Spravovanie hesiel - v prehliadači vs. samostatný program

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod jaroh 24. 3. 2019 09:18

Viete niekto spoľahlivo, aký je vôbec rozdiel v bezpečnosti spravovania hesiel natívnym jednoduchým správcom v prehliadači (napr. Chrome) a špeciálnym programom? (1Password, KeyPass a pod.). Ak je pre spustenie windows použité silné heslo, tak mi vychádza, že rozdiel nie je žiadny...?

(V otázke mi nejde o spravovanie kreditiek, identít a pod., ale čisto o heslá).
jaroh
Junior

Odeslat příspěvekod Chipoun 24. 3. 2019 10:06

Pokud prohlížeč nesynchronizuje hesla někam do cloudu a máš šifrovaný disk a jen jeden účet ve win, tak je to teoreticky dle mě stejně bezpečné.
Chipoun
Junior

Odeslat příspěvekod Doggg 24. 3. 2019 10:06

U mě je ten základní prenositelnost jednak mezi zařízeními a druhak mezi broswery a pak také to, že v "password" manazeru můžeš mít uložená i jiná data než hesla...
Doggg
Junior

Odeslat příspěvekod jaroh 24. 3. 2019 10:27

Myslím, že napríklad Chrome synchronizuje hesla do cloudu, ale to synchronizuje väčšina správcov hesiel (kvôli prenositeľnosti medzi zariadeniami) a predpokladám, že tie cloudy sú rovnako bezpečné, či už sú to cloudy Chrome alebo správcov hesiel.

Bežný užívateľ asi nemá šifrovaný disk, ale to je asi tiež irelevantné, nie? Aj prehliadač aj password manager to v takom prípade ukladajú na (ten nešifrovaný) disk a oba to ukladajú šifrovane...
jaroh
Junior

Odeslat příspěvekod Chipoun 24. 3. 2019 10:36

Ale
-zmenis heslo uzivatele pomoci jineho prihlaseneho uzivatele - prihlasis se a hesla si zobrazis
-a pokud neni disk sifrovany tak si taky zmenis heslo uzivatele
Chipoun
Junior

Odeslat příspěvekod jaroh 24. 3. 2019 10:54

Podľa mňa si heslá pod iným účtom nezobrazíš, pretože na ich zobrazenie potrebuješ poznať prístupové heslo (nazvime ho master heslo) toho užívateľa (účtu), v ktorom bol súbor vytvorený. Teda na zobrazenie hesiel zadávaš master heslo účtu dvakrát - nie iba pri prihlasovaní sa do účtu, ale aj pri samotnom zobrazovaní hesiel, ktoré sú uložené v súbore.
Otázka je, či je master heslo uložené v samotnom súbore s heslami (čo by teda bolo to isté ako pri password manageroch) alebo či ho iba automaticky ťahá z Windows (čo by bolo dosť blbé).

EDIT: Vyskúšal som to a hej, zdá sa, že ak zmením užívateľské heslo Windows, tak sa tak isto zmení aj "master heslo" na zobrazovanie hesiel v súbore. To je teda asi ten základný rozdiel medzi password managerom (ten má vlastné master heslo, nezávislé na užívateľskom hesle) a vstavaným "správcom hesiel" v prehliadači - ten ako master heslo použva užívateľské heslo (prinajmenšom v prípade Chrome).

Zaujímavé.
jaroh
Junior

Odeslat příspěvekod Dreamer 24. 3. 2019 14:20

Aj Firefox/Thunderbird maju vlastne master heslo a ulozene hesla sa zobrazia az po opakovanom zadani master hesla.
Dreamer
Dreamer
Junior
Uživatelský avatar

Odeslat příspěvekod mople71 25. 3. 2019 11:27

Prohlížeč je aplikace, přes kterou přistupuješ na internet, existuje u ní vyšší riziko exploitace. To může být teoreticky problém. Implementace ve FF není nic moc, Chrome je na tom o něco lépe. Přihlašovací heslo Windows na to má nulový vliv.
Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod jaroh 25. 3. 2019 14:49

Na čo má prihlasovacie heslo Windows nulový vplyv? Bez opätovného zadania prihlasovacieho hesla Windows sa predsa v Chrome správcovi hesiel nezobrazí žiadne heslo.

????
jaroh
Junior

Odeslat příspěvekod Milanr1 25. 3. 2019 16:59

Typická bezpečnostní chyba BFU.
Heslo v i-prohlížečích nesmí být totožné s heslem k účtům v OS.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod jaroh 25. 3. 2019 17:52

Som síce BFU :-), ale heslo v prehliadači mám samozrejme iné ako v OS.

Chrome password manager berie master heslo z účtu OS a nie z prehliadača.

A ani by to nebola bezpečnostná chyba, keďže naozaj dôležité heslá mám v hlave. Do password managera, ktorého používam, dávam iba nepodstatné heslá. Téme ma zaujíma z iných dôvodov, nie kvôli mne.
jaroh
Junior

Odeslat příspěvekod Doggg 25. 3. 2019 18:33

Moc nechápu co se snazis vykoumat :
password manager:
- je speciální jednoucelova aplikace. Lze čekat, že její produktový a i technologický focus bude na vyšší úrovni než někde kde je to prilepek (aka funkce v browseru)
- skrze sdílení v nějakém cloudu ti zajistí přenos mezi broswery a zařízeními (což jsou dvě úlohy ne jedna jak se domnivas)
- může mít další vrstvu ochrany pro přístup (typická 2fa)
- umožní ti uložit i jiná data než ty dvě políčka ve formuláři
- generování hesel, audit hesel, notifikace při prolomení nějaké služby, sdílení v rodině atp atp

Oproti tomu uložení hesel v prohlížeči, ti uloží hesla v prohlížeči a s trochou štěstí je syncne do toho samého prohlížeče někde jinde.

Ta úloha je shodná tak ze 30% procent...
Doggg
Junior

Odeslat příspěvekod jaroh 25. 3. 2019 19:15

Ako som napísal vyššie, snažím sa vyskúmať - porovnať iba bezpečnosť oboch možností. Nezaujíma ma 2FA, ukladanie iných dát, generovanie hesiel, audit hesiel, notifikácie o prelomení a pod.

Nezaujímajú ma iné funkcie,skrátka iba čisto pamätanie si a dopĺňanie username a password, resp. porovnanie bezpečnosti tejto služby v oboch prípadoch. A ak som to dobre pochopil, základný bezpečnostný rozdiel je v tom, že dedikovaný password manager má master heslo nezávislé na vstupnom hesle k účtu OS, zatiaľ čo password manager integrovaný v prehliadači (prinajmenšom v Chrome) má master heslo to isté, ako je vstupné heslo k účtu v OS.

A zaujíma ma to len preto, že chcem presvedčiť kolegov, aby si nedávali takmer na všetko rovnaké heslá. Totálne to podceňujú :-(. Zrejme ich nepresvedčím na sofistikovaných password managerov, ale aspoň na využitie tejto funkcionality v prehliadači by som ich rád presvedčil a preto sa zaujímam o jej bezpečnosť.
jaroh
Junior

Odeslat příspěvekod Doggg 26. 3. 2019 08:00

Já si myslím, že dokud dokážeš napsat v jedné větě že ti jde o bezpečnost a nezajímá tě 2fa, tak bys s ničím radši radit nikomu neměl...
Doggg
Junior

Odeslat příspěvekod jaroh 26. 3. 2019 08:49

Ďakujem za názor.
Ja zas viem, že tých ľudí k nijakej 2FA nikdy nedonútim. Som realista a viem, že môžem konať iba v rámci možného, nie snívať o nemožnom.
EDIT:
Možno ti ušlo, čo som napísal vyššie: Mojou snahou nie je presvedčiť mojich dvoch kolegov, aby si maximálne zabezpečili počítač, mojou snahou je, aby si nedávali takmer na všetky služby (a nielen v počítači :-( ) rovnaké alebo takmer rovnaké heslá s odôvodnením, že aby si to pamätali. Dedikovaného správcu hesiel mi odmietli, že to je moc komplikované, zapol som im aspoň pamätanie hesiel v Chrome (zatiaľ defacto zbytočne, keďže aj tam majú všetky heslá takmer rovnaké a nemenia si to a ja pri nich nesedím 24 hodín, aby som ich k tomu nútil) a tak ma zaujíma, do akej miery je to menej bezpečné.
Ja sám používam správcu hesiel (momentálne ESET) a 2FA na svoj telefón mám na všetkých dôležitých službách a navyše dôležité heslá mám iba v hlave.
jaroh
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků