Miért ne választanád a Keychaint az 1Password vagy a LastPass helyett?

Rendszeresen ajánlom az embereknek, hogy használjanak valamilyen jelszókezelő rendszert, amely lehetővé teszi számukra, hogy nehezen feltörhető jelszavakat (akár rövid és bonyolult, akár hosszú és könnyen megjegyezhető) állítsanak be egyedileg minden webhelyre és szolgáltatásra, és azt is, hogy ezeket a jelszavakat mindenhol kitöltsék, ahol szükségük van rá.

Lowell Nelson néhány hete írt nekem egy e-mailt, amelyben azon tűnődött, hogy miért vagyok annyira oda a harmadik féltől származó lehetőségekért, mint például a 1Password, a Dashlane és a LastPass, amikor az Apple-nek van egy saját, robusztus, többplatformos megoldása, amely szinkronizálást is tartalmaz: Keychain. (A Keychain pontosabban az OS X-részt írja le, míg az iCloud Keychain lehetővé teszi az eszközök közötti szinkronizálást és az iOS-szel való használatot.)

Ez egy remek kérdés, és én inkább nem mondom az embereknek, hogy vásároljanak egy fizetős szolgáltatást (legyen az egyszeri díj vagy előfizetés), hacsak a hasznossága nem olyan nagy, hogy az ellensúlyozza a költségeket.

Lássuk a részleteket. Mivel alaposan teszteltem és tanulmányoztam az 1Passwordet és a LastPass-t, ezeket használom összehasonlítási alapként. Az alábbi pontok mindegyikére választ kell találnia bármelyik kellően robusztus alternatíva GYIK-jeiben vagy funkcióleírásaiban.

Míg az Apple Keychain, az 1Password és a LastPass mind képesek másfajta adatok biztonságos tárolására, a jelszavak a legmegbízhatóbb elem, amely egy egész ökoszisztémában és platformok között használható.

Mennyire biztonságosak az adatok?

Egy jelszó “széfnek” három fő területen kell a jelszavakat, nos, biztonságban tartania:

• Az eszközön nyugvó adatok. A jelszavaknak az eszközön biztonságban kell lenniük az ellen, hogy a tulajdonoson kívül bárki hozzáférjen.

• A szervereken tárolt adatok. Egy támadó számára nehéz vagy lehetetlen legyen a felhőben tárolt jelszavakhoz való hozzáférés és azok visszafejtése.

• Az adatok szinkronizálás közben vagy webalapú hozzáféréshez és onnan történő továbbítás közben. Az erős titkosításnak meg kell akadályoznia, hogy egy szimatoló feltörje az új bejegyzéseket, a lekérdezéseket és a frissítéseket, valamint az interaktív munkameneteket.

A Keychain és az iCloud Keychain eléggé robusztusak e tekintetben. Az OS X-et és az iOS-t fel kell oldani a Keychain-bejegyzések kitöltéséhez, és az OS X Keychain Access alkalmazásához adminisztrátori vagy felhasználói jelszó szükséges a jelszavak feloldásához és megtekintéséhez. Az iOS-ben a Touch ID vagy a jelszó, az OS X-ben pedig a FileVault 2 segítségével a jelszavak akkor is nagy biztonságban vannak, ha le van kapcsolva (OS X) vagy le van zárva (iOS). Az iCloud Keychain eszközalapú titkosítást használ, ami megakadályozza, hogy az Apple képes legyen (vagy kénytelen legyen) visszafejteni a jelszavakat.

A1Password és a LastPass egy “drága” jelszótitkosítási módszert használ a helyben tárolt adatbázisaidhoz, így még ha valaki meg is szerzi őket, egy feltörő csak nagyon-nagyon lassan tudja a jelszavakat feltörni. A LastPass ezt akaratlanul is tesztelte egy hackelés után: nem érkezett jelentés arról, hogy bármelyik jelszótárat feloldották volna.

A LastPass mindent a szerverein keresztül szinkronizál, de csak a felhasználók által ismert kulcsokkal titkosít. Az 1Password a Dropboxon és más felhőalapú szolgáltatásokon keresztül szinkronizál (ezek biztonságára és nyugalmi titkosítási módszereire támaszkodva), valamint a családtagokkal vagy csapattagokkal való megosztásra szolgáló kiegészítő előfizetéseken keresztül, de mindent a felhasználó tulajdonában lévő kulcsokkal zár le.

A LastPass és az 1Password csapat- vagy családi opciói szintén webböngészőn keresztül biztosítanak hozzáférést, és natív ügyfélszoftver helyett böngészőalapú dekódolást használnak; a cégek nem rendelkeznek a kulcsokkal. A böngészőre való támaszkodásnak azonban van egy gyenge pontja. A rosszindulatú programok és más böngészőalapú kihasználások a böngészőket sokkal sebezhetőbbé teszik a natív alkalmazásokon és a felhőszinkronizáláson keresztül elérhető biztonsági szinthez képest. Az iOS és az OS X rendszerekben rendszeresen fedeznek fel Safari-hibákat (bár nagyon keveset látnak a természetben), és megkísérthetik, hogy egy másik operációs rendszert futtató ismeretlen gépről férjen hozzá jelszavaihoz.

Hogyan könnyen használható a rendszer?

A jelszórendszernek könnyen előhívhatónak kell lennie. Ha nem az, akkor nem fogod következetesen használni, mert ez az emberi természet. Ami még rosszabb, ha valaki másnak telepíti, hogy javítsa a biztonságát, akkor valószínűleg egyáltalán nem fogja használni, ha nem állandóan emlékeztető és kiválóan egyszerű.

A kulcsláncot az Apple nagyrészt arra használja, hogy megjegyezze a weboldalak bizonyos mezőinek jelszavait, és hogy tárolja a jelszavakat automatikus visszakeresés és megkerülés céljából a saját szoftvereiben (például az AirPort Admin az OS-ben) vagy olyan harmadik féltől származó szoftverekkel, amelyek az Apple Keychain horgokat használják. A mobil és asztali Safariban a Keychain nagyon jól működik, az erős jelszó javaslatától kezdve a jelszó tárolásán át a visszahívás vagy más tárolt alternatívák használatának lehetővé tételéig.

De míg az OS X-ben széles körben hasznos, mivel több fejlesztő is átvette, és van Keychain Access a közvetlen kereséshez és visszakereséshez, addig az iOS-ben le kell fúrni a Beállítások > Safari > Jelszó > Jelszó megtekintéséhez, szerkesztéséhez vagy (húzza egészen alulra) jelszavak hozzáadásához. Továbbá az Apple nem webes bejelentkezési párbeszédpaneleiben nem lehet meghívni a Keychaint, így az általános célokra használhatatlanná válik. És bár szükség esetén ki lehet találni egy jelszót, azt nehézkes elérni, és csak a megfelelő weblapon lehet könnyen előhívni.

Az Apple az iOS 8-tól kezdődően bővítményekkel egészítette ki, így az 1Password, a LastPass és más eszközök a Safariban és más alkalmazásokban is előhívhatók. Számos általam használt iOS-alkalmazás közvetlenül kapcsolódik az 1Password API-jához, amely lehetővé teszi a közvetlen meghívást. Legrosszabb esetben a LastPassra vagy az 1Passwordre válthatok, hogy megtaláljam a jelszót, lemásoljam, majd visszaválthatok az alkalmazáshoz, és beilleszthetem.

Az alkalmazással erős jelszavakat is létrehozhat, amelyek a létrehozáskor megmaradnak, automatikusan szinkronizálódnak, és a vágólapra másolva más alkalmazásokban is felhasználhatók.

1Password

A cross-platform helyzet sokkal rosszabb. Az Apple nem teszi elérhetővé az iCloud Keychaint a saját operációs rendszerein kívül. Az 1Password és a LastPass (és más alkalmazások) a főbb platformok széles skáláján elérhetőek, ráadásul böngészőalapú hozzáférésük is van (a LastPass esetében alapértelmezetten, az 1Password esetében pedig előfizetési opcióként).

Az iCloud Keychain nem rendelkezik a másokkal való megosztás mechanizmusával – ez része annak a folyamatos narratívának, amelyet évek óta tárgyalok arról, hogy az Apple nem úgy tervezi a rendszereit az alapoktól kezdve, hogy felismerje, hogy az emberek csoportokban és családokban dolgoznak. (A családi megosztással kapcsolatos problémákba most ne is kezdjünk bele.)

A legtöbb jelszórendszer rendelkezik valamilyen mechanizmussal a titkok megosztására másokkal, akiknek van fiókjuk. Az 1Password lehetővé teszi a közvetlen továbbítást előfizetés nélkül, vagy újabban a szelektív megosztott hozzáférést üzleti és családi csoportok tagjai között. A LastPass, mivel az elemeket központilag tárolja, már évek óta kínálja ezt.

Választás közöttük

Ha szinte kizárólag csak weboldalakon használ jelszavakat, csak iOS-t és OS X-et használ, és nem zavarja az Apple által a szolgáltatásaihoz megkövetelt jelszavak megjegyzése és begépelése, akkor a Keychain az iCloud Keychainnel megfelel a célnak. Ha ezek a feltételek nem mindegyike teljesül, akkor is érdemes beruházni egy jelszókezelő rendszerbe.

Frissítés: A cikk egy korábbi verziója szerint az iOS nem biztosít hozzáférést a tárolt jelszavakhoz, és új jelszavak létrehozására sincs mód. De igen, csak a Beállításokban van elrejtve.