AbcLinuxu:/ Poradna / Linuxová poradna / Jaký správce hesel v roce 2022 odolný proti malwaru?

Štítky: Cloud, hesla, heslo, malware, password, textové editory, uložení, úložiště, Vim, Yubikey

Dotaz: Jaký správce hesel v roce 2022 odolný proti malwaru?

3.2.2022 09:37 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Jaký správce hesel v roce 2022 odolný proti malwaru?

Přečteno: 1429×

Odpovědět | Admin

Jaké jsou v současnosti doporučené způsoby uložení hesel/autentizace?

Zejména myslím taková běžná přihlašování k různým vzdáleným službám z počítače i z mobilu. A aby to bylo odolné proti malware.

Co znám, tak to je:

Mít všechna hesla v hlavě: Malé úložiště, tendence k používání stejných hesel. Malware dokáže ukradnout heslo, které právě zadávám.
Používat správce hesel: Když je klíčenka zrovna odemčená (často nebo minimálně u každého přihlašování) nebo při prolomení hlavního hesla se malware dostane ke všem službám ve správci uloženém!
Správce hesel + TOTP (třeba Authy): Nutnost si pamatovat jen dvě hesla, TOTP není podporované všude a navíc je opisování opruz. TOTP se dá dát i do správce hesel, ale pak to z hlediska malware ztrácí smysl. Navíc obecně u TOTP nevím, co podepisuju (jenom vím kde), malware může podstrčit k potvrzení něco, co nechci.
Správce hesel + Yubikey (a podobné): Trochu jednodušší zadávání než u Authy, ale je podporované ještě méně. Navíc opruz s hardwarem.
Trezor Password Manager: Funguje docela dobře, ukládá šifrovaně na vybraný cloud (do toho si musím uložit údaje úplně zvlášť), malware může odchytit jen to heslo, které právě zadávám. Trochu opruz s potvrzováním (větší než se samotným správcem hesel). Velký opruz s přihlašováním na mobilu (musím všude tahat Trezor).
Mooltipass (asi podobné jako Trezor včetně nevýhod): Zatím asi moc nepoužívané? Nevím, jak je to se synchronizací, jak moc je to jednoduché na používání, má to nějaké výhody oproti Trezoru?
Něco jiného?

Co používáte nebo doporučujete vy? Používáte třeba více správců pro různé účely, třeba Trezor pro důležitá a jednodušší Bitwarden pro méně důležitá hesla?

Díky.

Zahrajte si trojšachy přes internet :-)

Nástroje: Začni sledovat (2) ?

Odpovědi

3.2.2022 10:07 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já používám Bitwarden (Bitwarden: Nejlepší správce hesel?) s tím, že většinu Linux serverů jedu 2FA (zaheslovaný certifikát + ldap uživatel a heslo) a začínám řešit i tokeny, tj. přemýšlím o Yubikey.
Lidi, co se migrují na Office365, ti mají taktéž vynucený MFA (mohou použít auth app v mobilu, nebo sms).
A MFA chci začít řešit i pro další služby.
Jinými slovy, pokud chceš odolnost vůči malware apod., tak potřebuješ nějaký druh MFA. Co konkrétně, to záleží na tobě a na službách, co používáš (všichni nepodporují všechno).
Jinak dost rozšířeným MFA se stává Duo, ale to není otevřené řešení a osobně se mu vyhýbám.
Zdar Max

Měl jsem sen ... :(

3.2.2022 13:42 Radek
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Nejbezpečnější je FIDO2, ostatní 2fa/mfa lze jednodušše obejít pomocí evilginx2.

3.2.2022 13:44 Radek
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jinak, kdyby někoho zajímalo, jak se bránit man in the middle útokům, tak zde je pěkný souhrn https://thecloudtechnologist.com/2019/04/29/defending-against-evilginx2-in-office-365/

3.2.2022 11:43 kol-ouch | skóre: 11 | blog: Co_to_je
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si ted všechna uložená hesla pro sichr vyexportoval a vytiskl - a dost mě překvapilo kolik jich je…

Ted je otázka kam s tím papírem :)

3.2.2022 12:27 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Spálit.
Zdar Max

Měl jsem sen ... :(

3.2.2022 12:38 kol-ouch | skóre: 11 | blog: Co_to_je
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

To mi nepřijde jako nejlepší nápad

3.2.2022 15:18 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Za valky snad byly citlive infomace, jimiz byly vybavovany jednotky operujici v tylu nepritele, tisteny na jedly papir.

Dnes se asi muze pouzit stejne reseni

9.2.2022 11:35 ml
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Něco takového jsem udělal před mnoha lety, mám to v práci v šuplíku, zastrčené, a připisuju tam nová. No chtělo by to inventuru, spousta účtů už neni aktivní nebo jsem si nechal heslo vyresetovat (hlavně v době loňského lokdaunu jsem se musel z domova přihlašovat ke službám, ke kterým se normálně nepřihlašuju, tak jsem si musel nechat na nich hesla vyresetovat a vymyslet nová, která samozřejmě už taky neznám, takže mě někdy čeká další kolo resetů; no jsou to věci potřebné párkrát do roka nebo méně). Ten papír už vypadá dost opotřebeně. Osobně tohle považuju za dostatečně odolné proti malware, normálně by to mohla zneužít maximálně uklízečka, případně někdo jiný, kdo by se dostal do kanceláře (s trochou drzosti si klíče ve vrátnici může půjčit kdokoliv, komu vrátný uvěří).

No ale co je to za hesla, mejly a podobné blbosti, většinou nic důležitého. Heslo do banky tam samozřejmě nemám (to nemám nikde, a asi před týdnem jsem se docela polekal, když jsem se nemohl přihlásit, heslo, které běžně zadávám jsem nemohl z hlavy vytáhnout).

Takže papír dát někam, kde nehrozí jeho zneužití, pokud věříte kolegům jako já, tak do šuplíku.

9.2.2022 14:39 _
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si to nechal vyexportovat z firefoxu a chrome do cvs, to natáhl do libreoffice, srovnal podle jména služeb a označil barevně ty poslední hesla co jsou platná a přidal si sloupce na případné dopsání změny a vytiskl

Plán je takový, že až to bude vypadat jak vytažené krávě z huby, tak to vyexportuju a vytisknu znova

A klidně tam mám i hesla od banky, iCloudu i gmailu protože tam všude mám dvoufázové ověření

A služby kde ho nemám jsou blbosti typu forum na živě…

Heslo od věcí co fakt nechci nikam pustit mám v hlavě s rizikem, že o ně holt přijdu

9.2.2022 14:42 R H
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já ten papír mám v ohnivzdorném trezoru a klíče u sebe, takže ani když vrátný někomu uvěří, tak to nikdo neukradne. No a jak píše Max, servery jsou 2FA, O365 (a ještě další dvě služby jsou MFA) a heslo k bankovnictví nemám nikde a pamatuju si ho (a vlastně i tam je 2FA). To zatím stačí...

15.2.2022 09:56 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Děkuji všem za příspěvky. Asi se mi pořád nejvíce líbí tohle:

Důležitá hesla jsou v Trezoru, každodenní nedůležitá v Bitwardenu.

Bitwarden je normální softwarová peněženka, odolná proti malwaru není, ale je funguje všude, má pěkné GUI, je open source, a ve většině účtů stejně nic hodnotného není.

Ta hlavní hesla, která k něčemu jsou, můžou být pak uložena v Trezoru. Ten je jednak dobrý i na jiné jiné věci (kryptoměny), jednak umí i U2F a dražší verze T i FIDO2, takže funguje zároveň i jako druhý faktor.

Nevýhoda je, že správce hesel Trezoru nefunguje na mobilu, není na to software (ale druhý faktor funguje!). Na to řešení moc nemám, kromě toho nepřihlašovat se na důležité věci z mobilu nebo s sebou tahat ještě notebook.

Zahrajte si trojšachy přes internet :-)

15.2.2022 11:37 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jak jsi přišel k tomu, že Bitwarden není odolný proti malware? Obzvláště pokud použiju MFA pomocí FIDO2.
Zdar Max

Měl jsem sen ... :(

15.2.2022 12:16 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Protože po přihlášení už má klient všechna hesla v paměti. To FIDO2 je použito jen na přihlášení (nebo ne? alespoň u TOTP to tak je).

Takže dokud Bitwarden nepoužiju, jsem v pohodě. Ale to je samozřejmě k ničemu :-)

Budu se chtít přihlásit k první službě. Tak musím do Bitwardenu dát master heslo, potvrdit libovolně silným 2FA a Bitwarden mi pošle blob všech hesel, zašifrovaný jen tím master heslem. Malware má teda jak master heslo, tak ten blob, může si to dešifrovat a kamkoli poslat. Žádné FIDO2 už nepotřebuje.

Oproti tomu u Trezoru se přihlásím k Dropboxu, předložím mu soubor na něm uložený a řeknu „chci heslo ke službě X, uživatelské jméno Y“. Trezor si to uvnitř dešifruje, ukáže mi na displeji „Chcete zpřístupnit heslo na X/Y?“, a když potvrdím, tak jen to jedno heslo se dostane do počítače. Malware samozřejmě to heslo může ihned ukrást, ale už nemůže ukrást další hesla v Trezoru uložená. Jedině že by čekal, až je všechny budu někam zadávat. Nedostane je jak na zlatém podnose jak u Bitwardenu s FIDO2.

Zahrajte si trojšachy přes internet :-)

15.2.2022 23:09 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Když o tom přemýšlím, tak je to všechno k ničemu. Základ je neinfikovat OS. Pokud člověk není opatrný a OS infikuje, nic z toho o čem píšeš asi nepomůže. Malware nemá problém čekat. Nudit se nebude a nohy ho bolet taky nezačnou. Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.

A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?

17.2.2022 08:13 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.

Souhlasím. Ale jednak ne všechny služby to umí, a asi ne u všech to je navíc žádoucí. Další faktor (SMS teda zrovna není ideální) je samozřejmě trochu obtěžující a u spousty služeb to prostě není potřeba. Což neznamená, že chci, aby malware všechny ty účty (včetně starých, kam se třeba v podstatě nikdy nepřihlašuju) měl najednou.

A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?

Ano, jde. Oba Trezory umí U2F a ten novější umí i FIDO2. Což je super a využívám to. Ale viz předchozí bod; zdaleka ne všechny služby to podporují a u spousty z nich by to ani nebylo žádoucí.

Zahrajte si trojšachy přes internet :-)

17.2.2022 09:55 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Potvrzovací sms kód není nic neprůstřelného, nechápu, proč si lidi myslí, že je to bezpečné :-/. Stačí pogooglit, jak to je v reálu smutná věc, příkladem budiž třeba útok SIM-swap.
Protože potvrzování sms je silná slabina, tak se začaly mj. používat autentizační aplikace.
Zdar Max

Měl jsem sen ... :(

17.2.2022 09:49 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Ano, pro offline přístup se kešuje jak DB, tak 2FA, oboje myslím po dobu 30 dní s tím, že u mobilního zařízení má jen data cache 90 dní (2FA stále 30).

Pokud jde o to, že by malware měl ten blob a master heslo, tak to není tak jednoduché, jak si to maluješ. Komunikaci ten šmejd nesniffne (šifrovaná + pár ochran proti mitm). Aby získal heslo, musel by mít ten šmejd administratora (pokud se bavíme o Windows, v případě telefonu by musel mít roota). V případě linuxu si nejsem jist, za jakých podmínek lze dělat sw keylogger.

Keš můžeš purgovat, nebo jí nemít vůbec, což uděláš tak, že použiješ přístup jen přes web prohlížeč v incognito režimu (to by mělo stačit).

Každopádně otázkou je, zda jsi spíše nepřešel od požadavku odolnost vůči malware na odolnost vůči cílenému útoku konkrétní osobou / hackerovi. To je totiž docela rozdíl. A pokud chceš odolnost vůči hackerovi, tak jedině asi tak, že by jsi používal vyhrazené zařízení čistě jen pro správce hesel (třeba telefon jen na používání správce hesel). To pak ale naráží na velkou nepohodlnost použití.
Zdar Max

Měl jsem sen ... :(

17.2.2022 10:41 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si ten malware představuju spíš tak, že prostě k nějakému programu bude přibaleno něco, co se spustí s mými uživatelskými právy. A následně to bude dělat zajímavé věci.

Jedna z těch zajímavých věcí je dostat se do správce hesel. Bitwarden zpravidla funguje jako rozšíření do prohlížeče. To je uloženo v profilu prohlížeče, s mým oprávněním, takže může třeba shodit prohlížeč, přepsat rozšíření, spustit prohlížeč. To „nové“ rozšíření bude dělat úplně to samé jako to staré, ale při prvním přihlášení pošle všechny hesla někam pryč.

Pod mým oprávněním toho samozřejmě může udělat víc (třeba mi přidat nějaké zajímavé aliasy v bashi), ale správce hesel je takový typický scénář, to nemusí vůbec být cílený útok. Bitwarden je navíc open source, upravit ho je snadné.

Zahrajte si trojšachy přes internet :-)

17.2.2022 11:57 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Bitwarden neinstaluje rozšíření do prohlížeče. To si musíš naladit sám. Ale já ho třeba nepoužívám. Jinak Bitwarden ve web prohlížeči jsem nemyslel jako rozšíření, ale místo desktop app, čistě přes web face.
Jak říkám, pokud ti jde o bezpečnost, tak web prohlížeč v incognito modu + 2FA by melo být dostatečné. Pokud jsi paranoidní, jedině extra zařízení na správu hesel.
Zdar Max

Měl jsem sen ... :(

17.2.2022 15:23 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Aha, vida, Bitwarden má webové rozhraní :-)

Jak se to používá? Když se chci někam přihlásit, jdu na web Bitwardenu, zkopíruju heslo, přihlásím se?

Protože s rozšířením v prohlížeči jen zmáčknu klávesovou zkratku, tím se formulář vyplní heslem sám, a Enter.

S Trezorem zmáčknu klávesovou zkratku, potvrdím na Trezoru, tím se formulář vyplní heslem sám, a Enter.

S webovým rozhraním Bitwardenu musím udělat ten mezikrok s jejich rozhraním, což mi nepřijde jednodušší než s Trezorem. Ale je fakt, že taky ta bezpečnost při webovém rozhraní je asi lepší než s rozšířením (nebo si neumím představit vektor útoku), takže to vyjde skoro nastejno.

Zahrajte si trojšachy přes internet :-)

17.2.2022 15:45 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Přesně tak, copy-paste.
Vše je to o tom, do jaké úrovně chceš být bezpečný, což sebou nese otázky na úkor pohodlnosti.
Já osobně si s copy-paste vystačím. Navíc spoustu hesel mám i v hlavě.
Zdar Max

Měl jsem sen ... :(

17.2.2022 17:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Webové rozhranní a copy-paste je výrazně méně bezpečné než ukládání hesel přímo v prohlížeči. V okamžiku, kdy ti někdo podstrčí falešnou přihlašovací stránku a nevšimneš si, že je falešná, tak tam vesele heslo nakopíruješ, kdežto prohlížeč ti uložené heslo nenabídne, pokud doména přesně nesedí.

Hello world ! Segmentation fault (core dumped)

17.2.2022 10:49 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

V případě linuxu si nejsem jist, za jakých podmínek lze dělat sw keylogger.

Na X11 může kterýkoilv program běžící pod tvým uživatelem odchytit cokoliv. Na Waylandu už to je pořešené.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej: