KeePass: Výhody a nevýhody užití správce hesel (password manager)

Při propagaci užívání správce hesel se občas setkávám s různými opakujícími dotazy, či argumenty, proto si sem sepíšu dokument shrnující tyto otázky a jejich odpovědi.

 

Proč bych měl používat správce hesel?

Protože nepoužívat správce hesel je nebezpečné z mnoha důvodů.

  1. pokud si hesla pamatujete, znamená to, že hesel nemáte víc jak 2-5 hesel, která opakovaně používáte napříč všemi účty. znamená to tedy, že větší množství účtů má stejné heslo.
  2. pokud si hesla pamatujete, znamená to, že hesla jsou relativně jednoduchá a většinou mají 12 znaků, nebo i méně.
  3. pokud si hesla někam zapisujete a není to správce hesel, znamená to, že hesla nejsou bezpečně uložena. jedině snad na šifrovaném disku. zde to má svá další úskalí, například správce hesel má v paměti jen aktuálně použité přístupy ale nikoli rozšifrovanou celou databázi hesel včetně přístupů.

Pro mne osobně se s přechodem na správce hesel značně změnila kvalita hesla z 12 znaků na 20 a každý přístup má zcela unikátní heslo. Hesla si generuje KeePass sám, nemusím nad nimi nějak přemýšlet. Vzhledem k tomu, že mám několik stovek hesel, nedá se takovému kalibru konkurovat.

Výhodou taky může být, že se správcem hesel získáte katalog používaných aplikací a přístupů do nich … občas jsem si totiž nebyl jist, jakým způsobem se vlastně do nějaké aplikace, či služby přihlašuji. Nebo dokonce jsem si myslel, že přístupy mám, ale ve skutečnosti jsem je neměl.

 

 

Co když přijdu o přístup k databázi hesel?

Správce hesel ukládá hesla do nějaké databáze, což je většinou nějaký soubor, který má šifrovaný obsah. Jsou samozřejmě vyjímky, někteří správci hesel, zvláště řešení pro více uživatelů a s různými úrovněmi přístupů a auditem používají skutečnou relační databázi (SQL).

Pokud nějak o přístupy přijdu, je to pořád jen seznam hesel, pokud hesla nevím, musím si je postupně resetovat a získat tak zpět přístupy do všech aplikací a systémů.

Pokud jste jen zapomněli heslo do správce databáze, můžete si obnovit databázi ze staré zálohy, kde heslo znáte … postup je identický jako v případě jakékoli jiné obnovy dat ze zálohy.

 

Potřebuji sdílet databázi hesel mezi více zařízeními

Jak jsem již psal, databáze hesel je soubor. KeePass používá soubory ve formátu kdbx. Tento soubor si můžete uložit třeba na OneDrive, NextCloud, DropBox, Google Drive, či síťový disk … a tím jej zpřístupníte pro další svá zařízení. KeePass podporuje současnou práci se soubory ve více zařízení v jednom okamžiku, takže není problém mít otevřenou databázi ve třech různých zařízeních a v jednom z nich přidat nové přihlašovací údaje a dalším třeba jiné údaje smazat, či aktualizovat.

 

 

Používání správce hesel je příliš složité a nebezpečné

V mém případě používám aplikaci KeePass. Aplikace je lokální, data jsou u mě, případně na online úložištích. Díky používání KeePassu se mi naopak zjednodušil život:

  1. musím si pamatovat pouze dvě hesla, heslo do Windows a heslo do KeePassu.
  2. prudce se mi zvedla kvalita hesel.
  3. hesla častěji aktualizuji v aplikacích, už se změn hesla nebojím.
  4. únikem některého z mých hesel nedojde, ke kompromitaci ostatních aplikací, protože jak jsem již psal, hesla jsou pro každou aplikaci zcela unikátní.

 

Jistě, je to nové, je třeba si osvojit nové postupy, ale není to nic složitého. Srovnáním by se dalo říci, že KeePass je takový hodně specializovaný Excel jen na hesla.

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting