Přihlášení | Registrace

napište » Zprávičky

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné

včera 17:00 | Upozornění

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů

včera 16:44 | IT novinky

Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

Ladislav Hagara | Komentářů: 4

Red Hat bude podporovat a distribuovat toolkit NVIDIA CUDA

včera 14:11 | Komunita

Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

Ladislav Hagara | Komentářů: 0

TrueNAS 25.10 Goldeye

včera 13:55 | Nová verze

TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

Ladislav Hagara | Komentářů: 0

OpenIndiana 2025.10

včera 13:33 | Nová verze

Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

Ladislav Hagara | Komentářů: 0

89 % zranitelností IT infrastruktury v českých školách je kritických

včera 13:22 | Zajímavý článek

České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

… více »

Ladislav Hagara | Komentářů: 10

Josef Průša obdržel medaili Za zásluhy

včera 05:11 | Komunita

Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

🇹🇬 | Komentářů: 34

Tor Browser 15.0

včera 04:44 | Nová verze

Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

Ladislav Hagara | Komentářů: 3

Fedora Linux 43

28.10. 16:44 | Nová verze

Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

Ladislav Hagara | Komentářů: 0

Grokipedia

28.10. 15:22 | IT novinky

Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

Ladislav Hagara | Komentářů: 22

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (48%)

Atlassian (20%)

Bitbucket (19%)

Gitea (23%)

Mercurial (17%)

jen git (21%)

jen svn (17%)

Jiné (uvedu v diskusi) (17%)

Celkem 282 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jaký správce hesel v roce 2022 odolný proti malwaru?

Štítky: Cloud, hesla, heslo, malware, password, textové editory, uložení, úložiště, Vim, Yubikey

Dotaz: Jaký správce hesel v roce 2022 odolný proti malwaru?

3.2.2022 09:37 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Jaký správce hesel v roce 2022 odolný proti malwaru?

Přečteno: 1357×

Odpovědět | Admin

Jaké jsou v současnosti doporučené způsoby uložení hesel/autentizace?

Zejména myslím taková běžná přihlašování k různým vzdáleným službám z počítače i z mobilu. A aby to bylo odolné proti malware.

Co znám, tak to je:

Mít všechna hesla v hlavě: Malé úložiště, tendence k používání stejných hesel. Malware dokáže ukradnout heslo, které právě zadávám.
Používat správce hesel: Když je klíčenka zrovna odemčená (často nebo minimálně u každého přihlašování) nebo při prolomení hlavního hesla se malware dostane ke všem službám ve správci uloženém!
Správce hesel + TOTP (třeba Authy): Nutnost si pamatovat jen dvě hesla, TOTP není podporované všude a navíc je opisování opruz. TOTP se dá dát i do správce hesel, ale pak to z hlediska malware ztrácí smysl. Navíc obecně u TOTP nevím, co podepisuju (jenom vím kde), malware může podstrčit k potvrzení něco, co nechci.
Správce hesel + Yubikey (a podobné): Trochu jednodušší zadávání než u Authy, ale je podporované ještě méně. Navíc opruz s hardwarem.
Trezor Password Manager: Funguje docela dobře, ukládá šifrovaně na vybraný cloud (do toho si musím uložit údaje úplně zvlášť), malware může odchytit jen to heslo, které právě zadávám. Trochu opruz s potvrzováním (větší než se samotným správcem hesel). Velký opruz s přihlašováním na mobilu (musím všude tahat Trezor).
Mooltipass (asi podobné jako Trezor včetně nevýhod): Zatím asi moc nepoužívané? Nevím, jak je to se synchronizací, jak moc je to jednoduché na používání, má to nějaké výhody oproti Trezoru?
Něco jiného?

Co používáte nebo doporučujete vy? Používáte třeba více správců pro různé účely, třeba Trezor pro důležitá a jednodušší Bitwarden pro méně důležitá hesla?

Díky.

Zahrajte si trojšachy přes internet :-)

Nástroje: Začni sledovat (2) ?

Odpovědi

3.2.2022 10:07 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já používám Bitwarden (Bitwarden: Nejlepší správce hesel?) s tím, že většinu Linux serverů jedu 2FA (zaheslovaný certifikát + ldap uživatel a heslo) a začínám řešit i tokeny, tj. přemýšlím o Yubikey.
Lidi, co se migrují na Office365, ti mají taktéž vynucený MFA (mohou použít auth app v mobilu, nebo sms).
A MFA chci začít řešit i pro další služby.
Jinými slovy, pokud chceš odolnost vůči malware apod., tak potřebuješ nějaký druh MFA. Co konkrétně, to záleží na tobě a na službách, co používáš (všichni nepodporují všechno).
Jinak dost rozšířeným MFA se stává Duo, ale to není otevřené řešení a osobně se mu vyhýbám.
Zdar Max

Měl jsem sen ... :(

3.2.2022 13:42 Radek
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Nejbezpečnější je FIDO2, ostatní 2fa/mfa lze jednodušše obejít pomocí evilginx2.

3.2.2022 13:44 Radek
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jinak, kdyby někoho zajímalo, jak se bránit man in the middle útokům, tak zde je pěkný souhrn https://thecloudtechnologist.com/2019/04/29/defending-against-evilginx2-in-office-365/

3.2.2022 11:43 kol-ouch | skóre: 10 | blog: Co_to_je
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si ted všechna uložená hesla pro sichr vyexportoval a vytiskl - a dost mě překvapilo kolik jich je…

Ted je otázka kam s tím papírem :)

3.2.2022 12:27 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Spálit.
Zdar Max

Měl jsem sen ... :(

3.2.2022 12:38 kol-ouch | skóre: 10 | blog: Co_to_je
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

To mi nepřijde jako nejlepší nápad

3.2.2022 15:18 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Za valky snad byly citlive infomace, jimiz byly vybavovany jednotky operujici v tylu nepritele, tisteny na jedly papir.

Dnes se asi muze pouzit stejne reseni

9.2.2022 11:35 ml
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Něco takového jsem udělal před mnoha lety, mám to v práci v šuplíku, zastrčené, a připisuju tam nová. No chtělo by to inventuru, spousta účtů už neni aktivní nebo jsem si nechal heslo vyresetovat (hlavně v době loňského lokdaunu jsem se musel z domova přihlašovat ke službám, ke kterým se normálně nepřihlašuju, tak jsem si musel nechat na nich hesla vyresetovat a vymyslet nová, která samozřejmě už taky neznám, takže mě někdy čeká další kolo resetů; no jsou to věci potřebné párkrát do roka nebo méně). Ten papír už vypadá dost opotřebeně. Osobně tohle považuju za dostatečně odolné proti malware, normálně by to mohla zneužít maximálně uklízečka, případně někdo jiný, kdo by se dostal do kanceláře (s trochou drzosti si klíče ve vrátnici může půjčit kdokoliv, komu vrátný uvěří).

No ale co je to za hesla, mejly a podobné blbosti, většinou nic důležitého. Heslo do banky tam samozřejmě nemám (to nemám nikde, a asi před týdnem jsem se docela polekal, když jsem se nemohl přihlásit, heslo, které běžně zadávám jsem nemohl z hlavy vytáhnout).

Takže papír dát někam, kde nehrozí jeho zneužití, pokud věříte kolegům jako já, tak do šuplíku.

9.2.2022 14:39 _
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si to nechal vyexportovat z firefoxu a chrome do cvs, to natáhl do libreoffice, srovnal podle jména služeb a označil barevně ty poslední hesla co jsou platná a přidal si sloupce na případné dopsání změny a vytiskl

Plán je takový, že až to bude vypadat jak vytažené krávě z huby, tak to vyexportuju a vytisknu znova

A klidně tam mám i hesla od banky, iCloudu i gmailu protože tam všude mám dvoufázové ověření

A služby kde ho nemám jsou blbosti typu forum na živě…

Heslo od věcí co fakt nechci nikam pustit mám v hlavě s rizikem, že o ně holt přijdu

9.2.2022 14:42 R H
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já ten papír mám v ohnivzdorném trezoru a klíče u sebe, takže ani když vrátný někomu uvěří, tak to nikdo neukradne. No a jak píše Max, servery jsou 2FA, O365 (a ještě další dvě služby jsou MFA) a heslo k bankovnictví nemám nikde a pamatuju si ho (a vlastně i tam je 2FA). To zatím stačí...

15.2.2022 09:56 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Děkuji všem za příspěvky. Asi se mi pořád nejvíce líbí tohle:

Důležitá hesla jsou v Trezoru, každodenní nedůležitá v Bitwardenu.

Bitwarden je normální softwarová peněženka, odolná proti malwaru není, ale je funguje všude, má pěkné GUI, je open source, a ve většině účtů stejně nic hodnotného není.

Ta hlavní hesla, která k něčemu jsou, můžou být pak uložena v Trezoru. Ten je jednak dobrý i na jiné jiné věci (kryptoměny), jednak umí i U2F a dražší verze T i FIDO2, takže funguje zároveň i jako druhý faktor.

Nevýhoda je, že správce hesel Trezoru nefunguje na mobilu, není na to software (ale druhý faktor funguje!). Na to řešení moc nemám, kromě toho nepřihlašovat se na důležité věci z mobilu nebo s sebou tahat ještě notebook.

Zahrajte si trojšachy přes internet :-)

15.2.2022 11:37 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jak jsi přišel k tomu, že Bitwarden není odolný proti malware? Obzvláště pokud použiju MFA pomocí FIDO2.
Zdar Max

Měl jsem sen ... :(

15.2.2022 12:16 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Protože po přihlášení už má klient všechna hesla v paměti. To FIDO2 je použito jen na přihlášení (nebo ne? alespoň u TOTP to tak je).

Takže dokud Bitwarden nepoužiju, jsem v pohodě. Ale to je samozřejmě k ničemu :-)

Budu se chtít přihlásit k první službě. Tak musím do Bitwardenu dát master heslo, potvrdit libovolně silným 2FA a Bitwarden mi pošle blob všech hesel, zašifrovaný jen tím master heslem. Malware má teda jak master heslo, tak ten blob, může si to dešifrovat a kamkoli poslat. Žádné FIDO2 už nepotřebuje.

Oproti tomu u Trezoru se přihlásím k Dropboxu, předložím mu soubor na něm uložený a řeknu „chci heslo ke službě X, uživatelské jméno Y“. Trezor si to uvnitř dešifruje, ukáže mi na displeji „Chcete zpřístupnit heslo na X/Y?“, a když potvrdím, tak jen to jedno heslo se dostane do počítače. Malware samozřejmě to heslo může ihned ukrást, ale už nemůže ukrást další hesla v Trezoru uložená. Jedině že by čekal, až je všechny budu někam zadávat. Nedostane je jak na zlatém podnose jak u Bitwardenu s FIDO2.

Zahrajte si trojšachy přes internet :-)

15.2.2022 23:09 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Když o tom přemýšlím, tak je to všechno k ničemu. Základ je neinfikovat OS. Pokud člověk není opatrný a OS infikuje, nic z toho o čem píšeš asi nepomůže. Malware nemá problém čekat. Nudit se nebude a nohy ho bolet taky nezačnou. Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.

A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?

17.2.2022 08:13 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Jediné, co mi dává smysl je mít nastaven potvrzovací sms kód tam, kde je to možné. I kdyby si malware heslo přečetl, tak bez tvého mobilu by bylo útočníkovi k ničemu.

Souhlasím. Ale jednak ne všechny služby to umí, a asi ne u všech to je navíc žádoucí. Další faktor (SMS teda zrovna není ideální) je samozřejmě trochu obtěžující a u spousty služeb to prostě není potřeba. Což neznamená, že chci, aby malware všechny ty účty (včetně starých, kam se třeba v podstatě nikdy nepřihlašuju) měl najednou.

A nejde to takto nastavit u toho Trezoru? Že bys místo sms kódu potvrdil u každého přihlášení (tam kde je to možné) dialog na displeji?

Ano, jde. Oba Trezory umí U2F a ten novější umí i FIDO2. Což je super a využívám to. Ale viz předchozí bod; zdaleka ne všechny služby to podporují a u spousty z nich by to ani nebylo žádoucí.

Zahrajte si trojšachy přes internet :-)

17.2.2022 09:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Potvrzovací sms kód není nic neprůstřelného, nechápu, proč si lidi myslí, že je to bezpečné :-/. Stačí pogooglit, jak to je v reálu smutná věc, příkladem budiž třeba útok SIM-swap.
Protože potvrzování sms je silná slabina, tak se začaly mj. používat autentizační aplikace.
Zdar Max

Měl jsem sen ... :(

17.2.2022 09:49 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Ano, pro offline přístup se kešuje jak DB, tak 2FA, oboje myslím po dobu 30 dní s tím, že u mobilního zařízení má jen data cache 90 dní (2FA stále 30).

Pokud jde o to, že by malware měl ten blob a master heslo, tak to není tak jednoduché, jak si to maluješ. Komunikaci ten šmejd nesniffne (šifrovaná + pár ochran proti mitm). Aby získal heslo, musel by mít ten šmejd administratora (pokud se bavíme o Windows, v případě telefonu by musel mít roota). V případě linuxu si nejsem jist, za jakých podmínek lze dělat sw keylogger.

Keš můžeš purgovat, nebo jí nemít vůbec, což uděláš tak, že použiješ přístup jen přes web prohlížeč v incognito režimu (to by mělo stačit).

Každopádně otázkou je, zda jsi spíše nepřešel od požadavku odolnost vůči malware na odolnost vůči cílenému útoku konkrétní osobou / hackerovi. To je totiž docela rozdíl. A pokud chceš odolnost vůči hackerovi, tak jedině asi tak, že by jsi používal vyhrazené zařízení čistě jen pro správce hesel (třeba telefon jen na používání správce hesel). To pak ale naráží na velkou nepohodlnost použití.
Zdar Max

Měl jsem sen ... :(

17.2.2022 10:41 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Já si ten malware představuju spíš tak, že prostě k nějakému programu bude přibaleno něco, co se spustí s mými uživatelskými právy. A následně to bude dělat zajímavé věci.

Jedna z těch zajímavých věcí je dostat se do správce hesel. Bitwarden zpravidla funguje jako rozšíření do prohlížeče. To je uloženo v profilu prohlížeče, s mým oprávněním, takže může třeba shodit prohlížeč, přepsat rozšíření, spustit prohlížeč. To „nové“ rozšíření bude dělat úplně to samé jako to staré, ale při prvním přihlášení pošle všechny hesla někam pryč.

Pod mým oprávněním toho samozřejmě může udělat víc (třeba mi přidat nějaké zajímavé aliasy v bashi), ale správce hesel je takový typický scénář, to nemusí vůbec být cílený útok. Bitwarden je navíc open source, upravit ho je snadné.

Zahrajte si trojšachy přes internet :-)

17.2.2022 11:57 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Bitwarden neinstaluje rozšíření do prohlížeče. To si musíš naladit sám. Ale já ho třeba nepoužívám. Jinak Bitwarden ve web prohlížeči jsem nemyslel jako rozšíření, ale místo desktop app, čistě přes web face.
Jak říkám, pokud ti jde o bezpečnost, tak web prohlížeč v incognito modu + 2FA by melo být dostatečné. Pokud jsi paranoidní, jedině extra zařízení na správu hesel.
Zdar Max

Měl jsem sen ... :(

17.2.2022 15:23 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Aha, vida, Bitwarden má webové rozhraní :-)

Jak se to používá? Když se chci někam přihlásit, jdu na web Bitwardenu, zkopíruju heslo, přihlásím se?

Protože s rozšířením v prohlížeči jen zmáčknu klávesovou zkratku, tím se formulář vyplní heslem sám, a Enter.

S Trezorem zmáčknu klávesovou zkratku, potvrdím na Trezoru, tím se formulář vyplní heslem sám, a Enter.

S webovým rozhraním Bitwardenu musím udělat ten mezikrok s jejich rozhraním, což mi nepřijde jednodušší než s Trezorem. Ale je fakt, že taky ta bezpečnost při webovém rozhraní je asi lepší než s rozšířením (nebo si neumím představit vektor útoku), takže to vyjde skoro nastejno.

Zahrajte si trojšachy přes internet :-)

17.2.2022 15:45 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Přesně tak, copy-paste.
Vše je to o tom, do jaké úrovně chceš být bezpečný, což sebou nese otázky na úkor pohodlnosti.
Já osobně si s copy-paste vystačím. Navíc spoustu hesel mám i v hlavě.
Zdar Max

Měl jsem sen ... :(

17.2.2022 17:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?

Webové rozhranní a copy-paste je výrazně méně bezpečné než ukládání hesel přímo v prohlížeči. V okamžiku, kdy ti někdo podstrčí falešnou přihlašovací stránku a nevšimneš si, že je falešná, tak tam vesele heslo nakopíruješ, kdežto prohlížeč ti uložené heslo nenabídne, pokud doména přesně nesedí.

Hello world ! Segmentation fault (core dumped)

17.2.2022 10:49 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Jaký správce hesel v roce 2022 odolný proti malwaru?