Názory k článku Výzkum poukázal na nedostatky správců hesel. Je možné získat hesla z paměti

hm.. Nedokážu si představit, jak by se dala uživatelsky přijemně splnit podmínka nedostupnosti master hesla nebo dekryptovaných hesel v paměti. ???? V okamžiku, kdy se má heslo ukázat, tak tam prostě bude a jakékoli mazání jen znamená, že program bude uživatele jen dokola prudit o master heslo.

lastpass lze nastavit aby se odemykal otiskem. To je celkem dobrý kompromis mezi pohodlím a bezpečností, i když je otázka jak to mají implementované.

pořád mi na cnews nefunguje vyplňování loginu lastpassem.

no právě...

V tom reportu se dá najít, že asi nejčastějši slabina je, že dešifrovaná hesla v paměti jsou i tehdy, pokud se správce hesel zase zamkne a čeká na opětovné zadání master hesla. Zrovna to je jen odfláknutá bezpečnost, která by neměla žádný dopad na uživatelský komfort.

Otisk je "nezabezpečení". Kromě toho, že jde zfalšovat, tak v případě fyzického útoku stačí přiložit tvůj prst. Dementnější varianta je už jen retina scan.

když se koukneš na matrici děr (https://www.securityevaluators.com/wp-content/uploads/2019/02/Picture21.jpg), tak u keepassu (který shodou okolností používám) jsou dohledatelné pouze záznamy, se kterými bylo pracováno. Souhlasím ale, že scrubbing otevřených záznamů v obou stavech aplikace by mohl a měl být dokonalejší. To nicméně nic neřeší v okamžiku, kdy je nějakým způsobem kompromitován celý systém.

Za mně je nejhorší případ, že v paměti zůstane master heslo i celý set hesel (1Password7), případně master heslo (LastPass).

Osobně navíc Keepass nemám běžně ani spuštěný/otevřený, pouze jej spustím v okamžiku, kdy jej potřebuju a následně jej zase komplet zavírám (tedy ukončuji aplikaci).

Me funguje :p

Bankám stačí na všechno otisk, takže to falšování pro běžného Frantu nebude problém a pokud na něj bude někdo mířit zbraní, tak vydá i heslo.

Nejsnadnější cesta ven je 2FA, ale to by 2FA musely třeba banky podporovat jinak než formou SMS.

Pokud uživatel nemá stále zadávat heslo, tak musí být v paměti buď master heslo nebo dešifrovaná hesla (maximálně se to dá "schovat", ať nejde vyhledávat plaintextem), ale souhlasím, že stačí jen jedno z toho. Pak se stejně dá udělat jednoduchý monitor na clipboard a ta hesla si prostě kopírovat takhle, proti tomu neochrání žádný správce hesel.

KeePass je primárně desktop aplikace, zatímco u 1Password i LastPass by mě zajímalo, jak si vedou rozšíření do prohlížečů. U těch dvou si troufám říct, že jejich desktop aplikace "nikoho" nezajímá, protože nejčastěji se doplňují přihlašovací údaje někam na stránku.

Banky už nejsou co bývaly. Přizpůsobily se tupější a pohodlnější části obyvatelstva.
Dvoufaktor je jen workaround, a to ještě taky pochybný.