Password managers – LastPass

10. May 2011. 2 Comments by

Kako smo imali priliku vidjeti u jednom od prethodnih tekstova naše male sage o šiframa (pogledajte i O šiframa Kradljivci šifri), sigurnost servera i klijenta, ali i njihove međusobne komunikacije, može pod određenim uslovima postati kompromitirana. Recimo da koristite neku super-dugu-i-kompleksnu šifru, sastavljenu od nasumičnih znakova iz što većeg skupa simbola (velika i mala slova, brojevi, posebni simboli). E-banking usluzi svoje banke pristupate pomoću svoje email adrese (kao korisničkog imena) i te šifre. To je sasvim u redu i sve je kako treba. Međutim, kada tu istu super-dugu-i-kompleksnu šifru iskoristite za pristup portalu/forumu pepeljugaicrvenkapica-pricezadjecu.com (karikiramo), stvari više nisu tako bajne. Za servere banke se može sa sigurnošću pretpostaviti da su sigurni, ali to se ne može baš tako lako tvrditi za  pepeljugaicrvenkapica-pricezadjecu.com, a isto vrijedi i za ljude koji potonju stranicu održavaju. Jer, upamtite, oni mogu znati vašu email adresu i vašu super-dugu-i-kompleksnu šifru. Također, kako smo vidjeli u prethodnom tekstu ove serije, malware nije rijetka pojava: kompjuteri na žalost bivaju zaraženi. Ukoliko neki trojanac ‘uhvati’ vaše logovanje na pepeljugaicrvenkapica-pricezadjecu.com i svom autoru prenose korisničko ime i šifru (doduše, može uhvatiti i vaše prijavljivanje na server banke, ali što češće šifru koristite veće su šanse da će je trojanac prepoznati), ništa ga ne sprječava da pritom usput ne pregleda i vaš browser history, tamo pronađe e-banking site i o tome, onako usput, obavijesti svog autora. Potonji će, logično, isprobati sve vaše šifre do kojih je došao na tom e-banking siteu, ko zna, neka možda i upali. Ako ne upali tu, možda će upaliti na Gmailu, facebooku ili LinkedInu. Ukratko, koristiti istu šifru na više mijesta, ma koliko super-duga-i-kompleksna bila, nije preporučljivo. Idealiziran (i srećom malo vjerovatan) scenerij koji je poslužio kao primjer u ovom odlomku na stranu, zaključak je da Vam ne treba jedna dobra šifra, čak ni par njih, treba vam puno super-dugih-i-kompleksnih šifri. Želite kompleksnu, nepogodljivu i neprobojnu šifru za svaku namjenu. Ukoliko se neko čak i dočepa jedne šifre, neće mu to puno pomoći na drugim mjestima.

Jednu super-dugu-i-kompleksnu šifru bismo još nekako mogli i zapamtiti, ali 20-30-50 njih već malo teže. Definitivno imamo problem, te silne šifre treba negdje zapisati, organizirati i po mogućnosti uvijek imati sa sobom. Također, razmaženi uslužnosti naših silikonskih ljubimaca, voljeli bismo i da te šifre u odgovarajuća polja neko upisuje umjesto nas (čak je i prepisivanje kompleksnih šifri priličan posao). Srećom, kreativni programeri svjesni su ovog problema već neko vrijeme i danas nam na raspolaganju stoji priličan broj rješenja, od kojih su neka vrla dobra. No, i tu vrebaju opasnosti. Je li pametno naslijepo povjeriti nekom trećem-petom-desetom svoje dragocjene šifre? Kome se može vjerovati?

Srećom, tu smo mi da pomognemo i da pokušamo dati odgovore na pitanja nakupljena kroz prethodna dva članka.

Password manager – šta je to?

Osnovna namjena password managera i srodnog softvera nije samo zaštita šifri, već prije svega skidanje tereta s korisnika. Procjenjuje se da korisnici Interneta godišnje kolektivno provedu preko 10.300 sati u potrazi za izgubljenim ili zaboravljenim šiframa, praveći nove ili u razgovoru s centrom podrške korisnicima zbog nemogućnosti prijave. Ljudi koriste Internet da bi se povezivali s drugima, istraživali, kupovali, učili i radili. Sigurno ne koriste Internet da bi petljali sa šiframa, riskirali svoju privatnost ili financijske podatke. Zadaća password managera je da učini online iskustvo lakšim i sugurnijim za sve. Težak zadatak, obzirom na spektar profila korisnika koji ih koriste, od eksperata računarske sigurnosti do onih koji po pola sata traže tipku any key na tastaturi.

Općenito uzevši, postoji više tipova softvera kojima je cilj pomoći korisnicima u baratanju šiframa i kredencijalima općenito. Možemo govoriti o password managerima, password sinkronizatorima i single signon rješenjima, no u praksi postaje uobičajeno da se funkcionalnosti sve tri kategorije programa stavljaju pod istu kapu. Stoga kada se govori o password managerima, podrazumijeva se da imaju opcije prijavljivanja na više mjesta istom šifrom (tzv. master password) i da šifre istog korisnika poprime identične vrijednosti na više mašina koje taj korisnik koristi.

Password manager tipično drži šifrovane (zaštićene) podatke o korisničkim imenima i šiframa u lokalnoj bazi podataka ili datotekama, gradeći tzv. biblioteku šifri. Neki nude mogućnost sinkronizacije lokalne i udaljene baze, omogućavajući korisnicima da imaju svoje podatke za prijavu na svakom mjestu. Čest dodatak password managerima je form filler (često u obliku web browser proširenja) koji daje mogućnost automatskog popunjavanja polja za prijavu.

Password manager štiti povjerenu mu kolekciju šifri jednom šifrom, jedinom koju treba pamtiti. Ta jedna šifra – master password – daje pristup sefu sa ostalim šiframa. Form filler je taj koji nas pošteđuje traženja korisničkog imena i šifre za pojedinu web lokaciju te njihovog upisivanja na formu (ili copy/paste operacije), automatski unoseći login podatke u za to predviđena polja. Nama preostaje samo kliknuti dugme ‘Sign in’.

Ukratko, ideja je jednom šifrom, jedinom super-dugom-i-kompleksnom koju treba pamtiti, otključati sef i omogućiti korištenje drugih super-dugih-i-kompleksnih šifri koje se ne moraju pamtiti jer ih password manager pamti za nas. Ovim je sigurnost znatno poboljšana (jer za svaku uslugu imamo različitu super-dugu-i-kompleksnu šifru), a i posao nam je olakšan, jer se naši login podaci na svakoj lokaciji koju posjedimo upisuju sami. Međutim, kompromitiranje master passworda znači i kompromitiranje svih ostalih šifri, stoga treba obratiti posebnu pažnju kako se tom šifrom rukuje. Opet, lakše je čuvati jednu šifru nego njih 50, a i napredni password manageri će nam pomoći u tome.

Pored očite zadaće zaštite šifri od neželjenih pogleda, password manageri vrše još jednu sigurnosnu funkciju. Oni predstavljaju dobru odbranu od tzv. phishinga, tj. prijevara. Za razliku od ljudi, program ne nasjeda na vizualne imitacije i web stranice koje izgledaju identično nekim kojima možda vjerujemo.

Password manageri su već duže vrijeme dio web browsera. Nastali su evolucijom form fillera i potrebom da se nakupljena korisnička imena i šifre za brojne domene zaštite od svih osim korisnika browsera. Kada se prvi put prijavite na nekoj stranici bit ćete upitani želite li da browser ‘zapamti’ vaše podatke za prijavu; naredni put kad je posjetite korisničko ime i šifra bit će automatski upisani. Tako u valjda svakom browseru danas možete postaviti master password bez kog form filler neće sarađivati. Neki mogućnost sinkronizacije nude kao proširenje, nekima je to dio osnovnih mogućnosti. U svakom slučaju, password manageri su tu da ostanu.

U nastavku ćemo ilustrirati način rada i mogućnosti koje password manager nudi, te podcrtati probleme s kojima se ovaj tip softvera hvata u koštac, te načine na koje ih rješava. Za primjer uzimamo LastPass, password manager koji i sami koristimo.

Primjer – LastPass

LastPassLogo329x40   Password managers   LastPassPrvo što će novi korisnik LastPassa primijetiti su dodaci / proširenja za web browsere. LastPass nudi dodatke, plugine, za sve popularne browsere. Podržava Internet Explorer od verzije 6 naviše, Firefox ver. 2 i noviji na svim platformama koje podržava Firefox, Google Chrome ver. 4 i noviji, Safari ver. 3 i noviji na OS Xu i od ver. 5 naviše na PCu, čak i Operu. Opera ne podržave plugine, tako da se koristi tzv. bookmarklet. Ovo rješenje zgodno je i za mobilne browsere koji također ne podržavaju plugine. LastPass tako podržava iPhone, iPod Touch, iPad (dakle cijelu iOS gamu), Android, Blackberry, Windows Mobile, Palmov webOS. Ukratko, usluga je dostupna baš svugdje.

Bookmarklet je djelić JavaScript koda koji nalikuje URLu, a izvršava kao skripta na stranici. Ovo omogućava korištenje LastPassa u doslovno svakom browseru. Ako nemate plugin, ili npr. koristite tuđi browser koji nema LastPass plugin, i dalje možete koristiti bookmarklete da bi pristupili svojoj biblioteci šifri (ako ste na nečijem kompjuteru zaboravili bookmarklet možete ga onemogućiti koristeći LastPass web interface, ili možete promijeniti glavnu šifru, efekt je isti). A to je upravo ono što LastPass gradi za vas – vasu osobnu biblioteku šifri (LastPass je zove the vault).

LastPass plugin će, ukoliko ste logovani, automatski prepoznati da se nalazite na stranici za koju imate zapamćene logon podatke. Sam će popuniti polja za prijavu i pritisnuti ‘Log In’ dugme. Mada LastPass ima još mnogo funkcija, zaštita šifri, njihova sinkronizacija i automatsko prijavljivanje su mu glavne zadaće.

U pluginu možete podešavati nivo sigurnosti koji želite: želim se prijaviti samo jednom, zapamti moju šifru, želim se prijaviti svaki put kad se pokrene browser, želim se prijaviti nakon svakih n minuta neaktivnosti ili nakon svakih n minuta. Kada pregledavate vaš sef, ukoliko želite vidjeti šifru za određenu domenu aktivira se dodatni mehanizam zaštite: LastPass će vas ponovno upitati za šifru (nakon što je upišete prvi put, možete tražiti da vas opet ne pita narednih n minuta), čime se izbjegavaju situacije da neko gleda vaše šifre dok niste za svojim kompjuterom, čak i ako ste prijavljeni u LastPass. Opcije i mogućnosti plugina su doista brojne.

Ono što izaziva određenu nelagodu je jedna od opcija LastPassa koja se pojavi već pri samoj registraciji. Naime, LastPass nudi mogućnost popunjavanja formi. Pritom vas čak pita da mu povjerite svoj broj kreditne kartice. Ovo je svakako jedno veliko NE, ma koliko vjerovali nekom proizvodu ili usluzi, jer, ipak, prvo pravilo sigurnosti je: „Ne vjeruj nikom“. LastPass ima čak i poseban sef gdje možete držati svoje zabilješke, o bilo čemu, zabilješke koje želite da su na sigurnom i da su vam dostupne gdje god da se nalazite. Pitanje je, koliko je sve ovo sigurno? Koliko možemo vjerovati LastPassu kao firmi, njenim uposlenim i onima koji će to tek postati? Kako možemo vjerovati da se jednog dana neće desiti da neko provali na njihov server i ukrade šifre svih korisnika koji koriste LastPass?

Kako to radi?

Postoji dobar razlog zašto možete vjerovati LastPassu, razlog zašto baš ovu uslugu preferira i naša redakcija (zar vam treba bolji razlog od ovog?). U narednih par redaka pokušat ćemo pojasniti kako LastPass, kao primjer password managera u ovom članku, radi i zašto mu se može vjerovati. To nipošto ne znači da druga rješenja rade na isti način i da su jednako sigurna (možda ima i boljih), no principi su manje-više slični, obzirom da se bave istom problematikom.

Prvi i osnovni razlog za povjerenje: sva enkripcija se vrši lokalno. Drugim riječima, LastPass server u bilo kom trenutku od vas ne dobiva ništa osim nečega što se može nazvati jedino šumom – nasumičnim podacima koji ne predstavljaju – ništa. Kada na običan tekst, tzv. plaintext – tekst čitljiv i ljudima, primjenimo šifarski algoritam s određenim ključem, kao rezultat dobijemo šum, skup potpuno nasumičnih podataka koji bez poznavanja ključa i algoritma kojim se do tog šuma došlo ne predstavlja ama baš ništa. Upravo je to ono što LastPass server primi i pohrani, ti podaci nisu od koristi nikome tamo jer LastPass nikad ne dobije vaš ključ.

ff generatepassword 246x300   Password managers   LastPass

Generiranje sigurnih šifri

Poseban osjećaj sigurnosti dobijete kad uvidite koje su sve mjere preduzete da LasPass nikad ne dođe do vašeg ključa. Kada se prijavljujete, to radite vašom email adresom (koja je ujedno i vaše korisničko ime), i vašom šifrom. Ta dva podatka se spajaju u jedan dugačak string. Tada se dobiveni string hashira (o kriptografskom hashiranju bilo je riječi u prethodnom članku) koristeći Secure Hashing Algorithm 256 (SHA-256). Rezultirajućih 256 bita ne otkriva ništa o vama, vašem korisničkom imenu ili vašoj šifri, ali ovise o ova dva podatka (drugo korisničko ime i/ili druga šifra proizvest će različitih 256 bita). Tih istih 256 bita su ujedno i vaš kriptografski ključ za sve operacije LastPassa. On se koristi za šifriranje svega što se šalje LastPass serverima i dešifriranje onoga što server šalje vama. Drugim riječima, server nikad ne vidi vaše dešifrirane podatke. Serveri drže šifrovanu verziju vaše osobne biblioteke šifri, to je jedna od osnovnih namjena ove usluge, ali ni u jednom trenutku je ne mogu dešifrovati: za to im je potrebna šifra koja nikad ne napušta vaš sistem. Iako su serveri na kojima se drže podaci korisnika, prirodno, vrlo sigurni, najbolja zaštita je činjenica da podacima ne može pristupiti ni sam LastPass, pa tako ni oni koji bi ih eventualno ukrali. Ako se prisjetite prvog članka, govorili smo o tome koliko je vremena potrebno da se probije šifra: potrebno je nerealno mnogo vremena da se probije šifra duga 256 bita.

Ipak, LastPass treba način kako da vas prepozna. Za to služi drugi hash-kod koji je ujedno i jedinstveni identifikacijski broj (ID). Jedini način da se dođe do njega je da se kombiniraju korisničko ime i šifra, hashiraju (to je naš prvi hash-kod, enkripcijski ključ), onda se na prvi hash ponovno dodaje šifra i sve se ponovno hashira. Drugi rezultirajući hash-kod je vaš ID koji apsolutno ovisi o obje informacije, i o korisničkom imenu, i o šifri. Tada se vaše korisničko ime i drugi hash-kod šalju LastPassu radi identifikacije. Obzirom da drugi hash-kod sadrži vašu šifru dvaput hashiranu, niko ko je ne zna, čak i ako zna vašu email adresu – korisničko ime, ne može doći do šifre. Obratite pažnju da se vaš ključ, prvi hash-kod, ipak šalje LastPassu, ali on je ponovno hashiran u kombinaciji sa šifrom, tako da ljudi u LastPassu do njega ne mogu doći. Oni dobijaju drugi hash-kod kojim se prijavljujete u njihov sistem.

LastPass je toliko paranoičan da ne pamti čak ni ovaj drugi hash-kod (kad govorimo o sigurnosti, paranoja je generalno poželjna). Kako onda mogu prepoznati korisnike? Kada se kreira novi korisnički račun, LastPass za njega bira nasumičan broj dug 256 bita. Ovih 256 bita se pamti uz korisničko ime. Pamti se još jedna stvar: hash-kod dobiven hashiranjem drugog hash-koda do kog ste došli lokalno i kog ste poslali LastPassu ali koji se ne pamti, i ovih 256 bita koji se pamte (drugi hash-kod koji ste poslali koristi se samo za novo hashiranje na LastPassovim serverima i potom se zaboravlja). Tj. nikad se ne pamte podaci o prijavi koje im šaljete, već samo rezultat hashiranja tih podataka i broja koji je nasumično dobijen kad je kreiran korisnički račun. Taj treći hash-kod se dinački uspoređuje s onim što je pridruženo vašem korisničkom računu.

Također, nije zgoreg napomenuti da LastPass koristi HTTPS protokol za komunikaciju između servera i klijenta, tj. ne može doći do man-in-the-middle napada. Do prisluškivanja komunikacije nam ionako nije stalo, sve je dobro zašifrovano od samog početka.

Vaš ključ (prvi hash-kod) se koristi za šifriranje konkretnih podataka. Pri tome se koristi danas najmoćniji široko dostupan algoritam šifriranja, AES-256 (Advanced Encryption Standard), koji uzima 128 bita po 128 bita i pretvara ih u nasumične podatke, smeće u očima svih koji ne znaju šifru.

LastPass je vrlo otvoren kad su ovakvi detalji u pitanju, ne boje se iskorištavanja informacija u maliciozne svrhe jer dobro osmišljen sistem drastično reducira broj vektora napada. Kod njih nema hokus-pokus i sad su vaše šifre sigurne kod nas akrobacija, sve je čisto i crno na bijelo. Možemo razumjetiti kako stvar radi upravo zato što je ovako jednostavna, a kad nešto možemo razumjeti možemo mu i vjerovati.

Ako vas zanima kako procedura radi, posjetite ovu stranicu: to je mala JavaScript skripta, koja ne komunicira s Internetom nakon što se učita u browseru. Namijenjena je svima nama paranoicima koji ne žele vjerovati da LastPass doista radi ono što tvrdi. Nakon što unesete svoje podatke (možete ih izmisliti, ne moraju biti pravi), skripta će vam pokazati hash-kodove koje LastPass koristi u različitim fazama procesa. Možete unositi podatke i vidjeti rezultate šifriranja i/ili dešifriranja. Postoje načini da se prati HTTPS promet s vlastitog kompjutera. Paranoidni (i stručni) korisnici su provjeravali šta LastPass šalje svojoj centrali: doista je sve šifrovano kako se tvrdi. Osim toga, nije im u komercijalnom interesu izigrati povjerenje korisnika koje se ionako teško stiče, a lako gubi. Iako skeptici i paranoici po prirodi, u ovom slučaju otići ćemo tako daleko pa reći da im se može (naravno, uvijek samo donekle) vjerovati.

Život u oblacima

Koncept LastPassa, ali i brojnih drugih password managera, je stvoriti sistem parova domena i korisničkih imena i šifri za te domene na koje se prijavljujemo. To je naša osobna biblioteka.

online vault 300x224   Password managers   LastPass

LastPass Online Vault

Kada neku šifru promijenimo na kućnom kompjuteru, sutra kad dođemo na posao, ona će nas tamo čekati. Naravno da nećete zapisaivati kompleksne šifre od 10 i više znakova na papir i nosati ih sa sobom i svaki put ih iznova upisivati, zar ne? Obzirom da se usluga zasniva na oblaku, automatski se sinkronizira sa LastPass serverom koji se opet sinkronizira sa svim klijentima (pluginima) na kojima se prijavite. LastPass serveri se backupiraju lokalno, a noću i na Amazonov S3, tako da su naši podaci na oblaku prilično sigurni. Obzirom da je sve već dostupno na webu, ne treba nam posebna aplikacija /plugin da pristupimo našim podacima, to možemo učiniti i kroz siguran (https) web interface.

Međutim, oblak ima jednu manu. Uspostavili ste fantastičnu biblioteku, imate šifre za sve na jednom mjestu. Ali sada ovisite o tome, više ne koristite nešto što ste jednostavno popamtili, niti koristite nešto super-kompleksno što ste koristili svugdje. Sada potpuno ovisite o LastPassu. Šta ako se desi nezamislivo i LastPassa jedno jutro jednostavno ne bude, propadnu u zemlju? Naši podaci su sigurni, ne mogu biti ukradeni sa servera, to smo utvrdili, ali sada smo i mi ostali bez njih. Ili nismo? LastPass nudi posebnu aplikaciju, LastPass Pocket, koja je dostupna za Windows, Mac i Linux. Radi se o zasebnom (ne ovisi o browseru) dekripteru biblioteke šifri.

Pomoću plugina za browsere možete izvršiti ‘dump’ svojih šifri u nešifovanu csv datoteku. Vidjet ćete sve podatke: domenu, korisničko ime i šifru, ali u ASCII formatu. Navikli na nivo sigurnosti koji nam LastPass pruža, sada se treba pozabaviti i fizičkom sigurnošću (vaše šifru u csv datoteci može vidjeti svako ko ima pristup kompjuteru), o malwareu o kom smo raspravljali u prethodnom članku da i ne govorimo. Bilo bi mnogo bolje kada bi ‘dump’ mogli napraviti u nativnom, šifrovanom formatu, koji jedino vaša šifra može ‘otvoriti’. Ovaj format je potpuno otporan na napade, isti je kao onaj koji se pohranjuje na LastPass serverima. Možete ga nositi okolo na CDu ili USB sticku, čak i da bude ukraden nema problema. Međutim, želite dešifrovati te podatke lokalno, bez da ovisite o bilo kakvoj web usluzi. Dakako, za sve ovo Vam je potreban program koji se izvršava lokalno i u ničemu ne zavisi od LastPass servera, a LastPass Pocket je upravo to. LastPass Pocket za vas podatke može dohvatiti sa LastPass servera, ili ih učitati iz lokalno snimljene, šifrovane ili nešifrovane datoteke, te ih prebaciti u neki drugi format. Na ovaj način možete držati backup vaših dragocjenih podataka i lokalno. Ono što nam se posebno svidjelo kod LastPass Pocketa je to što ne zahtjeva instalaciju, samo pokrenete i – radi!

Ali to nije sve…

Dio LastPass plugina je još jedna izrazito bitna funkcionalnost: generator nasumičnih šifri. Ukoliko se sjećate našeg prvog članka, znate koliko je važno odabrati dobru šifru, no kada pokušate smisliti neku, to baš i nije tako trivijalno. Kompjuteri, jednostavno, smišljaju daleko snažnije šifre od ljudi. Opcija LastPass generatora ima mnogo, možete podešavati koliko duga šifra treba biti (3-100 znakova), kakva slova želite (velika, mala, velika i mala), želite li brojeve, koliko brojeva treba biti u šifri, želite li specijalne znakove i slično. Sve generirane šifre se automatski privremeno pamte u vašem sefu.

Još jedna vrlo, vrlo važna mogućnost je uvoz podataka iz svakog password managera za koji smo čuli i za koji nismo. LastPass podržava Firefox (dakle, možete uvesti postojeće, zapamćene šifre iz Firefoxa), 1Password, Clipperz, Darn!Password, eWallet, FireForm, HP Password Safe, KeePass, LastPass (podržavaju vlastiti format), MSI Password Keeper, MyPasswordSafe, Passpack, Password Agent, Password Corral, Password Dragon, Password Keeper, Password Safe, Password Max, PINs Password Manager, RoboForm, SplashID, Sticky Password, Sxipper, TurboPasswords i konačno, generički csv (lako je moguće da smo nešto i preskočili). Drugim riječima, ukoliko već negdje imate uspostavljenu biblioteku šifri, možete brzo i bezbolno migrirati na LastPass (probali, radi odlično).

LastPass nudi mogućnost dijeljenja šifri s drugim korisnicima, a korporativna varijanta mogućnosti dijeljenja podiže na viši nivo. Ove opcije nismo koristili (LastPass je toliko bogat opcijama da je naprosto nemoguće sve pokriti), tako da Vam o njima ne možemo puno više reći, no tu su ako zatrebaju.

Eh da, umalo da zaboravimo napomenuti. Sve ovo o čemu smo do sada govorili – sve je potpuno besplatno (izuzev mobilnih i korporativnih usluga). LastPass zadržava pravo da non-premium korisnicima prikazuje reklame (npr. pri pregledanju sefa), ali mi ih do sada još nismo vidjeli. Premium korisnici (pretplata se plaća godišnje, cijena je $1 mjesečno, tj. $12 za godinu dana), pored mobilnih verzija LastPass aplikacija i neprikazivanja reklama kojih zasad ionako nema, dobijaju još neke pogodnosti: višefaznu prijavu, Yubikey podršku, podršku za mobilne browsere, LastPass za dekstop aplikacije kao i podršku za korisnike (detaljnu usporedbu možete pogledati ovdje). Ono što posebno raduje je da sve ono bitno prosječnom (kućnom) korisniku dobijate potpuno besplatno, a oni nešto napredniji i zahtjevniji napredne funkcije mogu dobiti po zaista ekstra-povoljnoj cijeni.

iphone vault 198x300   Password managers   LastPass

LastPass iOS App

Problem koji LastPass dijeli sa svojim kolegama password managerima je što privlači napade kao magnet. Neko ko zna našu LastPass šifru ima ključeve našeg online (i ne samo online) svijeta. Neki možda osjete potrebu da se dodatno zaštite. Postoji mogućnost i za to. LastPass svojim premium korisnicima nudi mogućnost dvofazne autorizacije korištenjem nečega što zovu Grid. Radi se zapravo o matrici PINova: pri prijavljivanju u sistem pored glavne šifre traži se i PIN koji se iščitava iz matrice sa traženih kooordinata. Matrica se može odštampati i nositi sa sobom, što stvara još jedan nivo zaštite (da bi se prijavili, morate fizički posjedovati taj papir). Grid se može proglasiti nevažećim i napraviti novi, a i sam LastPass će vas s vremena na vrijeme podsjetiti da to učinite.

Također, možete koristiti i jednokratne šifre (o njima je više riječi bilo u prethodnom tekstu ove serije) koje možete odštampati i nositi sa sobom (prilično su duge). Kada se nađete na mjestu koje možda nije sigurno, možete iskoristiti takvu šifru za pristup sistemu. Nakon što se odjavite, iskorištena jednokratna šifra postaje bezvrijedna (čime se elegantno rješavaju problemi prijave na kompjuteru koji je možda zaraženom malwareom). Također, ako izgubite papir s nekom od šifri, možete je onemogućiti kroz web interface LastPassa.

Možete koristiti i YubiKey, ako se želite dodatno zaštiti identifikacijom hardverom. LastPass nudi ekvivalentno rješenje iz vlastite radionice; premium korisnici mogu koristiti i aplikaciju Sesame, ponovno za Windows, Mac i Linux. Sesame se postavlja na USB stick (bilo koji) i jednostavno podešava. Prijavite se jednom i automatski se pokreću browser, vrši se prijavljivanje u LastPass i sinkronizacija biblioteke. USB stick može biti vaša druga faza autentikacije, drugim riječima, možete imati vlastiti LastPass hard-lock! U prethodnom tekstu govorili smo kako je dvofazna prijava odlična zaštita protiv keyloggera i spywarea općenito, Sesame tako pruža dodatnu zaštitu i na tom polju.

LastPass nudi još i IE Anywhere, mobilnu verziju IE, tako da nema potrebe za instalacijom plugina gdje god da krenete. Tu su i Firefox Portable i Chrome Portable varijante, za sve one koji pristupaju Internetu iz Internet kafea i nose ove mobilne verzije svojih omiljenih browsera na sticku.

Šta je s ne-browser aplikacijama? Premium korisnici mogu koristit LastPass for Applications, programčić koji nudi sličnu funkcionalnost kao i plugini, dakle, popunjava login forme podacima – korisničkim imenom i šifrom. Ova usluga je još u beti i dostupna je isključivo na Windowsima, poznajući LastPass ne sumnjamo samo za sad. No ono najbitnije: ideja je sjajna. Napokon ne moramo pamtiti šifre za Windows Live Messenger (msn), Skype i slične programe. LastPass for Applications je nešto složeniji za korištenje nego browser plugin, ali je jedini ove vrste koji smo do sada sreli. Problema još ima, no to se i može očekivati od aplikacije u beta fazi razvoja. Tako ukoliko je neko polje već popunjeno (npr. korisničko ime), LastPass for Applications će u njega novi podatak upisati bez da prethodno pobriše postojeći; pri prijavljivanju osim ‘Log In’  dugmeta zna biti pritisnuto još koje itd. Ono što nam znatno više smeta je neriješeno nadopunjavanje između LastPassa za aplikacije i LastPassa za browsere (plugina). Ukoliko podesite LastPass plugin u vašem browseru da vas automatski odjavi nakon zatvaranja browsera, to se neće desiti sve dok je LastPass for Applications pokrenut, a obzirom da se ovaj pokreće zajedno s Windowsima i obično se ne gasi dok se ne ugasi i kompjuter, to može predstavljati određeni problem. Usprkos trenutnim nedostacima, uzbuđeni smo potencijalom ovog rješenja i jedva čekamo novu, unaprijeđenu verziju.

Nedostaci

U svoj ovoj priči i dalje postoji jedan sigurnosni propust. Obzirom da LastPass ne zna našu šifru, i da nema naše podatke u nešifrovanom obliku, šta ako zaboravimo šifru? LastPass nam je ne može otkriti, jer je ne zna, a obzirom da su naši podaci zaključani upravo tom šifrom koju smo izgubili, onda smo ostali i bez njih. Obzirom da ljudi naprosto često gube / zaboravljaju šifre, LastPass je ovdje napravio jednu iznimku: način da se dođe do podataka i kada se šifra ne zna.

Radi se o svojevrsnom kompromisu gdje je sigurnost kapitulirala pred funkcionalnošću. Ipak je šifra koju ne znate mnogo manje vrijedna od šifre koja vam može biti ukradena, zar ne? LastPass instalacija plugina na svakoj mašini pohranjuje jednu jednokratnu šifru, koja je po defaultu isključena, tj. ne može se koristiti. Ukoliko se požalite sistemu da ste zaboravili šifru, prvo će vas pokušati podsjetiti na šifru koristeći hint koji ste sami zadali prilikom kreiranja šifre. Ako ni to ne uspije, ponudit će vam aktiviranje jednokratne šifre koja će vam omogućiti da dođete do svojih podataka i da pri tom promijenite glavnu LastPass šifru. Procedura podrazumijeva slanje posebnog aktivacijskog linka na vašu email adresu koju ste registrirali kod LastPassa; nakon posjeta posebnoj stranici na datom linku vaša jednokratna šifra bit će aktivirana. Dakle, određena zaštita od zloupotrebe opcije povrata podataka ukoliko se šifra zaboravi postoji, ali je daleko od nivoa sigurnosti na koju smo kod LastPassa navikli. Ova opcija spremanja onemogućene jednokratne šifre je po defaultu uključena, ako želite možete je isključiti u opcijama plugina. Nije loša ideja ostaviti ovu opciju uključenom na samo jednom kompjuteru koji koristimo, npr. na kućnom desktopu koji je ipak mnogo sigurniji od laptopa koji su češća meta krađa. Ukoliko se najgore i desi i zaboravimo šifru, uvijek je možemo resetovati s kućnog kompjutera, dok je ta mogućnost na svim drugim mašinama koje koristimo onemogućena.

LastPass ima ugrađeni mjerač snage šifri koje će vam rado preporučiti promjenu neke šifre za koju utvrdi da je nedovoljno jaka. Na žalost, nema ugrađenu opciju koja bi nam rekla koliko je neka šifra stara i podsjetiti nas da je promijenimo.

Iako LastPass nudi opcije dvofazne prijave, a svojim korisnicima (i onim non-premium) kao dio svih svojih aplikacija i virtualnu tastaturu, tzv. Screen Keyboard (o virtualnim tastaturama više riječi je bilo u prethodnom tekstu o šiframa), težište borbe protiv malwarea (spyware, keyloggers…) i dalje je na drugom tipu softvera. Onemogućavanje malwarea ipak nije osnovna zadaća password managera, iako i oni čine šta mogu kako bi zaštitili svoje korisnike. Za to i dalje služe antivirusni paketi i firewallovi, ali prije svega: zdrav razum.

Par riječi za kraj

Prođosmo, polako ali sigurno, kroz našu malu sagu. Nadamo se da smo Vam ovim tekstovima otvorili oči i skrenuli pažnju na neke manje poznate aspekte života sa šiframa. Imajući u vidu smijer u kom se informatika razvija, sigurnost će imati sve veći značaj. Obzirom da su šifre počesto osnov kompjuterske sigurnosti, savršeno su mjesto za početak istraživanja nekima možda novih grana informatike.

Kroz ova tri teksta pokušali smo identificirati i definirati neke probleme s kojima se današnji korisnik često sreće, ali ponuditi i neka rješenja. Na žalost, savršen sistem još ne postoji, niti će ikada postojati. Razlog za ovo je vrlo jednostavan: najveći problem kompjutera je to što mora raditi s nama, korisnicima, ljudima, nesavršenim ali i dovitljivim kakvi već jesmo. Nema tog sistema u kom vremenom nećemo pronaći rupu, ili u kom je naša ljenost neće stvoriti. Najveća prijetnja sigurnosti korisnika u pravilu je sam korisnik; nije nimalo lako dizajnirati sistem zaštite od sebe samog. Ljudsku rasijanost, ljenost i nemar još niko nije premjerio, pa kako bi se onda siroti password manageri mogli nositi s takvim teretom?

Konačno, dobar sistem je onaj kojim je korisnik zadovoljan, u našem slučaju onaj koji radi svoj posao i pritom ne maltretira korisnika u pokušajima da ga zaštiti. Previše napadna i revnosna rješenja najčešće završe deinstalirana, a tada nisu od koristi nikom. Balans između nezaobilazne gnjavaže korisnika i njegove zaštite nije nimalo lako postići, a u upravo je taj balans ideal kom sigurnosni softveri teže, uključujući tu i onaj kome je primarna zadaća baratanje šiframa. Hoćemo li taj ideal ikada postići teško je predvidjeti, možda nikad i nećemo. U svakom slučaju, napredujemo, a i to je nešto.

Sudijska nadoknada

Kroz ova tri maratonska teksta govora je bilo o mnogo čemu, ali uvijek se ima reći još. Dojma smo da smo vas, naše najvjernije čitatelje koji su ostali do samog kraja, zakinuli kad je u pitanju jedna stvar: kako se računa snaga šifre?

Prije svega, treba uzeti u obzir da su sve šifre izvorno binarnog formata (ono što mi vidimo, pamtimo i zaboravljamo je samo prilogodba ljudima čitkijem obliku). Binarno se memorišu, binarno se prosljeđuju drugima, binarno se i probijaju. Iako se dužina šifre od 10 znakova svakako prenosi na to koliko je šifra duga u binarnom obliku, obzirom da će neku šifru probijati kompjuter, logično je da se njena snaga, tj. otpornost na probijanje, odredi na osnovu njenog oblika kojim barata taj isti kompjuter. Napominjemo da kada kažemo probijanje šifre mislimo na brute force metodu.

Zamislimo na trenutak da raspolažemo alfabetom od samo dva znaka, 0 i 1. Lako se vidi da je broj kombinacija moguće šifre konstruirane znakovima tog alfabeta 2dužina šifre u znakovima. Ako bi šifra bila duga dva znaka, tj. dva bita, a alfabet koji smo izabrali binaran (od znakova na raspolaganju su samo 0 i 1), znamo da postoje samo 4 kombinacije (22 – dva bita koji mogu imati samo dva stanja): 00, 01, 10 i 11. Srećom, alfabet koji nam je obično na raspolaganju kad su šifre u pitanju znatno je veći od ovog sa samo dva znaka. Engleski alfabet ima 26 znakova, ukoliko razlikujemo velika i mala slova to su već 52 znaka. Ako dodamo i brojeve (cifre 0-9) već smo na 62 znaka. Kad bi dodali još dva znaka (npr. + i -), došli bismo do brojke od 64 (26) znaka. 64 je broj kombinacija 6 binarnih bita, na isti način na koji smo od 2 binarna bita dobili 4 kombinacije, od 6 bita dobivamo 64 kombinacije. Kaže se da šifra od jednog znaka našeg alfabeta ima entropiju 6 bita zato što nam 6 binarnih bita daje 64 kombinacije. Na isti način, šifra sastavljena od znakova istog alfabeta duga dva znaka daje nam 12 bita snage. 4 znaka dat će nam 24 bita itd.

Pisali binarno ili ne, broj kombinacija je naravno uvijek isti, ali sada znamo i šta znači kada se kaže da je neka šifra ekvivalentne snage 128 bita…

Napomena: tekst je napisan 7.9.2010. god. za portal ITpro. Izvorno je objavljen 05.05.2011. godine pod nazivom ‘Password managers‘ na portalu ITpro u rubrici ‘ICT Teme‘. Sva prava zadržava IT PRO d.o.o.

Slični postovi:

ITpro, Sigurnost

About the author

Autor teksta je +Zoran Piro, na Internetu poznatiji kao CopyPaste. Živi i radi u Sarajevu, Bosnia & Hercegovinia. Inače informatičar, inžinjer elektrotehnike, radi kao SysAdmin, voli o sebi misliti kao o programeru. Voli: književnost i pisanje općenito (očito, zar ne?), pogotovo fantasy i sci-fi. Bez muzike ne zna, neće i ne može. Filmove i TV baš i ne gotivi, osim nekih posebnih filmova i serija u koje se zaklinje da su najnaj što je ljudski um stvorio. Jedan je od pokretača i član bhBlog tima.

2 Responses to “Password managers – LastPass”

  1. Dan 7. - Surfing IE9 | Not A Blog says:

    [...] kojim održavam kolekciju bookmarka koherentnom na različitim platformama, ili autofilla pomoću LastPassa, nema ništa. Nekom će se ovaj spartanski pristup možda svidjeti, ali meni [...]

  2. 8 načina i aplikacija koje mi pomažu u organizaciji i povećanju produktivnosti | Cyber Bosanka - Hana Kazazović says:

    [...] Za čuvanje šifri koristim LastPass. Sa njim moram pamtiti samo jednu šifru – sve ostale su mi tu u njemu. Zaista ga preporučujem svima jer je moj haos od šifri nestao onog momenta kad sam ga počela koristiti. O njemu detaljnije imate na Password managers – LastPass [...]