Pravidelně doporučuji, aby lidé používali nějaký systém pro správu hesel, který jim umožní nastavit těžko prolomitelná hesla (ať už krátká a složitá, nebo dlouhá a snadno zapamatovatelná) jedinečně pro každý web a službu, a také jim umožní tato hesla vyplnit všude, kde to potřebují.
Lowell Nelson mi před několika týdny napsal e-mail, ve kterém se divil, proč tak horuju pro možnosti třetích stran, jako jsou 1Password, Dashlane a LastPass, když Apple má vlastní robustní multiplatformní řešení, které zahrnuje synchronizaci: Keychain. (Keychain přesněji popisuje část pro OS X, zatímco iCloud Keychain umožňuje synchronizaci napříč zařízeními a použití s iOS.)
Je to úžasná otázka a já raději lidem neříkám, aby si koupili placenou službu (ať už jednorázový poplatek nebo předplatné), pokud její užitečnost není tak vysoká, že převáží náklady.
Podívejme se na podrobnosti. Protože jsem služby 1Password a LastPass podrobně testoval a studoval, používám je jako základ pro srovnání. Odpovědi na každý z níže uvedených bodů byste měli být schopni najít v často kladených dotazech nebo v popisech funkcí každé dostatečně robustní alternativy.
Ačkoli Keychain od společnosti Apple, 1Password a LastPass mohou bezpečně ukládat další druhy dat, hesla jsou nejspolehlivějším prvkem, který lze používat v celém ekosystému a napříč platformami.
Jak bezpečná jsou vaše data?
Heslový „trezor“ musí hesla udržovat, no, v bezpečí, a to ve třech hlavních oblastech:
-
Data v klidu v zařízení. Hesla by měla být v zařízení zabezpečena proti tomu, aby k nim získal přístup kdokoli jiný než vlastník.
-
Data uložená na serverech. Pro útočníka by mělo být obtížné nebo nemožné získat přístup k heslům uloženým v cloudu a dešifrovat je.
-
Data při přenosu během synchronizace nebo při přístupu na web a zpět. Silné šifrování by mělo slídilovi zabránit v dešifrování nových záznamů, načítání a aktualizací i interaktivních relací.
Keychain a iCloud Keychain jsou v těchto ohledech poměrně robustní. Systémy OS X a iOS musí být odemčeny, aby bylo možné vyplnit položky Keychain, a aplikace Keychain Access systému OS X vyžaduje k odemčení a zobrazení hesel heslo správce nebo uživatele. Díky Touch ID nebo přístupovému kódu v iOS a FileVault 2 v OS X jsou hesla vysoce bezpečná i v případě, že jste vypnuti (OS X) nebo uzamčeni (iOS). iCloud Keychain používá šifrování založené na zařízení, které zabraňuje tomu, aby Apple mohl (nebo byl nucen) vaše hesla dešifrovat.
1Password a LastPass používají pro vaše lokálně uložené databáze „drahou“ metodu šifrování hesla, takže i když se k nim někdo dostane, cracker může pokusy o prolomení hesla provádět jen velmi, velmi pomalu. Společnost LastPass to neúmyslně otestovala po hackerském útoku: neobjevily se žádné zprávy o odemčení trezorů s hesly.
LastPass vše synchronizuje prostřednictvím svých serverů, ale šifruje pomocí klíčů, které znají pouze uživatelé. 1Password synchronizuje přes Dropbox a další cloudové služby (spoléhá na jejich zabezpečení a metody šifrování v klidu) a také prostřednictvím svých doplňkových předplatných pro sdílení s členy rodiny nebo týmu, ale vše zamyká klíči vlastněnými uživatelem.
LastPass a týmové nebo rodinné varianty 1Password vám také umožňují přístup přes webový prohlížeč a místo nativního klientského softwaru používají dešifrování v prohlížeči; společnosti vaše klíče nevlastní. Spoléhání se na prohlížeč má však jednu slabinu. Díky škodlivému softwaru a dalším zneužitím v prohlížeči jsou prohlížeče mnohem zranitelnější ve srovnání s úrovní zabezpečení dostupnou prostřednictvím nativních aplikací a cloudové synchronizace. Chyby v prohlížeči Safari v systémech iOS a OS X jsou pravidelně objevovány (i když ve volné přírodě je jich vidět jen velmi málo) a může vás lákat přistupovat ke svým heslům z neznámého počítače s jiným operačním systémem.
Jak snadno se systém používá?
Systém hesel musí být snadno vyvolatelný. Pokud není, nebudete ho důsledně používat, protože taková je lidská povaha. A co hůř, pokud ho instalujete někomu jinému, aby si zlepšil zabezpečení, pravděpodobně ho nebude používat vůbec, pokud nebude neustále připomínat a nebude skvěle jednoduchý.
Klíčenku Keychain používá společnost Apple převážně k zapamatování hesel pro konkrétní pole na webových stránkách a k ukládání hesel pro automatické načtení a obejití ve svém softwaru (například AirPort Admin v OS) nebo u softwaru třetích stran, který využívá háčky Apple Keychain. V mobilním i desktopovém Safari funguje Keychain velmi dobře, od návrhu silného hesla přes jeho uložení až po možnost jeho zpětného stažení nebo použití jiných uložených alternativ.
Ale zatímco v OS X je široce použitelný, protože si ho osvojilo více vývojářů a existuje Keychain Access pro přímé vyhledávání a načítání, v iOS musíte pro zobrazení, úpravu nebo (přejetím až dolů) přidání hesla zabrousit do Nastavení > Safari > Hesla. Dále nelze Keychain vyvolat v jiných než webových přihlašovacích dialozích společnosti Apple, takže je pro běžné účely nepoužitelný. A i když si heslo můžete vymyslet, když ho potřebujete, je nepohodlné se k němu dostat a lze ho snadno načíst pouze na příslušné webové stránce.
Díky rozšířením, která Apple přidal počínaje iOS 8, lze v Safari a dalších aplikacích vyvolat 1Password, LastPass a další nástroje. Mnoho aplikací pro iOS, které používám, je přímo napojeno na rozhraní API služby 1Password, které umožňuje přímé vyvolání. V nejhorším případě se mohu přepnout do aplikace LastPass nebo 1Password a najít heslo, zkopírovat ho a pak se přepnout zpět do aplikace a vložit ho.
Pomocí aplikace můžete také vytvářet silná hesla, která se při vytvoření uchovávají, automaticky synchronizují a kopírují do schránky, abyste je mohli použít v jiných aplikacích.
Ještě horší je to s multiplatformností. Apple nezpřístupňuje iCloud Keychain mimo své vlastní operační systémy. Aplikace 1Password a LastPass (a další aplikace) jsou dostupné na široké škále hlavních platforem, navíc mají přístup přes prohlížeč (ve výchozím nastavení u LastPass a jako možnost předplatného u 1Password).
iCloud Keychain nemá žádný mechanismus sdílení s dalšími lidmi – je to součást pokračujícího příběhu, o kterém mluvím už roky, o tom, že Apple nenavrhuje své systémy od základu tak, aby uznal, že lidé pracují ve skupinách a jako rodiny. (O problémech s rodinným sdílením raději ani nezačínejme.)
Většina systémů hesel má nějaký mechanismus sdílení tajemství s ostatními, kteří mají účty. Systém 1Password umožňuje přímé předávání bez předplatného nebo nověji selektivně sdílený přístup mezi členy firemních a rodinných skupin. LastPass, protože položky jsou uloženy centrálně, to nabízí už léta.
Výběr mezi nimi
Pokud hesla používáte téměř výhradně jen na webových stránkách, používáte jen iOS a OS X a nevadí vám pamatovat si a zadávat hesla, která požaduje Apple pro své služby, vyhovuje vám Keychain s iCloud Keychain. Pokud všechny tyto podmínky nesplňujete, vyplatí se do systému pro správu hesel investovat.
Aktualizace: V dřívější verzi tohoto článku bylo uvedeno, že systém iOS neposkytuje přístup k uloženým heslům ani způsob vytváření nových. To ano, jen je to schované v Nastavení.