Browsed by
Author: L

Keepass a 2FA bezpečnost – část třetí

Keepass a 2FA bezpečnost – část třetí

Dnešní článek bude o dvoufaktorovém zabezpeční pomocí TOTP kódů. Článek navazuje na ten minulý, kde jsem ukázal, jak si pomocí Yubikey, Keepassu a Dropboxu udělat bezpečné a zálohované úložiště.

Nejprve trochu o tom, co je TOTP.  TOTP je zkratka “Time-based One-time Password” a jsou to takové ty klasické 2FA kódy, které Vám generuje mobil nebo nějaké zařízení a vy je přepisujete do aplikací a webových stránek. Jak už jsem totiž zmiňoval dříve, ačkoli jsou tu mnohem lepší způsoby zabezpečení (například challenge-response z minulého článku), když už nějaká služba podporuje 2FA, tak většinou využívá právě tyto časové kódy.

Úvod do těchto 2FA kódů a toho, jak fungují, jsem se věnoval v jednom z dřívějších článků, kde jsem také doporučoval aplikaci Authy. Ta sama o sobě nění špatná, ale znamená to věřit externí službě. A i když neříkám, že je Authy špatné, je vždy lepší mít 100% kontrolu nad tím, jak a kde jsou moje data skladována. A o tom bude dneční článek. Jak si udělat náhradu Authy, jak tyto kódy synchronizovat, jak je uchovávat a jak zálohovat.

Celé řešení staví na aplikaci Keepass představenou minule. Za pomocí dvou dalších pluginů rozšíříme Keepass tak, že nejen, že si do něj uložíme zálohovací kódy k 2FA generátorům, ale také Keepass naučíme tyto kódy generovat, ale především, naučíme Keepass generovat QR kódy, které pak můžete vyfotit například mobilem, abyste si tento generátor přenesli i tam. A o tomto si dovolím tvrdit, že nikdo jiný zatím nemá a nenapadlo ho to :).

Standardní postup s 2FA kódy je, že Vás web vyzve, abyste si do mobilu vyfotili QR kód, někam bokem zapsali záložní kód a pak do webu vyplnili pro kontrolu vygenerovaný 2FA kód z mobilní aplikace.

Celý tenhle postup má hned několik nedostatků. Pokud budete chtít kódy synchronizovat mezi více zařízeními, nebo si pořídíte nové zařízení, znamená to ručně bezpečnostní kód přepsat. U jednoho kódu o nic nejde, ale pokud jich máte 20+, je to opruz. Další problém je s bezpečným uložením těchto záložních kódů. A třetí problém je, že pokud používáte 2FA na desktopu, tak se buď upíšete, protože neustále přepisujete kódy z mobilu do počítače, nebo budete mít Authy na počítači, kterému ale co se týká zabezpečení a bezpečnosti uložených dat moc nevěřím.

A nyní, jak to vyřešit lépe.

Jak nascanovat QR kód na počítači

Jako první budeme potřebovat ještě jednu aplikaci. A tou je ShareX. Krom toho, že je ShareX snad nejlepší aplikace na screenshoty na Windows, umí ještě jednu supr věc. Umí vyfotit QR kód, který je kdekoli na PC a přeložit ho do textové podoby. A tady začíná to kouzlo :).

Klikněte pravým tlačítkem na ikonce ShareX, vyberte “Tools” a “QR Code”.

Ukáže se Vám okno, které umí překládat QR kód na text a dokonce i opačně. Vyberte záložku “Decode” a stiskněte tlačítko “Decode from screen”. Ukáže se vám výběrový obdélník, pomocí kterého označíte QR kód na obrazovce.

Takto vyfocený QR kód se Vám přeloží na uri adresu. Pokud například vyfotíte kód, který je na obrázku výše, získáte kód otpauth://totp/me2%40example.com?secret=RLVSCIGF5GOFGW6OEX6F34N432IJKGW3&issuer=DevMovieManager.

QR kódy a KeePass

Jako další si do KeePassu nainstalujte KeePassQRCodeView (link na přímé stažení zde). Po stažení nahrajte soubor KeePassQRCodeView.plgx  do adresáře KeePass/Plugins/KeePassQRCodeView.plgx

Restartujte KeePass a vytvořte novou položku, do které si chcete službu uložit. Po vyplnění základních údajů se přepněte na záložku Advanced a stiskněte Add.

Do “Name” vyplňte třeba “2FA QR” a do Value vložte získaný link (otpauth://……). Zaškrtněte ještě “Enable in-memory protection” pro ještě větší bezpečnost a stiskněte OK.

Celou položku nyní uložte dalším stisknutím OK. Tím máte v KeePassu uložený secret seed (česky řečeno tajný řetězec), ze kterého se pak odvozují časové kódy.

Nyní na nové položce stiskněte pravé tlačítko a v kontextovém menu zvolte QR Code a v něm 2FA QR.

A voila…. Máte QR kód, který můžete kdykoli znovu vyfotit a máte ho bezpečně uložený v KeePassu. Takže je zálohovaný v cloudu, zároveň bezpečně šifrovaný. Dostanete se k němu jen vy, případně kdokoli další, komu dáte do KeePassu skrz Yubikey a heslo přístup.

Generování časových kódů z Keepasu

Jak by řekl Horst Fuchs “To ale to stále není vše!”.

Nyní Keepass umí generovat QR kódy, ale my bychom chtěli, aby uměl také generovat časové kódy, abychom je mohli snadno vkládat do aplikací a webových stránek bez nutnosti je přepisovat z mobilu.

Pro tyto účely nainstalujeme další plugin s názvem Tray TOTP Plugin for KeePass2 ke stažení zde. Po stažení opět nahrát do KeePass/Plugins/TrayTotp.plgx. Po restartu KeePassu se v kontextovém menu jakéhokoli záznamu objeví nová položka  “Copy TOTP” a “Selected Entries->Setup TOTP”.

Jelikož se jedná o jiný plugin, je pro něj potřeba znovu vyplnit TOTP heslo generátoru, které jsme vyfotili z QR kódu. To uděláme tak, že na zvolené položce v kontextovém menu vybereme Selected Entries->Setup TOTP.

Nyní je potřeba projít a vyplnit parametry generátoru. Na první obrazovce dáme “Next”, na další obrazovce ponechte 30 second a zase “Next”. Na další pak vyplňte “6 lenght”, jelikož v 99% budete potřebovat šestimístné kódy.

Na další obrazovce je potřeba zadat tajný kod, který jsme předtím nascanovali pomocí aplikace ShareX z QR kódu. V našem případě to bude “RLVSCIGF5GOFGW6OEX6F34N432IJKGW3″  a opět potvrďte pomocí “Next”. Na další obrazovce nic nevyplňujte (jelikož to v pluginu asi teď nefunguje) a dejte opět “Next”. Na poslední obrazovce pak dejte “Proceed”. Tím máte generátor vyplňený.

Po tomto vyplnění lze nyní TOTP kód získat dvěma možnostmi. Tou první je v okně KeePassu zvolit položku, stisknout pravé tlačítko a dát “Copy TOTP” (případně stisknout CTRL+T v tomto okně). To není špatně, ale lze to ještě snadněji.

KeePass má totiž ještě ikonku v Tray oblasti (to je to ve Windowsech vpravo dole vedle hodin, kde jsou různé malé ikonky). Na té, když kliknete pravým tlačítkem, se nyní ukáže seznam všech nakonfigurovaných TOPT kódů. Stačí tak jen vybrat ze seznamu a do clipboardu (schránky) se Vám ihned kód nakopíruje.

Samozřejmě, pokud máte úložiště uzamčeno, ke kódům se ani přes Tray ikonu dostat nedá. Je potřeba nejprve odemknout úložiště heslem a Yubikey a pak až se Vám kódy vygenerují.

QR Kódy na mobilech

A o mobilech bude poslední část článku. Občas je totiž dobré mít 2FA kódy u sebe a bohužel, k takto uloženým a zabezpečeným kódům v KeePassu se na mobilu nedostanete. Je proto potřeba udělat ještě jeden krok.

Na mobilu lze mít Google Authenticator, ale ten není nijak zabezpečen. A jelikož 2FA má fungovat jako zvýšená bezpečnost, tuto variantu bych určitěn nedoporučoval. Další je Authy, ale jak jsem už psal, musíte věřit třetí straně a hlavně, toto celé děláme proto, abychom Authy nemuseli mít. A pak je tu ještě jedna aplikace – Yubico Authenticator.

Jde o 2FA TOTP generátor kódů pro mobilní zařízení (tuším, že mají i desktopové verze, ale ty už nepotřebujem), kdy kódy jsou zabezpečeny pomoci HW klíče od Yubico s NFC přístupem. Celé to funguje tak, že jsou 2FA kódy uložené někde u nich v cloudu, ale jsou zašifrované pouze Vaším klíčem. Díky tomu, když aplikaci na mobilu spustíte, tak neuvidíte žádná data. A podle toho, jaký klíč s NFC přiložíte, tak takové klíče se Vám na mobilu ukážou. Díky tomu, když HW klíč přiložíte na jiném mobilu, stále uvidíte své kliče.

Bohužel, na druhou stranu, pokud máte klíče dva, je nutné pro oba zadat TOTP kódy znovu. To nám ale nevadí, protože KeePass umí tyto QR kódy vygenerovat, takže přidat nový klíč je hračka.

Přidat klíče do Yubico Authenticatoru je opravdu snadné. Nainstalujte si jejich aplikaci z Android Store, spustťe aplikaci a dejte “Přidat QR kód”. Pro přidání je potřeba kód potvrdit přiložením NFC klíče k mobilu (v případě Samsungu přiložit doprostřed zad mobilu). Tím se klíč zašifruje a uloží.

Zkuste si aplikaci ukončit a znovu spusťit. Po spuštění je aplikace opět prázdná. Přiložte ale klíč k zádům mobilu a najednou uvidíte všechny uložené kódy. Toto je super vlastnost, na kterou jsem přišel až později při využívání Yubikey. Bohužel se o tom člověk na webu nedočte.

V případě ztráty mobilu stačí aplikaci znovu nainstalovat a přiložit klíč. Vše máte opět k dispozici. A v případě ztráty nebo poruchy Yubikey, stačí QR kódy znovu vyfotit z KeePassu.

Závěrem

Jak vidíte, vysoké zabezpečení v dnešní době bohužel obnáší i trochu té práce navíc. Spousta z kroků by se dala zjednodušit, sjednotit funkce pluginu do jednoho, atd. Na druhou stranu, buďme rádi, že to lze aspoň takto. Dalo mi to opravdu spoustu hledání a vymýšlení, než jsem našel způsob, jak udělat vše takto uceleně a s co nejméně externími aplikacemi.

I když je uložení a nastavení trochu složité a šlo by udělat lépe, díky tomuto postupu budete mít absolutní kontrolu nad Vašimi 2FA kódy, budete mít komfort focení QR kódů z mobilu, budete mít vše zaheslované a zálohované.

A to je pro dnešek vše. Tímto třetím článkem uzavírám tuto mini sérii zabezpečení. Předal jsem Vám mé kompletní know-how v zabezpečení a ukázal, jak máme zabezpečení u nás řešeno my. A jelikož mu opravdu věřím, nebojím se ho proto takto sdílet. Pokud by někdo viděl v tomto zabezpečení nějakou slabinu, určitě napište dolů pod článek. Rád se přiučím :).

Jak jsem už několikrát zmiňoval, v případě celého řešení nešlo jen o 100% bezpečnost, ale taky o zálohování a recovery proces. Díky všem těmto krokům budete mít Vaše data a klíče v bezpečí jak před útoky, tak proti případným živelným katastrofám, či při jiných nepředvítelných událostech. Pokud někam do bezpečné schránky uložíte přístup do Dropboxu spolu s jedním záložním Yubikey (nebo jiným U2F klíčem), bude se moci kdokoli oprávněný ke všem Vašim datům v případě potřeby dostat. (Z dropboxu stáhne KeePass, tam se dostane pomoci Yubikey, kde má pak všechny hesla, 2FA kódy a případně i třeba poznámky nebo Vaši závěť 🙂 ).

Článek pak zakončím stejně jako minule prosbou o podporu našeho blogu. Pokud Vám návod pomůže, zvažte zaslání nějaké té koruny na podporu našich článků. I tentokrát si jeho výroba vzala cca 4 hodiny a to nepočítám množství času, než jsem celý systém vymyslel a dal dohromady. Proto pokud Vás článek inspiroval a pomohl Vám s Vaším zabezpečením, budu rád, když nám nějakou korunu přispějete.

Přispět lze přes BTC Lighting network tlačítkem níže, nebo zasláním na BTC adresu bc1ql36zrs6gczm7zlfwdtqdc20jdx900l6wkxqdfv, případně převodem na účet 1012036013/3030. Děkujeme.


Všechny články v sérii:

KeePass bezpečnost – část druhá

KeePass bezpečnost – část druhá

Minulý článek bylo takové nakousnutí toho, co všechno je potřeba pořešit pro kvalitní zabezpečení kritických dat. Dneska bych se chtěl věnovat tomu, jak vytvořit opravdu bezpečné úložiště pro Vaše data a přitom mít možnost ho mít kdekoli v cloudu. To jsou totiž většinou dva největší protiklady. Naštěstí je způsob, jak toto skloubit.

Odpovědí je aplikace KeePass a Dropbox (nebo kterékoli jiné synchronizované úložiště). Úplně slyším, jak teď většina z Vás říká cosi o tom, že je pěkná blbost dát do Dropboxu super-bezpečná data. Kupodivu to blbost není. Pojdmě na to.

Začnu KeePassem. Jak jsem už psal, jde o free a open-source bezpečnostní program, který umožňuje bezpečně a strukturovaně ukládat informace. KeePass tu je již řadu let a za tu dobu získal spoustu ocenění a certifikací, takže ho lze považovat za bezpečný.

V základu není KeePass nic jiného, než jakási kartotéka, kde můžete do složek přidávat položky. Ke každé položce můžete přiřadit uživatelské jméno, heslo, poznámku, url a pak hromadu dalších informací. Všechna zadaná data KeePass ukládá do jednoho souboru, který může (a měl by být) být zašifrován.

V základu umožňuje KeePass zašifrovat soubor pouze heslem, což není špatné, ale abychom dosáhli požadované super-bezpečnosti, muselo by být heslo raději opravdu dlouhé. Problém dlouhého a složitého hesla je pak v jeho zadávání. Je to zdlouhavé a otravné.

A tady přicházejí na řadu pluginy (rozšíření) do KeePassu. Díky nim lze do KeePassu doplnit obrovské množství dalších funkcí.

To, co jako první do KeePassu doplníme, je podpora pro Yubikey. Způsobů, jak Yubikey do KeePassu integrovat je více, ale nejlépe mi vychází integrace skrz Challenge-Response protocol, který Yubikey podporuje. Zároveň je možné nastavit stejné heslo do více Yubikey, takže není nutné přenášet jeden fyzický klíč, ale lze použít neomezené množství klíčů.

Abych trošku vysvětlil, o co jde. Zabezpečení Challenge-response spočívá v tom, že máte nějaký tajný klíč, který nahrajete jak do Vašeho Yubikey (viz dále), tak ho nastavíte do KeePassu. Během přihlašování pak KeePass vygeneruje náhodný řetězec, který do Yubikey pošle a nechá ho v Yubikey zašifrovat (klíčem, který jste tam původně nastavili). Yubikey poté náhodný řetězec vrátí a KeePass ho porovná s hodnotou, kterou sám vypočítal pomocí tajného klíče. Tím ověří, že Yubikey zná správné heslo. Zároveň ale toto tajné heslo nikdy neopustí ani KeePass, ani Yubikey. Prosté a jednoduché :).

Díky tomu přidáváte velkou část zabezpečení, aniž byste museli cokoli složitého psát. Zároveň se ale nelze obejít úplně bez hesla. Důvod je, že (alespoň u nás doma) zůstavají Yubikey zastrčené v PC. Představa přenášení a neustálého odpojování nebyla akceptována z důvodu snadného použití. Proto je potřeba pořešit ještě situace, kdy by Vám někdo ukradl notebook včetně Yubikey. Bez hesla by najednou existoval způsob, jak se Vám do Vašich dat dostat.

A proto je potřeba přidat ještě heslo. Ale to už nemusí být extra složité. A to ze dvou důvodů. Zaprvé, díky Yubikey klíči už nelze tak snadno použít brute-force útok (automatické tipování miliard kombinací), jelikož pro každé vygenerování hesla z Yubikey je potřeba ručně stlačit tlačítko na klíči. A zadruhé, v případě krádeže se o ni pravděpodobně vcelku rychle dozvíte a můžete provést náležitá protiopatření, takže i kdyby se nějaký útok uskutečnil, než proláme i to jednoduché heslo, vy už budete mít dávno kritické přístupy změněny.

Třetí obrovský benefit napojení Yubikey na KeePass je v tom, že se do KeePassu nelze přihlásit na dálku. Představme si scénář, kdy se Vám do počítače dostane škodlivý kód, který odposlouchává všechny Vaše stisky kláves a zároveň umožňuje ovládání Vašeho počítače někomu cizímu. I když tento účastník uvidí, co píšete za heslo, tak on nebude schopný se na dálku do Vašeho KeePasu dostat. Je to proto, že aby Yubikey vygeneroval challenge-response heslo, je nutné se fyzicky dotknout klíče. A tím totálně eliminuje vzdálený útok.

Jak vidíte, zabezpečení KeePassu jen heslem je o dost méně bezpečné.

  • Kdokoli může zkoušet náhodný útok přes všechny možné hesla. A i když to bude trvat, udělat takový útok lze.
  • Kdokoli, kdo odposlechne stisky Vaši klávesnice, se může poté na dálku přihlásit do Vašeho KeePasu.
  • Heslo je potřeba mít dostatečně dlouhé a složité, což ale zase dost komplikuje jeho využití, když ho máte zadávat několikrát denně.

Poslední, co zbývá je synchronizace KeePassu. A tady přichází na řadu zmíněný Dropbox. Věřím, že po přečtení předchozích řádků je Vám jasné, že je úplně jedno, kam svůj datový soubor s hesly umístíte. Díky Yubikey a heslu je totiž šifrovaný tak dobře, že se do něj nikdo a nijak nedostane. V extrému byste ho mohli vyvěsit klidně veřejně na webu. Samozřejmě je stále lepší ho držet alespoň trochu rozumně bezpečně, ale, teoreticky by to mělo být opravdu jedno.

A proto si můžeme dovolit použít Dropbox. I když i ten by měl být sám o sobě bezpečný, už to znamená mít své věci někde v cloudu. Tam k nim teoreticky může mít přístup kdekdo, navíc stále existuje riziko, že Vám Dropbox můžou hacknout. Proto i s ostatními daty v něm opatrně.

Pro naše účely je ale Dropbox naopak naprosto ideální. Uložíme si na něj zaheslovaný KeePass soubor a díky tomu k němu můžeme přistupovat odkudkoli, kde budeme mít Yubikey klíčenku. Díky tomu jsem schopný se doma do dat dostat jak z pracovního PC, tak z jakéhokoli notebooku.

Jak nastavit Yubikey

Teorii máme za sebou, pojďme nastavovat. Jako první nakonfigurujeme Yubikey, konkrétně jeho slot2 (každý Yubikey má dva programovatelné sloty). Na to je nutné stáhnout a nainstalovat Yubikey Personalisation Tool.

 

V aplikaci pak zvolíme “Challenge-Response” položku v horním menu a zvolíme variantu HMAC-SHA1.

V následujícím okně pak zvolíte, že chcete programovat slot 2,  že chcete využít fixed 64byte input, že se má vyžadovat user input (aby bylo nutné fyzicky kliknout na Yubikey) a stisknete tlačítko “Generate”

Heslo, které se Vám vygenerovalo, si uložte rovnou do KeePass, nebo dočasně někam do souboru na počítači, kde ho ho ale poté musíte 100% zlikvidovat. Jde totiž právě o ono super-bezpečné heslo, pomocí kterého se bude Váš KeePass synchronizovat s Yubikey. A proto se Vám k němu nesmí nikdo dostat.

Až budete mít heslo uloženo, stistkněte tlačítko Write Configuration. Ještě před samotným zápisem Vám aplikace nabídne uložit jakýsi CSV soubor, který obsahuje právě toto zmíněné heslo. Zde zvolte “Cancel”, protože rozhodně nepotřebujete, aby bylo heslo uloženo ještě v nějakém dalším souboru.

Tím máte Yubikey nakonfigurovaný. Pokud v budoucnu budete chtít spárovat další yubikey, stačí postupovat přesně stejným postupem jen s tím rozdílem, že namísto tlačítka “Generate” zkopírujete Vaše heslo do políčka Secret Key (v mém případě 61 4a 11 19 d0 14 85 75 db ce 85 07 ba bf a0 28 f3 e5 e1 eb). Takto můžete spárovat tolik klíčenek, kolik budete potřebovat.

Jak nastavit KeePass

Nejprve si KeePass stáhněte z oficiálních stránek (nikdy nestahuje odjinud, nemáte jistotu, že není kód jakkoli upraven ve Váš neprospěch).

A ze seznamu “Plugins” si stáhněte KeeChallenge plugin (https://keepass.info/plugins.html), případně ho lze stáhnout rovnou zde http://richardbenjaminrush.com/keechallenge/. Plugin rozbalte a umístěte do podsložky “Plugins” ve složce KeePass.

To, že jste plugin aktivovali správně, poznátek tak, že vyberete menu Tools->Plugins a uvidíte v seznamu pluginů KeeChallenge.

Pokud máte plugin nainstalovaný, pojďme se pustit do vytvoření bezpečného úložiště. Z menu zvolte “File” a “New”.

A potvrďte následující okno, kde Vás KeePass informuje, že si máte dobře zapamatovat heslo, které zadáte 🙂

V dalším kroku zvolte, kde se má soubor uložit a jak se má jmenovat. Já osobně ho mám uložený přímo ve složce s KeePassem, který mám celý v Dropboxu. Výhoda tohoto řešení je, že se mi krom samotného datového souboru synchronizuje i celé nastavení Dropboxu se všemu pluginy. Nemusím se proto starat o každý počítač zvlášť, ale všude mám stále stejné nastavení.

A teď se dostáváme k tomu zajímavému. V následujícím okně nyní zvolte Vaše “Master password”, tzn. heslo, které budete zadávat. Krom toho ale zaškrtněte ještě volbu “Show export options”

Po zaškrtnutí “Show expert options” se Vám ukáží další volby k nastavení. Vy dále zaškrtněte “Key file / provider” a ze seznamu vyberte “Yubikey challenge-response”.

A volbu potvrďte stisknutím “OK”.

Zobrazí se Vám další okno, kam nyní zadáte Vaše tajné heslo, které jste si vygenerovali v Yubikey.

V mém případě tak zadávám “61 4a 11 19 d0 14 85 75 db ce 85 07 ba bf a0 28 f3 e5 e1 eb”. Volbu “Variable Length Challenge” nechte odškrtlou. Opět stiskněte OK.

Nyní se Vám rozsvítí Váš Yubikey a vyskočí okno, kde běží časový odpočet. Klikněte na tlačítko na Yubikey. Tím je spárování dokončeno.

 

V tomto kroku můžete nyní nastavit parametry Vašeho KeePass souboru. Krom jeho popisu a názvu lze ještě dále upravit způsoby šifrování. Osobně využívám v defaultním nastavení. Toto lze v budoucny kdykoli změnit. Opět potvrďte OK.

V dalším kroku Vám KeePass nabídne vytisknutí formuláře, kam si můžete poznamenat veškeré bezpečností nastavení a hesla, která jste zvolili. Osobně dávám Skip a hesla ukládám jinam.

A tím je hotovo. Máte vytvořený bezpečnostní soubor, kam se Vám nikdo nedostane.

Nyní aplikaci zavřete a zkuste ji znovu pustit a přihlásit se. Ať si ověříte, že vše funguje jak má.

Po zadání hesla a jeho potvrzení byste měli opět vidět výzvu na stisknutí tlačítka na Yubikey spolu s rozsvícením Yubikey.

Dodatečná nastavení KeePass

Tak, máme nastavený Yubikey a KeePass, nyní ještě nastavíme pár dalších věcí v KeePassu. V základu totiž KeePass po odemknutí úložiště zůstane odemknut. Takže pokud počítač usne / zapne spořič a vy odejdete, tak je databáze stále odemknuta a někdo by se Vám fyzicky mohl k datům stále dostat.

I toto naštěstí umí KeePass vyřešit. Lze nastavit, aby se KeePass automaticky zpět zahesloval po x-minutách neaktivity, nebo při usnutí PC, nebo při spuštění screensaveru, nebo při stisku klávesy ESC v případě, že už víte, že přístup nebudete potřebovat. Díky tomu jsou data odemknuta po opravdu minimální nezbytnou dobu a jinak jsou data zaheslována a nepřístupná.

V menu Opitions najdete hromadu voleb, včetně:

  • “Lock workspace when computer is about to be suspended”, která říká, že má KeePass být zamčen při usnutí.
  • “Lock workspace after global user inactivity”, která říká, za jak dlouho KeePass sam zamkne, pokud se na PC nic neděje

Je toho opravdu spousta, co lze nastvit. Ostatní položky ponechám k vlastnímu studiu, jelikož už záleží na vkusu uživatele. Například, zda se má KeePass zobrazovat jako běžící aplikace nebo v Tray, zda Close tlačítko zavírá aplikaci, nebo ji jen minimalizuje do Tray, atd.

Obnova přístupu k datům

Poslední kapitola bude už dříve zmiňované “coby-kdyby”. Jak zajistit, že se k těmto datům dostanou i jiní v případě nouze. Já to pro tyto účely mám řešeno následovně.

  • Je potřeba si na papír poznamenat heslo, které je zadáno do Yubikey (tzn 61 4a 11….), dále pak heslo, které se zadává přímo do KeePassu (v případě tohoto dema “heslo”).
  • Kromě toho je pak potřeba ještě uživatel a heslo do Dropboxu.
  • A k tomu nějaký návod, jak vše obnovit. V mém případě link na tento článek 🙂

Tyto údaje jsou zapsané na papíru, odkud je nelze nijak elektronicky zcizit. Papír pak lze dle uvážení vložit do bezpečnostní schránky banky, kde ke schránce nastavíte přístup i dalším osobám, případně jej zakopat někde na zahradě a lokaci sdělit ostantím. Případně poslední varianta je pak zalepená obálka, kterou uschováte u důvěryhodných osob pro případ nouze.

Všechna další data, závěti nebo krizové plány již můžete průběžně ukládat a měnit v KeePasu. To hodně usnadňuje distribuci těchto kritických informací. Jediné, kdy musíte obsah obálky a schránky aktualizovat, je, když změníte Yubikey heslo, KeePass heslo, nebo přístup do Dropboxu.

Závěrem

Tak, další část návodu mám za sebou. Stále je toho spousta, jak zabezpečit vše ostatní. Primárně právě 2FA ochrana, o které budu mluvit příště. Jak ale vidíte, jen samotné zabezpečení KeePassu je kapitola sama o sobě. Když se to ale udělá správně, je to úložiště naprosto bezpečné, zároveň synchronizované a k tomu obnovitelné v případě nouze.

Pokud Vám návod pomůže, zvažte zaslání nějaké té koruny na podporu našeho blogu. Jen pro představu, článek jako je tento jsem zpracovával dnes 3 hodiny. Je fajn ostatním pomáhat, ale je i fajn vidět, že to lidé dokáží ocenit. Díky!

Adresa pro příspěvky v BTC je bc1ql36zrs6gczm7zlfwdtqdc20jdx900l6wkxqdfv, případně převodem na účet 1012036013/3030. Děkujeme.


Všechny články v sérii:

 

Bezpečnost účtů – část první

Bezpečnost účtů – část první

Už několik týdnů, možná spíš měsíců, řeším zabezpečení svých účtů. A i když jsem předpokládal, že v dnešní době všudepřítomné osvěty o bezpečnosti to bude hračka, tak bohužel ani omylem. Navíc, vše musí být tak jednoduché, aby řešení používala i má žena. Jinak by celá bezpečnost byla ta tam.  A jako třešnička na dortu, celé zabezpečení musí být udělané tak, aby se v případě živelné katastofy, nebo kdyby se mi nedejbože něco stalo, dalo stále ke všem účtům a penězům (a kryptoměn) dále dostat.

Dnešní stav bezpečnosti je slušně řečeno smutný. Na jedné straně tady máme USB tokeny jako je třeba Yubikey, Trezor a další a na druhé straně pak poskytovatele služeb, kde je vrchol zabezpečení šestimístné heslo. Do toho vše zhoršuje ještě fakt, že se většina uživatelů potřebuje přihlašovat na více zařízeních s více různými operačními systémy. Pak už je to úplná katastrofa.

A tak jsem opravdu dlouhou dobu řešil, jak zabezpečit své pracovní PC postavené na Widnows, přitom mít možnost pracovat občas i na OSX a do toho mít přístup k datům i z Android telefonu. Jakmile totiž chce člověk opravdu dobré zabezpečení, je to problém.

Původně jsem používal kombinaci Lastpass a Authy. V Lastpass jsem měl všechna hesla a měl je chráněné pomocí 2FA TOTP (dvoufázová autentizace založená na časových kódech). Tyto 2FA kódy jsem generoval původně přes Google Authenticator, později pak přes Authy.

Celé řešení má ale hned několik problémů. Zaprvé, Lastpassu se prostě nedá věřit na 100%. Pořád jsou data uložena někde v cloudu (i když šifrovaná) a pořád se dá k datům v prohlížeči teoreticky dostat. Pár průšvihů už Lastpass mělo a hlavně, data jsou v určitou chvíli rozkódovaná v pluginu prohlížeče, kde je může vyluxovat někdo dalši.

A to stejné platí o 2FA kódech v Authy. Ačkoli je authy zaheslované masterpasswordem, tak jsem používal cloudsync, abych mohl 2FA kódy používat jak na pracovním PC, tak notebook a mobilu. A všude tak hrozilo, že se k těmto kódům nějaká další cizí aplikace dostane (a bohužel to nelze vyloučit nikdy).

Moje původní představa, jak z toho ven, byla, že si pořídím HW klíč a vše už bude jenom krásné. Bohužel, záhy člověk zjistí, že podpora HW klíču je opravdu tristní. Velcí hráči ala Google, Microsoft, Dropbox a další už ji mají, ale 95% (možná i 99%) ostatních webů vůbec. Když už nějaké zabezpečení, tak v lepším případě časové 2FA TOTP kódy, v horším případě potvrzení přes email, v nejhorším případě nic.

A tak jsem začal vymýšlet, co by se s tím dalo v rámci možností udělat, aby to splňovalo bezpečnost, ale zároveň i komfort použití. Jako první je potřeba si definovat cíl zabezpečení. Cílem není mít 100% bezpečnost u všech služeb. Cílem je mít 100% bezpečné kritické věci a u těch ostatních se spokojit s 99%.

Za kritickou službu číslo jedna považuju email. Konkrétně Gmail a GoogleApps email. Pokud by se mi někdo dostal do emailu, je konec. Přes něj už se dokáže dostat skoro všude, vynutit si změnu hesla u ostatních služeb atd.

Mezi další kritické služby samozřejmě patří Lastpass, kde jsou všechna hesla, dále pak Crypto burzy, Trezor na kryptoměny, … zkrátka takové služby, kde fakt nechcete, aby byl někdo cizí.

A zde je zatím to nejlepší, co jsem vymyslel –  HW Key Yubikey, KeePass, Lastpass, Yubico Authenticator a na kryptoměny Trezor. Jak jsem psal, není to úplně triviální. Bohužel je dnes potřeba několika aplikací a zařízení, aby byla ochrana ideální.

Nejlepší na synchronizaci hesel je stále Lastpass. Potřebuji přístup k heslům jak na Windows, tak OSX a Androidu a to ve více různých prohlížečích. Jelikož ale Lastpassu úplně nevěřím, všechny kritické služby krom hesla mají nějakou další formu 2FA. Tím pádem, pokud mi Lastpass hesla vyluxují, dostanou se sice třeba na vodniky, ale do kritických služeb nikoli.

Na 2FA kódy jsem ale Authy zavrhl. Ne, že by s ním byl problém, ale je to služba třetí strany, které úplně nevěřím. A tak jsem řešil, kam s 2FA. Nakonec se mi povedlo zjistit, že se 2FA kódy dají generovat pomocí určitých pluginů i v aplikace Keepass.

Samotné zabezpečení KeePassu je také kapitola sama pro sebe. Opět, díky pluginům, lze dosáhnout velmi kvalitního zabezpečení. A to díky Challenge-response protokolu a tajnému klíči, který je nahraný do Yubikey. O tom později.

Bohužel, Keepass je jen pro Windows (ten původní Keepass). Existuje několik alternativ KeePassu, které umí fungovat i na OSX či Linuxu. Jenže tam už nemáte tu jistotu bezpečí, navíc, nepodporují pluginy. Například KeePassX jich má pár implementovaných v sobě, ale není to úplně ono.

A pak tu máme android. Rozhodně jsem nechtěl mít generátor 2FA TOTP klíčů na Androidu nechráněný. Takže nějaká read-only databáze KeePassu nepřipadala v úvahu. Stejně tak GoogleAuthenticator neumožňuje žádné zabezpečení. Naštěstí jsem narazil na Yubico Authenticator for Android, který umí zadat klíče do Androidu, ale jsou přitom šifrované konkrétním Yubikey klíčem.

A to je hrubý nástin toho, jaké aplikace jsem se rozhodl použít. Bohužel, jen o aplikacích to není. Je potřeba do Keepasu hodně věcí doinstalovat a nastavit a nebo vymyslet workflow tak, aby ho zvládla používat i žena. Například přenos 2FA TOTP  klíčů mezi Android a Windows, způsob generování 2FA klíčů pomocí Keepassu, zůsob zálohování Yubikey, jelikož jeden klíč je málo, způsob zabezpečení Keepassu, ….

Je toho opravdu hodně. A aby toho nebylo málo, je tam ještě ten jeden požadavek. Toto všechno se musí dát nějak jednoduše popsat tak, aby to mohlo být uloženo v bezpečnostní schránce v bance, aby kdyby se něco stalo, tak se šlo stále ke všemu dostat. Jak zajistit, že se nebude muset obsah schránky neustále aktualizovat. Jak vyřešit, že některé věci musí být jen fyzicky na HW klíči, atd. kryptoměnám a dalším elektronickým statkům by se totiž v případě mého zmizení či demence už nemusel nikdo další k majetku dostat. A proto jsem začal dávat dohromady rovnou i recovery plán.

A o tom budou další články. Uvidím, jak na tom budu s časem, protože tyhle články bohužel nejsou na pár minut. Pokusím se postupně sepsat návod na všechny oblasti zabezpečení, ukázat jak si vše nastavit a rozběhat. A to tak, aby Vaše emaily, účty i Bitcoiny byly v bezpečí :).


Všechny články v sérii:

P2P investování – měsíční sumarizace (prosinec 2018)

P2P investování – měsíční sumarizace (prosinec 2018)

Tento report začnu trošičku pozitivně. Lendy mi vyplatilo dva mé úvěry v defaultu :). Takže jsem peníze ihned vyndal. Bohužel mi tam stále dost zůstává, ale snad se zadaří. Jo, a taky mi od nich domu přišel papírový dopis, kde mne informují o dalším postupu s tím jejich problematickým úvěrem. Defakto se prý můžu poradit s právníky, ale výsledek je, že to stejně musím nechat na nich (teda aspoň tak jsem to pochopil, protože to bylo psané odpornou anglickou právničinou).

Další změna je, že jsem na Mintosu dočasně pozastavil autoinvesty. Všichni straší s krizí a i když mi přijde, že to tak hrozné není a nebude, tak mám pocit, že oni si tu krizi vlastně chtějí “vystrašit”. Nechce se mi prodávat ani peníze vyndavat, ale raději teď chvilku nebudu rozinvestovávat. Každý den se mi tak vrací čast peněz, kterou mohu kdykoli buď vyndat, nebo v případě uklidnění situace ihned rozinvestovat (což i předpokládám, ale uvidíme).

Zároveň jsem celý prosinec začal více obchodovat kryptoměny a udělal tam pěkných 14% zisk. Zatím ještě neví, jak toto reportovat, ale asi by to taky stálo za to. Samozřejmě řeším zisk jen v rámci BTC, nikoli USD. Mám nakoupeno od cca 8000USD do 6000USD za BTC, takže ve ztrátě vůči dolaru jsem. Ale to mne nijak extra netrápí, protože to mám jako dlouhodobou investici a mým cílem je momentálně kumulovat BTC a nikoli to prodávat do USD. Zároveň jsem provedl další dokup na úrovni 3600USD, čímž jsem mé předchozí nákupy příjemně doředil :).

Docela by mne zajímalo, co by ti, co tyto reporty čtou, dále zajímalo. Pořád totiž přemýšlím, jak tyhle měsíční sumarizace nějak vylepšit. Zajímaly by Vás i kryptoměny? Mám to nějak spojit? Nebo raději samostatný článek? A jsou pro Vás články o P2P ještě zajímavý (doufám že jo 🙂 )? Budu rád za jakýkoli comment.

 

Souhrn vkladů

 
Zmiňovaný výběr z Lendy, na Mintosu peníze nechávám, jen neinvestuji. Takže ve výpisu tyto peníze nejsou.

 

Rok Měsíc Zonky Mintos SavingStream Twino Viventor ViaInvest Swaper
2016 3 4000 Kč
2016 4 6000 Kč 27037 Kč 6274 Kč
2016 5 4000 Kč 13781 Kč 36908 Kč 5403 Kč 5404 Kč
2016 6 14052 Kč 22570 Kč 13513 Kč 13574 Kč
2016 7 270 Kč
2016 8 10386 Kč 29449 Kč
2016 9 6855 Kč 6512 Kč 5404 Kč
2016 10 16146 Kč 24990 Kč -13500 Kč
2016 11 64449 Kč 31216 Kč -5485 Kč
2016 12 2641 Kč
2017 1 9198 Kč 16000 Kč 9484 Kč 5404 Kč
2017 2 2270 Kč 4000 Kč 12701 Kč
2017 3 -53660 Kč -53422 Kč -54038 Kč
2017 4 0 Kč
2017 5 82031 Kč -68930 Kč
2017 6 35468 Kč -867 Kč
2017 8 -11000 Kč 0 Kč 4004 Kč 0 Kč
2017 9 -895 Kč 16003 Kč -1962 Kč
2017 10 11343 Kč 10030 Kč
2017 11 0 Kč
2017 12 -517 Kč 105364 Kč
2018 1 -74348 Kč -2868 Kč -13804 Kč
2018 2 -29591 Kč
2018 3 -550 Kč -5591 Kč
2018 5 -7837 Kč -318 Kč
2018 7 -6870 Kč
2018 9 -481 Kč
2019 1 -5723 Kč
557 Kč 259700 Kč 29578 Kč -5469 Kč -873 Kč -187 Kč -1421 Kč

Jako vždy doporučení na Transferwise, které stále rozdává první převod až do výše 500EUR zdarma (v případě, že se registrace přes náš link). Zároveň tím také podpoříte náš blog, protože i my za to dostaneme odměnu.

Úročení a fungování platforem

Kam investováno Měna ROI měsíc ROI celkem
Mintos EUR 12.61% 12.83%
Twino EUR 8.69%
Viventor EUR 9.32%
ViaInvest EUR 7.74%
Swaper EUR 16.25%
Zonky CZK 6.94% 8.02%
SavingStream GBP 0.00% 8.32%
Celkem 11.74% 13.20%

Sumarizace zisků za tento měsíc

Zisky na Mintosu kupodivu ani tolik nespadly. Je to tím, že mám peníze rozprostřeny do velkého množství půjček, takže těch pár co se postupně ukončuje není tolik znát.

Kam investováno Měna $€ CZK ROI
Mintos EUR 79.08 2,193.66 Kč 12.61%
Twino EUR 0.00 0.00 Kč
Viventor EUR 0.00 0.00 Kč
ViaInvest EUR 0.00 0.00 Kč
Swaper EUR 0.00 0.00 Kč
Zonky CZK 14.46 14.46 Kč 6.94%
SavingStream GBP 0.00 0.00 Kč 0.00%
Celkem 2208.12 Kč

Poznámka: Jelikož se nám trochu pohoupalo Euro i Libra, nejsou teď korunové zisky úplně přesné. Momentálně mám exporty udělané tak, že se používá průměrovaný kurz z doby vkladu, což ale moc neodpovídá momentálně realitě. Pokud by byl čas, budu muset zanést ještě nějak různé kurzy pro různé období (nelze zas použít jen jeden, protože by to snížilo i historické zisky, které už byly vybrány). A tak zatím budu používat kurzy z doby vkladu.

Linky pro Vás

forumlink
Link na diskuzní fórum, kde pokračuje diskuze

Můj nový polohovatelný stůl

Můj nový polohovatelný stůl

Je to pár dnů, co nám chlapi z NastavStul.cz dovezli můj rohový polohovatelný stůl. A musím říct, předčil mé očekávání. Jak vizuálně, tak funkčně.

 

Dodávka

Stůl měl původně dorazit v pátek před Vánocema, ale bohužel jim z Německa nepřišla jednotka na tři nohy, takže se muselo čekat. Mile mě překvapilo, že chlapi stůl dovezli hned, jak jednotka dorazila, Vánoce-neVánoce, takže jsme měli stůl jen s drobným zpožděním.

Fešák připravený na převoz k nám 🙂

A když už jsme neměli stůl doma fyzicky, poslali mi alespoň jeho fotky z jejich firmy. O to víc jsem se těšil 🙂

Příprava stolu v sídle firmy

Když jsme tenkrát stoly domlouvali, chlapi říkali, že mají rádi výzvy. Ukázalo se, že můj rohový 180 cm x 180 cm určitě výzva je :). Kvůli pevnosti jsem ho chtěl v kuse, což jim trochu zkomplikovalo logistiku.

Většina stolů, které dodávají, jsou rovné. A když už rohové, tak s menšími rozměry. Jednou prý ale dodávali i 250cm široký rohový stůl, takže s tím mým se rovněž poprali. Většinou prý stoly vozí už složené, aby montáž u zákazníka probíhala co nejrychleji a bezproblémově. Jenže, u té mojí “obludy” to prostě nešlo.

To vlevo v dodávce je můj stůl. Bohužel lepší fotku z venku nemám 🙁

Jednak je samotná deska opravdu veliká. Těch 180×180 už se jen tak do dodávky nevejde a tak museli nohy sundat. Navíc je deska stolu z 2.5cm tlusté lamino desky, takže je i samotná deska docela těžká (deska je od Eggeru a lze si vybrat jakýkoli odstín).

K desce je zespodu po celé šířce přidělaná konstrukce rámu, do které se pak přidělají nohy a kde jsou vedeny kabely od řídící jednotky. I tato konstrukce je opravdu masivní a přidá dalších pár kilo navíc.

Nohy stolu

A pak samotné nohy. Ty jsem pomáhal nosit a opravdu mne překvapilo, že je každá noha tak těžká (odhadem tak 10kg).

Když jsme rozložený stůl nanosili do pracovny, začli chlapi synchronizovaně skládat. Za necelou půl hodinu bylo hotovo a složený a pozapojovaný stůl ležel vzhůru nohama v pracovně.

Poslední a finální krok bylo ho otočit. Otáčeli jsme ho ve třech a docela jsme se zapotili. Ale ten první pohled, ten to vynahradil. Stůl je prostě opravdu pěkný.

O co je se stolem díky váze horší manipulace, o to víc je stůl díky ní stabilní. Trochu jsem se bál, aby se stůl ve vyšších polohách neviklal. Ale stojí jak přibitý. A to je defakto volně v prostoru, protože se kvůli pohybu nesmí nijak dotýkat zdi (je vzdálený cca 1cm od zdi).

Ovládání

Jelikož měřím necelé dva metry, vysouvám stůl téměř do maximální polohy (momentálně testuji 127cm výsun z maximálních 135cm) a pri sezení mám nastavenou výšku 81cm. Změna polohy trvá cca 10sekund.

Super jsou 4 paměti na ovladači stolu. Ačkoli zatím využívám jen dvě, tak třetí si dovedu představit ke gymnastickému balónu a čtvrtou třeba na nějakou klekačku.

Jsem opravdu rád, že jsem volil ovládání s pamětí. Moc si nedokážu představit pokaždé hlídat, že se stůl vysunul do správné výšky. Co mne naopak trochu mrzí, je nutnost držet tlačítko (ať pamětové, nebo šipku) při pohybu nahoru/dolů.

Je to údajně z důvodu bezpečnosti, aby si člověk nepustil výsuv a ono mu to třeba nezavadilo o okno, nebo naopak pod stolem o židli atd. Ale i tak je to opruz :). (Vyšší řada stolů, které nastavstul.cz nabízí, pak už má toto řešeno pomocí mobilní aplikace, kde člověk souhlasí s TermsOfUse a lze pak výšku stolu měnit i bez držení tlačítka).

Nástavec na stůl pod monitory

Ukázka nastavce na stůl (obrazek z webu kancelarsnu.cz)

Na stůl jsem momentálně provizorně nainstaloval všechny tři monitory a PC,a bych vyzkoušel polohy sezení/stání a promyslel, jak nakonec budu stůl organizovat.

Za týden, kdy mají dovézt i druhý stůl, mi dovezou i závěsný držák na PC, na který jsem si vzpoměl bohužel pozdě a proto ho nedovezli hned. Zatímco PC bude zavěšen pod stolem, na stůl momentálně promýšlím nějaký nástavec pod monitory.

Jednak proto, abych schoval kabely vedoucí k monitorům, USB hubům a dalším, dále pak proto, abych mohl zasunout klávesnici pod monitor a získal tak více prostoru na psaní.

Obrázek převzat z webu hardforum.com

Hodně jsem prohledával internet a bohužel většina lidí řeší nástavce jen na rovné stoly, takže ta rohová varianta bude trochu výzva. Ale mám to už rozkreslené a myslím, že to bude super.

Chci udělat oddělenou zadní šachtu na kabely s několika přihrádkami na papíry či klávesnici. A do nástavce rovnou zabudovat i nějaký USB hub na Trezor, Yubikey a USB klíčenku. A když už v tom budu, tak asi i nějaký jack na audio a další blbiny.

Obrázek převzat z Pinterestu

Bohužel to ale nešlo moc vymyslet dopředu, protože si to chce opravdu zkusit rozložit vše na stůl a zkusit nejvhodnější polohy, včetně výšky monitorů tak, aby vyhovovaly jak v sedě, tak ve stoje.

Nástavce budu dělat na oba stoly, takže realizace musí ještě počkat na dodávku druhého stolu. O výrobě nástavců bude určitě zase článek, přeci jen se musím zas pochlubit nějakou vlastní tvorbou 🙂

Zkušenosti

Co se týká zkušeností z využívání stolu samotného, tak jsem pravdu spokojen. A ačkoli teď nejsem u PC celý den, tak občas něco řeším a je super si moci k práci stoupnout.

Stání u stolu využívám teď například hodně v situacích, kdy mám na PC otevřené burzy a chodím tam jednou za čas mrknout, jak se situace vyvíjí. Je o dost rychlejší jen přijít, ve stoje mrknout, zareagovat na situaci a zase jít.

Zkoušel jsem i chvíli programovat ve stoje, když jsem narychlo opravoval jednu chybu v naší aplikaci a je to rozhodně hodně zajímavé. Skoro mi přijde, jak by člověk vestoje přemýšlel jinak než vsedě :).

Zatím mi přijde, že možná bude dobré i na různé práce pracovat v různých polohách. Jsou věci, které mi přijdou ve stoje lepší (kratší a jednodušší úkoly, kódování, psaní emailů, …), zatímco hlubší práce mi zatím přijde lepší v sedě (různé analýzy, vymýšlení algoritmů, hledání složitějších bugů, …).

Ale je dost pravděpodobné, že to může být jen úplným nezvykem mozku pracovat ve stoje, když se mozek soustředí na stání místo na hlubší problém). Samotného mne zajímá, jak se to bude dál vyvíjet a určitě o tom budu referovat.

Závěrem

Druhý stůl by měli chlapi z NastavStul.cz dovézt  první nebo druhý týden v lednu. To je zatím spousta času se mým stolem sžít, takže v dalším článku krom recenze druhého stolu budou určitě i další zkušenosti.

Za mne zatím opravdu spokojenost. Kromě zdravotního hlediska bude práce ve stoje i zpestřením práce z domova :). A k tomu fakt, že je stůl i vizuálně opravdu pěkný, takže nám pracovna zase trochu prokoukla (a už vymýšlíme další nábytek kolem stolu).

Už se těším, až dorazí i druhý stůl a udělají se i nástavce na stůl. Pak budu moct fotkama konkurovat drahým open-space pracovnám velkých korporátů :)).

Šťastné a veselé

Šťastné a veselé

Veselé Vánoce, Veselé Vianoce, Merry Christmas, Frohe Weihnachten, Feliz Navidad, Wesołych Świąt, God jul, Boldog karácsonyt, Vesel božič, Buon Natale, Joyeux noel, Hyvää joulua

Tak takhle nějak musí vypadat naše přání na blogu, aby mu rozumělo cca 98% návštěvníků :). Jelikož ale i doposud museli číst a překládát náš blog z češtiny, i ten dnešní post bude v CZ.

Takže….. Krásné Vánoce a šťastný Nový rok.

Děkujeme za Vaši přízeň v roce 2018, jsme rádi, že se Vám náš blog líbí.  Především pak velké díky všem, kteří u nás na fóru pomáhají ostatním čtenářům a díky patří také těm, kteří věnovali svůj čas a sepsali různé návody pro ostatní. Moc si toho vážím a děkuji.

Máme za sebou totiž další úžasný rok. Náš blog navštívilo více něž 235.000 návštěvníků, kteří u nás strávili v součtu 1200 dní. Za tuto nepředstavitelně dlouhou dobu zde shlédli 860.000 stránek. Úžasná čísla.

Věřím, že i v dalším roce bude náš blog pomáhat tolika z Vás a že i nadále zde budete nacházet řadu užitečných věcí a hlavně, že i my budeme mít stále tolik síly a témat, o kterých zde budeme moct psát.

A teď už nezbývá než popřát, ať pod stromeček dostanete nějakou tu vytouženou hračku (třeba hezký míč) a ať se Vám v dalším roce daří vše, do čeho se pustíte.


PS:

Pokud byste chtěli udělat na Vánoce dobrý skutek, budeme rádi, pokud náš blog finančně podpoříte. Blog provozujeme bez jakýchkoli reklam a chceme to tak zachovat i do budoucna.

Podpořit nás můžete buď pravidelnou platbou skrz platformu Patron, nebo jednorázovým darem na účet: 1012036013/3030. Pokud by každý čtenář připěl jen 100kč, vlastně bychom mohli celý rok jen blogovat a psát články o tom, co Vás zajímá 🙂

Předem děkujeme každému, kdo se rozhodne nás podpořit.

PPS: A pro fanoušky kryptoměn, BTC peněženka zde bc1ql36zrs6gczm7zlfwdtqdc20jdx900l6wkxqdfv

PPPS: Za zaslané dary zatím děkujeme Pavlovi Š., Filipovi K., Jiřímu V., Lamákovi, Josefovi T., Aleši. B., Tomáši Š, Honzovi S. , Richardovi M, Ladislavu Š, Vojtěchovi H., Ivovi B, Janu Ch., Jakubovi K, Tomasi K, Klausovi V., Markovi N, Martinovi W., Jirkovi K., Václavovi K., Pavlovi Š., Zdeňkovi Š., Daliborovi K., Petře N., Renému Ž., Pavlu J. a jednomu Anonymovi ;-). Diky!

Věřím, že se Vás najde ještě pár, co nám s blogem pomohou! Díky.

Zigbee brána pomocí Raspbery PI

Zigbee brána pomocí Raspbery PI

Tak, úvod o Zigbee spolu s důvody, proč je tak úžasný, máme za sebou z minula  a dneska se pojďme podívat na samotné rozchození.

Co budem potřebovat

Na provoz vlastní Zigbee brány budete potřebovat buď Raspberry (doporučuju RaspPI novější než v1. Na té to sice běží, ale dost pomalu). A nebo nějaký NAS nebo linuxový stroj, kde Vám pojede například Docker.

Dále pak komponenty na výrobu Zigbee brány:

A případně nějaká čidla na vyzkoušení

Já jsem se nakonec vydal cestou Raspberry 3 B+ , protože se mi nepovedla Zigbee USB rozchodit pod ESXI (ten ho chybně identifikoval jako USB drive a celý tuhnul). Zatím mi na Raspberry běží jen zigbee2mqtt, ale výhledově ho chci zkusit rozchodit spolu s Loxberry.

Flashnutí CC2531 USB snifferu

Jako první krok je potřeba stáhnout Flash Programmer (verzi 1, nikoli v2). Je nutná registrace, která je ale zdarma. Dále pak nainstalovat CC Debugger driver (zatím jen instalujte, nic nezapojujte do PC).

Nyní propojte všechny tři zakoupené komponenty z prvního seznamu mezi sebou (CC Debugger – Downloader Cable — USB Sniffer). Z USB Snifferu je potřeba vyndat chráničku, která je na pinech nastrčená. Měli byste získat celek, který má na obou koncích USB koncovku.

Propojku na USB sniffer připojte tak, že červená linka na kabelech je na straně, kde není USB zásuvka.

Nyní připojte USB kabel z CC Debugeru a ověřte, že zařízení vidíte ve správci zařízení. Mně tento krok sám o sobe nefungoval a bylo potřeba ještě ručně nainstalovat driver ze souboru swrc212a.zip z podsložky cebal\win_64bit_x64.

Pokud ve správci zařízení vidíte CC Debugger, připojte i USB Sniffer. Takže budete mít oba USB porty zapojené.

Nyní na CC Debugeru zmáčněte tlačítko Reset, čímž by se měla kontrolka rozsvítit zeleně.

Spusťte aplikaci Flash Programmer, kde byste v horním seznamu měli vidět CC Debuger zařízení. Pokud nevidíte, znamená to, že Vám nefunguje výše zmíněný driver. Zkontrolujte ho a případně nainstalujte.

Stáhněte custom firmware pro USB Sniffer – https://github.com/Koenkk/Z-Stack-firmware/tree/master/coordinator/CC2531/bin

V aplikaci zvolte custom firmware a vyberte soubor stažený v předchozím kroku.

Odškrtněte “Retain IEEE address when reprogramming the chip” a stiskněte “Perform flash”.

Počkejte, než se USB sniffer zase rozsvítí zeleně. Tím poznáte, že je přeprogramování hotovo.

Aplikaci můžete ukončit a sniffer vyndat z Vašeho PC:

Pokud používáte Linux, nebo se chcete podívat na původní návod, tak ten je k dispozici zde: https://github.com/Koenkk/zigbee2mqtt/wiki/Getting-started

Instalace na Raspberry

Tady je postup vcelku primitivní a funguje přesně jak je popsáno zde: https://github.com/Koenkk/zigbee2mqtt/wiki/Running-the-bridge

Jako první krok odpojte CC Debugger a Downloader kabel a připojte USB Sniffer do Raspberry. Pak zjistěte, zda Vaše Raspberry vidí USB Sniffer. To zjistíte tak, že ve složce /dev uvidíte ttyACM0. Takže zkuste například

ls -l /dev/ttyACM0

Pro samotnou instalaci postupně spusťte kroky popsané na výše zmíněné stránce. Tzn:

sudo curl -sL https://deb.nodesource.com/setup_8.x | sudo -E bash -
sudo apt-get install -y nodejs git make g++ gcc
sudo git clone https://github.com/Koenkk/zigbee2mqtt.git /opt/zigbee2mqtt
sudo chown -R pi:pi /opt/zigbee2mqtt
cd /opt/zigbee2mqtt
npm install

Pokud se něco nepovede, zkuste zkontrolovat verze npm a verzi node dle popisu v gihubu. Mně vše fungovalo napoprvé.

Když budete mít nainstalováno, je potřeba ještě zigbee2mqtt nakonfigurovat. To se dělá v souboru /opt/zigbee2mqtt/data/configuration.yaml.

Konfiguraci proveďtě pomocí nástroje nano:

nano /opt/zigbee2mqtt/data/configuration.yaml

upravte MQTT bránu dle Vašeho nastavení a soubor uložte (CTRL+O a ukončete pomocí pomocí CTRL+X).

Nyní zigbee2mqtt spusťte a otestujte, že vše jede.

cd /opt/zigbee2mqtt
npm start

Měli byste vidět něco jako:

2018-12-04 17:12:03 INFO Starting zigbee-shepherd
2018-12-04 17:12:04 INFO zigbee-shepherd started
2018-12-04 17:12:04 INFO Currently 0 devices are joined:
2018-12-04 17:12:04 INFO Connecting to MQTT server at mqtt://mqtt.dum
2018-12-04 17:12:04 INFO zigbee-shepherd ready
2018-12-04 17:12:04 INFO Connected to MQTT server

Automatické spouštění po startu

Pokud chcete, aby se brána spouštěla automaticky při restartu Raspberry, je potřeba ještě zaregistrovat zigbee2mqtt jako service.

sudo nano /etc/systemd/system/zigbee2mqtt.service

Vložit:

[Unit]
Description=zigbee2mqtt
After=network.target

[Service]
ExecStart=/usr/bin/npm start
WorkingDirectory=/opt/zigbee2mqtt
StandardOutput=inherit
StandardError=inherit
Restart=always
User=pi

[Install]
WantedBy=multi-user.target

A opět uložit a ukončit (CTRL+O, CTRL+X).

Nyní službu nahoďtte a podívejte se, že běží

sudo systemctl start zigbee2mqtt
systemctl status zigbee2mqtt.service

a pak ji povolte jako automatickou

# Start zigbee2mqtt
sudo systemctl start zigbee2mqtt

# Show status
systemctl status zigbee2mqtt.service

A tady ještě několik užitečných příkazů, především pak ten poslední, pomocí kterého se můžete podívat na log zigbee2mqtt i když běží na pozadí (hodí se při párování dalších zařízení).

# Stopping zigbee2mqtt
sudo systemctl stop zigbee2mqtt

# Starting zigbee2mqtt
sudo systemctl start zigbee2mqtt

# View the log of zigbee2mqtt
sudo journalctl -u zigbee2mqtt.service -f

Celý návod je opět dostupný zde:https://github.com/Koenkk/zigbee2mqtt/wiki/Running-the-bridge . Stačí následovat krok za krokem.

Při prvním testování doporučuji zigbee2mqtt spustit jen z příkazové řádky (ne jako service). Lépe uvidíte, co se uvnitř děje.

Párování zařízení

Párování samotné je občas vcelku věda. Každé zařízení má totiž vlastní postup, jak vyvolat párovací proces. Zatím mám vyzkoušené jen výše uvedená zařízení, ale ostatní snad už budou podobné.

Na zigbee2mqtt wiki je opět článek o párování, ale ten mi pomohl jen částečně.

Samotný zigbee2mqtt provádí párování cca jednou za minutu. Je proto potřeba se jednak trefit do tohoto časového okna (info o párování vidíte v logu) a udržet párované zařízení online.

V případe Xiaomi teploměru šlo všechno hladce. Stačilo podržet tlačítko teploměru po dobu cca 5 sekund a nacházet se v blízkosti USB sniferu.

V případě Xiaomi cube to byl boj. Co totiž na webu nepíšou je, že zařízení usíná. Je tedy potřeba opravdu trefit párovací okno, nejprve držet párovací tlačítko cca 5sekund, kdy se 3x rozbliká modře dioda. Pak párovací tlačítko pustit a dioda blikne ještě jednou (tím pravděpodobně potvrzuje, že se rozjel párovací proces). A nyní je potřeba cca jednou za sekundu jen krátce zmáčknout tlačítko. Tím kostku udržujete vzhůru. Jakmile se kostka přihlásí v logu zigbee2mqtt, můžete zběsilého mačkání nechat.

A na závěr Ikea žárovka. Tam se pro změnu párování dělá střídavým zapínáním a vypínáním, navíc je potřeba mít USB Zigbee sniffer jen pár cm od žárovky, ideálně úplně na ní.

Na tyhle účely jsem si vyrobil kabel s vypínačem a objímkou, abych mohl žárovku pustit přímo vedle Raspberry. Poté, co žárovku umístíte k Zigbee Snifferu, je potřeba 6x zapnout a vypnout žárovku tak, že ji vždy jen na chviličku zapnete, aby se téměř nestihla rozsvítit a pak na delší dobu vypnete (cca 0.5s zapnout a třeba 1s vypnout). Po těchto šesti ji nechte buď zaplou, nebo dál blikejte.

Závěrem

Jak vidíte, párování není úplně snadné :). Ale s trochou cviku to už jde.

A to je pro dnešek vše. Návod už je docela dlouhý, ale přitom je myslím vcelku snadný. Příště pak bude následovat ukázka, jak z MQTT dostat data přes NodeRED až do Loxone.

PS:

Ještě jen doplním pár vět ohledně diskuze před minulým článkem. Co by se mi opravdu líbilo, je PLC Zigbee na DIN lištu. Aby to bylo zase hloupé a nahraditelné zařízení, stejně jako třeba Quido nebo jiná seriovka. Něco málo jsem našel, ale ceny nejsou moc příjemné. Pokud by někdo věděl, dejte vědět.

Představení Zigbee

Představení Zigbee

Představte si bezdrátovou technologii, kterou lze ovládat světla, zásuvky, přijímat pomocí ní teploty, vlhkosti, kontakty oken a mnoho dalšího. Představte si technologii, kdy se spousta velkých výrobců konečně shodla na jednotném komunikačním formátu. Představte si Zigbee.

Asi takhle nějak by mohla znít reklama na Zigbee, kdyby se ovšem výrobci rozhodli, že chtějí, abyste to věděli. Jenže, věci se mají trošku jinak, a tak to nikdo takto nehlásá.

Spousta výrobců už dnes  totiž Zigbee podporuje, ale už moc nešíří, že to, co používají, je Zigbee. Každý totiž chce nabízet k jeho zařízením jen jeho vlastní bránu. A to proto, že brána pak krom samotného ovládání zařízení odesílá data o tom, jaká zařízení používáte, jak často je používáte, kolik jich máte, kde bydlíte a celkově vás takto šmíruje (a například Xiaomi gateway údajně otevírá na IPv6 protokolu dokonce root přístup pro internet do vašeho domu).

A kdo Zigbee podporuje? Například právě zmíněný Xiaomi, Philips, Osram, Ikea,… a spoustu dalších. Většinou se Vám je ale oficiální cestou nepodaří propojit mezi sebou.

Naštěstí je tu ale pak i ta neoficiální cesta. A to ta, kde si vytvoříte vlastní univerzální bránu.

Díky tomu zařízení nemohou nijak komunikovat s internetem, nikdo Vás tak nešpehuje a vy můžete připojit všechna zařízení do jedné Zigbee sítě. Takto připojená zařízení pak můžete ovládat z nějakého home-automation systému. V našem případě z Loxone.

A co teda Zigbee vlastně je a jak funguje?

Zigbee je komerční protokol, který si výrobci licencují a integrují do svých zařízení. Díky tomu pak můžete jejich světla ovládat dálkovým ovladačem, občas i mobilní aplikací. Proto Ikea může nabízet chytrá světla, Xiomi třeba čidla teploty. A nikdo z nich se nemusí starat o vývoj protokolu ani hardware nutnému k těmto funkcím.

Zigbee je bezdrátová technologie vytvořená tak, aby měla co nejmenší spotřebu. Vzduchem se přenáší jen ID zařízení a pár hodnot. A je na příjemci, aby tyto hodnoty zpracoval.

Navíc, ta zařízení, která jsou nonstop připojeny k elektrické síti, pak většinou fungují také jako opakovače, takže krom příjmu či odesílání informací ještě samy dále šíří Zigbee signál. Díky tomu lze signál dostat kamkoli po domě. Stačí pár chytrých žárovek nebo zásuvek a celý dům máte pokrytý.

A teď trochu negativ. Tím prvním je, že si to musíte zbastlit sami. Neexistuje totiž univerzální brána, která by toto vše uměla. Každý výrobce má bránu uzamčenou jen na vlastní zařízení a ovládat ji lze jen z jeho aplikace.

V praxi to tak znamená, že i když máte v domě vše zigbee, musíte stejně používat deset různých ovladačů nebo aplikací. Geniální, že ? 🙂

Takže je potřeba si koupit USB Zigbee stick, který umí přijímat a vysílat Zigbee a pak někde na RasperyPi, nebo třeba v Dockeru na NASu rozchodit Zigbee2mqtt software, který překládá Zigbee z/do MQTT transportního protokolu. A z něj pak pomocí NodeRED data překládat a posílat do Loxone a zpět z Loxone do MQTT.

Ale, není to nic hrozného. Když víte jak na to, je to vcelku snadné. Jen to chce trochu času a trochu práce :).

V současnosti mám rozběhanou Xiaomi kostku, Xiaomi teploměr s vlhkoměrem a Ikea žárovku se stmíváním.

Zatím mám vše rozchozeno v polních podmínkách na stole, ale postupně budu vše integrovat do domu. Spolu s tím budu i odstraňovat některé technologie z domu pryč.

Tou první jsou DMX Triaky. I když fungují supr, zabírájí v rozvaděči hodně místa a přijde mi zbytečné mixovat více různých technologií. Proto DMX Triaky nahradím chytrými žárovkami.

Triak stojí cca 800kč, chytrá žárovka 300kč. I když vyjde žárovka o něco dráž, ušetřím místo v rozvaděči a trochu ho zjednoduším. Takže snadná volba (pokud by někdo mé triaky chtěl, mám 3ks, z toho jeden používaný, dva zatím nezapojeny. Nechám je za 600kč za ks).

Další, co zjednoduším, budou zásuvky. OSRAM SmartPlug vypadá moc pěkně a lze ho zapojit kamkoli. Narozdíl od komplikovaného zapojování více okruhů v rámci místnosti a relátek v rozvaděči zařízení jen píchnu do hloupé zásuvky a je z ní chytrá zásuvka.

Využiju to všude tam, kde se zapínají drobné spotřebiče. Například zvlhčovačka vzduchu v ložnicích, zabiják komárů, nebo třeba vánoční osvětlení.

Co se týká čidel, tak teploměry mám pod vypínači na 1-wire a ty tam i nechám. Tam, kde ale teploměry nemám, využiju Xiaomi čidla. Například na půdě, v zahradní boudě a jinde, kde mne zajímá jaká je teplota, ale nemám tam nataženo dost kabelů, nebo by už 1-wire byl zbytečně dlouhý.

Tahle lednička za 3,000USD údajně už Zigbee podporuje (Samsung)

Věřím, že zařízeních bude do budoucna přibývat a třeba se objeví i složitejší spotřebiče, jako třeba trouba nebo lednička, která bude přes Zigbee ukazovat své stavy a půjde tím třeba i nějak ovládat. Zatím to vypadá, že výrobci Zigbee docela věří a stále přibývají jak další produkty, tak noví výrobci, kteří Zigbee podporují.

Oficiální prohlášení Loxone o Zigbee z roku 2015.

Je jen škoda, že Loxone jakožto technologie chytrého domu už delší dobu úmyslně ignoruje veškeré nové technologie jako je IoT, MQTT, Zigbe,… jen proto, aby mohlo prodávat svůj předražený LoxoneAir a tím tak zákazníky drželo ve své moci.

A to bude v dnešním představení vše. Jak vidíte, Zigbee vypadá jako nadějná technologie, nad kterou lze postavit nekritické systémy v domě a zároveň ušetřit nějaké to místo v rozdvaděči.

Článek o konfiguraci a rozchození Zigbee očekávejte záhy 🙂

PS: Pro ty co Vás to zaujalo, zatím si objednejte tyto věci na AliExpressu.

Pro výrobu Zigbee brány:

Čidla na vyzkoušení

 

P2P investování – měsíční sumarizace (listopad 2018)

P2P investování – měsíční sumarizace (listopad 2018)

Tak zase rychlá rekapitulace. Nevím jak jste ostatní na tom s Lendy, ale u mne je to stále stejná bída. Naprosto žádná změna, většinu už mám v defaultu a tři mám stále ve frontě na prodej. Celkový zisk opět nula. Na Zonky se kupodivu zisk stále drží na necelých 8% procentech, což je pro mne milé překvapení, protože už nechávám vše jen dobíhat a nic nereinvestuju. No a pak Mintos, který prostě pořád funguje pěkně.

Na Mintosu jsem trochu aktualizoval pravidla, která postupně vyzobávájí úvěry od 15% do 10%, nerozlišuju nijak jejich nový rating, beru vše. Jediná podmínka je BuyBack garance a nákup úvěru za 10USD-20USD.

Z novinek Mintosu mne hodně potešila možnost kreditní karty a vlastního IBAN účtu. Je vidět, že Mintos do toho stále opravdu šlape. Pokud tuto novinky dotáhnou, půjde si na Mintosu nechat automaticky posílat nějaký obnos měsíčně, držet nějakou část peněz nezainvestovanou, ze které půjde platit kartou a zbytek se bude rozinvestovávat. Přijde mi to jako zajimavá nápad. Více info zde https://blog.mintos.com/mintos-raises-eur-5-million-to-provide-users-with-personal-iban-accounts-and-debit-cards/

 

Souhrn vkladů

 

Rok Měsíc Zonky Mintos SavingStream Twino Viventor ViaInvest Swaper
2016 3 4000 Kč
2016 4 6000 Kč 27037 Kč 6274 Kč
2016 5 4000 Kč 13781 Kč 36908 Kč 5403 Kč 5404 Kč
2016 6 14052 Kč 22570 Kč 13513 Kč 13574 Kč
2016 7 270 Kč
2016 8 10386 Kč 29449 Kč
2016 9 6855 Kč 6512 Kč 5404 Kč
2016 10 16146 Kč 24990 Kč -13500 Kč
2016 11 64449 Kč 31216 Kč -5485 Kč
2016 12 2641 Kč
2017 1 9198 Kč 16000 Kč 9484 Kč 5404 Kč
2017 2 2270 Kč 4000 Kč 12701 Kč
2017 3 -53660 Kč -53422 Kč -54038 Kč
2017 4 0 Kč
2017 5 82031 Kč -68930 Kč
2017 6 35468 Kč -867 Kč
2017 8 -11000 Kč 0 Kč 4004 Kč 0 Kč
2017 9 -895 Kč 16003 Kč -1962 Kč
2017 10 11343 Kč 10030 Kč
2017 11 0 Kč
2017 12 -517 Kč 105364 Kč
2018 1 -74348 Kč -2868 Kč -13804 Kč
2018 2 -29591 Kč
2018 3 -550 Kč -5591 Kč
2018 5 -7837 Kč -318 Kč
2018 7 -6870 Kč
2018 9 -481 Kč
557 Kč 259700 Kč 35301 Kč -5469 Kč -873 Kč -187 Kč -1421 Kč

Jako vždy doporučení na Transferwise, které stále rozdává první převod až do výše 500EUR zdarma (v případě, že se registrace přes náš link). Zároveň tím také podpoříte náš blog, protože i my za to dostaneme odměnu.

Úročení a fungování platforem

Kam investováno Měna ROI měsíc ROI celkem
Mintos EUR 12.57% 12.85%
Twino EUR 8.69%
Viventor EUR 9.32%
ViaInvest EUR 7.74%
Swaper EUR 16.25%
Zonky CZK 7.91% 8.05%
SavingStream GBP 0.00% 8.60%
Celkem 11.77% 13.34%

Sumarizace zisků za tento měsíc

Kam investováno Měna $€ CZK ROI
Mintos EUR 78.02 2,164.05 Kč 12.57%
Twino EUR 0.00 0.00 Kč
Viventor EUR 0.00 0.00 Kč
ViaInvest EUR 0.00 0.00 Kč
Swaper EUR 0.00 0.00 Kč
Zonky CZK 16.37 16.37 Kč 7.91%
SavingStream GBP 0.00 0.00 Kč 0.00%
Celkem 2180.42 Kč

Poznámka: Jelikož se nám trochu pohoupalo Euro i Libra, nejsou teď korunové zisky úplně přesné. Momentálně mám exporty udělané tak, že se používá průměrovaný kurz z doby vkladu, což ale moc neodpovídá momentálně realitě. Pokud by byl čas, budu muset zanést ještě nějak různé kurzy pro různé období (nelze zas použít jen jeden, protože by to snížilo i historické zisky, které už byly vybrány). A tak zatím budu používat kurzy z doby vkladu.

Linky pro Vás

forumlink
Link na diskuzní fórum, kde pokračuje diskuze

Výběr výškově nastavitelného stolu

Výběr výškově nastavitelného stolu

Dnešní článek je pokračováním toho ze soboty o tom, jak jsme se rozhodli pracovat ve stoje. Důvody tohoto rozhodnutí jsem zeširoka popisoval v minulém článku, takže jen ve zkratce. Bolest zad, bolest karpálu a ochabování svalů :).

Dneska se rovnou z kraje pustím do popisu toho, čím jsme prošli během výběru vhodného stolu. Jako asi všichni neznalí jsme nejprve googlili “polohovací stůl”, pak “elektrický stůl”, pak “výškově nastavitelný stůl”.

A našli jsme toho spoustu, ale, nic, co by úplně vyhovovalo našim představám. Buď byla cena hodně vysoko, nebo byla cena rozumná, ale kvalita dost pokulhávala.

Vybrat polohovatelný stůl totiž není úplně přímočaré. Jak jsme průběžně zjišťovali, stoly se liší několika atributama:

  • počet segmentů u nohy: Noha stolu je složena buď ze dvou, nebo ze tří částí. Ty levnější, složené jen ze dvou, mají dvě nevýhody. Nižší výška výsuvu a horší stabilita. Takže, chtěli jsme třísegmentovou.¨
  • motorizace: dělají se i výškově nastavitelné stoly s kličkou. Takže při každé změně to máte ještě s fitnessem. Jenže, vyruší Vás to od rozdělané práce a to fakt nechceme. Takže s motorem.
  • počet motorů: Nejlevnší varianty stolů mívají jen jeden motor, který je šílenou hřídeli rozvedený do obou nohou. To rozhodně ne, chceme, aby každá noha měla vlastní motor.
  • ovládání: základní modely stolu mají jen tlačítko nahoru a dolů, takže pokaždé musíte štelovat správnou pozici. To není něco, čím bych se chtěl zdržovat. Proto volíme variantu s paměťmi, kam lze uložit 2 a více poloh.
  • výrobce motorů: Motory do stolů dělá několik firem, jak českých, tak evropských a čínských. Do stolu hledáme kvalitní motor, který bude dlouho dobře sloužit, bude tichý a nebude nijak nepříjemně vrzat.
  • rozměr: Pro I. chceme 180cm široký stůl s ergonomickým vykrojením, pro sebe pak chci rohový 180x180cm stůl se zaoblením ve středu stolu.
  • servis: Jelikož se jedná o pracovní nástroj, musí být dostupný servis. Není možné, aby v případě, kdy by se stůl zasekl, já musel čekat měsíc a více na nový díl. U stolu denně pracuji a musí být stále funkční
  • záruka: Stůl kupuji na dalších deset a více let. Proto krom záruky samotné potřebuji i pozáruční servis. Nechci koupit stůl jako spotřební zboží s tím, že ho za čas vyhodím a koupim znovu další.
  • cena: A samozřejmě je důležitá i cena. Rozhodně nechci nejlevnější krám, ale chci stůl s dobrým poměrem cena výkon.

Tak to máme, co hledáme. A teď, co jsme postupně našli.

Kategorie Ikea

Úplně nejlevnější stůl je zřejmě ten z Ikei. Nutno říct, že cena odpovída kvalitě i designu. Stůl vypadá jak z hororového prostředí psychiatrických léčeben 50 let minulého století a jeho stabilita je stejná jako stabilita chovanců těchto léčeben. A to vše za bratru 12.000 Kč s DPH.

Stůl navíc nemá paměť na uložení poloh, musíte si ho po Ikeovsku složit sami a v případě potřeby jakéhokoli servisu nebo náhradních dílů máte smůlu.

Kategorie Spotřebák

Další kategorie jsou stoly ze všech OfficeDepotů, AJProduktů, B2B partnerů a dalších společností zásobujících firmy vším od toaletního papíru po ponky, odpadkové koše a bezpečnostní gumáky.

Ceny bez daně jsou podobné cenám s daní u Ikey. Takže se pohybujeme cca 10-14.000 bez DPH. Designově (dle katalogu) vypadají lépe, jenže nemáte možnost se na stůl nikde podívat. K tomu Vás opět čeká instalace samo-domo, opět chybějící servis a nulová informace o výrobku.

Zkoušel jsem s B2B komunikovat a chtěl jsem vyzjistit, kdo je jejich dodavatelem stolu a jak řeší pozáruční servis. Dodavatele mi nesdělili, prý neví, ale někdo mimo ČR. Na dotaz ohledně náhradních dílů mi bylo sděleno, že na stůl je záruka 5 let. Po záruce hotovo, firma pak již nic nenabízí.

Tak tudy také ne, abych po pár letech stůl za 15.000 kč vyhodil, to fakt ne.

Navíc, stoly jsou opět jen v hodně základním vybavení, občas jen dvousegmentové nohy, bez paměti výškového nastavení.

Kategorie Velkovýroba

Do další kategorie patří firmy, co stoly vyrábí ve velkém měřítku. Tady je to už s kvalitou i designem lepší, ale zase je horší cena (jak ukážu v dalších odstavcích). Do této kategorie bezesporu patří firma Hobis a jejich stoly MotionErgo.

Na první pohled vypadají ceny dobře, bohužel jen do chvíle, než rozkódujete jejich značení. MSE 2 znamená, že se jedná o stůl jen s dvouma segmentama. To znamena nižší výsuv (max 120cm) a horší stabilita.

Takže potřebujete MSE 3, aby byl stůl 3 segmentový. Dále je důležité písmeno M, to značí, jestli má stůl jen základní ovládání, nebo ovládání s pamětí (Memory).

Poslední číslo 1800 značí šírku stolu. Pro I. tedy potřebujeme MSE 3M 1800. A tím se najednou dostáváme z jejich “od 12.000 kč bez dph” na 17.500 Kč bez DPH,  jelikož ten nejlevnější je jen 1.2m široký stoleček bez paměti a s dovusegmentovou nohou.

Spolu s Hobisem by se dali zmínit i další prodejci či výrobci, jako ErgoProdukt (cena 18.000 bez DPH), Exner (divize Hobisu, cena 19.000 bez DPH) a pravděpodobně i další.

Kategorie OneManShow (ne, není to Kazma)

Další kategorií je trochu specifická kategorie výrobce stolů p. Kříže a jeho firmy sit2stand. Stoly vyrábí sám a je pravděpodobně průkopníkem těchto stolů v ČR. Bohužel, jeho web nemá žádné kontaktní údaje a nemá žádný showroom, kde by se na stoly dalo podívat.

Jeho stoly jsou třísegmentové, s kvalitními motory a dobrým ovládáním. Bohužel, jeho cena 25.000 Kč bez DPH je vysoko nad konkurencí, která nabízí srovnatelně kvalitní stoly a kterou jsme nakonec zvolili i my.

Kategorie Designovka a Nesmyslná cena

Ještě před tím, než se dostaneme k našemu vítězi, zastavím se na chvilku v jedné trochu atypické kategorii. Tím jsou designové stoly, ale občas jen obyčejné stoly od designových dodavatelů. Stoly jsou technologicky leckdy dost zaostalé, ale díky fancy prezentaci a navoněnému jménu prodejce předražené až hrůza. Nebudu zde uvádět žádné konkrétní případy, ale stačí chvilku hledat, abyste nalezli. Většinou je poznáte tak, že cenovka ukazuje daleko za 30.000, občas i 50.000, ale přitom jsou obyčejné dvousegmentové, bez lepšího ovládání a s noname motory.

Kategorie samostatná podnož

Úplně poslední variantou vhodnou ke zmínění byl nápad pořídit samostatné nohy s motory a nějak to vymyslet. Bohužel, samostatné nohy nejsou vše, jelikož je potřeba ještě konstrukce, co je pak drží u stolu.

A když jsme pak obepsali výrobce nohou či konstrucí, zjistili jsme, že nic neušetříme, spíš naopak. Buď výrobci vůbec koncovým odběratelům nedodávají, nebo za ceny, co se naprosto nevyplatí (například samostatná podnož od firmy ALUPRESS za 12.500 Kč bez DPH). K tomu nutné připočíst cenu za ovládání, cenu za materiál nutný k přichycení stolu, cenu za pracovní desku, olaminování,…

Kategorie Kvalita za dobré peníze

A tím se dostáváme k závěru tam, kde jsme stoly nakonec koupili my. Jedná se o firmu dvou českých nadšenců, kteří mají vlastní showroom, vlastní portfolio stolů jak do kanceláří, tak do výroby, nebo taky pro děti. Stoly skládají z kvalitních motorů a za rozumné peníze – VNS aneb nastavstul.cz

Nabízí dva modely stolů, my jsme zvolili ten levnější, pojmenovaný SimpleLine. Za cena 14.800 Kč bez DPH dostanete kompletní 180cm široký stůl s třísegmentovýma nohama, dvěmi kvalitními německými motory a pamětí na polohy.

Navíc, oproti ostatním nám stůl dovezou již složený, takže nebudem muset bojovat se složením (a obvzlášť u toho rohového 180×180 by to byla asi lahůdka). K tomu nabízí záruční i pozáruční servis, kdy jsou ochotni přijet a promazat či seštelovat stůl, kdykoli bude nějak zlobit.

Jak vidíte, rozhodování zase nebylo tak složité :). Podpořit dva začínající podnikatele, kteří milují co dělají, navíc nabízí víc než ostatní a za super peníze, to bylo celkem lehké rozhodnutí 🙂

Kategorie rohový stůl

Závěrem ještě zmínka o rohovém stolu. Hned z kraje říkám, že jestli nemusíte, nechtějte ho. Je to celkově o dost dražší, protože potřebuje 3 nohy. Bohužel, pokud máte 1.95m jako já, nic moc jiného Vám asi nezbude. U klasického rovného stolu totiž nemám kam dát nohy pod stolem a ruce na stole :). Takže bych musel mít buď hloubku stolu 1m+, a nebo holt ten rohový.

K tomu fakt, že mám na stole tři monitory a hlavně, jsem na rohový stůl zvyklý, tak sem ho chtěl i teď. Ale, něco to stojí.

Jestli jsou ceny u klasických stolů mezi výrobci rozdílné, u rohových to platí obzvlášť. Výběr je ještě menší a ceny ještě více šílené. Naštěstí, i v případě rohového stolu jsme se domluvili s lidma z nastavstul.cz.

Co mne zaujalo, tak nastavstul.cz dělá i výškově nastavitelné ponky. Tak, třeba jednou do dílny… 🙂

Říkali, že mají rádi výzvy a jsou zvyklí i na atypické úpravy stolů. Tak jsem jim dal výzvu :). 180×180 cm v kuse, se zaobleným rohem k sezení. A i toho se zhostili pěkně.

Stůl bude za 25.400 Kč bez DPH, zatímco když jsem se ptal v Hobisu, stůl byl za 32.000 bez DPH. Takže, cena super, a ještě ho dovezou už složený a pomůžou mi ho donést až na místo.

Anebo prckovi jeho vlastní výškově nastavitelný stůl. I tam mi to dává dost smysl. Uvidíme….

Závěrem

A to bude pro dnes vše. Nezbývá, než počkat na dodání. Mají toho prý teď před Vánocema víc, ale do Svátků by to ještě měli zvládnout. Další článek tak bude zřejmě s fotkou se stromečkem a velkou mašlí přes stoly :).