Rozmiar ma znaczenie: odsłona trzecia

https://xpil.eu/wuk

Jak już się trzymać tak (nomen-omen) płodnego tytułu, to na całego.

Tym razem nie będzie ani o matematyce (przynajmniej nie bezpośrednio), ani o wyciućkanych z prundu akumulatorach.

Będzie o hasłach.

Ale nie w takim kontekście, jaki być może już sobie zacząłeś, Czytelniku, wyobrażać. Nie będziemy chwalić długich i skomplikowanych haseł typu "rBprxrU8O9ArEjvGNIcoXazNDaFlQKDzxSDMbEuPUYzVf6eJox" ani też ganić haseł słabych i krótkich, takich jak "dupa123".

Cholera, właśnie zdradziłem swoje główne hasło do sejfu. Ale spoko, pewnie i tak wszyscy to wezmą za żart...

Będziemy dziś chwalić nieduży rozmiar bardzo, ale to bardzo pomysłowej aplikacji do zarządzania hasłami, jaką jest LessPass.

Zaczniemy od nazwy. Otóż "LessPass" wizualnie bardzo przypomina "LastPass", co jest świetnym chwytem marketingowym. O LastPass-ie pisałem tu już kilka razy, co można łatwo sprawdzić szukając tego hasełka wśród moich wpisów:

http://xpil.eu/?s=lastpass

Przejdźmy teraz jednak od marketingu do samego gęstego, czyli o co właściwie chodzi.

Chodzi o to, żeby:

  • nie musieć pamiętać haseł do poszczególnych kont on-line
  • te hasła były długie, unikalne i skomplikowane
  • nie musieć ich przechowywać na żadnym serwerze

To właśnie ta ostatnia cecha odróżnia LessPass od konkurencji. Inne rozwiązania do zarządzania hasłami wymagają składowania tychże haseł w mniej lub bardziej bezpiecznej postaci na jakimś serwerze. Taki LastPass na przykład trzyma nasze dane w LastPass-owej chmurze, która jest wprawdzie bardzo bezpieczna (nie ujawniono jeszcze żadnego pełnego ataku na LastPass, chociaż były różne ataki cząstkowe, które jednakowoż niczego nie uszkodziły ani nie ujawniły). KeePass zrzuca kwestie bezpieczeństwa "przechowywalni" haseł na użytkownika. RoboForm z kolei używa jednej z tych dwóch metod, w zależności od rodzaju konta. I tak dalej. Jak by nie patrzeć, nasze hasła są zawsze gdzieś tam przechowywane.

W przypadku LessPass hasła nie są nigdzie zapisywane.

- Yyy... - pomyśli sobie pewnie teraz większość Czytelników. - Yyy...

I to jest bardzo słuszna myśl! Jak czytałem pierwszy raz o LessPass też sobie tak pomyślałem. Jak to, kurza jego melodia, nie zapisywać haseł? To skąd je brać, z dupy?

Jakkolwiek kusząco by to nie brzmiało, zapewniam, że nie z dupy.

Hasła biorą się z matematyki.

Otóż LessPass na podstawie kilku parametrów wejściowych generuje hasło - zawsze takie samo, dla danego zestawu elementów wejściowych.

Przypuszczam, że po powyższym wyjaśnieniu część Czytelników już wie, o co chodzi. Albo przynajmniej zaczyna się domyślać...

No bo tak: jak powszechnie wiadomo, istnieje w kryptologii pojęcie funkcji skrótu, prawda? Jeżeli ktoś nie wie co to jest, niech sobie poszuka na Google, ewentualnie poczyta o tym u mnie: http://xpil.eu/?s=funkcja+skrótu

LessPass wykorzystuje matematykę podobną do funkcji skrótu, do WYLICZENIA hasła na podstawie kilku parametrów przekazanych od użytkownika. Parametrami tymi są:

  1. Hasło główne (czyli Master Password - identycznie jak u konkurencji)
  2. Adres / nazwa strony
  3. Nazwa użytkownika
  4. Parametry samego hasła (długość, dopuszczalne zestawy znaków)
  5. Numer wersji hasła

Znając powyższe LessPass wylicza hasło i wstawia je (za pomocą wtyczki) do pola z hasłem na naszej stronie.

Proste?

Ktoś mógłby teraz zapytać, a dlaczego tych parametrów jest tak dużo? A nie dałoby się ograniczyć tylko do adresu i loginu?

Dałoby się i pierwsze wersje LessPass tak właśnie robiły. Ale natychmiast pojawiło się mnóstwo problemów z tym związanych:

  1. Niektóre strony nie akceptują niektórych znaków - trzeba więc było dodać opcje sparametryzowania hasła
  2. Niektóre strony nie pozwalają mieć "starych" haseł, przy czym "starość" hasła jest wymuszana po stronie serwera. Po prostu raz na jakiś czas musimy zmienić hasło, inaczej zipa dumna. Do tego służy numer wersji hasła, czyli liczba kolejna (1, 2, 3 itd).
  3. Czasem zdarzają się włamania do serwisów, które - o ile tylko wykryte odpowiednio wcześnie - nie są groźne, bo właściciel serwisu automatycznie wymusza procedurę resetu hasła dla wszystkich kont i gra gitara.
  4. I tak dalej

Spróbujmy teraz sporządzić listę wad i zalet takiego rozwiązania:

Zalety:

  1. Całkowita niezależność od jakichkolwiek zewnętrznych "przechowalni" haseł. Nie musimy zakładać żadnego "konta" w jakimś portalu. Nawet jeżeli jesteśmy off-line, nadal mamy wszystkie nasze hasła pod ręką.
  2. Nic nie jest przesyłane po łączach sieciowych - całość odbywa się w przeglądarce klienta. Nie da się więc "podsłuchać" parametrów hasła.
  3. Licencja GNU, a więc otwarty kod, który można w każdej chwili przejrzeć albo nawet pobrać i przerobić wedle własnego uznania (akurat to ostatnie może być niebezpieczne w ręku niewprawnego programisty... no ale możliwość jest).
  4. Za darmo na wszystkie platformy systemowe.

Wady:

  1. Konieczność pamiętania nie tylko hasła głównego, ale również kilku dodatkowych parametrów (można zostawić wartości domyślne, ale niektóre strony mogą z nimi nie działać)
  2. Tylko 8192 iteracje przy generowaniu hasła - to dużo mniej niż konkurencja - nie ma możliwości "dostrojenia" tego parametru. To nieco zwiększa podatność na ataki typu brute-force, zwłaszcza w sytuacji, kiedy entropia naszego hasła głównego jest nieduża.
  3. Niemożność przechowywania żadnych dodatkowych informacji (niektóre strony wymagają podania na przykład loginu, hasła i adresu email jednocześnie - tu takiej możliwości nie ma)
  4. Brak "sejfu" na inne dane. W LastPass oprócz haseł mogę też przechowywać różne inne wrażliwe dane. A tu - nie.
  5. Brak możliwości "bezbolesnej" zmiany hasła głównego w razie gdyby ktoś je odkrył.

Podsumowanie:
LessPass, chociaż mniej niż idealny, jest rozwiązaniem bardzo interesującym i na pewno lepszym od przechowywania haseł na karteczkach samoprzylepnych. Mi nie odpowiada, głównie ze względu na wady numer 3 i 4 na liście powyżej. Ale mogę sobie wyobrazić spore grono użytkowników, którym LessPass "podpasuje" idealnie.

Strona główna projektu: https://lesspass.com/#/
Kod źródłowy: https://github.com/lesspass/lesspass

PostScriptum: jeżeli ktoś tego jeszcze nie wie, od jakiegoś czasu LastPass jest darmowy również na platformy mobilne! (do niedawna trzeba było zapłacić około dziesięciu dolarów rocznie za możliwość używania LP na smartfonach)

https://xpil.eu/wuk

3 komentarze

  1. Zastanawialem sie nad LessPassem i czy warto spróbować, potraktować to jako konkurencję dla LastPass czy też jako zamennik dla mojej wieloletniej bazy haseł w keepass.

    Ale ten post rozwiał moje wątpliwości i raczej pozostanę wierny Keepassowi, którego zaszyfrowany plik trzymam w kilku miejscach. Keepass działa u mnie już kilka ładnych lat i rozwiązanie sprawdza sie na kilku platformach OS’wych, zwłaszcza w windows czy android. Warto podkreślić, ze bank haseł to nie tylko hasła ale takze kika innych wrażliwych informacji, o których zazwyczaj sie nie pamieta 😉

    1. KeePass mnie drażni właśnie tym, że muszę mieć PLIK z hasłami. Oczywiście mogę ten plik mieć na jakimś publicznym serwerze, za firewallem i hasłem – ale jednak jest to pewne utrudnienie. A w LastPass wszystko się robi „samo”. Oczywiście jest to dyskusja o wyższości Świąt Bożego Narodzenia nad Chanuką – kwestia przyzwyczajenia, jak sądzę 😉 Zostaję przy LastPass w każdym razie.

    2. W razie gdybyś tu jeszcze kiedykolwiek zajrzał, podrzucam świeżutkiego (jeszcze chrupiącego) linka do artykułu, który pi x oko potwierdza to, co wymieniłem w sekcji „wady”. Końcowy wniosek: bez zmian. Szkoda zachodu.

Leave a Comment

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]

Jeżeli zrobisz literówkę lub zmienisz zdanie, możesz edytować komentarz po jego zatwierdzeniu.