abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Debian 13 Trixie
    včera 21:11 | Nová verze

    Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 1
    WLED – Wi-Fi ovládání RGB LED
    včera 15:55 | Zajímavý software

    WLED je open-source firmware pro ESP8266/ESP32, který umožňuje Wi-Fi ovládání adresovatelných LED pásků se stovkami efektů, synchronizací, audioreaktivním módem a Home-Assistant integrací. Je založen na Arduino frameworku.

    Indiánský lotr | Komentářů: 0
    Home Assistant 2025.8
    8.8. 15:33 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.8.

    Ladislav Hagara | Komentářů: 3
    Byla vydána Mafia: Domovina
    8.8. 14:22 | IT novinky

    Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

    Ladislav Hagara | Komentářů: 1
    O2 má opět problémy
    8.8. 13:22 | IT novinky

    Operátor O2 má opět problémy. Jako omluvu za pondělní zhoršenou dostupnost služeb dal všem zákazníkům poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství.

    Ladislav Hagara | Komentářů: 8
    Společnost OpenAI představila GPT-5
    8.8. 05:55 | IT novinky

    Společnost OpenAI představila GPT-5 (YouTube).

    Ladislav Hagara | Komentářů: 1
    Visual Studio Code a VSCodium 1.103
    8.8. 05:00 | Nová verze

    Byla vydána (𝕏) červencová aktualizace aneb nová verze 1.103 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.103 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Trump vyzval nového šéfa Intelu, aby odstoupil
    7.8. 17:33 | IT novinky

    Americký prezident Donald Trump vyzval nového generálního ředitele firmy na výrobu čipů Intel, aby odstoupil. Prezident to zdůvodnil vazbami nového šéfa Lip-Bu Tana na čínské firmy.

    Ladislav Hagara | Komentářů: 10
    Ubuntu 24.04.3 LTS
    7.8. 16:55 | Nová verze

    Bylo vydáno Ubuntu 24.04.3 LTS, tj. třetí opravné vydání Ubuntu 24.04 LTS s kódovým názvem Noble Numbat. Přehled novinek a oprav na Discourse.

    Ladislav Hagara | Komentářů: 0
    Rust 1.89.0
    7.8. 16:44 | Nová verze

    Byla vydána verze 1.89.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (46%)
     (20%)
     (4%)
     (5%)
     (3%)
     (1%)
     (1%)
     (19%)
    Celkem 318 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jaký správce hesel v roce 2022 odolný proti malwaru?
    Štítky: Cloud, hesla, heslo, malware, password, textové editory, uložení, úložiště, Vim, Yubikey

    Dotaz: Jaký správce hesel v roce 2022 odolný proti malwaru?

    Aleš Janda avatar 3.2.2022 09:37 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Jaký správce hesel v roce 2022 odolný proti malwaru?
    Přečteno: 1323×
    Jaké jsou v současnosti doporučené způsoby uložení hesel/autentizace?

    Zejména myslím taková běžná přihlašování k různým vzdáleným službám z počítače i z mobilu. A aby to bylo odolné proti malware.

    Co znám, tak to je:
    1. Mít všechna hesla v hlavě: Malé úložiště, tendence k používání stejných hesel. Malware dokáže ukradnout heslo, které právě zadávám.
    2. Používat správce hesel: Když je klíčenka zrovna odemčená (často nebo minimálně u každého přihlašování) nebo při prolomení hlavního hesla se malware dostane ke všem službám ve správci uloženém!
    3. Správce hesel + TOTP (třeba Authy): Nutnost si pamatovat jen dvě hesla, TOTP není podporované všude a navíc je opisování opruz. TOTP se dá dát i do správce hesel, ale pak to z hlediska malware ztrácí smysl. Navíc obecně u TOTP nevím, co podepisuju (jenom vím kde), malware může podstrčit k potvrzení něco, co nechci.
    4. Správce hesel + Yubikey (a podobné): Trochu jednodušší zadávání než u Authy, ale je podporované ještě méně. Navíc opruz s hardwarem.
    5. Trezor Password Manager: Funguje docela dobře, ukládá šifrovaně na vybraný cloud (do toho si musím uložit údaje úplně zvlášť), malware může odchytit jen to heslo, které právě zadávám. Trochu opruz s potvrzováním (větší než se samotným správcem hesel). Velký opruz s přihlašováním na mobilu (musím všude tahat Trezor).
    6. Mooltipass (asi podobné jako Trezor včetně nevýhod): Zatím asi moc nepoužívané? Nevím, jak je to se synchronizací, jak moc je to jednoduché na používání, má to nějaké výhody oproti Trezoru?
    7. Něco jiného?
    Co používáte nebo doporučujete vy? Používáte třeba více správců pro různé účely, třeba Trezor pro důležitá a jednodušší Bitwarden pro méně důležitá hesla?

    Díky.
    Zahrajte si trojšachy přes internet :-)
    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 3.2.2022 10:07 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Já používám Bitwarden (Bitwarden: Nejlepší správce hesel?) s tím, že většinu Linux serverů jedu 2FA (zaheslovaný certifikát + ldap uživatel a heslo) a začínám řešit i tokeny, tj. přemýšlím o Yubikey.
    Lidi, co se migrují na Office365, ti mají taktéž vynucený MFA (mohou použít auth app v mobilu, nebo sms).
    A MFA chci začít řešit i pro další služby.
    Jinými slovy, pokud chceš odolnost vůči malware apod., tak potřebuješ nějaký druh MFA. Co konkrétně, to záleží na tobě a na službách, co používáš (všichni nepodporují všechno).
    Jinak dost rozšířeným MFA se stává Duo, ale to není otevřené řešení a osobně se mu vyhýbám.
    Zdar Max
    Měl jsem sen ... :(
    3.2.2022 13:42 Radek
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Nejbezpečnější je FIDO2, ostatní 2fa/mfa lze jednodušše obejít pomocí evilginx2.
    3.2.2022 13:44 Radek
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Jinak, kdyby někoho zajímalo, jak se bránit man in the middle útokům, tak zde je pěkný souhrn https://thecloudtechnologist.com/2019/04/29/defending-against-evilginx2-in-office-365/
    3.2.2022 11:43 kol-ouch | skóre: 10 | blog: Co_to_je
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Já si ted všechna uložená hesla pro sichr vyexportoval a vytiskl - a dost mě překvapilo kolik jich je…

    Ted je otázka kam s tím papírem :)
    Max avatar 3.2.2022 12:27 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Spálit.
    Zdar Max
    Měl jsem sen ... :(
    3.2.2022 12:38 kol-ouch | skóre: 10 | blog: Co_to_je
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    To mi nepřijde jako nejlepší nápad
    3.2.2022 15:18 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Za valky snad byly citlive infomace, jimiz byly vybavovany jednotky operujici v tylu nepritele, tisteny na jedly papir.

    Dnes se asi muze pouzit stejne reseni
    9.2.2022 11:35 ml
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Něco takového jsem udělal před mnoha lety, mám to v práci v šuplíku, zastrčené, a připisuju tam nová. No chtělo by to inventuru, spousta účtů už neni aktivní nebo jsem si nechal heslo vyresetovat (hlavně v době loňského lokdaunu jsem se musel z domova přihlašovat ke službám, ke kterým se normálně nepřihlašuju, tak jsem si musel nechat na nich hesla vyresetovat a vymyslet nová, která samozřejmě už taky neznám, takže mě někdy čeká další kolo resetů; no jsou to věci potřebné párkrát do roka nebo méně). Ten papír už vypadá dost opotřebeně. Osobně tohle považuju za dostatečně odolné proti malware, normálně by to mohla zneužít maximálně uklízečka, případně někdo jiný, kdo by se dostal do kanceláře (s trochou drzosti si klíče ve vrátnici může půjčit kdokoliv, komu vrátný uvěří).

    No ale co je to za hesla, mejly a podobné blbosti, většinou nic důležitého. Heslo do banky tam samozřejmě nemám (to nemám nikde, a asi před týdnem jsem se docela polekal, když jsem se nemohl přihlásit, heslo, které běžně zadávám jsem nemohl z hlavy vytáhnout).

    Takže papír dát někam, kde nehrozí jeho zneužití, pokud věříte kolegům jako já, tak do šuplíku.
    9.2.2022 14:39 _
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Já si to nechal vyexportovat z firefoxu a chrome do cvs, to natáhl do libreoffice, srovnal podle jména služeb a označil barevně ty poslední hesla co jsou platná a přidal si sloupce na případné dopsání změny a vytiskl

    Plán je takový, že až to bude vypadat jak vytažené krávě z huby, tak to vyexportuju a vytisknu znova

    A klidně tam mám i hesla od banky, iCloudu i gmailu protože tam všude mám dvoufázové ověření

    A služby kde ho nemám jsou blbosti typu forum na živě…

    Heslo od věcí co fakt nechci nikam pustit mám v hlavě s rizikem, že o ně holt přijdu

    9.2.2022 14:42 R H
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Já ten papír mám v ohnivzdorném trezoru a klíče u sebe, takže ani když vrátný někomu uvěří, tak to nikdo neukradne. No a jak píše Max, servery jsou 2FA, O365 (a ještě další dvě služby jsou MFA) a heslo k bankovnictví nemám nikde a pamatuju si ho (a vlastně i tam je 2FA). To zatím stačí...
    Aleš Janda avatar 15.2.2022 09:56 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Děkuji všem za příspěvky. Asi se mi pořád nejvíce líbí tohle:

    Důležitá hesla jsou v Trezoru, každodenní nedůležitá v Bitwardenu.

    Bitwarden je normální softwarová peněženka, odolná proti malwaru není, ale je funguje všude, má pěkné GUI, je open source, a ve většině účtů stejně nic hodnotného není.

    Ta hlavní hesla, která k něčemu jsou, můžou být pak uložena v Trezoru. Ten je jednak dobrý i na jiné jiné věci (kryptoměny), jednak umí i U2F a dražší verze T i FIDO2, takže funguje zároveň i jako druhý faktor.

    Nevýhoda je, že správce hesel Trezoru nefunguje na mobilu, není na to software (ale druhý faktor funguje!). Na to řešení moc nemám, kromě toho nepřihlašovat se na důležité věci z mobilu nebo s sebou tahat ještě notebook.
    Zahrajte si trojšachy přes internet :-)
    Max avatar 15.2.2022 11:37 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Jak jsi přišel k tomu, že Bitwarden není odolný proti malware? Obzvláště pokud použiju MFA pomocí FIDO2.
    Zdar Max
    Měl jsem sen ... :(
    Aleš Janda avatar 15.2.2022 12:16 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Protože po přihlášení už má klient všechna hesla v paměti. To FIDO2 je použito jen na přihlášení (nebo ne? alespoň u TOTP to tak je).

    Takže dokud Bitwarden nepoužiju, jsem v pohodě. Ale to je samozřejmě k ničemu :-) Budu se chtít přihlásit k první službě. Tak musím do Bitwardenu dát master heslo, potvrdit libovolně silným 2FA a Bitwarden mi pošle blob všech hesel, zašifrovaný jen tím master heslem. Malware má teda jak master heslo, tak ten blob, může si to dešifrovat a kamkoli poslat. Žádné FIDO2 už nepotřebuje.

    Oproti tomu u Trezoru se přihlásím k Dropboxu, předložím mu soubor na něm uložený a řeknu „chci heslo ke službě X, uživatelské jméno Y“. Trezor si to uvnitř dešifruje, ukáže mi na displeji „Chcete zpřístupnit heslo na X/Y?“, a když potvrdím, tak jen to jedno heslo se dostane do počítače. Malware samozřejmě to heslo může ihned ukrást, ale už nemůže ukrást další hesla v Trezoru uložená. Jedině že by čekal, až je všechny budu někam zadávat. Nedostane je jak na zlatém podnose jak u Bitwardenu s FIDO2.
    Zahrajte si trojšachy přes internet :-)
    Petr Fiedler avatar 15.2.2022 23:09 Petr Fiedler | skóre: 35 | blog: Poradna
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

    Když o tom přemýšlím, tak je to všechno k ničemu. Základ je neinfikovat OS. Pokud člověk není opatrný a OS infikuje, nic z toho o čem píšeš asi nepomůže. Malware nemá problém čekat. Nudit se nebude a nohy ho bolet taky nezačnou. Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.

    A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?

    Aleš Janda avatar 17.2.2022 08:13 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.
    Souhlasím. Ale jednak ne všechny služby to umí, a asi ne u všech to je navíc žádoucí. Další faktor (SMS teda zrovna není ideální) je samozřejmě trochu obtěžující a u spousty služeb to prostě není potřeba. Což neznamená, že chci, aby malware všechny ty účty (včetně starých, kam se třeba v podstatě nikdy nepřihlašuju) měl najednou.
    A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?
    Ano, jde. Oba Trezory umí U2F a ten novější umí i FIDO2. Což je super a využívám to. Ale viz předchozí bod; zdaleka ne všechny služby to podporují a u spousty z nich by to ani nebylo žádoucí.
    Zahrajte si trojšachy přes internet :-)
    Max avatar 17.2.2022 09:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Potvrzovací sms kód není nic neprůstřelného, nechápu, proč si lidi myslí, že je to bezpečné :-/. Stačí pogooglit, jak to je v reálu smutná věc, příkladem budiž třeba útok SIM-swap.
    Protože potvrzování sms je silná slabina, tak se začaly mj. používat autentizační aplikace.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 17.2.2022 09:49 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Ano, pro offline přístup se kešuje jak DB, tak 2FA, oboje myslím po dobu 30 dní s tím, že u mobilního zařízení má jen data cache 90 dní (2FA stále 30).

    Pokud jde o to, že by malware měl ten blob a master heslo, tak to není tak jednoduché, jak si to maluješ. Komunikaci ten šmejd nesniffne (šifrovaná + pár ochran proti mitm). Aby získal heslo, musel by mít ten šmejd administratora (pokud se bavíme o Windows, v případě telefonu by musel mít roota). V případě linuxu si nejsem jist, za jakých podmínek lze dělat sw keylogger.

    Keš můžeš purgovat, nebo jí nemít vůbec, což uděláš tak, že použiješ přístup jen přes web prohlížeč v incognito režimu (to by mělo stačit).

    Každopádně otázkou je, zda jsi spíše nepřešel od požadavku odolnost vůči malware na odolnost vůči cílenému útoku konkrétní osobou / hackerovi. To je totiž docela rozdíl. A pokud chceš odolnost vůči hackerovi, tak jedině asi tak, že by jsi používal vyhrazené zařízení čistě jen pro správce hesel (třeba telefon jen na používání správce hesel). To pak ale naráží na velkou nepohodlnost použití.
    Zdar Max
    Měl jsem sen ... :(
    Aleš Janda avatar 17.2.2022 10:41 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Já si ten malware představuju spíš tak, že prostě k nějakému programu bude přibaleno něco, co se spustí s mými uživatelskými právy. A následně to bude dělat zajímavé věci.

    Jedna z těch zajímavých věcí je dostat se do správce hesel. Bitwarden zpravidla funguje jako rozšíření do prohlížeče. To je uloženo v profilu prohlížeče, s mým oprávněním, takže může třeba shodit prohlížeč, přepsat rozšíření, spustit prohlížeč. To „nové“ rozšíření bude dělat úplně to samé jako to staré, ale při prvním přihlášení pošle všechny hesla někam pryč.

    Pod mým oprávněním toho samozřejmě může udělat víc (třeba mi přidat nějaké zajímavé aliasy v bashi), ale správce hesel je takový typický scénář, to nemusí vůbec být cílený útok. Bitwarden je navíc open source, upravit ho je snadné.
    Zahrajte si trojšachy přes internet :-)
    Max avatar 17.2.2022 11:57 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Bitwarden neinstaluje rozšíření do prohlížeče. To si musíš naladit sám. Ale já ho třeba nepoužívám. Jinak Bitwarden ve web prohlížeči jsem nemyslel jako rozšíření, ale místo desktop app, čistě přes web face.
    Jak říkám, pokud ti jde o bezpečnost, tak web prohlížeč v incognito modu + 2FA by melo být dostatečné. Pokud jsi paranoidní, jedině extra zařízení na správu hesel.
    Zdar Max
    Měl jsem sen ... :(
    Aleš Janda avatar 17.2.2022 15:23 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Aha, vida, Bitwarden má webové rozhraní :-) Jak se to používá? Když se chci někam přihlásit, jdu na web Bitwardenu, zkopíruju heslo, přihlásím se?

    Protože s rozšířením v prohlížeči jen zmáčknu klávesovou zkratku, tím se formulář vyplní heslem sám, a Enter.

    S Trezorem zmáčknu klávesovou zkratku, potvrdím na Trezoru, tím se formulář vyplní heslem sám, a Enter.

    S webovým rozhraním Bitwardenu musím udělat ten mezikrok s jejich rozhraním, což mi nepřijde jednodušší než s Trezorem. Ale je fakt, že taky ta bezpečnost při webovém rozhraní je asi lepší než s rozšířením (nebo si neumím představit vektor útoku), takže to vyjde skoro nastejno.
    Zahrajte si trojšachy přes internet :-)
    Max avatar 17.2.2022 15:45 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Přesně tak, copy-paste.
    Vše je to o tom, do jaké úrovně chceš být bezpečný, což sebou nese otázky na úkor pohodlnosti.
    Já osobně si s copy-paste vystačím. Navíc spoustu hesel mám i v hlavě.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 17.2.2022 17:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    Webové rozhranní a copy-paste je výrazně méně bezpečné než ukládání hesel přímo v prohlížeči. V okamžiku, kdy ti někdo podstrčí falešnou přihlašovací stránku a nevšimneš si, že je falešná, tak tam vesele heslo nakopíruješ, kdežto prohlížeč ti uložené heslo nenabídne, pokud doména přesně nesedí.
    Hello world ! Segmentation fault (core dumped)
    Josef Kufner avatar 17.2.2022 10:49 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?
    V případě linuxu si nejsem jist, za jakých podmínek lze dělat sw keylogger.
    Na X11 může kterýkoilv program běžící pod tvým uživatelem odchytit cokoliv. Na Waylandu už to je pořešené.
    Hello world ! Segmentation fault (core dumped)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.