Živě.cz

Viete niekto spoľahlivo, aký je vôbec rozdiel v bezpečnosti spravovania hesiel natívnym jednoduchým správcom v prehliadači (napr. Chrome) a špeciálnym programom? (1Password, KeyPass a pod.). Ak je pre spustenie windows použité silné heslo, tak mi vychádza, že rozdiel nie je žiadny...?

(V otázke mi nejde o spravovanie kreditiek, identít a pod., ale čisto o heslá).

Pokud prohlížeč nesynchronizuje hesla někam do cloudu a máš šifrovaný disk a jen jeden účet ve win, tak je to teoreticky dle mě stejně bezpečné.

U mě je ten základní prenositelnost jednak mezi zařízeními a druhak mezi broswery a pak také to, že v "password" manazeru můžeš mít uložená i jiná data než hesla...

Myslím, že napríklad Chrome synchronizuje hesla do cloudu, ale to synchronizuje väčšina správcov hesiel (kvôli prenositeľnosti medzi zariadeniami) a predpokladám, že tie cloudy sú rovnako bezpečné, či už sú to cloudy Chrome alebo správcov hesiel.

Bežný užívateľ asi nemá šifrovaný disk, ale to je asi tiež irelevantné, nie? Aj prehliadač aj password manager to v takom prípade ukladajú na (ten nešifrovaný) disk a oba to ukladajú šifrovane...

Ale
-zmenis heslo uzivatele pomoci jineho prihlaseneho uzivatele - prihlasis se a hesla si zobrazis
-a pokud neni disk sifrovany tak si taky zmenis heslo uzivatele

Podľa mňa si heslá pod iným účtom nezobrazíš, pretože na ich zobrazenie potrebuješ poznať prístupové heslo (nazvime ho master heslo) toho užívateľa (účtu), v ktorom bol súbor vytvorený. Teda na zobrazenie hesiel zadávaš master heslo účtu dvakrát - nie iba pri prihlasovaní sa do účtu, ale aj pri samotnom zobrazovaní hesiel, ktoré sú uložené v súbore.
Otázka je, či je master heslo uložené v samotnom súbore s heslami (čo by teda bolo to isté ako pri password manageroch) alebo či ho iba automaticky ťahá z Windows (čo by bolo dosť blbé).

EDIT: Vyskúšal som to a hej, zdá sa, že ak zmením užívateľské heslo Windows, tak sa tak isto zmení aj "master heslo" na zobrazovanie hesiel v súbore. To je teda asi ten základný rozdiel medzi password managerom (ten má vlastné master heslo, nezávislé na užívateľskom hesle) a vstavaným "správcom hesiel" v prehliadači - ten ako master heslo použva užívateľské heslo (prinajmenšom v prípade Chrome).

Zaujímavé.

Aj Firefox/Thunderbird maju vlastne master heslo a ulozene hesla sa zobrazia az po opakovanom zadani master hesla.

Prohlížeč je aplikace, přes kterou přistupuješ na internet, existuje u ní vyšší riziko exploitace. To může být teoreticky problém. Implementace ve FF není nic moc, Chrome je na tom o něco lépe. Přihlašovací heslo Windows na to má nulový vliv.

Na čo má prihlasovacie heslo Windows nulový vplyv? Bez opätovného zadania prihlasovacieho hesla Windows sa predsa v Chrome správcovi hesiel nezobrazí žiadne heslo.

????

Typická bezpečnostní chyba BFU.
Heslo v i-prohlížečích nesmí být totožné s heslem k účtům v OS.

Som síce BFU , ale heslo v prehliadači mám samozrejme iné ako v OS.

Chrome password manager berie master heslo z účtu OS a nie z prehliadača.

A ani by to nebola bezpečnostná chyba, keďže naozaj dôležité heslá mám v hlave. Do password managera, ktorého používam, dávam iba nepodstatné heslá. Téme ma zaujíma z iných dôvodov, nie kvôli mne.

Moc nechápu co se snazis vykoumat :
password manager:
- je speciální jednoucelova aplikace. Lze čekat, že její produktový a i technologický focus bude na vyšší úrovni než někde kde je to prilepek (aka funkce v browseru)
- skrze sdílení v nějakém cloudu ti zajistí přenos mezi broswery a zařízeními (což jsou dvě úlohy ne jedna jak se domnivas)
- může mít další vrstvu ochrany pro přístup (typická 2fa)
- umožní ti uložit i jiná data než ty dvě políčka ve formuláři
- generování hesel, audit hesel, notifikace při prolomení nějaké služby, sdílení v rodině atp atp

Oproti tomu uložení hesel v prohlížeči, ti uloží hesla v prohlížeči a s trochou štěstí je syncne do toho samého prohlížeče někde jinde.

Ta úloha je shodná tak ze 30% procent...

Ako som napísal vyššie, snažím sa vyskúmať - porovnať iba bezpečnosť oboch možností. Nezaujíma ma 2FA, ukladanie iných dát, generovanie hesiel, audit hesiel, notifikácie o prelomení a pod.

Nezaujímajú ma iné funkcie,skrátka iba čisto pamätanie si a dopĺňanie username a password, resp. porovnanie bezpečnosti tejto služby v oboch prípadoch. A ak som to dobre pochopil, základný bezpečnostný rozdiel je v tom, že dedikovaný password manager má master heslo nezávislé na vstupnom hesle k účtu OS, zatiaľ čo password manager integrovaný v prehliadači (prinajmenšom v Chrome) má master heslo to isté, ako je vstupné heslo k účtu v OS.

A zaujíma ma to len preto, že chcem presvedčiť kolegov, aby si nedávali takmer na všetko rovnaké heslá. Totálne to podceňujú . Zrejme ich nepresvedčím na sofistikovaných password managerov, ale aspoň na využitie tejto funkcionality v prehliadači by som ich rád presvedčil a preto sa zaujímam o jej bezpečnosť.

Já si myslím, že dokud dokážeš napsat v jedné větě že ti jde o bezpečnost a nezajímá tě 2fa, tak bys s ničím radši radit nikomu neměl...

Ďakujem za názor.
Ja zas viem, že tých ľudí k nijakej 2FA nikdy nedonútim. Som realista a viem, že môžem konať iba v rámci možného, nie snívať o nemožnom.
EDIT:
Možno ti ušlo, čo som napísal vyššie: Mojou snahou nie je presvedčiť mojich dvoch kolegov, aby si maximálne zabezpečili počítač, mojou snahou je, aby si nedávali takmer na všetky služby (a nielen v počítači ) rovnaké alebo takmer rovnaké heslá s odôvodnením, že aby si to pamätali. Dedikovaného správcu hesiel mi odmietli, že to je moc komplikované, zapol som im aspoň pamätanie hesiel v Chrome (zatiaľ defacto zbytočne, keďže aj tam majú všetky heslá takmer rovnaké a nemenia si to a ja pri nich nesedím 24 hodín, aby som ich k tomu nútil) a tak ma zaujíma, do akej miery je to menej bezpečné.
Ja sám používam správcu hesiel (momentálne ESET) a 2FA na svoj telefón mám na všetkých dôležitých službách a navyše dôležité heslá mám iba v hlave.