Obsah
Správci hesel
Používání správců hesel může výrazně zvýšit bezpečnost hesel:
- Správce hesel v prohlížeči doplňuje uživatelské jméno a heslo. Nestane se, že by zadal heslo místo uživatelského jména či že by zadával heslo z jiné služby. Nelze odpozorovat heslo ke službě díváním se přes rameno.
- Správce hesel nedoplní jméno a heslo na podvodných stránkách, neboť kontroluje i adresu stránky.
- Uživatel může používat generovaná hesla, která je téměř nemožné uhodnout, neboť si hesla nemusí pamatovat.
- Uživatel může pro každou službu používat odlišné heslo, neboť si je nemusí pamatovat. Pokud z nějaké služby heslo unikne, tak nejsou ohroženy jiné služby.
Bezpečnost uložených hesel závisí primárně na bezpečnosti koncových zařízení. Pokud je počítač zavirovaný nebo pokud někdo cizí může pracovat s přihlášeným počítačem, tak správce hesel nepomůže, jeho používání by mohlo uškodit v závislosti na dalších okolnostech.
Z uvedeného je zřejmé, že bezpečnost závisí na vlastnostech správce hesel a na způsobu jeho používání. Ve většině případů bezpečnost používání hesel zlepší.
Kritéria pro výběr
Uživatelé pracují s IT různě, z toho vyplývají odlišné požadavky na správce hesel. Pro někoho je důležité sdílení hesel v rámci rodiny, pro jiného rozhraní v českém jazyce.
Doporučuji sepsat požadavky na správce hesel, např.:
- plugin do prohlížečů Firefox a Edge ve Windows, aplikace pro Android, aplikace pro Windows (správa hesel pro jiné aplikace jako je přihlášení ke vzdálené ploše či správa db, hesla k souborům)
- automatická synchronizace hesel přes cloud,
- podpora vícefaktorové autentizace - generování TOTP (2FA pro InSIS), podpora passkey,
- ukládání souborů (ssh klíče, certifikáty, licenční klíče/soubory),
- snadné používání,
- možnost bezpečného předání/sdílení hesla s dalšími osobami bez nutnosti, aby měli stejný správce hesel,
- upozornění na uniklá či slabá hesla,
- zdarma,
Při průzkumu možností zjistíte, že budete muset jít do kompromisu - buď přejít na placené správce nebo část funkcí oželet.
Správci hesel v prohlížeči
Firefox password manager, Edge password manager, Chrome password manager
- integrované ukládání hesel v prohlížeči,
- upozornění na slabá/uniklá hesla,
- synchronizace pouze mezi instancemi stejného prohlížeče v různých OS,
- Chrome - hesla dostupná i v účtu u Google,
- problematické použití pro hesla do jiných aplikací,
- nelze vkládat poznámky, nelze vkládat soubory, nepodporuje TOTP, nepodporuje sdílení hesel,
- zdarma, potřebujete účet u firmy vytvářející prohlížeč.
V mnoha porovnáních správců hesel je napsáno, že ukládání hesel v prohlížeči je problematické. Pokud Vám integrovaní správci hesel postačují, tak je používejte. Je to bezpečnější volba, než nepoužívat žádné správce hesel.
Vyřešte zálohování uložených hesel - jednou z možností je nastavit synchronizaci do cloudu.
iCloud Keychain/Passwords (Apple)
Pokud máte pouze zařízení od Apple (iPhone, iPad a Mac), tak vyzkoušejte bezplatný iCloud Keychain. Dle recenzí bude vyhovovat většině uživatelů. V roce 2024 byl vydán nástupce s názvem Passwords. Podporuje vytváření passkey či generování jednorázových kódů pomocí TOTP.
Open source správci hesel
- nejčastěji zmiňovaný open source správce hesel primárně pro Windows,
- lze vkládat hesla, poznámky či soubory,
- musíte se postarat o synchronizaci, nemá pluginy do prohlížečů, nelze sdílet hesla, nepodporuje passkey,
- mnoho funkcí lze doplnit pomocí pluginů od jiných autorů - TOTP, synchronizace, ssh agent, rozšíření do prohlížečů, …
- existují externí aplikace pro jiné operační systémy, které umí používat stejnou databází hesel,
- macOS, Windows a Linux, včetně pluginů do prohlížečů,
- používá stejnou databázi hesel jako Keepass,
- součástí je funkcionalita nejčastěji používaných pluginů v Keepass - např. podpora TOTP, passkey či ssh klíčů,
- synchronizace přes služby typu Dropbox, Google Drive, OneDrive či ownCloud,
- chybí podpora pro mobily.
Používám Keepass již více než 15 roků, nyní bych preferoval KeepassXC.
U obou je potřeba vyřešit zálohování, minimálně na úrovni synchronizace přes cloudovou službu.
Free verze správců hesel
Některé z placených správců hesel mají i bezplatnou verzi, která je v něčem omezena. Následující aplikace umožňují v bezplatné verzi synchronizaci přes cloud mezi notebookem s Windows a mobily:
- v bezplatné verzi nelze vkládat soubory, nepodporuje TOTP, omezené upozorňování na uniklá hesla,
- podpora passkey je již v bezplatné verzi,
- dle recenzí ne vždy intuitivní ovládání viz článek na wiki,
- nízká cena za plnohodnotnou placenou verzi (10 USD/rok),
- nepodporuje TOTP, passkey, sdílení hesel, nelze vkládat soubory, neupozorňuje na uniklá hesla,
- pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux,
- neexistuje placená verze, je též součástí antivirového řešení od firmy Norton,
- v bezplatné verzi chybí TOTP, sdílení hesel s jinými osobami či upozornění na uniklá hesla,
- pouze pluginy do prohlížečů a aplikace pro mobily, chybí samostatná aplikace do Windows/macOS/Linux,
- podpora passkey v bezplatné verzi,
- nelze vkládat soubory (ani v placené verzi),
- vyšší cena za placenou verzi,
Placení správci hesel
Pročtěte si několik různých recenzí správců hesel z poslední doby. Porovnání hledejte pomocí frází jako
- best password managers 2024
- best password manager for windows and android.
Recenze často obsahují nabídku slev na první rok používání.
Nedoporučuji správce hesel, které se neobjevují v recenzích, neboť nemusí být bezpečné či je nejasná důvěryhodnost a stabilita firmy stojící za správcem hesel.
Který vybrat?
Závisí na Vašich požadavcích na správce hesel.
V roce 2021 jsem vybíral druhého správce hesel, chtěl jsem stejné možnosti jako Keepass plus podporu pro Android a integraci do prohlížečů.
- Brzy jsem zjistil, že bezplatné verze mi nepostačují (chci spravovat i klíče, podpora passkey a TOTP).
- Pročetl jsem více recenzí, vytvořil si přehled často zmiňovaných správců hesel.
- Nejdříve jsem zkoušel Bitwarden (nejnižší cena), ale nevyhovovalo mi uživatelské rozhraní.
- Jako druhý jsem zkoušel 1Password, který má velmi dobré recenze a pohybuje se v přijatelné cenové relaci. U něho jsem zůstal.
Následující tabulka obsahuje rozšíření správců hesel pro Firefox a pro Microsoft Edge seřazená dle počtu instalací od nejvíce používaných (prvních deset). K údajům přistupujte s opatrností, není jasné zda rozšíření nejsou již uživateli odinstalována.
| # | Firefox | Edge |
|---|---|---|
| 1. | Bitwarden | Norton Password Manager |
| 2. | LastPass | LastPass |
| 3. | 1Password | Avira Password Manager |
| 4. | Norton Password Manager | Bitwarden |
| 5. | Dashlane Password Manager | 1Password |
| 6. | KeepassXC | Keeper |
| 7. | ProtonPass | Kaspersky Password Manager |
| 8. | RoboForm | Dashlane Password Manager |
| 9. | Keeper | RoboForm |
| 10. | Avira Password Manager | KeepassXC |
Správa hesel pro týmy
Některé týmy mají potřebu sdílet hesla mezi sebou, příkladem může být přístup k externím službám, přístupové údaje pro administraci serverů, síťových prvků či některých aplikací.
Obvykle mají odlišné požadavky než jsou na správce hesel pro uživatele - přístup více uživatelů, omezení přístupu k jednotlivým položkám pomocí práv, logování používání položek, nepotřebují integraci do prohlížečů.
Na VŠE se používá či používal Keepass, správce Pass či Bitwarden fork. Mezi známá řešení s community verzí patří Passbolt.
Správa hesel pro aplikace
Cílem je, aby ve správě verzí a na serverech nebyly uložena hesla, klíče a další citlivé informace. Či aspoň aby nebyly v otevřeném tvaru.
Používají se aplikace jako SOPS, Hashicorp Vault (a jeho fork OpenBao), Azure Key Vault či AWS Secrets Managers.