrázok prevzatý z https://github.com/bitwarden/clients

Pri lokálnom manažéri hesiel sa ukladajú všetky dáta do lokálneho súboru nazývaného trezor (vault). Používateľ je potom zodpovedný za zálohovanie vault-u a jeho synchronizáciu na všetkých zariadeniach, ktoré majú využívať lokálny manažér hesiel.

V prípade synchronizácie hesiel je vault uložený u prevádzkovateľa manažéra hesiel, ktorý sa stará o zálohovanie vaultu aj o jeho synchronizáciu na všetky pripojené zariadenia. Na synchronizáciu by mal byť využitý mechanizmus zero-knowledge – to znamená, že poskytovateľ manažéra hesiel ukladá a synchronizuje všetky dáta v zašifrovanej podobe a nikto, kto nepozná hlavné heslo (master password) sa k dátam uloženým v manažéri hesiel nedostane. 

Vyberáme manažér hesiel

Pred tým, než začneme vyberať manažér hesiel je potrebné spraviť rozhodnutie:

  1. Ktoré heslá nechcem mať v manažéri hesiel? Sú niektoré prístupy natoľko kritické, že ich chcem mať len v hlave? Ak také existujú, tak ich jednoducho do manažéra hesla nedáte.
  2. Ktoré heslá chcem mať uložené len na svojom zariadení a nechcem aby sa synchronizovali? Ak také existujú tak je potrebné zvoliť si pre ne manažér hesiel, ktorý nesynchronizuje heslá nikam. Takýmto manažérom hesiel je napr. KeePass. Pripomíname: Pri použití takéhoto lokálneho manažéra hesiel je však potrebné postarať sa o zálohovanie databázy s heslami.

Primárnym kritériom manažéra hesiel by mala byť spoľahlivosť. Pokiaľ nemôžeme veriť poskytovateľovi manažéru hesiel, tak sú naše heslá a kľúče zverené zlej osobe. Príkladom takejto situácie bol manažér hesiel Last Pass, ktorý mal v roku 2022 bezpečnostný incident. V rámci incidentu sa zistilo, že niektoré vault-y neboli dostatočne chránené a niektoré boli dokonca nezašifrované. Okrem reputácie môže spoľahlivosť zahŕňať aj otvorený a auditovaný zdrojový kód a využitie dostatočne silnej kryptografie.

Ďalšie kritériá pre manažér hesiel môžu zahŕňať nasledovné požiadavky:

  • Cena – niektoré manažéry hesiel sú zdarma, iné sú platené, prípadne spoplatňujú niektoré vlastnosti.
  • Na akých platformách potrebujem používať manažér hesiel? Pokiaľ máme synchronizovať vault medzi viacerými zariadeniami, je vhodné medzi platformy zaradiť minimálne počítač a mobilný telefón. V prípade manažérov hesiel, ktoré bežia ako plugin do prehliadača je problém menší na počítačoch a laptopoch, avšak stále je vhodné mať k dispozícii aj mobilnú aplikáciu.
  • Vie okrem master hesla použíť aj MFA? Pokiaľ vyberáme manažér hesiel s online synchronizáciou (a tým pádom aj online kontom), je MFA kritická požiadavka.
  • Vie manažér hesiel importovať a exportovať heslá? Túto požiadavku oceníte, pokiaľ migrujete medzi manažérmi hesiel. Ručne vyklikávať jednotlivé heslá je tristný zážitok. Je veľmi vhodné využiť pri presune na novú službu funkcie importu (ktorú manažér hesiel spravidla poskytuje) a exportu (s ktorou je to problematickejšie, nikto nechce, aby zákazník vedel jednoducho odísť). Manažéry hesiel umožňujú spravidla import z .csv, JSON súboru alebo .kdbx (keepass vault). Niektoré však majú možnosť importovať formát špecifický pre iné manažéry hesiel.
  • Pohodlnosť používania pri surfovaní – pri surfovaní by nám mal manažér hesiel pomáhať jednoducho aplikovať zásadu jedno konto – jedno heslo. Na tento účel vie manažér hesiel ponúknuť nasledovné zlepšováky:
    • Zadávanie prihlasovacích údajov pri detekcii prihlasovacieho formulára alebo pri použití klávesovej skratky.
    • Možnosť generovania náhodné hesla podľa predvolených pravidiel
    • Možnosť okamžite uložiť prihlasovacie údaje pri registrácii alebo pri prihlásení (a možnosť vypnúť ponuku ukladania pre weby, ktoré nechceme mať v manažéri hesiel 🙂 )

Obrázok: Bitwarden upozorňuje, že má dvoje prihlasovacie údaje k webovej stránke

  • Pohodlnosť používania na mobilnom telefóne – platí všetko, čo je uvedené v predchádzajúcom bode, avšak manažér hesiel deteguje prihlasovacie údaje v mobilnej aplikácii a nie webovom formulári. Zároveň by mal manažér hesiel vedieť aplikovať prihlasovacie údaje na webovú aplikáciu a k nej prislúchajúcu mobilnú aplikáciu.
  • Spôsob odomknutia na mobilnom telefóne – na počítači je odomknutia (unlock) jednoduchšia vzhľadom na fyzickú klávesnicu – na mobile vypisovať kilometrové heslo  nie je veľmi príjemné. Tým pádom by mal manažér hesiel mať možnosť použiť minimálne biometriu alebo PIN kód na odomknutie a použitie.
  • Audit kvality a úniku hesiel – tak, ako vie manažér hesiel vygenerovať silné heslo, vie jednoducho skontrolovať kvalitu hesla (dĺžka, komplexnosť a kontrola voči dostupným slovníkom). Kontrola voči uniknutým heslám je threat intelligence službou (TODO: link na článok), ktorá umožňuje rýchlo sa dozvedieť o tom, že prihlasovacie údaje boli kompromitované.
  • Možnosti obnovy vaultu – tak, ako sa vieme vymknúť z vlastného bytu je možné vymknúť sa z manažéra hesiel. V takom prípade je veľmi dôležité vedieť, aké sú možnosti obnovy prístupu do manažéra hesiel alebo vaultu. V opačnom prípade nám zostane zašifrovaný súbor a oči pre plač. Niektoré manažéry hesiel dokonca umožňujú prevedenie vaultu na inú osobu v prípade úmrtia, toto však musí byť nastavené. Príkladom môže byť Emergency kit od 1Password alebo Emergency access v rámci Bitwarden. 
  • Možnosť zdieľania prístupov – niektoré manažéry hesiel umožňujú zdieľať jednotlivé prístupy alebo priečinky (folders) s inými používateľmi rovnakého manažéru hesiel. Toto je výhodné pokiaľ napr. máte kontá, ktoré potrebujete zdieľať so svojim partnerom alebo partnerkou napr. prístupy na domáci router alebo NAS, prístupy na konto k rodičovskej ochrane (parental control) detských zariadení.

Veľmi dobrý spôsob je manažér hesiel si jednoducho vyskúšať, či už prostredníctvom skúšobnej licencie, alebo aspoň s využitím funkcionality poskytovanej zadarmo.

Používanie manažéra hesiel

Keď už máte vybraný manažér hesiel, tak existuje k nemu určite nejaký tutorial alebo how-to článok alebo video. V tejto časti sa preto pozrieme na praktické tipy. 

  1. Zvoľte si naozaj kvalitné master heslo – ideálne nechajte si ho vygenerovať a naozaj strávte čas zapamätaním master hesla. 
  2. Nastavte si emergency prístup – je možné, že kým sa naučíte master heslo naspamäť, tak ho budete potrebovať 🙂
  3. Nastavte si MFA pre online manažéry hesiel – viac informácii v článku o MFA (TODO: link).
  4. Ukladajte si prístupové údaje postupne – pokiaľ s manažérom hesiel len začínate, tak nie je potrebné spomínať si na všetky svoje prístupy. Ako budete jednotlivé weby a mobilné aplikácie navštevovať a používať, tak vás bude manažér hesiel postupne nabádať k uloženiu prístupov do vaultu. Zároveň vám bude robiť audit kvality, úniku hesiel a ich viacnásobného použitia. Jednotlivé zistenia môžete pomaly odstraňovať tak, ako budú postupne vyskakovať.
  5. Rozdeľte si heslá – manažéry hesiel umožňujú zaraďovať heslá do adresárov a/lebo pridávať im tagy, označovať obľúbené atď. Okrem možnosti udržiavať si v prístupoch poriadok je možné tieto atribúty využívať na:
    1. Zdieľanie prístupov – napr. ak je rodinné konto
    2. Na označenie dôležitých prístupov, ktoré je v prípade kompromitácie manažéra hesiel potrebné zmeniť ako prvé.

Riziká použitia manažéra hesiel

Manažér hesiel je stále len nástrojom a jeho používanie prináša výhody, ale aj riziká.

Manažér hesiel stále používa na prihlásenie vo vašom mene len heslo. Manažér hesiel využíva viaceré možnosti ochrany, ako napr. šifrovanie dát v pamäti, wipe z pamäte po použití prihlasovacích údajov a pod. Ak však beží manažér hesiel na kompromitovanom systéme, môže malvér odchytávať prihlasovacie údaje a v najhoršom prípade odcudziť celý vault. Pre ochranu prihlasovacích údajov online je preto nevyhnutné využívať MFA, kde malvér na systéme nemá dosah na ďalší faktor. 

To nás vedie k ďalšej funkcionalite: niektoré manažéry hesiel umožňujú ukladať one-time pad (OTP) seed v manažéri hesiel. Nakoľko pri kompromitácii manažéra hesiel môže útočník získať heslo aj OTP neodporúčame ukladať seed do manažéra hesiel.

Manažér hesiel funguje na rozpoznaní (mobilnej) aplikácie alebo webovej aplikácie (podľa adresy) a ponúknutí hesla. Pokiaľ vie útočník nasimulovať webovú adresu (napr. DNS spoofingom) alebo názov aplikácie, ponúkne manažér hesiel vaše prístupové údaje na falošnú aplikáciu, ktorá vie prístupové údaje odchytiť. 

Posledným rizikom, je kompromitácia samotného manažéra hesiel. V takom prípade je potrebné považovať všetky uložené prístupové údaje za kompromitované, zmeniť ich a uložiť ich pokiaľ možno v inom manažéri hesiel. Keďže prístupových údajov môžu byť v manažéri hesiel uložené stovky, je potrebné ísť od najkritickejších k najmenej podstatným.

Zhrnutie

Manažér hesiel je nástroj, ktorý nám uľahčí dodržiavať zásadu jedno konto – jedno heslo. Vzhľadom na to, že priemerný používateľ má viac než 100 rôznych prihlasovacích údajov, je bez manažéra hesiel nemožné (pokiaľ nie ste Rain man) mať dostatočne dlhé a zložité heslá a pamätať si ich. Je dobré vedieť o benefitoch aj rizikách manažérov hesiel, aby sme vedeli vybrať ten, ktorý nám najviac vyhovuje a vedeli svoje správanie nastaviť tak, aby ani kompromitácia manažéra hesiel neohrozila celý náš digitálny život.

Od Daniel Chromek

Daniel Chromek má viac než 15 rokov skúseností v informačnej bezpečnosti. Z pozície konzultanta so zameraním na bezpečnostný monitoring, audit bezpečnosti a súlad s legislatívou a normou ISO 27001 sa presunul k riadeniu informačnej bezpečnosti v technologickej firme. V rámci experného dobrovolníctva prednáša a píše knihy o informačnej bezpečnosti.

Odporúčané príspevky

Newer Post
Older Post

Vyjadrite váš názor v komentároch