====== Správci hesel ======

Používání správců hesel může výrazně zvýšit bezpečnost hesel:
  * Správce hesel v prohlížeči **doplňuje uživatelské jméno a heslo**. Nestane se, že by zadal heslo místo uživatelského jména či že by zadával heslo z jiné služby. Nelze odpozorovat heslo ke službě //díváním se přes rameno//.
  * Správce hesel **nedoplní jméno a heslo na podvodných stránkách**, neboť kontroluje i adresu stránky.
  * Uživatel může používat **generovaná hesla**, která je téměř nemožné uhodnout, neboť si hesla nemusí pamatovat.
  * Uživatel může pro každou službu používat **odlišné heslo**, neboť si je nemusí pamatovat. Pokud z nějaké služby heslo unikne, tak nejsou ohroženy jiné služby.

Bezpečnost uložených hesel závisí primárně na bezpečnosti koncových zařízení. Pokud je počítač zavirovaný nebo pokud někdo cizí může pracovat s přihlášeným počítačem, tak správce hesel nepomůže, jeho používání by mohlo uškodit v závislosti na dalších okolnostech. 

Z uvedeného je zřejmé, že bezpečnost závisí na vlastnostech správce hesel a na způsobu jeho používání. Ve většině případů bezpečnost používání hesel zlepší.

===== Kritéria pro výběr =====

Uživatelé pracují s IT různě, z toho vyplývají odlišné požadavky na správce hesel. Pro někoho je důležité sdílení hesel v rámci rodiny, pro jiného rozhraní v českém jazyce.

Doporučuji sepsat požadavky na správce hesel, např.:

  * plugin do prohlížečů Firefox a Edge ve Windows, aplikace pro Android, aplikace pro Windows (správa hesel pro jiné aplikace jako je přihlášení ke vzdálené ploše či správa db, hesla k souborům)
  * automatická synchronizace hesel přes cloud,
  * podpora vícefaktorové autentizace - generování TOTP (2FA pro InSIS), podpora passkey,
  * ukládání souborů (ssh klíče, certifikáty, licenční klíče/soubory),
  * snadné používání,
  * možnost bezpečného předání/sdílení hesla s dalšími osobami bez nutnosti, aby měli stejný správce hesel,
  * upozornění na uniklá či slabá hesla,
  * zdarma,

Při průzkumu možností zjistíte, že budete muset jít do kompromisu - buď přejít na placené správce nebo část funkcí oželet. 

===== Správci hesel v prohlížeči =====

[[https://www.mozilla.org/en-US/firefox/features/password-manager/ | Firefox password manager]], [[https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-password-manager-security | Edge password manager]], [[https://support.google.com/accounts/answer/6208650?hl=en&ref_topic=7188671 | Chrome password manager]]
   * integrované ukládání hesel v prohlížeči,
   * upozornění na slabá/uniklá hesla,
   * synchronizace pouze mezi instancemi stejného prohlížeče v různých OS,
   * Chrome - hesla dostupná i [[https://passwords.google.com/ | v účtu u Google]],
   * problematické použití pro hesla do jiných aplikací,
   * nelze vkládat poznámky, nelze vkládat soubory, nepodporuje TOTP, nepodporuje sdílení hesel,
   * zdarma, potřebujete účet u firmy vytvářející prohlížeč.

<WRAP center round info 80%>
V mnoha porovnáních správců hesel je napsáno, že ukládání hesel v prohlížeči je problematické. Pokud Vám integrovaní správci hesel postačují, tak je používejte. Je to bezpečnější volba, než nepoužívat žádné správce hesel.\\
Vyřešte zálohování uložených hesel - jednou z možností je nastavit synchronizaci do cloudu. 
</WRAP>


===== iCloud Keychain/Passwords (Apple) =====
Pokud máte pouze zařízení od Apple (iPhone, iPad a Mac), tak vyzkoušejte bezplatný [[https://en.wikipedia.org/wiki/Keychain_(software) | iCloud Keychain]]. Dle [[https://www.macworld.com/article/2317973/icloud-keychain-review.html | recenzí]] bude vyhovovat většině uživatelů. V roce 2024 byl vydán [[https://en.wikipedia.org/wiki/Passwords_(Apple) | nástupce s názvem Passwords]]. 

===== Open source správci hesel =====

**[[https://keepass.info/ | Keepass]]**{{ :ruzne:keepasslogo.svg?50}}
  * nejčastěji zmiňovaný open source správce hesel primárně pro Windows,
  * lze vkládat hesla, poznámky či soubory,
  * musíte se postarat o synchronizaci, nemá pluginy do prohlížečů, nelze sdílet hesla, nepodporuje passkey,
  * mnoho funkcí lze doplnit pomocí pluginů od jiných autorů - TOTP, synchronizace, ssh agent, rozšíření do prohlížečů, ...
  * existují externí aplikace pro jiné operační systémy, které umí používat stejnou databází hesel,
**[[https://keepassxc.org/ | KeepassXC]]**{{ :ruzne:keepassxc.svg?50}}
  * macOS, Windows a Linux, včetně pluginů do prohlížečů,
  * používá stejnou databázi hesel jako Keepass,
  * součástí je funkcionalita nejčastěji používaných pluginů v Keepass - např.  podpora TOTP, passkey či ssh klíčů,
  * synchronizace přes služby typu Dropbox, Google Drive, OneDrive či ownCloud,
  * chybí podpora pro mobily.

<WRAP center round info 80%>
Používám Keepass již více než 15 roků, nyní bych preferoval KeepassXC.\\
U obou je potřeba vyřešit zálohování, minimálně na úrovni synchronizace přes cloudovou službu.
</WRAP>


===== Free verze správců hesel =====
Některé z placených správců hesel mají i bezplatnou verzi, která je v něčem omezena. Následující aplikace umožňují v bezplatné verzi synchronizaci přes cloud mezi notebookem s Windows a mobily:

[[https://bitwarden.com/pricing/ | Bitwarden]]
  * v bezplatné verzi nelze vkládat soubory, nepodporuje TOTP, omezené upozorňování na uniklá hesla,
  * dle recenzí ne vždy intuitivní ovládání viz [[https://en.wikipedia.org/wiki/Bitwarden | článek na wiki]],
  * nízká cena za plnohodnotnou placenou verzi (10 USD/rok),
[[https://us.norton.com/feature/password-manager | Norton Password Manager]]
  * nepodporuje TOTP, passkey, sdílení hesel, nelze vkládat soubory, neupozorňuje na uniklá hesla,
  * pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux, 
  * neexistuje placená verze, je též součástí antivirového řešení od firmy Norton,
[[https://proton.me/pass/pricing | ProtonPass]]
  * v bezplatné verzi chybí TOTP, sdílení hesel či upozornění na uniklá hesla,
  * pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux,
  * nelze vkládat soubory (ani v placené verzi),
  * vyšší cena za placenou verzi,


===== Placení správci hesel =====
Pročtěte si několik různých recenzí správců hesel z poslední doby. Porovnání hledejte pomocí frází jako
  * //best password managers 2024//
  * //best password manager for windows and android//.

Recenze často obsahují nabídku slev na první rok používání.

Nedoporučuji správce hesel, které se neobjevují v recenzích, neboť nemusí být bezpečné či je nejasná důvěryhodnost a stabilita firmy stojící za správcem hesel.
===== Který vybrat? =====
Závisí na Vašich požadavcích na správce hesel.
<WRAP center round info 80%>
V roce 2021 jsem vybíral druhého správce hesel, chtěl jsem stejné možnosti jako Keepass plus podporu pro Android a integraci do prohlížečů.
  * Brzy jsem zjistil, že bezplatné verze mi nepostačují (chci spravovat i klíče).
  * Pročetl jsem více recenzí, vytvořil si přehled často zmiňovaných správců hesel.
  * Nejdříve jsem zkoušel **Bitwarden** (nejnižší cena), ale nevyhovovalo mi uživatelské rozhraní.
  * Jako druhý jsem zkoušel **1Password**, který má velmi dobré recenze a pohybuje se v přijatelné cenové relaci. U něho jsem zůstal.
</WRAP>
Následující tabulka obsahuje rozšíření správců hesel pro Firefox a pro Microsoft Edge seřazená dle počtu instalací od nejvíce používaných (prvních deset). K údajům přistupujte s opatrností, není jasné zda rozšíření nejsou již uživateli odinstalována.
^ # ^ Firefox ^ Edge ^
| 1. | Bitwarden | Norton Password Manager |
| 2. | LastPass  | LastPass |
| 3. | 1Password | Avira Password Manager |
| 4. | Norton Password Manager | Bitwarden |
| 5. | Dashlane Password Manager | 1Password |
| 6. | KeepassXC | Keeper |
| 7. | ProtonPass | Kaspersky Password Manager |
| 8. | RoboForm | Dashlane Password Manager|
| 9. | Keeper | RoboForm |
| 10. | Avira Password Manager | KeepassXC |

===== Správa hesel pro týmy =====
Některé týmy mají potřebu sdílet hesla mezi sebou, příkladem může být přístup k externím službám, přístupové údaje pro administraci serverů, síťových prvků či některých aplikací.\\
Obvykle mají odlišné požadavky než jsou na správce hesel pro uživatele - přístup více uživatelů, omezení přístupu k jednotlivým položkám pomocí práv, logování používání položek, nepotřebují integraci do prohlížečů. 

Na VŠE se používá či používal [[https://keepass.info/help/base/multiuser.html | Keepass]], správce [[https://www.passwordstore.org/ | Pass]] či [[https://github.com/dani-garcia/vaultwarden | Bitwarden fork]]. Mezi známá řešení s community verzí patří [[https://www.passbolt.com/ | Passbolt]].

===== Správa hesel pro aplikace =====
Cílem je, aby ve správě verzí a na serverech nebyly uložena hesla, klíče a další citlivé informace. Či aspoň aby nebyly v otevřeném tvaru.\\
Používají se aplikace jako [[https://getsops.io/ | SOPS]], [[https://www.vaultproject.io/ | Hashicorp Vault]] (a jeho fork [[https://openbao.org/ | OpenBao]]), Azure Key Vault či AWS Secrets Managers.