Milý lastpass, toto už vážne NIE!
Asi je všetkým jasné, že si idem kopnúť do populárneho cloudového správcu hesiel lastpass. Ibaže ja sa nebudem navážať do žiadnej zo zraniteľností, s ktorou v blízkej, či vzdialenejšej minulosti zápasili. Nebudem ani moc meditovať nad tým, či je práve lastpass a ich cloud to správne miesto na uloženie všetkých vašich hesiel. Osobne však verím, že vo všeobecnej rovine je správne použitie správcu hesiel prínosom (tým sa samozrejme nerozumie password manager s prístupovým heslom 12345678 v ktorom si budete zapisovať obdobne nezmyselné heslá). Totiž neviem ako vy, ale ja si aj napriek dobrým radám dokážem zapamätať len zlomok obstojných hesiel oproti tomu, než by som mal. No a v momente keď už máte všetky heslá uložené na jednom mieste a zároveň používate viac zariadení, tak je otázka synchronizácie viac než relevantná. Cloud je rozhodne jednou z možností a je na vašom osobnom (či firemnom) risk managemente, či sa rozhodnete ísť touto cestou.
To čo mňa zdvihlo zo stoličky bolo však súčasťou poslednej aktualizácie programu Lastpass Authenticator. Doteraz tento program slúžil ako plne samostatná mobilná aplikácia, ktorá podobne ako Google Authenticator, generovala krátkodobé kódy potrebné pri dvojfaktorovej autentifikácií do zvolených služieb ako je napr. Google, Facebook ale aj iné. Zabezpečuje teda obvykle druhý prvok autentifikácie “niečím čo vlastníte” - v tomto prípade spárovaným telefónom, či tabletom. Spárovanie (prvotné nastavenie) s vašimi službami ste si museli urobiť vždy nanovo keď ste si kúpili nový telefón ale aj po obnove továrenských nastavení, alebo ak ste aplikáciu iba reinštalovali.
Teraz však pribudla, našťastie iba opt-in, funkcia - “záloha do lastpass”, ktorá sľubuje väčšie pohodlie, keďže odpadá nutnosť opätovného párovania. Znie to skvelo, však? No iba do momentu, než si uvedomíte o akú zhovädilosť sa vlastne jedná. Takže si to rozoberme pekne po poriadku. Autentifikovať sa (potvrdiť/overiť svoju identitu) môžete v zásade tromi spôsobmi (veľmi zjednodušene):
- Niečím “čo viete”, teda napr. staré známe heslo
- Niečím “čo vlastníte”, takže kľúč, prístupová karta, alebo už vyššie spomínaná aplikácia na telefóne
- Niečím “čo ste”, čím sa myslí biometria, teda odtlačok prsta, geometria dlane, krvné riečisko, sietnica, dúhovka…
Každý s vyššie menovaných spôsobov má svoje úskalia, pričom rozpisovať sa o problémoch hesiel by bolo už vážne nosením dreva do lesa. Preto sa čoraz častejšie môžeme stretnúť s možnosťou, či povinnosťou dvojfaktorovej autentifikácie, teda napr. kombináciou hesla a “jednorazového” tokenu vygenerovaného podobnou aplikáciou ako je Lastpass Authenitcator. Verím, že už sami vidíte, že o druhom faktore (niečo čo vlastníte) tu môžeme hovoriť len za predpokladu, že spárovanie generátora kódov neopustí váš telefón, a to je presne kameňom úrazu pri novej fasa funkcii od lastpassu. Vaše nastavenia, spárovanie vášho generátora, sa prenesú a bezpečne uložia spolu s vašimi heslami v cloude lastpassu zabezpečenom vašim hlavným prístupovým heslom… uf!
Ak by to nebolo náhodou ešte úplne jasné, skúsme príklad. Rozhodli ste sa vaše vchodové dvere zabezpečiť okrem číselného kódu ešte aj starým dobrým kľúčom. Keďže heslá, PINy a iné kódy vám už dávno prerástli cez hlavu, zapisujete si ich všetky do zošita, ktorý máte uložený v trezore zamknutom super silným heslom. Takže, čisto teoreticky, aj keby sa niekto dostal do vášho trezoru - váš dom ostáva v bezpečí, pretože kľúče nosíte stále so sebou. Ibaže by ste si odložili ich kópie do toho istého trezora, no nie je to geniálny nápad?
Takže kľudne používajte zabezpečených správcov hesiel, zapnite dvojfaktorovú (viacfaktorovú, multifaktorovú, viacstupňovú - názvoslovie sa žiaľ mení od služby ku službe) autentifikáciu všade kde to je len možné. Ale vylepšeniam ako bolo to dnešné, prosím, povedzte nie.