LastPass: jedno heslo vládne všem

2. 11. 2010

Sdílet

 Autor: Redakce

Zlatá pravidla bezpečnosti hesel

Na úvod si zopakujme několik bezpečnostních zásad, které se týkají hesel na internetu. Slabým článkem je v první řadě líný uživatel. Služeb přibývá – není výjimkou, že běžně za den potřebujete takových dvacet třicet hesel. Přitom každé z nich by mělo být unikátní. Rozhodně přece nechcete, aby hacker, který se vám nabourá do účtu v diskusní skupině o rybaření, získal zároveň přístup k vašemu k bankovnímu účtu.

Hesla by navíc měla mít nevysledovatelnou a obtížně zjistitelnou strukturu. To znamená: náhodně vygenerovaná posloupnost 12 znaků a čísel ano, jméno vaší zlaté rybičky ne. Nezapomeňte na hackera, který se naboural na Twitter účet Baracka Obamy. Hacker delší dobu pozoroval zvyky správců Obamova účtu a nakonec se mu podařilo zjistit heslo prostým tipováním na základě zjištěných znalostí (poznávací značka automobilu babičky? – heuréka!).

Rovněž není k zahození mít jistou míru jistoty a bezpečnosti místa, na němž hesla uchováváte. Ať už je to nástěnka vedle počítače nebo složka na ploše, hesla, která jsou nehlídaná, jsou de facto zbytečná. Sečteno podtrženo: klasický uživatel internetu by měl k dnešnímu dni uchovávat nejméně takových 10-20 unikátních náhodně vytvořených hesel, k nimž v ideálním případě nemá přístup nikdo další.

Vhodným řešením, i když trochu nepohodlným, může být uchovávání hesel na přenosném paměťovém médiu, např. flash disku. Hesla tak máte stále v bezpečí při sobě, nutno ovšem dodat, že každodenní kopírování hesel z flashky do prohlížeče vyžaduje opravdu železnou disciplínu.

Pakliže chcete hesla používat bezpečně a neztrácet přitom čas, možným řešením je právě internetová služba LastPass.

Jak to celé funguje?

„LastPass – poslední heslo, které si musíte zapamatovat.“ Tak tímto provoláním vás internetová služba pro skladování hesel uvítá na svých webových stránkách. Služba funguje jednoduše tak, že ukládá všechna vaše hesla na externích serverech a v případě potřeby vám je výměnou za napsání onoho magického hesla, které si jako jediné máte zapamatovat, vyvolá.

Poté, co si stáhnete a spustíte instalační soubor podporovaný vaším systémem, vás průvodce instalací informuje o možných výhodách a navede potřebným nastavením.

Protože se jedná o správce hesel používaných internetovými službami, jde LastPass nejjednoduší cestou – totiž intergací do samotného prohlížeče. Nejdříve tedy zvolíte, pro které prohlížeče se má nový plugin instalovat. Následně budete vyzváni k vytvoření vašeho LastPass účtu. Součástí tohoto kroku je i zadání ultimátního hesla, kterým budete přistupovat ke všem dalším heslům. Je proto vhodné této části věnovat patřičnou pozornost. Zapomnětlivým uživatelům může být případně zaslána kontrolní otázka, kterou si rovněž zvolí při zřizování účtu.

Používáte-li ve vašem prohlížeči možnost zapamatování hesel, můžete všechna takto uložená hesla do LastPass importovat. V této fázi vás jeho tvůrci nezapomenou upozornit, že když se do databáze uložených hesel nabourali oni, tak to může udělat kdokoliv.

Importovaná hesla (a koneckonců i všechna hesla, která budete v budoucnu používat) budou uložena na externí server LastPass. Když provedete všechna potřebná nastavení, a instalaci dokončíte kliknutím na tlačítko Hotovo, do horní lišty vašeho prohlížeče přibude nový ovládací prvek.

Po kliknutí na ikonu hvězdičky budete vyzvání k zadání vašeho loginu a hlavního hesla. Proběhne-li operace přihlášení úspěšně, šedá ikona na liště zčervená, což indikuje probíhající připojení na LastPass server.

Odteď je LastPass plugin aktivním účastníkem vašeho internetového surfování a vždy, když odesíláte heslo (tedy v případě, že ještě není uloženo v LastPass databázi), budete vyzvání k jeho uložení.

Při každé další návštěvě příslušné přihlašovací stránky za vás LastPass relevantní údaje předvyplní, případně provede automatické přihlášení, pokud tuto volbu u konkrétního hesla zaškrtnete.

V kontextové nabídce pluginu najdete řadu užitečných nástrojů, které vám pomohou se v heslech orientovat. Nejzajímavější je agenda Můj Lastpass trezor, v níž můžete procházet všemi hesly, upravovat jejich nastavení, mazat nebo přidávat další.

Je to bezpečné?

První otázka, která vám nejspíš vytane na mysli, zní asi takto: „Co se děje s hesly, která do LastPass pošlu? Je to vůbec bezpečné?“ Autoři projektu, a vy s nimi budete nakonec nejspíš souhlasit, tvrdí, že ano. A to hned z několika důvodů.

ICTS24

  1. Pro uchování vašich hesel je použit šifrovací algoritmus AES, který byl standardizován vládou spojených států a dosud nebyl (resp. jen za velice specifických podmínek) prolomen. Lze jej tudíž považovat za bezpečný.
  2. Hlavní heslo sloužící k přihlášení do celého systému LastPass se v otevřené podobě nikam neukládá ani necestuje po síti. Na straně LastPass je uloženo pouze v zašifrované formě (nelze jej tedy nijak vydolovat, znáte jej pouze vy) – je proto velice důležité, abyste si jej zapamatovali.
  3. Vaše dešifrovaná data nikdy neopustí váš počítač. Všechny šifrovací a dešifrovací operace probíhají na straně uživatele. Data v otevřené podobě se tudíž bez vašeho vědomí nedostanou na internet ani server LastPass.

Pakliže si chcete některé body týkající se např. přenosu hesel v otevřené nebo zašifrované podobě prověřit, můžete sáhnout po některém z prográmků stopujících provoz. Pro Mozilla Firefox je to třeba plugin Temper.

Zvyk je železná košile

Je jasné, že otázka, zda svěřit všechna vaše hesla do úschovy třetí straně, vede přinejmenším k zaváhání. Skeptik jistě raději zůstane u svých třiceti hesel a flashky. Nicméně LastPass využívá ověřených šifrovacích postupů a jeho používání může ušetřit jak vaše nervy ze strachu před útočníky, tak váš čas při správě haldy dlouhatánských a těžko zapamatovatelných hesel.