Bezpečné heslá
a správca hesiel

1.1   Informácie k cvičeniu

Cvičenie má predpripravený virtuálný stroj Ubuntu, ktorý si študent spustí cez VMware.

      • Ubuntu – verzia 22.04.2 64bit, user:tuke, password secret, viac info. -> úvodné cvičenie
      • KeePassXC – v2.6.6, nainštalovaný vo VM Ubuntu

1.2   Motivácia

Na tomto cvičení sa študent naučí osvedčené postupy pri vytváraní bezpečného hesla. Taktiež použije správcu hesiel na ich bezpečné ukladanie a správu pomocou nástroja KeePassXC.

1.3   Ciele cvičenia

  1. Naučiť sa ako vytvoriť bezpečné heslo a akým chybám sa vyhnúť pri vytváraní hesla.
  2. Klasifikovať správcov hesiel a porovnať ich funkcionality.
  3. Osvojiť si nástroj KeePassXC na lokálnu správu hesiel.

1.4 Bezpečné heslo

V dnešnej dobe jedným z najčastejších chýb z oblasti kybernetiky je voľba zlého hesla. Podľa stránky cybernews.com sú najčastejšie používané heslá napr. password,1234567890,qwerty atď. Takéto heslá je velmi jednoduché z pohľadu útočníka odhaliť. Veľa ľudí používajú vo vlastných heslách osobné informácie napr. číslo domu, meno mamky, svoj dátum narodenia atď. Ak vás útočník pozná alebo má prístup napr. k vaším profilom na sociálnych sieťach, dokáže sa k týmto informáciam dostať a pomocou brute force útoku alebo iných techník, jednoducho takéto heslo odhaliť.

Voľba bezpečného hesla neznamená, že si potrebujeme zapamätať 40 znakový reťazec nezmyselnej kombinácie čísel, písmen a znakov.  Pozrime sa na pár základných bodov, ktoré si musíme uvedomiť aby sme vytvorili bezpečné a ľahko zapamätateľné heslo.

  • Nepoužívajte sekvenciu čísel a písmen, napr. 123, qwerty, jklm
  • Nepoužívajte osobné údaje v heslách, napr. dátum narodenia
  • Použite kombináciu veľkých a malých písmen (min. 12 znakov) spolu s číslami a znakmi, čím dlhšie tým bezpečnejšie vaše heslo bude
  • Skúste sa vyhnúť slovám, ktoré je možné nájsť v slovníku
  • Skúste si vytvoriť vo vašom hesle nejaký sémantický význam

Príkladom bezpečného hesla môže byť vytvorenie nejakej vety, ktorú si dokážeme ľahko zapamätať a vytiahnuť z každého slova prvú slabiku.

„V záhrade mám posadené 2 jablone a 3 hrušky.“ –> Vzámámpo2ja+3hru.

Poznámka: Všimnite si, že namiesto ‘a‘ sme použili znak +

1.5  Správca hesiel

Väčšina ľudí, možno aj vy, neradi registrujete nové účty s pocitom, že si potrebujete vytvoriť a zapamätať nové heslo. Preto práve niektorí používatelia, používajú jedno heslo pre viacero účtov. Takýto prístup je síce užitočný, keďže vám stačí jedno heslo prakticky na všetko, ale z pohľadu bezpečnosti je veľmi zlý, pretože útočníkovi stačí jedno heslo aby sa dostal ku všetkým ostatným účtom. Vhodnou alternatívou, ako predísť tomu, aby ste si nemuseli pamätať enormné množstvo hesiel a potrebovali len 1 je využitie správcu hesiel.

Správca hesiel je softvér alebo služba, ktorá pomáha používateľom ukladať, organizovať a spravovať heslá bezpečným spôsobom. Na prístup do tohto správcu vám stačí vedieť len 1 heslo – master password, ktorým sa autentifikujete, dokonca v niektorých aplikáciach môžete na autentifikáciu použiť biometrické dáta. Poznáme 3 najzákladnejšie typy správcov hesiel:

  • Lokálny – offline správca hesiel
  • Cloudovo založený
  • Bezstavový resp. tokenový

 

1.5.1    Lokálny správca hesiel

Tak ako vyplýva z názvu, lokálny správca hesiel ukladá citlivé dáta na vašom zariadení. Môže to byť počítač, ale aj mobilné zariadenie. Najväčšou výhodou tohto prístupu je to, že nikto k vášmu offline “trezoru” hesiel – vault, nemá prístup a vo väčšine prípadov je lokálny správca hesiel voľne dostupný.

Na druhú stranu, táto služba nie je distribuovaná medzi zariadeniami, a preto ju treba synchronizovať manuálne. Taktiež treba pripomenúť, že v prípade poškodenia zariadenia, na ktorom ste mali offline správcu hesiel, prídete o celý váš vault s heslami.

Poznámka: V dnešnej dobe vznikla samozrejme aj hybridná podpora, teda niektorí správcovia sú aj lokálni a zároveň cloudoví.

Príkladom lokálnych správcov hesiel sú:

  • KeePassXC
  • Password Safe
  • Encryptr
  • Bitwarden
  • Password Manager Pro

 

Poznámka: Na synchronizáciu lokálneho úložiska medzi viacerými zariadeniami potrebujete uložiť váš vault na databázovú službu ako je napríklad dropbox, google drive alebo vlastný NAS server. Ak chcete automatizovať synchronizáciu vášho Vaultu s google diskom, možete použiť rclone v kombinácií s crontab, ktorý v pravidelných intervaloch bude synchronizovať váš lokálny vault s google drive úložiskom.

 

1.5.2    Cloudovo založený správca hesiel

Cloudovo založený správca hesiel je najviac zaužívaný a pohodlný spôsob bezpečného spravovania vaších hesiel. O synchronizáciu medzi jednotlivými zariadeniami máte postarané. Nevýhodou je, že pre autentifikáciu potrebujete internetové pripojenie a vaše heslá sú uložené niekde na neznámom mieste u providera.

Príkladmi cloudových správcov hesiel sú:

  • 1Password
  • Dashlane
  • Keeper
  • Bitwarden
  • LastPass
  • NordPass
  • Enpass

 

1.5.3    Tokenový správca hesiel

Na používanie takéhoto správcu hesiel potrebujete hardvér, ktorý slúži na generovanie jednorázových hesiel. Pri každom prihlásení sa generuje nové heslo, kde sa pomocou tokenu autentifikujete. Preto nie je potrebná žiadna synchronizácia. Takýto typ správcu hesiel je pre bežných používateľov náročný na použitie a jeho praktické využitie nájdete skôr v bankovníctve alebo korporátnych spoločnostiach, kde sa kladie vyšší dôraz na bezpečnosť.

Príkladom tokenových správcu hesiel sú:

  • Yubikey
  • RSA SecurID
  • Duo Security
  • Vasco DIGIPASS

 

1.6   Praktické využitie správcu hesiel

V tejto časti cvičenia sa naučíte používať správcu hesiel KeePassXC. V teoretickom rámci ste sa dozvedeli že KeePassXC je lokálny správca hesiel, to znamená, že váš vault hesiel vlastníte vy vo vašom zariadení. Z bezpečnostného hľadiska je využitie lokálneho správcu hesiel bezpečnejšie oproti cloudovému, pretože vaše heslá nie sú uložené niekde na serveri tretej strany. KeePassXC je multiplatformový, jednoduchý na používanie a zadarmo.

    Upozornenie: Pravidelne si zálohujte váš lokálny password vault, pretože ak ho stratíte, prídete o všetky prístupy, ktoré ste v ňom mali uložené.

    Zaujímavosť: Odporúčame si pre vlastné použitie vyskúšať cloudového správcu hesiel bitwarden, ktorý je automaticky synchronizovaný a dostupný aj na mobilných zariadeniach. Tu je odkaz na ich stránku. Ponúkaju bezplatný balíček na základné funkcie, ktoré by vám mali dokonale postačiť.

    1.6.1    KeePassXC Password Vault

     

    Spustite si váš VM Ubuntu. A spustie si GUI verziu KeePassXC.

    $ keepassxc

    Vytvorte si novú databázu hesiel, pomenujte si ju ako chcete. My necháme default name „Passwords“.
    Encryption Settings tiež ponecháme na defaultnom nastavení.

     

    Vytvorte si heslo pre vašu databázu. My si kvôli jednoduchosti zvolíme heslo “secret”.

    Poznámka: Nezabúdajte hešlo pre vašu databázu je jediné heslo ktoré si musíte zapamatať, taktiež by malo byť bezpečné tak ako sme spomínali v sekcii o bezpečnom hesle.

      Zaujímavosť: V „Add additional protection..“ si môžete vytvoriť key file. Tento súbor by ste museli vždy predložiť pri autentifikácií do vašej databázy. Ponúka to vačšiu úroveň bezpečnosti, ale udržiavanie tohto súboru je samozrejme vyššou úrovňou zodpovednosti.

      Po kliknutí na „done“ vás KeePassXC nechá vybrať miesto, kde chcete váš password Vault uložiť. Uložte ho kde chcete my sme zvolili adresár Documents.

       

      Ta najdôležitejšia funkcia, ktorá vás momentálne zaujíma je vytvorenie nového záznamu. Kliknite na ikonku (+) a vytvorte si záznam napríklad pre Linkedin.

      Poznámka: Všimnite si pri inpute Password je možnosť vygenerovať heslo. Vľavo je panel s ďalšími možnosťami.

      Po uložení je váš záznam zobrazený v Root adresári keepassu, kliknite pravým tlačidlom myši na záznam Linkedin a analyzujte možnosti.

      Poznámka: Overte si username a password, tým že si ho napr. vložíte do textového editora.

       

      1.6.2    KeePassXC integracia s browserom

      V tejto časti integrujete vašu lokálnu databázu s prehliadačom Firefox. Samozrejme pri používaní tejto možnosti musí byť KeePassXC spustený na pozadí.

      Otvorte si nastavenia vašej databázy kliknutím na ozubené koliesko alebo pod Tools > Settings. Z panelu vľavo vyberte Browser Integration a zaškrtnite “Enable browser integration” a ako prehliadač vyberte Firefox. Tak ako na obrázku nižšie.

       

      Stiahnite si extension pre firefox: KeePassXC-Browser.

      Pripojte túto extension na vašu Vault. Kliknutím na Connect.

       

      Aplikácia KeePassXC vás požiada o meno vášho integrovaného Vaultu, my volíme to iste ako v predošlom príklade “Passwords“. A kliknite na „Save and allow access“.

       

       

      Teraz si správnosť riešenia overíme. Otvorte si stránku Linkedin. A hneď by ste mali mať možnosť zvoliť údaje z vaultu pre túto stránku.

        1.7   Zdroje

          1.8  Dotazník / Kvíz

          Dotazník resp. kvíz je hodnotený 0.5 bodom k zápočtu. Na jeho vyplnenie máte čas do 5. novembra. Odkaz na dotazník nájdete tu.