Všechna hesla v jednom sejfu

Jen během uplynulého roku bylo ukradeno na 42 miliard uživatelských hesel k různým internetovým službám. Takové číslo musí vyděsit snad každého uživatele internetu. Americká federální komise pro obchod (FTC) analyzovala, co se s odcizenými přístupovými údaji děje. Pokud se na některém z hlavních hackerských fór objeví odcizená databáze hesel k Facebooku, účtům Google, Netflixu nebo on-line bankovnictví, trvá jen devět minut, než dojde k prvním pokusům o přihlášení k internetovým službám pomocí těchto přístupových údajů. A protože dva ze tří uživatelů internetu používají stejné heslo pro více různých účtů, otevře jeden odcizený klíč hned několik dveří současně.

Obrovský počet odcizených přihlašovacích údajů také svědčí o tom, že hackeři v drtivé většině nezískají hesla od jednotlivých uživatelů pomocí phishingového útoku či jiné podobné metody. Daleko více se soustředí přímo na poskytovatele internetových služeb, kde jsou úspěšné útoky mnohem profitabilnější. Značná množství dat se hackerům podařilo ukrást například Yahoo nebo službě Uber. Nedávné studie pak ukázaly, že běžný uživatel internetu má mezi dvěma a třemi desítkami uživatelských účtů chráněných heslem. Současná zjištění pak hovoří o výrazně větším počtu. Ještě mnohem vyšší počet různých přístupových údajů spravují uživatelé různých firemních systémů. Firma LastPass, tvůrce stejnojmenného správce hesel, uvádí, že firemní uživatelé spravují průměrně kolem 191 hesel k různým systémům a aplikacím. Bez ohledu na to, zda používáte 10, nebo 200 internetových služeb chráněných heslem, vždy byste měli dodržovat přinejmenším jedno základní bezpečnostní pravidlo: nikdy nepoužívat jedno heslo pro více různých služeb.

Ochrana všech hesel

Pro bezpečnou správu hesel a dalších citlivých informací v počítačích s Windows, stejně jako ve smartphonech a tabletech s Androidem a iOS, jsme vybrali a otestovali desítku správců hesel. Tyto aplikace schraňují všechna hesla na jednom místě, v databázi chráněné silným šifrováním. Ve všech případech jde o silné AES šifrování s 256bitovým klíčem, které je běžnými prostředky prakticky neprolomitelné. Dešifrovat tuto databázi je možné pouze s použitím příslušného hlavního hesla. Toto heslo je pak jediné, které si musíte opravdu dobře zapamatovat, namísto desítek hesel uložených v šifrované databázi. Jedině s tímto heslem se pak dostanete ke všem dalším přihlašovacím údajům a ostatním datům. Správce hesel v našem testu přistupují ke svému hlavnímu úkolu dvěma odlišnými způsoby. Osm aplikací, mezi nimi i vítězná trojice LastPass, 1Password a Dashlane, pracuje jako on-line služby. To znamená, že šifrovaná databáze s hesly je uložena na serverech výrobce aplikace. Jde o velmi šikovný způsob ukládání hesel, protože přístupové údaje zpravidla nepoužíváme jen v počítačích, ale stále častěji také ve smartphonech a tabletech. Pak stačí, když si aplikaci správce hesel instalujete i do svého mobilního zařízení a přihlásíte se ke svému uživatelskému účtu. Pak se začnou všechna hesla a další údaje synchronizovat mezi všemi vašimi zařízeními. Ke svým heslům pak budete mít přístup kdykoli a z jakéhokoli svého zařízení. Je ale třeba, abyste naprosto důvěřovali výrobci daného správce hesel, že skutečně nezná vaše hlavní heslo a že neexistuje žádný jiný způsob, jak se k obsahu šifrované databáze dostat.

Druhý způsob správy hesel využívá například oblíbená open-source aplikace KeePass, stejně jako třeba správce Steganos Password Manager. Databáze hesel je v tomto případě uložena lokálně na disku vašeho počítače, popřípadě v paměti vašeho mobilního zařízení. Ideálním způsobem je vytvoření databáze hesel ve vašem počítači a její následné zkopírování do smartphonu či tabletu. Výhoda tohoto řešení je samozřejmě v tom, že máte nad databázemi svých hesel plnou kontrolu. Také to je důvod, proč v našem testu získala aplikace KeePass nejvyšší hodnocení v kategorii bezpečnosti. Uchovávání hesel v lokálních databázích je pochopitelně méně komfortní a musíte se sami rozhodnout, jakým způsobem dostanete hesla do svých mobilních zařízení. Aplikace KeePass navíc ani nemá oficiální mobilní aplikace. My jsme si pro testování zvolili aplikaci KeePass2Android (pro zařízení s Androidem) a MiniKeePass (pro iOS). Ostatní z testovaných správců hesel mají i svoji mobilní aplikaci.

Hlavní heslo je extrémně důležité

Heslo k odemknutí databáze je extrémně významným prvkem celkového zabezpečení vašich přihlašovacích údajů. Proto bylo pro nás velmi znepokojující zjištění, že polovina z testovaných správců hesel umožňuje jako hlavní heslo použít primitivní kombinace písmen a číslic, jako třeba »1234abcd«. Pouze aplikace 1Password, Dashlane a správce hesel z dílny známých výrobců antivirových programů, jako jsou F-Secure, Kaspersky a Avira, vyžadují použití složitější kombinace znaků. Navíc je důležité, aby nebyla databáze hesel chráněna pouze hlavním heslem. V tomto ohledu jsou opět napřed aplikace od výrobců antivirů. Všechny kvalitní aplikace pro správu hesel by totiž měly pro přístup k šifrované databázi používat dvoufaktorové ověření. Jedině pak si můžete být jisti, že i když skončí vaše databáze hesel i hlavní heslo v nepovolaných rukách, k jejímu obsahu se nikdo nedostane.

Bezpečnost všech testovaných správců hesel celkově hodnotíme jako velmi vysokou. Tři nejlepší aplikace Lastpass, Dashlane a Keeper Security jsou zajímavé i tím, že mají velmi propracovanou bezpečnostní kontrolu pro použitá hesla, vyhledají potenciální duplicitní kopie a jsou vybaveny i funkcí pro zálohování databáze hesel. Všechny testované správce hesel mají navíc kromě funkcí pro bezpečné uchování přihlašovacích jmen a hesel také řadu dalších nástrojů. Součástí testovaných aplikací je například i generátor bezpečných hesel. I tento důležitý nástroj se ale v různých aplikacích značně liší. Aplikace LastPass, KeePass a Avira Password Manager se s tímto úkolem vypořádají nejlépe. Jejich generátory hesel jsou přehledné a například rovnou zobrazují sílu zvoleného hesla. Méně komfortní je mobilní aplikace od Kaspersky, která generátor hesel neobsahuje. K vytvoření bezpečného hesla je v tomto případě nutné použít aplikaci pro Windows.

Přihlašovací údaje pro aplikace a webové služby

V našem testu vyhrály aplikace umožňující synchronizaci hesel prostřednictvím internetu, ale to není jediný důvod jejich úspěchu. Aplikace 1Password, LastPass a Dashlane jsou totiž skvělou ukázkou, jak dobře lze vytvořit software, který podporuje vždy nejnovější technologie. Tvůrci těchto tří aplikací například vůbec nemarnili čas a své programy připravili na bezpečné přihlašování uživatele prostřednictvím technologie Face ID ve smartphonu iPhone X. Odemykání databáze hesel v mobilním zařízení prostřednictvím snímače otisků nebo zmíněného Face ID je pak samozřejmě mnohem komfortnější než vyťukávání dlouhého hesla.

V žádném z testovaných správců hesel nechybí funkce pro automatické vyplňování hesel do přihlašovacích formulářů na webových stránkách. Stejně tak to ale nefunguje automaticky i pro přihlašování do programů ve Windows nebo do aplikací ve smartphonech a tabletech. Zde je nejjednodušším způsobem přihlášení zkopírování a vložení přihlašovacích údajů prostřednictvím systémové schránky. Operační systém Android ale správcům hesel umožňuje sbírat informace z přihlašovacích polí v různých dalších aplikacích. Takhle jednoduché to ale v iOS není. Pro tento operační systém musí vývojáři doplnit do správců hesel speciální funkci. Především pro manažery hesel LastPass, 1Password nebo Dashlane existuje celkem dlouhý seznam podporovaných aplikací, do kterých není nutné hesla kopírovat přes schránku.
Správce hesel mají ve své funkční výbavě rovněž i vyhledávání v uložených záznamech. Ale jen aplikace 1Password, KeePass a Steganos Password Manager umožňují připojení více samostatných databází hesel, abyste mohli odděleně spravovat například soukromá a pracovní hesla. Užitečná je také funkce pro označování oblíbených, resp. nejčastěji používaných hesel. Tyto záznamy pak zůstanou na samém začátku seznamů.

Lepší než správce hesel v prohlížečích

Všechny testované aplikace lze integrovat s internetovými prohlížeči Chrome a Firefox, ale jen LastPass, 1Password, Keeper Security a True Key spolupracují i s prohlížečem Microsoft Edge. A pokud jde o možnost uchovávat hesla přímo v internetových prohlížečích, jsou jejich funkce poměrně omezené. V prohlížečích například nenajdete generátor bezpečných hesel ani další užitečné funkce. I kvůli lepšímu zabezpečení vám doporučujeme spolehnout se při ukládání hesel raději na specializovanou aplikaci.

***

Přehled správců hesel

1. místo 2. místo 3. místo 4. místo 5. místo
LastPass Premium 1Password Dashlane Premium KeePass Keeper
Celkové hodnocení 96,8 94,4 92,3 91,9 88
Bezpečnost (60 %) 98 91 97 100 91
Ovládání (30 %) 94 100 90 83 88
Výbava (10 %) 97 100 71 71 70
Testovaná verze 4.3.0 6.7.457 5.1.0 2.37 11.3.4
Výrobce LogMeIn Agile Bits Dashlane Dominik Reichl Keeper Security
Cena za rok (cca) 570 Kč 800 Kč 880 Kč zdarma 780 Kč
BEZPEČNOST
Koncept zabezpečení / šifrování služba / AES256 služba / AES256 služba / AES256 lokální / AES256 služba / AES 256
Možnost zadávat jednoduchá hlavní hesla * * * * *
Dodatečná ochrana hlavního hesla / dvoufaktorové ověřování */* */* */* */* */*
Kontrola bezpečnosti hesel / vyhledávání duplicitních hesel */* */* */* */* */*
Zálohování databáze / automatické aktualizace */* */* */* automatizováno */ne zcela */*
OVLÁDÁNÍ
Vyžaduje instalaci * * * * *
Nastavení / ovládání ve Windows velmi jednoduché/ jednoduché jednoduché/ jednoduché jednoduché/ jednoduché středně složité/ středně složité středně složité/ středně složité
Nastavení / ovládání v Androidu velmi jednoduché/ velmi jednoduché jednoduché/ velmi jednoduché velmi jednoduché/ velmi jednoduché středně složité/ středně složité jednoduché/ jednoduché
Nastavení / ovládání v iOS velmi jednoduché/ velmi jednoduché jednoduché/ velmi jednoduché velmi jednoduché/ velmi jednoduché středně složité/ středně složité jednoduché/ jednoduché
Přihlašování zkopírováním / automaticky */* */* */* */* (ne v iOS) */*
Synchronizace databáze s dalšími zařízeními automaticky automaticky, volitelně prostřednictvím cloudu automaticky manuálně automaticky
VÝBAVA
Více databází hesel / struktura ve složkách */* */* */* */* */*
Import / export hesel */* */* */* */* */*
Oblíbená hesla / kopírování záznamů */* */* */* */* */*
Generátor hesel dobrý dostatečný dostatečný dobrý dostatečný
Vyhledávání * * * * *
Uložení jména / uživatelského jména / hesla / odkazu */*/*/* */*/*/* */*/*/* */*/*/* */*/*/*
Uložení poznámek / souborů */* */* */* */* */*
Integrace s Chrome / Firefoxem / Edge */*/* */*/* */*/* */*/* */*/*

Výborný (100-90,0) Velmi dobrý (89,9-75,0) Dobrý (74,9-60,0) Dostačující (59,9-45,0) Nelze doporučit (44,9-0)
Všechna hodnocení v bodech (max. 100); * ano * ne c Chip tip

6. místo 7. místo 8. místo 9. místo 10. místo
True Key Premium Password Manager Key Premium Password Manager Password Manager
87,1 84,9 74,6 74,5 64,7
89 99 75 70 55
88 66 82 82 83
73 59 52 79 67
2.8.5711 19.0.1 4.7.114 8.0.6.538 0.7.4.1584
Intel Security Steganos Software GmbH F-Secure Kaspersky Labs Avira
500 Kč 500 Kč (trvalá licence) 410 Kč 390 Kč zdarma
služba / AES256 lokální / AES256 služba / AES256 služba / AES 256 služba / AES256
* * * * *
*/* */* */* */* */*
*/* */* */* */* */*
*/* */ne zcela automatizováno */* */* */*
* * * * *
jednoduché/ středně složité středně složité/ středně složité středně složité/ jednoduché středně složité/ středně složité jednoduché/ středně složité
jednoduché/ velmi jednoduché středně složité/ středně složité velmi jednoduché/ jednoduché středně složité/ středně složité jednoduché/ jednoduché
jednoduché/ velmi jednoduché středně složité/ středně složité velmi jednoduché/ jednoduché středně složité/ středně složité jednoduché/ jednoduché
*/* * (jen Windows)/* */*(ne v iOS) */* * (jen Android a iOS)/*
automaticky manuálně, ale prostřednictvím cloudu automaticky automaticky automaticky
*/* */* */* */* */*
*/* */* */* */* */*
*/* */* */* */* */*
dostatečný dostatečný dostatečný dostatečný dobrý
* * * * *
*/*/*/* */*/*/* */*/*/* */*/*/* */*/*/*
*/* */* */* */* */*
*/*/* */*/* */*/* */*/* */*/*

***

Vytváření bezpečných hesel

Doporučení pro generování bezpečných hesel pro přístup k internetovým službám se v zásadě příliš nemění. Jakých pravidel byste se tedy měli držet? Délka Pro kvalitu hesla je počet znaků rozhodujícím faktorem. Delší hesla jsou vždy bezpečnější. Žádná logika Aby nebylo možné heslo logicky odvodit, neměli byste jej stavět na běžných slovech, datech narození nebo různých frázích. Ani tak ale nemusí být kvalitní heslo jen náhodnou změtí znaků. Jedinečnost Vždy používejte pro každý účet nebo aplikaci jedinečné heslo. Otestování Pomocí webové služby Pwned Passwords (haveibeenpwned. com/Passwords) můžete snadno zjistit, zda je heslo, které se chystáte použít, v databázích známých, jiným uživatelům odcizených hesel. Rychle použijte nové Jakmile zjistíte, že byla některá z internetových služeb, které používáte, napadena hackerem, co nejdříve zkontrolujte svůj uživatelský účet a změňte si heslo.

***

Volba dokonalého hlavního hesla

1. Vymyslete si větu Začněte tím, že si zvolíte třeba oblíbený citát, hlášku filmové postavy, pořekadlo nebo prostě jakoukoli větu, kterou si snadno zapamatujete. V našem případě použijeme třeba „Rád čtu srovnávací testy v Chipu“.
2. Velká a malá písmena Správný gramatický zápis není v případě hesel příliš vhodný. Proto naši větu převedeme do podoby „RádČtuSrovnávacíTestyVChipu“.
3. Doplnění čísel Silné heslo by mělo, a často je to i vyžadováno, obsahovat i čísla. A protože Chip se jistě vyplatí číst i v letošním roce, upravíme naši frázi na „RádČtuSrovnávacíTestyVChipu2018“.
4. Použití speciálních znaků Nakonec ještě přidejte jeden či dva speciální znaky, takže vznikne například heslo „RádČtuSrovnávacíTestyV/Chipu2018?“.
5. Dvoufaktorové ověřování Pokud to daná služba nebo aplikace umožňuje, rozhodně si aktivujte dvoufaktorové ověřování přístupu. Tato vrstva zabezpečení je velmi důležitá pro případ odcizení databáze i hlavního hesla.

***

Přihlašování do Windows bez hesla

Správci hesel se bezpečně postarají o všechna vaše hesla, až na jedno - přihlašovací heslo k účtu ve Windows. Je to jasné, protože bez přihlášení k operačnímu systému nemůžete mít přístup ani k aplikaci pro správu hesel. Ve Windows 10 ale Microsoft představil novou funkci, nazvanou Windows Hello. S funkcí Windows Hello je možné přihlašovat se do Windows 10 prostřednictvím snímání otisků prstů, celého obličeje nebo oční duhovky. Vyžaduje to ale speciální kamery, které zatím najdeme jen v dražších noteboocích. Alternativním způsobem pohodlnějšího přihlašování do Windows 10 je použití PIN kódu nebo obrázkového hesla.

Foto popis| Test bezpečnosti hesel: Aplikace Dashlane průběžně kontroluje vaše uložená hesla a posuzuje jejich bezpečnost. Poskytne vám i doporučení, jak ji zlepšit.
Foto popis| Klientská aplikace 1Password pro Windows je velmi přehledná, ale pro import hesel využívá pouze vlastní server služby 1Password. V počítačích Mac lze použít i Dropbox.
Foto popis| Steganos Password Manager umožňuje čistě lokální správu hesel a pro synchronizaci po internetu nabízí využití služeb jako Dropbox, OneDrive nebo Disk Google.
Foto popis| Detekce tváře funguje ve Windows 10 pouze v počítačích se speciální kamerou, jako je například Surface Book 2 a další notebooky z vyšší cenové kategorie.
Foto popis| Nejlepší manažer hesel Aplikace LastPass odvádí při správě hesel skvělou práci na všech platformách. Navíc můžete bezplatnou verzi používat dokonce na několika zařízeních zároveň.
Foto popis| Zdarma a s perfektním zabezpečením Uživatelé bezplatné aplikace KeePass musí počítat s nutností manuálního přenosu databázového souboru mezi svými počítači a mobilními zařízeními. Na oplátku ale získají kompletní kontrolu nad svými hesly a dalšími citlivými údaji.

O autorovi| JÖRG GEIGER, RADEK KUBEŠ, autor@chip.cz