Již řadu let se rozličné firmy předhánějí ve vydávání fantaskních tiskových zpráv, v nichž oznamují, že nastává "konec hesel" a že se o něj přičinily ony, svou úžasnou inovativní technologií přihlašování. Tradiční počítačová hesla ale zatím nic jiného nenahradilo. Aby správně fungovala, musí být ale delší a rozmanitější a to není snadné.

Z tohoto důvodu vznikla specifická kategorie programů, kterým se říká správci hesel - password managery. Pokud byste si měli dát nějaké novoroční předsevzetí z hlediska kybernetické bezpečnosti, mělo by to být právě začít nějaký používat. A tam, kde je to možné, je v podstatě bezpečnostní povinnost používat dvoufázové ověření. Minimálně u hlavního e-mailového účtu, na který případně chodí odkazy na obnovení hesel.

Proč používat správce hesel

Používání hesel se nelze vyhnout, a chcete-li je používat bezpečně, musíte dodržet dvě základní pravidla. Prvním je používat pro každou službu samostatné heslo. Nepoužívat stejné nebo podobné heslo v několika různých službách. Důvodem je oddělení vašich identit. Že kompromitace jednoho hesla – ať už problémem na straně vaší, na straně služby nebo někde cestou – nezpůsobí problémy u dalších služeb.

Řada lidí se snaží tento problém řešit tím, že má nějaké "základní heslo" a od něj pak hesla k jednotlivým službám odvozuje postupem, který pokládají za bezpečný. Mylně, protože kryptograficky bezpečný algoritmus pro derivaci klíčů nikdo v hlavě nespočítá a všechno ostatní je z bezpečnostního hlediska v podstatě bezpředmětné.

Druhým pravidlem je používat heslo, které bude mít vysokou entropii. Což laicky řečeno znamená, že heslo by mělo být co možná nejvíc náhodné. Neměli byste používat existující slova nebo fráze v libovolném jazyce. Proto se doporučuje, aby byla hesla co možná nejdelší.

Často se doporučuje, aby hesla obsahovala různé druhy znaků, velká a malá písmena, číslice a podobně. Toto doporučení má nicméně samo o sobě dosti malou hodnotu, zejména v případě, že hesla vytvářejí lidé v hlavě. V takovém případě zpravidla přidají na konec slova jedničku, vykřičník nebo tečku, čímž vznikne heslo typu Pass.word1, které sice uspokojí většinu korporátních politik (má deset znaků, velká a malá písmena, číslici i speciální znak), ale v praxi je zcela zbytečné.

Důvodem existence druhého pravidla je snaha bránit se uhádnutí hesla hrubou silou. Ani tak ne prostým přihlašováním, ale pokud unikne uložené zahashované heslo. Pokroky v hardwaru a softwaru, zapříčiněné zejména rozvojem kryptoměn, v zásadě znamenají, že pokud si heslo dokážete zapamatovat, lze ho kryptograficky prolomit.

Čímž se dostáváme k důvodu, proč používat password manager: protože prostě nejste schopni si všechna svá hesla zapamatovat. Ano, bylo by to ideální – hesla z hlavy vám nikdo nevezme. Ale pokud nemáte fenomenální nebo fotografickou paměť, prostě si nedokážete zapamatovat tolik kvalitních a unikátních hesel.

Co je správce hesel

Ve své podstatě je správce hesel velmi jednoduchý program. Jedná se o databázi, která uchovává název služby, uživatelské jméno, heslo a případně nějaké další související údaje. Tato databáze je potom chráněna jedním "super heslem", které ji dokáže odemknout. V praxi se postupuje tak, že z tohoto "super hesla" je odvozen symetrický šifrovací klíč a tímto klíčem jsou pak data zašifrována. Implementace se může různě měnit, ale tento princip je v zásadě vždy zachován.

Spousta lidí řeší úschovu hesel tím způsobem, že je má poznamenána v nějakém souboru, přičemž tento soubor je v lepším případě nějakým způsobem šifrován nebo alespoň chráněn heslem. Správce hesel jako specializovaný software ovšem nabízí vyšší úroveň bezpečnosti: ochrana hesel je u běžných formátů zpravidla málo kvalitní, a navíc jsou dešifrovaná data často dostupná v různých dočasných souborech, cache úložištích a podobně. Správce hesel je naprogramovaný tak, aby minimalizoval možnosti úniku dešifrovaných dat.

Jakého správce hesel zvolit?

Správců hesel jsou stovky. Liší se počtem podporovaných platforem, funkcemi a celkovou architekturou. Kterého z nich byste si tedy měli vybrat? Z hlediska bezpečnosti je to – minimálně mezi těmi hlavními programy - docela jedno. Volte tedy podle toho, jak vám který program vyhovuje. Doporučuji nicméně při výběru brát ohled na následující parametry:

Vyberte si takového správce hesel, který funguje na všech platformách, které používáte nebo které byste mohli používat, a to včetně mobilní. Správce hesel v mobilu nebudete nejspíše používat pravidelně, ale hodí se mít tu možnost, když například nemáte k dispozici svůj počítač. Kromě toho, když už jednou budete správce hesel používat, můžete si do něj ukládat nejenom hesla, ale i další důležité a citlivé údaje, jako čísla platebních karet, osobních dokladů a podobně. Přístup k těmto údajům z mobilu může být často velice podstatný.

Zajímejte se o to, zda je možné hesla z password manageru nějakým způsobem vyexportovat dávkově. Může se stát, že budete chtít používaný software změnit. Zajímejte se, zda je možné hesla z programu či služby vyexportovat, nebo zda je budete muset exportovat jedno po druhém.

Rozhodněte se, jakou míru integrace se systémem a prohlížečem považujete za optimální. Někteří správci hesel žádnou integrací nedisponují a heslo musíte opisovat nebo kopírovat přes schránku. To je sice nejbezpečnější, ale ne právě pohodlné. Integrace s prohlížečem – třeba ve formě nějakého doplňku do něj – přihlašování zrychluje a zpříjemňuje, ale představuje jisté bezpečnostní riziko, protože se už v minulosti stalo, že tyto doplňky obsahovaly různé chyby, které je možné zneužít.

Také se musíte rozhodnout mezi lokální verzí a síťovou službou. Lokální password manager pracuje s běžným datovým souborem, se kterým můžete nakládat, jak uznáte za vhodné. Což mimo jiné znamená, že ho musíte vhodným způsobem zálohovat. Síťové služby ukládají vaše data na serveru provozovatele (obvykle takovým způsobem, že jsou stále chráněna lokálním heslem a ani provozovatel služby k nim nemá přístup). To umožňuje automaticky řešit úkoly jako synchronizaci mezi různými zařízeními, zálohování nebo třeba sdílení určitých přístupových údajů. Opět si musíte vybrat mezi komfortem a bezpečností.

Tři nejpoužívanější password managery jsou KeePass, 1Password a LastPass. Ať už si vyberete kterýkoliv z nich, neuděláte chybu.

KeePass je lokální správce hesel, není spojen s žádnou on-line službou. Je to open source, takže je k dispozici zdarma včetně zdrojového kódu a i jeho datový formát (KDBX soubory) je veřejně známý a popsaný. Díky tomu existují jeho implementace pro všechny platformy, se kterými se nejspíše v životě setkáte, a ještě pro pár dalších. Ve své základní podobě jde o program dosti spartánský. Nedisponuje žádnou vestavěnou formou synchronizace, zálohy nebo propojením s prohlížeči. Nicméně existuje pro něj nepřeberné množství add-inů, které tyto funkce nabízejí. KeePass obecně nabízí velké množství nastavení a úprav a můžete si ho přizpůsobit dle svých přání.

Video Video Jak snadno nastavit a pouzivat bezplatneho spravce hesel KeePass

V případě programu 1Password si můžete vybrat: umí jak lokální úložiště (které je bezplatné), tak placenou cloudovou synchronizační službu. Podporuje Windows, Mac OS, iOS a Android. Nabízí komfortní doplňky do prohlížečů a celou řadu doplňkových služeb v placené cloudové verzi.

Poslední z velké trojky, LastPass, je čistě cloudová služba. Existuje sice základní bezplatná verze, ale většina pokročilých možností je dostupná jenom ve verzích placených. Program je také dostupný pro Windows, Mac OS, iOS i Android a nabízí pokročilou integraci s webovými prohlížeči. LastPass nabízí největší množství služeb, ale také jej v minulosti postihlo několik různých bezpečnostních problémů.

Časté výmluvy

Řada lidí se používání správců hesel brání. Typicky přitom zaznívají dva argumenty. První obvyklá výhrada je, že uchovávání hesel na jednom místě představuje bezpečnostní riziko. Že pokud útočník získá master password, dokáže získat všechny chráněné údaje najednou. To je sice pravda, ale pokud se útočník dostal tak daleko, že dokázal získat váš datový soubor a zároveň vaše master heslo, stejně jste prohráli. Master heslo by mělo být dostatečně kvalitní a jeho hlavní výhodou je, že ho nezná nikdo další. Že nikdy necestuje po síti a nezpracovává se jinak než na vašem počítači. Pokud se útočníkovi podařilo infikovat váš počítač natolik, že dokáže takto používané heslo odchytit, je to samo o sobě tak extrémní bezpečnostní incident, že získání databáze správce hesel už na jeho velikosti nic nezmění.

Druhou výhradou obvykle bývá, že pokud uživatel zapomene heslo, ke svým údajům se už nikdy nedostane. Tato výhrada je pravdivá, ovšem platí pro všechny zabezpečené systémy, šifrovací klíče a podobně. Ono hlavní heslo prostě nesmíte zapomenout. Případně si ho můžete "zazálohovat" na papír uložený na bezpečném místě nebo nějakým jiným vhodným způsobem.

Správci hesel představují kompromis. Jediná lepší varianta je ale všechna hesla si pamatovat; ta je ovšem pro drtivou většinu uživatelů naprosto nereálná. Všechny další varianty jsou mnohem, mnohem horší.

Chcete-li osobní doporučení, tak já osobně již léta ke své plné spokojenosti používám KeePass. Datový soubor ukládám na OneDrive, čímž řeším zálohu i synchronizaci. Nebojím se tuto službu používat, protože datový soubor je bezpečně šifrovaný. Nepoužívám žádnou formu integrace s prohlížečem, hesla kopíruji přes schránku a tento stav mi zcela vyhovuje.