Skoči na vsebino

Upravljalniki gesel

Uporaba upraviteljev gesel je tema, ki razdvaja. Strokovnjaki, ki imajo v mislih varnost, se strinjajo, da so potrebni in koristni, a nekateri prisegajo na takšne, ki imajo shrambo v oblaku in s tem omogočajo udobno rabo, drugim se to zdi nepotrebno tveganje in prisegajo na krajevne rešitve. Njihova uporaba zmanjšuje tveganje za vdore v spletne in druge račune, izbira je pestra, zato lahko vsak najde takega, ki mu ustreza.

Precejšen del računalniška industrije se že leta trudi, da bi našel boljši način zagotavljanja varnosti v spletu, kot so gesla. Žal še nikomur ni prav zares uspelo in vsak od nas ima na desetine gesel, ki si jih mora tako ali drugače zapomniti, saj jih potrebujemo pri uporabi računalnikov in mobilnih naprav.

Upamo, da bližnjim vedno znova odsvetujete uporabo enostavnih gesel in uporabo enakega gesla za različne namene, saj je ravno to najpogostejša pot, da spletni kriminalci vdrejo v razne račune. Če želimo v spletu ostati varni, moramo zagotoviti, da za vsako spletno storitev in za vsako mobilno aplikacijo uporabljamo ločeno geslo, to pa mora biti dovolj kompleksno. Več takih gesel si večina izmed nas ne more zapomniti, zato jih moramo nekako shraniti. Lahko bi si jih zapisali v beležko ali na monitor nalepili listek, a to ni ne praktično ne prav posebej varno. Zagato rešujejo upravitelji gesel, o katerih smo v Monitorju že večkrat pisali. Tokrat si bomo ogledali, kateri so trenutno najboljša izbira za večino uporabnikov.

Kakšen je dober upravljalnik gesel?

Ker govorimo o hrambi in upravljanju zelo zaupnih podatkov, je, jasno, najpomembnejša varnost. Glavna naloga upravljalnikov gesel je, da podatke varno hranijo in varujejo pred nepooblaščenimi vpogledi. To pomeni, da so vnosi shranjeni v šifrirani obliki. Za odklepanje in dešifriranje potrebujemo geslo, ki smo ga določili sami, geslo pa nikoli ne sme iz naprave, kjer ga uporabimo, ali biti shranjeno. Dober upravitelj bo uporabljal sodobno in kompleksno šifrirno tehnologijo, ki je ni mogoče zlomiti in odšifrirati brez gesla niti z gromozansko procesorske moči. Nujno je, da omogoča, da poleg gesla zavarujete shrambo z dodatno stopnjo zaščite, na primer z enkratnim geslom.

Don't forget your password!

Ker geslo upravljalnika gesel nikoli ne zapusti naprave, na kateri smo geslo vnesli, ga ni mogoče obnoviti in ponastaviti, ob izgubi so podatki za vedno izgubljeni.

Udobnost rabe je drug pomemben kriterij. Če bo iskanje gesel in prenos v spletni brskalnik na računalniku ali na mobilnem telefonu zamudno in nerodno opravilo, se uporabe upravitelja ne bomo navadili in bomo raje izbrali kakšno manj varno, a udobnejšo pot. Samodejno izpolnjevanje prijavnih obrazcev in obrazcev z osebnimi podatki je nuja, prav tako zaznavanje vpisa prijave na spletno mesto in shranjevanje gesla.

Dober upravljalnik gesel nam bo pomagal tudi pri ustvarjanju dolgih in naključnih gesel, ko ustvarjamo nove račune ali menjavamo stara gesla. Zares dobri bodo sami zaznali, kdaj smo geslo zamenjali, in bodo ponudili, da novo shranijo, staro pa za vsak primer obdržijo v arhivu.

Če je bilo še pred nekaj leti povsem dovolj, da smo imeli shrambo na osebnem računalniku, danes ni več tako. Največ gesel uporabljamo na mobilnih telefonih, zato nekateri že privzeto omogočajo, da so gesla dostopna na vseh napravah z uporabo varne spletne shrambe, drugi odločitev o sinhronizaciji in načinu sinhronizacije prepuščajo uporabnikom. Če so gesla shranjena v oblaku, je pomembno, da jih je mogoče uporabiti tudi brez povezave.

V zadnjih letih pa so upravljalniki gesel v pomoč tudi pri opozarjanju, da uporabljamo šibka gesla, ali ko zaznajo, da imajo enako geslo uporabljeno za več storitev. Nekateri nas celo opozorijo, da se je naše uporabniško ime znašlo v zbirki ukradenih osebnih podatkov, in svetujejo takojšnjo menjavo gesla.

In za konec priporočamo, da upravljalnik gesel omogoča izvoz vseh shranjenih podatkov. To bo prišlo prav, da si sami ustvarimo varnostno kopijo za primer katastrofalne izgube podatkov, pa četudi bomo želeli zamenjati upravljalnik gesel.

LastPass

LastPass je verjetno najbolj znan in razširjen program svoje vrste. Na uradni spletni strani se pohvalijo, da ga uporablja kar 13 milijonov uporabnikov, kar je res impresivna številka. Ima dolgo zgodovino, saj je nastal že pred desetimi leti, leta 2009 smo ga prvič opisali tudi v Monitorju. V vseh teh letih si je poleg množice uporabnikov pridobil tudi sloves varne in zanesljive rešitve, tega slovesa niso zamajala niti občasna poročila o najdenih razpokah. Resne ranljivosti niso nikoli zaznali, preostale pa so avtorji LastPass hitro potrdili, preverili in odpravili. Leta 2015 je LastPass prevzelo podjetje LogMeIn, a se za uporabnike ni dosti spremenilo.

LastPass najbolje deluje kot vtičnik za brskalnik, namestimo ga lahko v Chrome, Firefox, Safari in Opero, na voljo je celo za pozabljeni Edge. Mobilna aplikacija je na voljo za Android, iOS in Windows Phone. Za samodejno upravljanje gesel zunaj brskalnikov pa je na voljo namenski program za Okna in Mac OS X. Vse različice delujejo povezano, po prvi prijavi so gesla na voljo tudi brez povezave.

Po namestitvi vtičnika se v LastPass prijavimo z uporabniškim imenom in varnim geslom, na mobilnih napravah pa so vse nadaljnje prijave lahko opravljene s prstnim odtisom. LastPassov vtičnik poskrbi, da so gesla, ki jih vpišemo v prijavne obrazce, shranjena v njegovi zbirki, ob naslednjem obisku tega obrazca pa jih bo samodejno izpolnil ali ponudil izpolnjevanje na klik.

LastPass - Twitter Login Sample
LastPass bo v prijavne obrazce dodal ikono, prek katere prikličemo podatke iz varne shrambe in druge operacije.

Poleg gesel lahko v LastPass shranimo tudi druge informacije, kot so številke kreditnih kartic, številke PIN in podobno, pogrešamo le možnost varnega shranjevanja fotografij, recimo slik dokumentov.

Za hrambo uporablja zbirko podatkov, ki je šifrirana s šifrirnim algoritmom AES-256 bit in zgoščevalnim algoritmom PBKDF2 SHA-256. Gre za preizkušen in varen algoritem, ki ga uporabljajo vsi v tem članku opisani izdelki. Ob odpiranju računa LastPass se iz osebnega gesla ustvari ključ, ki je potreben za dešifriranje zbirke. Kot bi pričakovali, se vse operacije šifriranja izvajajo na uporabnikovih napravah in nikoli v oblaku, tja potujejo le šifrirani podatki, ki so brez ključa popolnoma neuporabni. Slaba stran takega načina shranjevanja podatkov je, da pozabljeno geslo pomeni tudi izgubo vseh podatkov, saj do njih ne more dostopati nihče razen lastnika, a to je seveda kompromis, na katerega zaradi visoke varnosti zlahka pristanemo. LastPass je za nezahtevnega uporabnika lahko brezplačen za uporabo v računalnikih in mobilnih napravah. Za 2 dolarja na mesec, kolikor stane različica Premium, pa dobimo še nekaj uporabnih naprednih funkcij, kot so deljenje gesel z drugimi uporabniki, kar je uporabno v družinskih okoljih ali pri raznih projektih, izdelavo načrta predaje gesel ob situacijah, ko sami ne moremo več do gesel in bi jih želeli predati bližnjim, in še kaj. Zelo zanimivo ceno ima družinska različica LastPass, ki prinaša licenco za 6 uporabnikov, cena pa je le dvakratnik osnovne cene. Na voljo je tudi poslovna različica, ki omogoča upravljanje skupin in večje skupine gesel.

1Password

Kanadsko podjetje AgileBits je 1Password predstavilo leta 2006 in ga vse odtlej redno izboljšuje in nadgrajuje. Na samem začetku je bil na voljo le za računalnike Mac in telefone iPhone, nekaj let kasneje pa tudi za naprave Windows. To je razlog, da je še vedno najbolj priljubljen ravno med uporabniki jabolčnih naprav, uporabniki na drugih platformah pa se počutijo nekoliko zapostavljene.

Podobno kot LastPass deluje kot vtičnik v brskalniku in je na voljo za vsa večja okolja. A če je pri LastPass vtičnik vse, kar potrebujemo, moramo za uporabo 1Password v računalnik Windows ali Mac namestiti namenski namizni program, ki mora biti pognan, da bo vtičnik sploh deloval. To je na prvi pogled nekoliko manj priročno, a se ne izkaže za preveč moteče.

1Password Desktop
Za uporabo 1Password v brskalniku je treba poleg vtičnika namestiti tudi namizno aplikacijo.

Mobilna aplikacija 1Password je najličnejša od opisanih in deluje zelo dobro. Omogoča samodejno izpolnjevanje, kot ga dopuščajo tehnične zmožnosti obeh mobilnih operacijskih sistemov, prav tako kot LastPass podpira sistemsko možnost Auto Fill, ki jo je prinesel Android 8.0. Če pri LastPass in Dashlane prijavo v mobilno aplikacijo opravimo z vpisom elektronskega naslova, ki rabi kot uporabniško ime, in glavnega gesla, so pri 1Password izbrali zanimivo možnost z uporabo kode QR na drugi napravi, kjer smo že prijavljeni. Ker dodajanje novih mobilnih naprav ni opravilo, ki bi ga počeli prav pogosto, s tem ne bomo prihranili prav veliko časa. 1Password je torej zelo ličen, enostaven, a ni nujno najintuitivnejši za uporabo. O njegovi varnosti ne dvomimo, saj doslej niso imeli nobenih večjih težav z varnostjo, tehnologija, ki jo uporabljajo, pa je zelo podobna drugim opisanim izdelkom.

Bo pa 1Password všeč tistim, ki bi za sinhronizacijo podatkov raje poskrbeli sami. Omogoča namreč, da podatke namesto v oblaku izdelovalca shranjujemo kar na DropBox ali iCloud, izbira res ni popolna, a žal to ni največja težava. Izbira načina sinhronizacije deluje na računalnikih Mac in podprtih telefonih, uporabniki oken pa so to možnost z novejšo različico izgubili, kar je povzročilo kar nekaj nejevolje in zmede.

Zanimiva novost in posebnost 1Password je t. i. potovalni način (Travel Mode), ki omogoča, da pred prehodom meje hrambo gesel v računalniku izpraznite in, ko prispete na cilj, se samodejno spet prenese. To je nekoliko lažje kot odstranitev programa in dodatka za brskalnik, pride pa prav pri prehodih tistih meja, kjer je nevarnost, da bodo od vas zahtevali, da se prijavite v računalnik in se v spletne storitve prijavite pred očmi varnostnih organov.

Podobno kot LastPass tudi 1Password ponuja družinsko naročnino, ki pa je nekoliko dražja in omogoča uporabno samo 5 računov. Kljub temu je to dobra kupčija in jo priporočamo.

Dashlane

Če sta 1Password in LastPass stara znanca, je Dashlane sorazmerno nov izdelek. Prva različica je ugledala luč sveta leta 2012 in od takrat do danes si je Dashlane pridobil precej privržencev in se pri varnostni shrambi gesel in upraviteljev gesel uvršča v sam vrh. Uporablja enak algoritem kot LastPass in 1Password, zato o varnosti ne gre dvomiti. Po funkcionalnosti se z lahkoto primerja s konkurenco, saj ponuja samodejno izpolnjevanje prijav in drugih obrazcev, shranjevanje in menjavanje gesel, deljenje gesel in še kaj. Dashlane je zelo enostaven in pregleden za uporabo, z njim ne bodo imeli težav niti manj izkušeni uporabniki. Za osnovno delo je dovolj brezplačna različica, za naprednejše funkcije pa bo treba izbrati od konkurence nekoliko dražjo plačljivo različico.

Privzeto deluje s pomočnikom, ob namestitvi pa nam ponudi, da v vse nameščene brskalnike doda še vtičnike. Med nastavitvami vtičnikov se skriva tudi možnost, da ti delujejo brez namiznega pomočnika, kar bi po našem mnenju moralo biti privzeto.

Če izberemo delovanje samo z vtičnikom brskalnika, na žalost izgubimo nekaj zanimivih naprednih možnosti, med katerimi nas je najbolj navdušil pregled kakovosti gesel.

Dashlane - Security Dashboard
Dashlane lahko pregleda naša gesla in opozori na tista, ki so prešibka, ali tista, ki se podvajajo. Poleg tega nam jih pomaga zamenjati z enim samim klikom.

Tudi mobilna aplikacija Dashlane je lična, deluje dobro in je na voljo za Android in iOS. Uporabniki propadlega Windows Phone in drugih mobilnih operacijskih sistemov nimajo sreče. Integracija z operacijskimi sistemi je na las podobna preostalima izdelkoma.

Družinskega paketa ne ponujajo, je pa na voljo poslovna različica, ki je nekoliko dražja, zato je za družinske člane bolj smiselno kupiti ločene naročnine.

KeePass

Program KeePass je precej drugačen od doslej opisane trojice. Gre za namizni program, ki teče v Oknih in številnih različicah Linuxa. Ker gre za odprtokodno rešitev, je skupnost izdelala različice še za Mac OS, Android, iOS in številne druge platforme. Pri varnostnih rešitvah velja, da je odprta koda velikanska prednost, saj je tako zagotovljeno, da je veliko ljudi preverilo implementacijo in je ta zato ustrezno varna in ne vsebuje vrat, ki bi komurkoli omogočala vpogled v šifrirane zbirke. Zato KeePass uživa zelo veliko zaupanja tudi pri najzahtevnejših uporabnikih in velja za nekakšen standard varne shrambe.

Program deluje samo lokalno. To pomeni, da so vnosi, ki so lahko gesla ali druge skrivnosti, v datoteki zbirke podatkov skrbno šifrirani in shranjeni v napravi. Ker gre »le« za namizni program, ne omogoča samodejnega vpisovanja gesel v brskalnikih, sinhronizacije med napravami in še marsičesa.

KeePass – Gesla
KeePass je tradicionalen namizni program, ki je na voljo za Okna in Linux, odprtokodna skupnost pa je poskrbela, da so odjemalci na voljo na številnih drugih platformah.

A ker gre za razmeroma enostavno rešitev, lahko z nekaj truda dosežemo številne funkcionalnosti. Sinhronizacijo gesel lahko uredimo tako, da je šifrirana datoteka v eni izmed shramb (DropBox, OneDrive, Google Drive ali podobno) ali pa je dosegljiva na kakšnem drugem strežniku, kot je FTP ali SSH, in jo tako lahko prenašamo med napravami, prenesemo jo lahko tudi na mobilno napravo.

Na voljo je nekaj različnih vtičnikov za brskalnike, ki znajo prebrati gesla in druge podatke iz šifrirane zbirke podatkov KeePass in jo vpisati v splet. Ker so delo neodvisnih razvijalcev, zanje ne moremo jamčiti, ocene in število drugih uporabnikov pa bi morali biti dober pokazatelj, ali jim gre zaupati ali ne. Podobno je z mobilnimi aplikacijami. Na tržnicah mobilnih sistemov mrgoli programov, ki znajo prebrati zbirko podatkov KeePass, jo dešifrirati s pravim geslom in podatke prikazati ali urediti.

Vpisovanje podatkov na mobilni telefonih

Samodejno izpolnjevanje prijavnih obrazcev in obrazcev z osebnimi ali plačilnimi podatki je pri vseh opisanih programih odločno rešeno v brskalnikih na računalniku. Na mobilnikih pa se nekoliko zaplete in ponudniki ponujajo različne rešitve.

Na telefonih so brskalniki brez pravih vtičnikov, poleg tega je treba gesla večkrat kot v brskalnik vpisati v prijavna polja aplikacij. Uporabnikom jabolčnih naprav Dashlane omogoča samodejno izpolnjevanje za 180 aplikacij in vtičnik za Chrome in Safari, LastPass namesto številke omenja 200 aplikacij in podoben vtičnik. Če ne bo delovalo nič drugega, boste imena in gesla morali prenesti s kopiranjem.

Na Androidu pa je možnosti nekaj več. Če boste brskalnik odprli iz aplikacije, kot ponujajo vse tri opisane rešitve, bo delovalo, a se to ne zdi dobra rešitev, prav tako ne rešuje težave vpisa v aplikacijah. Druge možnosti so dostop do aplikacije in samodejen vnos prek nastavitvene ikone (LastPass) ali celo posebne tipkovnice (LastPass). Android Oreo pa je prinesel sistemsko možnost Autofill, ki jo omogočajo 1Password, LastPass in Dashlane. A je vprašanje, ali vaš telefon ima Android 8.

Android Oreo - Autofill
Android Oreo sistemsko podpira aplikacije za izpolnjevanje obrazcev, tudi prijavnih oken v brskalnikih in aplikacijah.

Pogosti pomisleki glede uporabe

V oblaku mi lahko ukradejo gesla!

Pri vseh kakovostnih upraviteljih gesla so podatki varno shranjeni v oblaku. To pomeni, da se šifrirajo v računalniku ali telefonu in v oblak potuje samo šifrirana različica. Geslo se uporablja samo na uporabnikovih napravah in nikoli ni poslano v strežnik. Geslo ali, bolje rečeno, podatek, izveden iz gesla, je hkrati šifrirni ključ. Brez gesla ni mogoče odšifrirati shranjenih podatkov, kar zagotavlja dovolj dolg ključ AES z 256 biti, ki ga uporabljajo vsi trije opisani upravljalniki.

Nujna je uporaba dvostopenjske prijave, kjer morate poleg gesla vpisati še dodatno kodo, poslano na telefon ali generirano z aplikacijo na telefonu.

NSA/CIA/… lahko dostopa do mojih podatkov!

Kot v prejšnjem odstavku vsi dobri upravljalci gesel hranijo v oblaku le šifrirane podatke, brez gesel in ključev. Matematično dokazano je, da do njih ne more nihče brez gesla, tudi agencije raznih vlad ne.

Če se izkaže, da živimo v zmoti in imajo te agencije načine, da razvijajo najboljše znane šifrirne algoritme, se posipamo s pepelom in ugotavljamo, da pred njim tako ali tako ni in ne bo ostalo nič skrito. Takrat bo najbolje ugasniti telefon in računalnik in se preseliti v gozd.

Če ostanem brez dostopa do spleta, ne morem do svojih gesel!

Dostop do podatkov tudi brez povezave je pri dobrih upravljalnikih gesel urejen. Če ste do gesel na napravi že dostopali, to pomeni, da je šifrirana zbirka podatkov v napravi in je na voljo za uporabo. Odklenili in uporabili jo boste enako, kot bi do nje dostopali s povezavo v splet. Različica morebiti ne bo povsem zadnja, to je samoumevno, a to večinoma ni ovira.

Če nekdo zbriše oblačno shrambo, bom ostal brez gesel!

Ta strah je upravičen. Čeprav je upravljalcem storitve varnost podatkov strank najpomembnejša, drugače bodo ostali brez posla, je nemogoče biti povsem prepričan, da ne bo prišlo do katastrofalnega izpada delovanja ali izgube podatkov.

Zato priporočamo izdelavo varnostne kopije. Ko podatke izvozite, pa jih nikar ne shranjujte v izvirni obliki, temveč jih pred hrambo šifrirajte!

Zakaj bi nekomu plačeval za hrambo gesel?

Res je, dobre rešitve stanejo nekaj denarja, a če primerjate ceno z udobjem, ki ga s tem pridobite, potem cena ene kave ne bi smela biti previsoka.

Kaj torej izbrati?

Vsi trije opisani programi s spletno shrambo so odlični izdelki, varni, zanesljivi in preverjeni. Tehnološko so vsi na zelo visoki ravni. Med njimi ni razlike v varnosti in ne bistvene razlike v zmožnostih. Jasnega zmagovalca zato ne moremo izbrati in ne glede na to, katerega boste uporabili, bo vaše spletno in mobilno življenje varnejše in udobnejše. Avtor članka že leta uporabljam LastPass in po temeljitem preskusu preostalih rešitev ne vidim razloga, da bi menjal. Bržkone bi enako zapisal, če bi bil uporabnik 1Password ali Dashlane, saj so programi zelo primerljivi in se razlikujejo samo v nekaterih vizualnih podrobnostih. Poleg tega je očitno, da se avtorji zgledujejo drug po drugem in inovativne novosti ne ostanejo dolgo ekskluzivne. Dejavnik odločitve je lahko tudi cena, pri kateri se LastPass izkaže, še posebej zaradi zelo zmogljive brezplačne različice.

V prejšnjem odstavku poskušam ovreči nekatere mite o oblačni shrambi gesel in pojasniti, zakaj je ta lahko na varnostno visoki ravni. Če imate kljub temu pomisleke ali ovire pri uporabi spletnih rešitev, boste z izbiro KeePass resda izgubili nekaj udobja s samodejnim izpolnjevanjem prijavnih in drugih obrazcev, a za varnost podatkov se vam nikakor ni treba bati.

Vsekakor pa velja, ne glede na to, katero rešitev boste izbrali, da boste z varno hrambo gesel in generatorjem varnih gesel bistveno varnejši pred vdori iz spleta kakor z enostavnimi ali celo enakimi gesli. Pa ne pozabite na druge družinske člane!

Objavljeno tudi v reviji Monitor.