Bez hesel se neobejdeme, takže nám nezbývá než doporučovat, abyste generovali unikátní komplexní hesla a ideálně je i pravidelně měnili. S ohledem na situaci se stále více přikláníme k používání správců hesel, bez nich je zkrátka takřka nemožné důsledně dodržovat nejen vyjmenované bezpečnostní praktiky. Výzkum Independent Security Evaluators bohužel ukázal, že i oni mají svá slabá místa.
Přestože se ohání silným šifrováním a stojí na principu silného hlavního hesla, které byste za tímto účelem měli zvolit co nejdelší a nejkomplexnější, dělají určité až začátečnické chyby, které mohou vést k tomu, že se někdo cizí dostane k vašim přihlašovacím nebo jiným uloženým údajům. Ovšem jen za specifických podmínek. Zjištění nelze snadno paušalizovat – předmětem zkoumání se staly 1Password4, 1Password7, Dashlane, KeePass a LastPass.
Studie ochranu proti nechtěnému vpádu považuje za dostatečnou u všech řešení, pokud neběží, tj. v uloženém stavu nečinně přebývají na úložišti. V takovém případě by případní útočníci nebo útočnice museli získanou databázi napadnou leda tvrdou silou, což by v případě silného hesla nemělo mít reálnou šanci na úspěch. Potud je tedy všechno v pořádku.
Sanitizace paměti? Tam správci selhávají
Všichni správci se pak pokouší po použití vymazat svůj obsah z paměti zařízení. V tomto už ale selhávají. Z lišících se důvodů nezvládají proces sanitizace, což ve zkratce znamená, že kdyby někdo chtěl získat vaše přihlašovací údaje z chráněné databáze, má šanci, pokud tedy činnost programu není ukončená. Lze předpokládat, že většinu času program pracuje, protože ho potřebujete průběžně používat.
Podle autorského týmu studie by ani v tzv. odemčeném stavu správci nikdy neměli do paměti ukládat uložené záznamy. V žádné podobě by v tomto stavu nemělo být uložené ani hlavní heslo. Zkoumané programy ale nejsou odolné ani vůči relativně základním metodám prozkoumávání obsahu schránky nebo zaznamenávání stisků kláves. Jenže s tím mnoho neudělají, tyto útoky se mohou dotknout jakéhokoli programu.
Kompletní podobu výzkumu si můžete pročíst na webu Independent Security Evaluators, případně na jejich blogu. I s ohledem na omezený počet aplikací cílem výzkumu není drtivá kritika, ale spíše zavedení minimálních bezpečnostních praktik, které by měly dodržovat všechny nástroje na správu hesel.