Správci hesel

Používání správců hesel může výrazně zvýšit bezpečnost hesel:

• Správce hesel v prohlížeči doplňuje uživatelské jméno a heslo. Nestane se, že by zadal heslo místo uživatelského jména či že by zadával heslo z jiné služby. Nelze odpozorovat heslo ke službě díváním se přes rameno.
• Správce hesel nedoplní jméno a heslo na podvodných stránkách, neboť kontroluje i adresu stránky.
• Uživatel může používat generovaná hesla, která je téměř nemožné uhodnout, neboť si hesla nemusí pamatovat.
• Uživatel může pro každou službu používat odlišné heslo, neboť si je nemusí pamatovat. Pokud z nějaké služby heslo unikne, tak nejsou ohroženy jiné služby.

Bezpečnost uložených hesel závisí primárně na bezpečnosti koncových zařízení. Pokud je počítač zavirovaný nebo pokud někdo cizí může pracovat s přihlášeným počítačem, tak správce hesel nepomůže, jeho používání by mohlo uškodit v závislosti na dalších okolnostech.

Z uvedeného je zřejmé, že bezpečnost závisí na vlastnostech správce hesel a na způsobu jeho používání. Ve většině případů bezpečnost používání hesel zlepší.

Uživatelé pracují s IT různě, z toho vyplývají odlišné požadavky na správce hesel. Pro někoho je důležité sdílení hesel v rámci rodiny, pro jiného rozhraní v českém jazyce.

Doporučuji sepsat požadavky na správce hesel, např.:

• plugin do prohlížečů Firefox a Edge ve Windows, aplikace pro Android, aplikace pro Windows (správa hesel pro jiné aplikace jako je přihlášení ke vzdálené ploše či správa db, hesla k souborům)
• automatická synchronizace hesel přes cloud,
• podpora vícefaktorové autentizace - generování TOTP (2FA pro InSIS), podpora passkey,
• ukládání souborů (ssh klíče, certifikáty, licenční klíče/soubory),
• snadné používání,
• možnost bezpečného předání/sdílení hesla s dalšími osobami bez nutnosti, aby měli stejný správce hesel,
• upozornění na uniklá či slabá hesla,
• zdarma,

Při průzkumu možností zjistíte, že budete muset jít do kompromisu - buď přejít na placené správce nebo část funkcí oželet.

Firefox password manager, Edge password manager, Chrome password manager

• integrované ukládání hesel v prohlížeči,
• upozornění na slabá/uniklá hesla,
• synchronizace pouze mezi instancemi stejného prohlížeče v různých OS,
• Chrome - hesla dostupná i v účtu u Google,
• problematické použití pro hesla do jiných aplikací,
• nelze vkládat poznámky, nelze vkládat soubory, nepodporuje TOTP, nepodporuje sdílení hesel,
• zdarma, potřebujete účet u firmy vytvářející prohlížeč.

Pokud máte pouze zařízení od Apple (iPhone, iPad a Mac), tak vyzkoušejte bezplatný iCloud Keychain. Dle recenzí bude vyhovovat většině uživatelů. V roce 2024 byl vydán nástupce s názvem Passwords.

Keepass

• nejčastěji zmiňovaný open source správce hesel primárně pro Windows,
• lze vkládat hesla, poznámky či soubory,
• musíte se postarat o synchronizaci, nemá pluginy do prohlížečů, nelze sdílet hesla, nepodporuje passkey,
• mnoho funkcí lze doplnit pomocí pluginů od jiných autorů - TOTP, synchronizace, ssh agent, rozšíření do prohlížečů, …
• existují externí aplikace pro jiné operační systémy, které umí používat stejnou databází hesel,

KeepassXC

• macOS, Windows a Linux, včetně pluginů do prohlížečů,
• používá stejnou databázi hesel jako Keepass,
• součástí je funkcionalita nejčastěji používaných pluginů v Keepass - např. podpora TOTP, passkey či ssh klíčů,
• synchronizace přes služby typu Dropbox, Google Drive, OneDrive či ownCloud,
• chybí podpora pro mobily.

Některé z placených správců hesel mají i bezplatnou verzi, která je v něčem omezena. Následující aplikace umožňují v bezplatné verzi synchronizaci přes cloud mezi notebookem s Windows a mobily:

Bitwarden

• v bezplatné verzi nelze vkládat soubory, nepodporuje TOTP, omezené upozorňování na uniklá hesla,
• dle recenzí ne vždy intuitivní ovládání viz článek na wiki,
• nízká cena za plnohodnotnou placenou verzi (10 USD/rok),

Norton Password Manager

• nepodporuje TOTP, passkey, sdílení hesel, nelze vkládat soubory, neupozorňuje na uniklá hesla,
• pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux,
• neexistuje placená verze, je též součástí antivirového řešení od firmy Norton,

ProtonPass

• v bezplatné verzi chybí TOTP, sdílení hesel či upozornění na uniklá hesla,
• pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux,
• nelze vkládat soubory (ani v placené verzi),
• vyšší cena za placenou verzi,

Pročtěte si několik různých recenzí správců hesel z poslední doby. Porovnání hledejte pomocí frází jako

• best password managers 2024
• best password manager for windows and android.

Recenze často obsahují nabídku slev na první rok používání.

Nedoporučuji správce hesel, které se neobjevují v recenzích, neboť nemusí být bezpečné či je nejasná důvěryhodnost a stabilita firmy stojící za správcem hesel.

Závisí na Vašich požadavcích na správce hesel.

Následující tabulka obsahuje rozšíření správců hesel pro Firefox a pro Microsoft Edge seřazená dle počtu instalací od nejvíce používaných (prvních deset). K údajům přistupujte s opatrností, není jasné zda rozšíření nejsou již uživateli odinstalována.

Některé týmy mají potřebu sdílet hesla mezi sebou, příkladem může být přístup k externím službám, přístupové údaje pro administraci serverů, síťových prvků či některých aplikací.
Obvykle mají odlišné požadavky než jsou na správce hesel pro uživatele - přístup více uživatelů, omezení přístupu k jednotlivým položkám pomocí práv, logování používání položek, nepotřebují integraci do prohlížečů.

Na VŠE se používá či používal Keepass, správce Pass či Bitwarden fork. Mezi známá řešení s community verzí patří Passbolt.

Cílem je, aby ve správě verzí a na serverech nebyly uložena hesla, klíče a další citlivé informace. Či aspoň aby nebyly v otevřeném tvaru.
Používají se aplikace jako SOPS, Hashicorp Vault (a jeho fork OpenBao), Azure Key Vault či AWS Secrets Managers.