Bezpečnost účtů – část první

Bezpečnost účtů – část první

Už několik týdnů, možná spíš měsíců, řeším zabezpečení svých účtů. A i když jsem předpokládal, že v dnešní době všudepřítomné osvěty o bezpečnosti to bude hračka, tak bohužel ani omylem. Navíc, vše musí být tak jednoduché, aby řešení používala i má žena. Jinak by celá bezpečnost byla ta tam.  A jako třešnička na dortu, celé zabezpečení musí být udělané tak, aby se v případě živelné katastofy, nebo kdyby se mi nedejbože něco stalo, dalo stále ke všem účtům a penězům (a kryptoměn) dále dostat.

Dnešní stav bezpečnosti je slušně řečeno smutný. Na jedné straně tady máme USB tokeny jako je třeba Yubikey, Trezor a další a na druhé straně pak poskytovatele služeb, kde je vrchol zabezpečení šestimístné heslo. Do toho vše zhoršuje ještě fakt, že se většina uživatelů potřebuje přihlašovat na více zařízeních s více různými operačními systémy. Pak už je to úplná katastrofa.

A tak jsem opravdu dlouhou dobu řešil, jak zabezpečit své pracovní PC postavené na Widnows, přitom mít možnost pracovat občas i na OSX a do toho mít přístup k datům i z Android telefonu. Jakmile totiž chce člověk opravdu dobré zabezpečení, je to problém.

Původně jsem používal kombinaci Lastpass a Authy. V Lastpass jsem měl všechna hesla a měl je chráněné pomocí 2FA TOTP (dvoufázová autentizace založená na časových kódech). Tyto 2FA kódy jsem generoval původně přes Google Authenticator, později pak přes Authy.

Celé řešení má ale hned několik problémů. Zaprvé, Lastpassu se prostě nedá věřit na 100%. Pořád jsou data uložena někde v cloudu (i když šifrovaná) a pořád se dá k datům v prohlížeči teoreticky dostat. Pár průšvihů už Lastpass mělo a hlavně, data jsou v určitou chvíli rozkódovaná v pluginu prohlížeče, kde je může vyluxovat někdo dalši.

A to stejné platí o 2FA kódech v Authy. Ačkoli je authy zaheslované masterpasswordem, tak jsem používal cloudsync, abych mohl 2FA kódy používat jak na pracovním PC, tak notebook a mobilu. A všude tak hrozilo, že se k těmto kódům nějaká další cizí aplikace dostane (a bohužel to nelze vyloučit nikdy).

Moje původní představa, jak z toho ven, byla, že si pořídím HW klíč a vše už bude jenom krásné. Bohužel, záhy člověk zjistí, že podpora HW klíču je opravdu tristní. Velcí hráči ala Google, Microsoft, Dropbox a další už ji mají, ale 95% (možná i 99%) ostatních webů vůbec. Když už nějaké zabezpečení, tak v lepším případě časové 2FA TOTP kódy, v horším případě potvrzení přes email, v nejhorším případě nic.

A tak jsem začal vymýšlet, co by se s tím dalo v rámci možností udělat, aby to splňovalo bezpečnost, ale zároveň i komfort použití. Jako první je potřeba si definovat cíl zabezpečení. Cílem není mít 100% bezpečnost u všech služeb. Cílem je mít 100% bezpečné kritické věci a u těch ostatních se spokojit s 99%.

Za kritickou službu číslo jedna považuju email. Konkrétně Gmail a GoogleApps email. Pokud by se mi někdo dostal do emailu, je konec. Přes něj už se dokáže dostat skoro všude, vynutit si změnu hesla u ostatních služeb atd.

Mezi další kritické služby samozřejmě patří Lastpass, kde jsou všechna hesla, dále pak Crypto burzy, Trezor na kryptoměny, … zkrátka takové služby, kde fakt nechcete, aby byl někdo cizí.

A zde je zatím to nejlepší, co jsem vymyslel –  HW Key Yubikey, KeePass, Lastpass, Yubico Authenticator a na kryptoměny Trezor. Jak jsem psal, není to úplně triviální. Bohužel je dnes potřeba několika aplikací a zařízení, aby byla ochrana ideální.

Nejlepší na synchronizaci hesel je stále Lastpass. Potřebuji přístup k heslům jak na Windows, tak OSX a Androidu a to ve více různých prohlížečích. Jelikož ale Lastpassu úplně nevěřím, všechny kritické služby krom hesla mají nějakou další formu 2FA. Tím pádem, pokud mi Lastpass hesla vyluxují, dostanou se sice třeba na vodniky, ale do kritických služeb nikoli.

Na 2FA kódy jsem ale Authy zavrhl. Ne, že by s ním byl problém, ale je to služba třetí strany, které úplně nevěřím. A tak jsem řešil, kam s 2FA. Nakonec se mi povedlo zjistit, že se 2FA kódy dají generovat pomocí určitých pluginů i v aplikace Keepass.

Samotné zabezpečení KeePassu je také kapitola sama pro sebe. Opět, díky pluginům, lze dosáhnout velmi kvalitního zabezpečení. A to díky Challenge-response protokolu a tajnému klíči, který je nahraný do Yubikey. O tom později.

Bohužel, Keepass je jen pro Windows (ten původní Keepass). Existuje několik alternativ KeePassu, které umí fungovat i na OSX či Linuxu. Jenže tam už nemáte tu jistotu bezpečí, navíc, nepodporují pluginy. Například KeePassX jich má pár implementovaných v sobě, ale není to úplně ono.

A pak tu máme android. Rozhodně jsem nechtěl mít generátor 2FA TOTP klíčů na Androidu nechráněný. Takže nějaká read-only databáze KeePassu nepřipadala v úvahu. Stejně tak GoogleAuthenticator neumožňuje žádné zabezpečení. Naštěstí jsem narazil na Yubico Authenticator for Android, který umí zadat klíče do Androidu, ale jsou přitom šifrované konkrétním Yubikey klíčem.

A to je hrubý nástin toho, jaké aplikace jsem se rozhodl použít. Bohužel, jen o aplikacích to není. Je potřeba do Keepasu hodně věcí doinstalovat a nastavit a nebo vymyslet workflow tak, aby ho zvládla používat i žena. Například přenos 2FA TOTP  klíčů mezi Android a Windows, způsob generování 2FA klíčů pomocí Keepassu, zůsob zálohování Yubikey, jelikož jeden klíč je málo, způsob zabezpečení Keepassu, ….

Je toho opravdu hodně. A aby toho nebylo málo, je tam ještě ten jeden požadavek. Toto všechno se musí dát nějak jednoduše popsat tak, aby to mohlo být uloženo v bezpečnostní schránce v bance, aby kdyby se něco stalo, tak se šlo stále ke všemu dostat. Jak zajistit, že se nebude muset obsah schránky neustále aktualizovat. Jak vyřešit, že některé věci musí být jen fyzicky na HW klíči, atd. kryptoměnám a dalším elektronickým statkům by se totiž v případě mého zmizení či demence už nemusel nikdo další k majetku dostat. A proto jsem začal dávat dohromady rovnou i recovery plán.

A o tom budou další články. Uvidím, jak na tom budu s časem, protože tyhle články bohužel nejsou na pár minut. Pokusím se postupně sepsat návod na všechny oblasti zabezpečení, ukázat jak si vše nastavit a rozběhat. A to tak, aby Vaše emaily, účty i Bitcoiny byly v bezpečí :).


Všechny články v sérii:

Pomohl Vám náš blog? Chcete nás podpořit? I málo udělá radost 😉
Become a patron at Patreon!
0 0 votes
Hodnocení články
Subscribe
Notify of
guest

27 Komentáře
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
SiebenCZ
Guest
SiebenCZ
5 years ago

Už se těším na Disaster Recovery proces 😀

maxx
Guest
maxx
5 years ago

Super. Uz se tesim na clanky.

Presne tohle jsem totiz resil v soukrome i firemni oblasti (tam jeste pribyla dulezitost bezpecneho sdileni hesel) a prozatim skoncil s LastPassem a 2FA s vedomim, ze tam proste nejake riziko zustava. Rodinu ale jeste nemam a firma teprv roste, takze jsem finalni reseni odlozil na budouciho maxxe.

Olda
Guest
5 years ago

Bezpečnost je pro mne také důležitá:
osobně využívám 1password + Google Auth.

Dále jsou důležité pluginy pro prohlížeč: ScriptSafe (zakázané javascripty, whitelisting), always https…

V plánu mám i NordVPN.

Disky se mi šifrují + zálohují na šifrovaný disk.

Rovněž je pro mne důležité i pohodlí a k tomu tahání klíčenek a fyzické schránky v bance nepatří. Zatím, možná časem dojdu i k tomu.

Olda
Guest
5 years ago
Reply to  L

To že 1password programují Češi je pro mne novinka, je k tomu nějaký zdroj? Podle https://1password.com/company/ to tak nevypadá.

btw je rozdíl mezi Google Auth (stačí potvrzení) a Google Atuhenticator – normálně se opisují a generují offline kódy.
Využívám to generování kódů.

Jinak právě kvůli kryptoměnám někteří používají zvláštní notebook jenom pro to (minimalizují riziko viru, hacku) a zapínají ho jen v případě potřeby. To mi přijde už nepohodlné.

Jinak samozřejmě, opatrnosti není nikdy dost. A světová osvěta mezi lidi se také hodí.

Olda
Guest
5 years ago

Souhlasím s Google Autheticator synchronizací. Už mne to párkárt vypeklo při reinstalaci iphone,kdy se to prostě smazalo 🙁

Bezpečné úložiště 2fa záloh: zašifrovaný zaheslovaný ZIP?
Lepší než vaše (keepass + HW) řešení nemám.

Trezor bohužel nepodporuje úplně všechny kryptoměny. Ale řešením by bylo, ale zase nemám tolik crypto, abych to řešil.
Pro hold stačí papír na bezpečném místě.

Každopádně díky za článek, přínosné komentáře a rady.

Jarda Pernik
Guest
Jarda Pernik
5 years ago
Reply to  Olda

Prosím, šifrované zipy považujte za kompromitované. viz.: https://twitter.com/3lbios/status/1087848040583626753
Také bych rád podotkl, že pokud byly uloženy na nešifrovaném médiu typu USB Flash, nebo nešifrovaný HDD, je nutné provést několikeré přepsání náhodnýmy daty celého média, nebo ho prostě zničit.
Jednou jsem si omylem naformátoval flashdisk a potřeboval jsem obnovit data, při inspekci jsem tam pak našel data smazaná před deseti lety, v několika vrstvách na sobě, takže víc dat, než je její nominální kapacita.

Jarda Pernik
Guest
Jarda Pernik
5 years ago
Reply to  L

K tomu zipu jsem odpovídal na tohle:
“Bezpečné úložiště 2fa záloh: zašifrovaný zaheslovaný ZIP?”,
“Zaheslovany zip neni spatny, ale zase je potreba opravdu dlouhe slozite heslo, protoze jinak jsou na zip uz lamace hesel.”

vojta
Guest
vojta
5 years ago

jak máš třeba udělánu 2FA u Coinbase?
Já myslel že tam to jde napojit na trezor – ale bohužel, zase jen Google Auth., což se mi nelíbí, protože když ztratím telefon, tak se nikam nedostanu – přece jen ztráta Trezoru je méně pravděpodobná.

To stejné Degiro (pro akcie), mají sice 2FA, ale pouze přes Google Auth. a tvůj mobilní telefon, což mi mco nevyhovuje.

Myslel jsem že půjde víc věcí napojit na 2FA přes Trezor, ale zatím mě šel jen Gmail. 🙁

Nicméně díky za článek, jen díky němu jsem se něco málo přiučil

kostalkarel
2 years ago

Zdravím, sice tu již dlouho není pohyb na diskuzi, ale zkusím to sem, páč se týká tématu. Chtěl jsem použít Lastpass, ale nyní nepodporuje ve free verzi několik typů zařízení, takže pro mobil a notebook nepoužitelné. Hesla mám doposud v chromu pro automatické doplňování, ale tohle úložiště není heslované. Tedy je, ale z jedné strany heslem po přístup k zařízení a z druhé strany heslem pro google účet. Google účet jsem zadal šifrování s Yubikey, ale to funguje pouze pro přístup k účtu, nikoli k heslům v Chromu.
Takže jakou alternativu zvolit pro použití na různých zařízení místo Lastpass? Bylo by řešením použít někde tady nebo u dalších článků zmíněný KeepassXC, čímž by se nahradil Keepass + Lastpass. Tedy KeepassXC na Windows i Android – zálohované celé na Dropbox a k této záloze přístup jak z Android, tak z Windows. V popisu Dropboxu jsem našel, že ve free verzi by měl podporovat zašifrování 3 souborů, takže by se mohl soubor s Keepassem ještě na Dropboxu zašifrovat?
Děkuji za rady

kostalkarel
2 years ago
Reply to  L

jasně, poté co jsem to napsal, tak jsem si pročítal free verzi keepasXC a v základu nemá 2FA ochranu, takže nic. V recenzích jsem narazil na Bitwarden, kde verze za 10USD na rok má 2FA včetně Yubikey a TOTP generator.

kostalkarel
2 years ago
Reply to  L

stáhl jsem si 1pass a v instalačním okně jsou možnosti “Sign in to 1Password.com”, “Sync using folder”, “sync using Dropbox”. Jelikož mám Dropbox na PC i na mobilu, tak jsem zadal možnost s Dropboxem, ale pak vyskočí hláška “Folder name must end with .opvault or .agileykeychain”. Jedinná možnost která mi funguje nahrání na web. Nevíš co s tím?

kostalkarel
2 years ago
Reply to  L

mě to přijde jako lépe zabezpečené mít databázi na zaheslovaném Dropboxu než u třetí osoby na cloudu, která zná moje přihlašovací údaje. Pokud mi někdo vezme databázi z Dropboxu, tak nemá moje hesla do 1pass (nebo jiného). Možná se mýlím.

kostalkarel
2 years ago
Reply to  L

u té synchronizace by to mělo fungovat pouze ve verzi pro jednoho uživatele, kde si při instalaci apky nebo klienta na PC právě při zvolení toho “sync using Dropbox” namapuješ databázi uloženou v Dropboxu a každý klient do ní ukládá a čte z ní, takže a%t uložíš heslo na jakémkoli zařízení, tak ho vidí ihned ostatní. U Family verze musí být vše přes jejich cloud – to jsem ve foru našel. Problém je, že nemám žádný soubor s databází, když mám nový 1Psw a nemám tedy co namapovat z Dropboxu. Ani když jsem nainstaloval do PC a dal vyhledat jeden nebo ruhej soubor, tak mi to nic nenašlo, abych to přesunul do dropboxu a znova nainstaloval a namapoval. Zkusil jsem dotaz přímo do fora 1Psw, tak uvidím.

Vitek
Guest
Vitek
1 year ago

Zdravim.

Můžu požádat o vysvetlění,

LastPass je dle tebe top na synchronizaci
a Keepass máš, protože funguje offline, takže nejsou v cloudu lastpassu uložený hesla? tys psal v jednom z článků, že ti vadí plugin prohlížeče pro Lastpass, že je napadnutelnej, ale tak nějakej plugin pro hesla do prohlížeče používá i keepass, nebo ne? Řešim, že mám yubikey nově koupen a teďka vybírám password manager a v tomhle bodě nechápu tvůj způsob volby.

Díky. Vítek

27
0
Would love your thoughts, please comment.x
()
x