Bezpečnost účtů – část první

Bezpečnost účtů – část první

Už několik týdnů, možná spíš měsíců, řeším zabezpečení svých účtů. A i když jsem předpokládal, že v dnešní době všudepřítomné osvěty o bezpečnosti to bude hračka, tak bohužel ani omylem. Navíc, vše musí být tak jednoduché, aby řešení používala i má žena. Jinak by celá bezpečnost byla ta tam.  A jako třešnička na dortu, celé zabezpečení musí být udělané tak, aby se v případě živelné katastofy, nebo kdyby se mi nedejbože něco stalo, dalo stále ke všem účtům a penězům (a kryptoměn) dále dostat.

Dnešní stav bezpečnosti je slušně řečeno smutný. Na jedné straně tady máme USB tokeny jako je třeba Yubikey, Trezor a další a na druhé straně pak poskytovatele služeb, kde je vrchol zabezpečení šestimístné heslo. Do toho vše zhoršuje ještě fakt, že se většina uživatelů potřebuje přihlašovat na více zařízeních s více různými operačními systémy. Pak už je to úplná katastrofa.

A tak jsem opravdu dlouhou dobu řešil, jak zabezpečit své pracovní PC postavené na Widnows, přitom mít možnost pracovat občas i na OSX a do toho mít přístup k datům i z Android telefonu. Jakmile totiž chce člověk opravdu dobré zabezpečení, je to problém.

Původně jsem používal kombinaci Lastpass a Authy. V Lastpass jsem měl všechna hesla a měl je chráněné pomocí 2FA TOTP (dvoufázová autentizace založená na časových kódech). Tyto 2FA kódy jsem generoval původně přes Google Authenticator, později pak přes Authy.

Celé řešení má ale hned několik problémů. Zaprvé, Lastpassu se prostě nedá věřit na 100%. Pořád jsou data uložena někde v cloudu (i když šifrovaná) a pořád se dá k datům v prohlížeči teoreticky dostat. Pár průšvihů už Lastpass mělo a hlavně, data jsou v určitou chvíli rozkódovaná v pluginu prohlížeče, kde je může vyluxovat někdo dalši.

A to stejné platí o 2FA kódech v Authy. Ačkoli je authy zaheslované masterpasswordem, tak jsem používal cloudsync, abych mohl 2FA kódy používat jak na pracovním PC, tak notebook a mobilu. A všude tak hrozilo, že se k těmto kódům nějaká další cizí aplikace dostane (a bohužel to nelze vyloučit nikdy).

Moje původní představa, jak z toho ven, byla, že si pořídím HW klíč a vše už bude jenom krásné. Bohužel, záhy člověk zjistí, že podpora HW klíču je opravdu tristní. Velcí hráči ala Google, Microsoft, Dropbox a další už ji mají, ale 95% (možná i 99%) ostatních webů vůbec. Když už nějaké zabezpečení, tak v lepším případě časové 2FA TOTP kódy, v horším případě potvrzení přes email, v nejhorším případě nic.

A tak jsem začal vymýšlet, co by se s tím dalo v rámci možností udělat, aby to splňovalo bezpečnost, ale zároveň i komfort použití. Jako první je potřeba si definovat cíl zabezpečení. Cílem není mít 100% bezpečnost u všech služeb. Cílem je mít 100% bezpečné kritické věci a u těch ostatních se spokojit s 99%.

Za kritickou službu číslo jedna považuju email. Konkrétně Gmail a GoogleApps email. Pokud by se mi někdo dostal do emailu, je konec. Přes něj už se dokáže dostat skoro všude, vynutit si změnu hesla u ostatních služeb atd.

Mezi další kritické služby samozřejmě patří Lastpass, kde jsou všechna hesla, dále pak Crypto burzy, Trezor na kryptoměny, … zkrátka takové služby, kde fakt nechcete, aby byl někdo cizí.

A zde je zatím to nejlepší, co jsem vymyslel –  HW Key Yubikey, KeePass, Lastpass, Yubico Authenticator a na kryptoměny Trezor. Jak jsem psal, není to úplně triviální. Bohužel je dnes potřeba několika aplikací a zařízení, aby byla ochrana ideální.

Nejlepší na synchronizaci hesel je stále Lastpass. Potřebuji přístup k heslům jak na Windows, tak OSX a Androidu a to ve více různých prohlížečích. Jelikož ale Lastpassu úplně nevěřím, všechny kritické služby krom hesla mají nějakou další formu 2FA. Tím pádem, pokud mi Lastpass hesla vyluxují, dostanou se sice třeba na vodniky, ale do kritických služeb nikoli.

Na 2FA kódy jsem ale Authy zavrhl. Ne, že by s ním byl problém, ale je to služba třetí strany, které úplně nevěřím. A tak jsem řešil, kam s 2FA. Nakonec se mi povedlo zjistit, že se 2FA kódy dají generovat pomocí určitých pluginů i v aplikace Keepass.

Samotné zabezpečení KeePassu je také kapitola sama pro sebe. Opět, díky pluginům, lze dosáhnout velmi kvalitního zabezpečení. A to díky Challenge-response protokolu a tajnému klíči, který je nahraný do Yubikey. O tom později.

Bohužel, Keepass je jen pro Windows (ten původní Keepass). Existuje několik alternativ KeePassu, které umí fungovat i na OSX či Linuxu. Jenže tam už nemáte tu jistotu bezpečí, navíc, nepodporují pluginy. Například KeePassX jich má pár implementovaných v sobě, ale není to úplně ono.

A pak tu máme android. Rozhodně jsem nechtěl mít generátor 2FA TOTP klíčů na Androidu nechráněný. Takže nějaká read-only databáze KeePassu nepřipadala v úvahu. Stejně tak GoogleAuthenticator neumožňuje žádné zabezpečení. Naštěstí jsem narazil na Yubico Authenticator for Android, který umí zadat klíče do Androidu, ale jsou přitom šifrované konkrétním Yubikey klíčem.

A to je hrubý nástin toho, jaké aplikace jsem se rozhodl použít. Bohužel, jen o aplikacích to není. Je potřeba do Keepasu hodně věcí doinstalovat a nastavit a nebo vymyslet workflow tak, aby ho zvládla používat i žena. Například přenos 2FA TOTP  klíčů mezi Android a Windows, způsob generování 2FA klíčů pomocí Keepassu, zůsob zálohování Yubikey, jelikož jeden klíč je málo, způsob zabezpečení Keepassu, ….

Je toho opravdu hodně. A aby toho nebylo málo, je tam ještě ten jeden požadavek. Toto všechno se musí dát nějak jednoduše popsat tak, aby to mohlo být uloženo v bezpečnostní schránce v bance, aby kdyby se něco stalo, tak se šlo stále ke všemu dostat. Jak zajistit, že se nebude muset obsah schránky neustále aktualizovat. Jak vyřešit, že některé věci musí být jen fyzicky na HW klíči, atd. kryptoměnám a dalším elektronickým statkům by se totiž v případě mého zmizení či demence už nemusel nikdo další k majetku dostat. A proto jsem začal dávat dohromady rovnou i recovery plán.

A o tom budou další články. Uvidím, jak na tom budu s časem, protože tyhle články bohužel nejsou na pár minut. Pokusím se postupně sepsat návod na všechny oblasti zabezpečení, ukázat jak si vše nastavit a rozběhat. A to tak, aby Vaše emaily, účty i Bitcoiny byly v bezpečí :).

Pomohl Vám náš blog? Chcete nás podpořit? I málo udělá radost 😉

11 thoughts on “Bezpečnost účtů – část první

  1. Super. Uz se tesim na clanky.

    Presne tohle jsem totiz resil v soukrome i firemni oblasti (tam jeste pribyla dulezitost bezpecneho sdileni hesel) a prozatim skoncil s LastPassem a 2FA s vedomim, ze tam proste nejake riziko zustava. Rodinu ale jeste nemam a firma teprv roste, takze jsem finalni reseni odlozil na budouciho maxxe.

  2. Bezpečnost je pro mne také důležitá:
    osobně využívám 1password + Google Auth.

    Dále jsou důležité pluginy pro prohlížeč: ScriptSafe (zakázané javascripty, whitelisting), always https…

    V plánu mám i NordVPN.

    Disky se mi šifrují + zálohují na šifrovaný disk.

    Rovněž je pro mne důležité i pohodlí a k tomu tahání klíčenek a fyzické schránky v bance nepatří. Zatím, možná časem dojdu i k tomu.

    1. diky za comment. Mel jsem to dlouho uplne stejne. Preferoval jsem pohodli pred bezpecim. A dokud jsem neresil cryptomeny, tak mi to “stacilo” (ackoli to idealni nebylo).

      Potiz je, ze kdyz se clovek zacne pohybovat ve svete kryptomen, a zacne pracovat s vetsim nez malym mnozstvim, tak to zacina byt pruserove. Je strasne jednoduche diky drobne chybe v bezpecnosti prijit o vse. A proto jsem to zacal resit vice.

      Bohuzel je momentalne strasne moc udalosti, kdy ruznymi podvodnymi taktikami lide prisli o vse a to mne trochu desi ;-).

      Jinak 1password jsem take zvazoval jako nahradu lastpassu. Jsou mensi (tim padem na ne nebude jeste tolik utoku), jsou to cesi (rad podporim nasi tvorbu) a alespon bych si Lastpass protridil. Ale jeste jsem se k tomu neprokousal.

      Kdysi mi u nich vadila absence synchronizace, ale tu uz tusim nejak vyresili. Pro mne je ted dulezita hlavne podpora prenosu hesel a automaticke vyplnovani. Z toho nehodlam slevit, protoze bych se zblazil. Takze jak jsem psal, chci duveryhodny system ala lastpass nebo 1password na ty mene kriticka data a pak HW + KeePass na to, kde jde o hodne.

      GoogleAuth jakozto SW sluzba neni spatna, ale stoji a pada na bezpecnosti emailu. Navic se da vyuzit vzdalene bez nutnosti fyzickeho potvrzeni (lze hacknout mobil a tam si to sam potvridt). Zatimco prave HW klic vyzaduje fyzicke stlaceni potvrzovaciho tlacitka, takze to nelze na dalku zneuzit.

      1. To že 1password programují Češi je pro mne novinka, je k tomu nějaký zdroj? Podle https://1password.com/company/ to tak nevypadá.

        btw je rozdíl mezi Google Auth (stačí potvrzení) a Google Atuhenticator – normálně se opisují a generují offline kódy.
        Využívám to generování kódů.

        Jinak právě kvůli kryptoměnám někteří používají zvláštní notebook jenom pro to (minimalizují riziko viru, hacku) a zapínají ho jen v případě potřeby. To mi přijde už nepohodlné.

        Jinak samozřejmě, opatrnosti není nikdy dost. A světová osvěta mezi lidi se také hodí.

        1. pardon, spletl jsem si 1password se sticky password. Ten delaji cesi – https://www.stickypassword.com/

          No ano, rozdil mezi google auth a google authenticator samozrejme rozdil je. Ale vy jste psal GoogleAuth, viz vas puvodni post ;-))))

          Jinak Google Autheticator je fajn, ale ma radu nedostatku. prave chybejici synchronizace, takze bez toho, aby ste mel nekde ulozene backup kody, je to dost nepouzitelne reseni.

          A na backup cody potrebujete bezpecne uloziste, a rozhodne tyto kody nepatri prave do Lastpass/1password atd, protoze pak pri prolomeni 1pass ztraci 2FA smysl, jelikoz si utocnik kody vygeneruje.

          Takze potrebujete resit bezpecne uloziste. A to z Vaseho popisu neresite ;-).

          Tudiz je otazka, zda obnovovaci kody vubec nemate => fail, jelikoz pri ztrate/poruse mobilu se nedostanete do sluzby,
          nebo je mate nekde ulozene na disku => fail, muze je na disku precist kdokoli,
          nebo je mate v password manager => fail, jelikoz se k nim v pripade pruniku do pass-manageru dostane utocnik spolu s hesly.

          Jedina spravna cesta je tudiz sifrovana uloziste, ktere je chranene napriklad heslem, idealne HW klicem. A jsme tam, kam jsem se ja dostal s Keepas + HW ;-))

          Ad kryptomeny a externi notebook, na to staci Trezor. Ten funguje skvele a eni potreba se starat o dalsi notebook. Problem ale je, ze pokud s kryptem chcete i neco delat, nejen jej drzet, tak ani trezor, ani externi notebook nestaci. Potrebujete mit online pristup na nekolik burz, potrebujete mit treba i nejake roboty co s nimi pracuji, atd.

          A zde jiz potrebujete mit bezpecne PC a bezpecne ulozena vsechny data, jelikoz s kryptem delate denne a nejaky externi notebook uz nepomuze.

          Ale jak jsem psal, je to presne o tom, co clovek potrebuje. Pokud nakoupim a ulozim k ledu, staci trezor. Ten je bezpecny az az.

  3. Souhlasím s Google Autheticator synchronizací. Už mne to párkárt vypeklo při reinstalaci iphone,kdy se to prostě smazalo 🙁

    Bezpečné úložiště 2fa záloh: zašifrovaný zaheslovaný ZIP?
    Lepší než vaše (keepass + HW) řešení nemám.

    Trezor bohužel nepodporuje úplně všechny kryptoměny. Ale řešením by bylo, ale zase nemám tolik crypto, abych to řešil.
    Pro hold stačí papír na bezpečném místě.

    Každopádně díky za článek, přínosné komentáře a rady.

    1. Zaheslovany zip neni spatny, ale zase je potreba opravdu dlouhe slozite heslo, protoze jinak jsou na zip uz lamace hesel.

      Takze prave ten keepass vychazi nejlepe. Do toho se da keepass dobre synchronizovat pres dropbox.

      K tomu Google Autheticator, je nesikovne, ze neni nijak zaheslovany pristup do nej. A udajne ma data ulozena v telefonu tak, ze je lze snadno precist jinou aplikaci. Proto jsem zavrhl jak Google Autheticator, tak Authy

      Jinak do Keepass jsem prisel na zpusob, jak pres nej generovat QR kody, ktere se pak jen vyfoti mobilem do jakekoli app. Coz hodne ulehcuje problem synchronizace mezi vice zarizenimi nebo pri porizeni noveho. To pak hodim do dalsiho clanku.

      Ad trezor, presne tak. je skoda, ze ma tak malo men. Udajne ted vyleze novy Ledger, ktery bude umet donahrat az 100 aplikaci (coinu). Ale s tim nemam zatim zkusenost.

      Ja zatim drzim jen to, co umi Trezor + BNB na burze, kde ho obchoduju. Rozhodne by to chtelo neco bezpecnejsiho. Teoreticky mozna nejaky DEX, kde ma clovek sve klice odvozene od nejakeho jednotneho seedu. Ale zatim jsem nezkousel.

  4. jak máš třeba udělánu 2FA u Coinbase?
    Já myslel že tam to jde napojit na trezor – ale bohužel, zase jen Google Auth., což se mi nelíbí, protože když ztratím telefon, tak se nikam nedostanu – přece jen ztráta Trezoru je méně pravděpodobná.

    To stejné Degiro (pro akcie), mají sice 2FA, ale pouze přes Google Auth. a tvůj mobilní telefon, což mi mco nevyhovuje.

    Myslel jsem že půjde víc věcí napojit na 2FA přes Trezor, ale zatím mě šel jen Gmail. 🙁

    Nicméně díky za článek, jen díky němu jsem se něco málo přiučil

    1. No, to je presne ono. vsude je jen 2FA TOTP (ty casove kody), ktere ale v zakladu nejsou moc pohodlne.

      Bohuzel na trezor toho moc nenapojis, jen to, co umi U2P, tzn Google, Microsoft,Dropbox. moc vic nic.

      Teaser: Reseno to mam pres Yubikey Auth, coz je neco jako Gogole Auth, ale zasifrovane. Ale dulezita je pak ta zaloha a hlavne zpusob, jak to do telefonu dostat. A tam si myslim, ze jsem vymyslel fakt dobrou vec ;-).

      Sepisu co nevidet, je to na delsi clanek. Ale je to pres Keepass

Leave a Reply

Your email address will not be published. Required fields are marked *