Správci hesel: proč a jak je používat

Autor: Richard Krejčí / richard.krejci@tutanota.com

Hesla představují zásadní prvek naší digitální identity. S jejich pomocí zabezpečujeme a autorizujeme svůj přístup do online služeb a ke svým elektronickým zařízením. Zásadnímu významu hesel ovšem neodpovídají způsoby jakými s nimi obvykle zacházíme. Spíše pravidlem nežli výjimkou je používání hesel, která mohou být snadno uhodnuta či zcizena a pak různě zneužita osobami s nekalými úmysly. Prostředky, které zásadně zlepšují naše zacházení s hesly, jsou služby nazývané správci hesel. Blíže si je představíme v tomto článku.

Co děláme s hesly špatně?

Podívejme se nejprve na obvyklé nešvary, které se při práci s hesly vyskytují. S jejich řešením nám totiž právě správci hesel zásadně pomáhají.

Příliš jednoduchá hesla

Zřejmě nejčastějším současným nešvarem při práci s hesly je používání příliš jednoduchých, jinak též slabých hesel. Důvodem pro toto chování (ovšem nikoli jeho omluvou!) je především to, že dnešní uživatel má typicky desítky a mnohdy dokonce stovky online účtů. Zapamatovat si heslo ke každému z nich je pro něj v podstatě nemožné, což dvojnásobně platí o heslech složitých. Uživatel proto pro hesla volí takové kombinace písem a čísel, které jsou pro něj co nejlépe zapamatovatelné. V žebříčcích nejobvyklejších hesel tudíž stále na čelních místech dominují kombinace typu „123456“, „abc123“, „qwertz“ a „qwerty“ či „heslo“ nebo „password“. Oblíbené také bývá používání informací spojených s uživatelovou osobou jako jsou jeho jméno či jméno některého z rodinných příslušníků, datum narození, název firmy apod.

Takováto jednoduchá hesla mohou být snadno uhodnuta (jinak též prolomena či rozlousknuta) metodou hrubé síly. Princip zde spočívá v tom, že útočník použije specializovaný software, který zadává nejrůznější kombinace znaků a čísel tak dlouho, až dospěje ke kombinaci, která je správným heslem. Doba, za kterou je heslo takto uhodnuto, může být velmi odlišná. Tvoří-li heslo kombinace několika málo písmen z abecedy a číslic, může uhodnutí trvat jen několik minut či dokonce pár sekund!

Prolomení je snadné rovněž v případě, kdy heslo obsahuje nějaké údaje týkající se uživatelovy osoby (část jména, datum narození apod.), útočník si tyto údaje zjistí (typicky vytěžením internetových profilů) a nastaví prolamovací program tak, aby začal hádat nejprve kombinace založené na těchto údajích. Obdobný problém je u hesel obsahujících běžná slova daného jazyka, při prolamování hacker použije slovníky obsahující tato slova (takzvaný slovníkový útok).

Je-li nicméně heslo dostatečně dlouhé (minimálně 8 znaků, lépe ale více) a kombinuje v sobě mimo písmen abecedy a číslic i nejrůznější speciální znaky (jako jsou !, ?, @, #, ~, ^, * či &), může jeho prolomení trvat dny, měsíce, léta či staletí. A to mnohdy i v případě, že by útočník nasadil celou síť počítačů vytvářejících zkoušené kombinace. V takovémto případě je velmi pravděpodobné že se hacker po chvíli neúspěšného zkoušení bude raději věnovat jinému, snazšímu cíli. Takto odolná hesla se nazývají silná a měla by být vždy používána namísto hesel slabých.

Opakovaná hesla

Potřeba pamatovat si příliš mnoho hesel vede také k tomu, že uživatelé často používají stejné či podobné heslo pro více služeb. To je ovšem také velmi nešťastné řešení. V první řadě to znamená, že pokud útočník prolomí heslo k jednomu účtu, může se snadno dostat i do všech dalších účtů, které jsou chráněné tímto heslem.

Navíc se stává, že i z největších online služeb mohou být úspěšně zcizeny přístupové údaje jejich uživatelů, mnohdy včetně hesel. Takovéto problémy v minulosti postihly i tak významné společnosti jako Adobe, Dropbox, Yahoo či LinkedIn. (Komplexní přehled těchto úniků lze nalézt na serveru haveibeenpwned.com.) Pokud provozovatel služby na únik údajů přijde, vyzve uživatele, aby si zcizené heslo změnili. Ti tak možná učiní, nicméně jejich původní heslo s dalšími přístupovými údaji, obvykle e-mailovou adresou, zůstává nadále dostupné v seznamech vystavených zejména na takzvaném temném webu (Dark Web). Hackerovi potom stačí vzít si toto zcizené heslo a e-mailovou adresu a vyzkoušet v dalších službách zda je lze s těmito přístupovými údaji odemknout. Celý proces přitom obvykle probíhá automatizovaně nad všemi zcizenými daty, takže se nelze utěšovat, že zrovna naše uniklé údaje nebudou zneužity, protože nás hackeři pravděpodobně neznají.

Seznam uniklých hesel
Seznam uniklých hesel na haveibeenpwned.com je skutečně rozsáhlý.

Abychom eliminovali takováto nebezpečí, musíme se striktně vyhýbat opakovanému použití téhož hesla a opravdu nikdy nesmíme používat heslo, které bylo v minulosti prozrazeno.

Nezabezpečené uchovávání

Velmi nešikovné jsou i způsoby jakými hesla ukládáme. Pokud si snad ještě stále píšeme hesla na papír, riskujeme zcizení, ztrátu či zničení tohoto seznamu. Zadávání hesel z papírového seznamu do počítače či mobilu přitom není ani rychlé ani pohodlné.

Svým způsobem je ale papír pořád bezpečnějším úložným médiem než třeba nezašifrovaný soubor textového či tabulkového procesoru uložený lokálně nebo v cloudovém úložišti. Osoba, která se zmocní takovéhoto souboru, má okamžitě k dispozici přístup ke všem zde uvedeným účtům. Navíc, když hesla z takovéhoto digitálního seznamu přepisujeme nebo je přenášíme přes schránku, opět zvyšujeme riziko jejich zcizení, protože monitorování klávesnice a schránky bývá jednou z oblíbených hackerských technik.

Neopatrné sdílení

Trestuhodnou nedbalostí se často vyznačují i způsoby jak hesla sdílíme. Bohužel velmi rozšířenou praxí stále bývá posílání hesel spolu s přístupovými údaji přes e-mail, instant messenger či SMS. Hackerům stačí odchytit tuto komunikaci či se nabourat do příslušného účtu, aby pak přístupové údaje „vytěžili“ z těchto zpráv.

Nebezpečné vkládání

Hesla a další přístupové údaje dokáží hackeři vylákat i díky podstrčeným webovým rozhraním napodobujícím více či méně dokonale rozhraní originální služby (například internetové bankovnictví). Způsobů, jakými dokážou hackeři uživatele přesměrovat na falešné stránky, je přitom celá řada.

Hlavní obranou proti této formě zneužití je důsledná kontrola toho, že stránka, na které právě vkládáme své údaje, je skutečně ta pravá. Ověření totožnosti napomáhá zejména SSL certifikát u stránek se zabezpečeným přístupem (protokol https), který si lze snadno zobrazit v prostředí webového prohlížeče (například kliknutím na ikonu zámečku zobrazenou u adresy stránky). Další prevencí tohoto nebezpečí je důsledné vyhýbání se přístupu na webové stránky přes odkazy, které obdržíme prostřednictvím e-mailu nebo sociálních sítí či je získáme s pomocí internetového vyhledávače.

Co jsou to správci hesel?

Se všemi výše uvedenými i dalšími problémy mohou výrazně pomoci správci hesel. Pod tímto označením budeme v našem článku rozumět webovou službu, doplněnou desktopovými a mobilními aplikacemi a rozšířeními (extenzemi) webových prohlížečů, která dovoluje uživateli napříč různými zařízeními a operačními systémy zabezpečeně spravovat a používat hesla i jiné senzitivní údaje.

Nebudeme se zde tedy zabývat nástroji stejného jména, které mají v sobě zabudovány webové prohlížeče (Chrome, Firefox, Safari aj.) či operační systémy (viz Klíčenka – Keychain v Apple macOS a iOS). Jejich funkce jsou totiž ve srovnání se specializovanými produkty omezené. Správci hesel z webových prohlížečů se navíc s ohledem na poměrně slabé zabezpečení a různé proti ním vedené útoky dokonce nedoporučují používat.

Co správci hesel nabízí?

Tvorba, vyplňování a sdílení hesel

Hlavními funkcemi správců hesel jsou tvorba, ukládání a automatické vyplňování hesel. Hesla jsou s pomocí správců hesel vytvářena tak, aby byla dostatečně složitá, a tudíž těžko prolomitelná. Takováto hesla si uživatel jen stěží zapamatuje, to ale není potřeba. Správce hesel totiž hesla ukládá do zašifrované databáze a umí je pak nejen zobrazit, ale hlavně je za uživatele i automaticky vyplnit na webových stránkách i v různých aplikacích. To nejenže enormně šetří čas uživatele, ale rovněž zvyšuje bezpečnost, neboť je eliminována možnost zcizení hesla skrze vzdálené monitorování klávesnice, schránky nebo obrazovky. Správci hesel také umí identifikovat falešné, nezabezpečené či nebezpečné stránky a zabrání zde uživateli prozradit jeho údaje.

Tvorba hesla.
Tvorba hesla ve správci hesel LastPass.

Hesla lze sdílet s jinými uživateli téhož správce hesel, ti je přitom mohou při automatickém vyplňování používat aniž by je znali (sdílené heslo je zašifrované). To je ideální zejména pro firemní týmy, neboť například odpadá potřeba měnit heslo vždy poté co některý pracovník opustí firmu.

Kontrola kvality hesel

Správce hesel obvykle dokáže procházet databázi hesel a upozorňovat v případě, že nalezl heslo slabé, duplicitní či jinak zranitelné. Umožní pak okamžitou změnu na heslo silné. Většina správců hesel rovněž dokáže monitorovat databáze zcizených hesel na Internetu a upozornit v případě, že naleznou uniklé heslo, které uživatel stále používá.

Šifrované ukládání

Správci hesel ukládají hesla i další senzitivní informace do lokální či cloudové databáze nazývané trezor (vault). Tato databáze se obvykle synchronizuje mezi všemi zařízeními na kterých má uživatel správce hesel instalován.

Obsah databáze je ukládán v šifrované podobě. To znamená, že bez znalosti hlavního hesla (a případně i dalšího klíče), které zná pouze uživatel, nelze tuto databázi přečíst. K údajům z databáze se tudíž nemůže dostat nejen nepovolaná osoba, ale obvykle ani výrobce daného správce hesel (na jehož serverech bývají databáze uloženy). Použité šifrování je přitom obvykle natolik silné, že jeho prolomení je prakticky nemožné.

Uchovávání dalších senzitivních informací

Mimo hesel dovolují správce hesel uchovávat i jiné senzitivní údaje. Velmi praktické je ukládání informací z kreditních karet, které lze opět s pomocí správce hesel automaticky vyplňovat ve webových formulářích. Dále si je možno ukládat například hesla k WiFi sítím, licenční čísla k zakoupenému softwaru, údaje ze smluv a dokladů a mnoho dalšího. Rovněž lze zabezpečeně schraňovat obrázky (tedy třeba screenshoty a skeny privátních informací) a mnohdy se nabízí i zabezpečené úložiště, do kterého je možno ukládat soubory libovolných typů.

Správa kreditních karet v řešení LastPass.
Správa kreditních karet v řešení LastPass.

Import a export

Důležitou funkcí každého správce hesel je import a export. Importní nástroje především usnadňují přechod z jiného správce hesel načtením jeho dat a dále dovolují načtení hesel uložených původně v tabulkovém či textovém procesoru či ve správci hesel webového prohlížeče. Export slouží k zálohování či přenos obsahu databáze mimo prostředí správce. Ne každý exportní formát je ovšem zašifrován, takovýto exportovaný soubor je třeba ochránit dalšími prostředky (šifrovaná komprimace apod.).

Vysoce zabezpečený přístup

Nejdůležitějším bezpečnostním aspektem správce hesel je hlavní heslo, s jehož pomocí uživatel přistupuje k databázi hesel a funkcím programu. Je trochu paradoxní, že toto heslo si uživatel pamatovat rozhodně musí (odtud tedy názvy správců hesel jako jsou 1Password či LastPass). Hlavní heslo přitom musí být dostatečně silné na to, aby odolalo hackerským útokům.

Pokud uživatel hlavní heslo zapomene, obvykle to znamená, že mu nikdo s přístupem k obsahu databáze nepomůže. Správce hesel totiž svou databázi šifruje právě s pomocí hlavního hesla.

Když si uživatel vybere heslo, které je málo odolné proti rychlému prolomení, hrozí, že se útočníkovi podaří snadno získat všechny informace, které má uživatel v databázi správce hesel uloženy. Aby se takovéto nebezpečí eliminovalo, je pro přístup do správců hesel často používána takzvaná dvoufaktorová autentizace (2FA; jinak též dvoufázové ověření). Ta vyžaduje pro přístup mimo hlavního hesla i další formu ověření uživatelovy identity, například prostřednictvím pinu zaslaného e-mailem či v SMS, nebo s pomocí specializovaných zařízení jako je například hardwarový token YubiKey. Mnoho správců hesel také dovoluje pohodlné a rychlé odemčení některých svých funkcí, zejména automatického vyplňování, s použitím čteček biometrických údajů jako jsou otisky prstů či rozpoznávání obličeje zabudovaných v daném zařízení.

Konkrétní produkty

Správců hesel je dnes k dispozici celá řada a my se zde z prostorových důvodů zaměříme jen na několik nejznámějších. Náš výběr je subjektivní, a i když jsme zvolili především ta řešení, která obvykle dominují žebříčkům, je na každém, aby dále zapátral po produktu, který mu bude nejlépe vyhovovat funkcemi i cenou.

Náš přehled můžeme začít u Dashlane (značně omezená podoba zdarma, jinak od 2.75 USD měsíčně). Funguje na všech hlavních operačních platformách a ve všech populárních prohlížečích. Hesla jsou v databázi zabezpečená šifrováním, dvoufaktorovou autentizací a biometrickým přihlašováním. K dispozici je pokročilý generátor silných hesel. Mimo hesel lze do databáze ukládat údaje z kreditních karet a zabezpečené poznámky, v placeném tarifu je navíc k dispozici zabezpečené úložiště o velikosti 1 GB pro soubory libovolných typů. Dashlane umí průběžně skenovat databáze uniklých hesel a upozornit, pokud se v nich nachází uživatelovy přístupové údaje. Produkt rovněž disponuje vlastní VPN.

Rozhraní Dashlane.
Rozhraní Dashlane.

Populární řešením je 1Password (od 2.99 USD měsíčně). Mimo obvyklých prostředků nabízí i několik poměrně unikátních funkcí. Patří k nim šifrování ukládaných údajů s pomocí kombinace hlavního hesla a šestnáctiznakového tajného klíče, což výrazně zvyšuje úroveň zabezpečení. Funkce Watchtower nejenže upozorňuje na uniklá hesla, ale varuje i v případě návštěvy webu přes nezabezpečené připojení (protokol http). Takzvaný cestovní mód dovoluje uživateli ze zařízen,í se kterými cestuje, přechodně odstranit senzitivní údaje které nechce vystavit riziku zcizení či nežádoucího přečtení. Mimo obvyklých operačních systémů a browserů podporuje 1Password třeba i příkazový řádek a Chrome OS. Pro ukládání souborů poskytuje 1GB zabezpečené úložiště. 1Password rovněž disponuje sadou prostředků pro nasazení v týmech a je proto oblíbený i v korporátním prostředí.

Známým produktem je také LastPass (zdarma pro jeden typ zařízení, jinak od 2.9 USD měsíčně). Za svou popularitu vděčí mimo jiné tomu, že nabízí velmi dobře vybavenou verzi zdarma, před časem se ovšem změnily tarifní podmínky a bezplatné použití je možné buďto jen na počítačích nebo jen na mobilních zařízeních. LastPass nabízí vše, co by uživatel od správce hesel očekával, na velmi dobré úrovni je v něm jak generování hesel, tak jejich automatické vyplňování. Dále jsou k dispozici i funkce pro sdílení hesel, práci s kreditními kartami a mnoho dalšího. Komerční verze přidává například rozšířené možnosti sdílení hesel a ukládání souborů. Skvrnou na kráse LastPassu je masivní únik dat jeho uživatelů v roce 2015, kdy se nicméně útočníkům nepodařilo získat obsahy trezorů s hesly.

NordPass (zdarma nebo od 1.49 eur měsíčně) společnosti Nord Security nabízí pokročilé zabezpečení databáze hesel s pomocí vlastního šifrovacího algoritmu. Dále poskytuje všechny standardní funkce správců hesel a vedle toho i některé unikátní vlastnosti jako je třeba rozpoznávání textu v naskenovaných kreditních kartách, dokumentech a fotografiích. Produkt lze použít ve výhodném balíčku s jinými řešeními téhož výrobce NordVPN (pokročilá VPN) a NordLocker (šifrované úložiště souborů).

Pro ty, kdo nechtějí za správce hesel příliš utratit, je zde především Bitwarden (zdarma či od 0.83 USD měsíčně). I v bezplatné podobě poskytuje všechny standardní funkce správce hesel napříč zařízeními a operačními platformami. Jeho kód je otevřený (open source) a je tedy průběžně kontrolovatelný nezávislou programátorskou komunitou, dále tento produkt prošel několika bezpečnostními audity, jedná se tedy o velmi transparentní řešení. V placených tarifech nabízí Bitwarden mimo jiné rozšířené zabezpečení účtu a souborové úložiště, k dispozici jsou i nástroje pro práci v týmech. Za hlavní nevýhody tohoto produktu lze považovat nepříliš hezký design rozhraní, na druhou stranu je třeba ocenit, že Bitwarden jako jeden z mála svého druhu disponuje i rozhraním v češtině.

České rozhraní poskytuje také Sticky Password (zdarma nebo od 83 Kč/měsíc). Není se co divit, neboť se jedná o řešení za kterým stojí česká firma Lamantine Software. I v bezplatné verzi nabízí Sticky Password všechny obvyklé funkce správce hesel. Mimo to například dovoluje uživateli, aby ve Windows používal přenosnou kopii aplikace na USB flash disku či jiném externím médiu. Placená verze nabízí mimo jiné synchronizaci dat přes cloud či lokální WiFi síť nebo bezpečné sdílení hesel.

Sticky Password.
Sticky Password: správce hesel české provenience.

Úplně ve stručnosti zmiňme ještě několik dalších zajímavých produktů. KeePassXC (zdarma) je open source řešení ukládající data lokálně, jeho schopnosti využijí především technicky zdatnější uživatelé. Jiným řešením, které ukládá data lokálně, je Myki (zdarma nebo od 4.99 USD měsíčně). Minimalistickým produktem určeným primárně pro offline užití je Enpass (zdarma jen desktop verze, jinak of 47 Kč měsíčně). Komplexní sadu funkcí, včetně privátního messengeru, poskytuje Keeper (od 2.91 USD měsíčně). Jedním z nejstarších správců hesel na trhu, zaměřeným primárně na korporátní sféru, je RoboForm (zdarma či od 1.66 USD měsíčně). Zoho Vault (zdarma či 0.9 USD měsíčně) poskytuje bohatou škálu funkcí pro osobní i firemní použití, využít v něm lze snadné propojení jak s jinými produkty téhož výrobce, tak různými řešeními třetích stran.

Závěrem

Správci hesel zásadně zlepšují způsoby jakými vytváříme, vkládáme, uchováváme a sdílíme hesla. Vedle toho nabízí řadu dalších prostředků pro zabezpečené používání privátních a citlivých informací.

Nabídka správců hesel je natolik bohatá, že v ní vyhovující produkt nalezne zřejmě každý uživatel. A to je dobře, protože bez pokročilé správy hesel se v dnešní době obejdeme jen stěží. Nelze se spoléhat na to, že nás hackeři přehlédnou protože jsme pro ně bezvýznamní. Kybernetické útoky proti uživatelům a jejich heslům se totiž stále častěji provádějí plošně a automatizovaně a dříve nebo později tedy zasáhnou každého z nás.