Správce hesel je software , který pomáhá uživateli spravovat hesla a PINy . Takový software má obvykle lokální databázi nebo soubory, které obsahují zašifrovaná hesla. Mnoho správců hesel také funguje jako výplň formulářů, což znamená, že do formulářů automaticky vyplňují pole uživatele a heslo. Obvykle jsou implementovány jako rozšíření prohlížeče.
Správci hesel spadají do tří hlavních kategorií:
Správce hesel lze také použít jako ochranu proti phishingu . Na rozdíl od lidí si program pro správu hesel dokáže poradit s automatickým přihlašovacím skriptem imunním vůči vizuálním imitacím, které vypadají jako webové stránky, to znamená, že kliknutím na pochybný odkaz na phishingovou stránku správce hesel nenahradí přihlašovací heslo ve vstupních formulářích, a uživatel pochopí, že stránka je falešná. Díky této vestavěné výhodě je používání správce hesel výhodné, i když má uživatel k zapamatování jen několik hesel. Ne všichni správci hesel však dokážou automaticky zvládnout složitější identifikační postupy, které vyžaduje mnoho bankovních webů.
Správci hesel obvykle používají k vytvoření klíče používaného k šifrování uložených hesel uživatelem zvolené hlavní heslo neboli přístupovou frázi. Toto hlavní heslo musí být dostatečně složité, aby odolalo útoku vetřelců (jako je hrubá síla ).
Pokud je hlavní heslo prolomeno, budou odhalena všechna hesla uložená v databázi programu. To demonstruje inverzní vztah mezi použitelností a bezpečností: jedno heslo může být pohodlnější, ale pokud je kompromitováno, kompromituje všechna uložená hesla.
Hlavní heslo může být také napadeno a objeveno pomocí keyloggeru nebo akustické kryptoanalýzy . Takovou hrozbu lze zmírnit použitím virtuální klávesnice , jako je například KeePass .
Někteří správci hesel obsahují generátor hesel. Vygenerovaná hesla lze uhodnout, pokud správce hesel nepoužívá kryptograficky bezpečný generátor náhodných čísel .
Online správce hesel je web, který bezpečně ukládá přihlašovací údaje. Jedná se tedy o síťovou verzi obvyklého správce hesel pro stolní počítače.
Výhodou online správců hesel oproti desktopovým verzím je přenositelnost (lze je používat na jakémkoli počítači s webovým prohlížečem a připojením k internetu, bez nutnosti instalace softwaru) a menší riziko ztráty hesel krádeží nebo poškozením PC. Riziko poškození lze výrazně snížit, pokud jsou zálohy provedeny předem .
Hlavní nevýhodou online správců hesel je, že musíte důvěřovat hostingu webu. Opakované hackování a ztráta centrálně uložených informací na serveru nevzbuzuje důvěru.
Existují smíšená řešení. Zdrojové kódy těchto systémů distribuuje řada zdrojů, například FortNotes [1] , které poskytují služby online úložiště pro hesla a další tajná data. Schopnost auditovat kód a nainstalovat takový systém na server chráněný firewallem nebo na server, který nemá přímý přístup k internetu, umožňuje vyřešit problém možného kompromitování dat.
Použití webového správce hesel je alternativou k technologii jednotného přihlášení , jako je OpenID nebo Windows Live ID společnosti Microsoft, a lze jej použít jako dočasné opatření, dokud nebude přijata lepší metoda.
Nechybí ani správci hesel s bariérovou ochranou. V tomto případě je chráněn internetový účet uživatele jako celek. Ochranný obvod je vytvořen počínaje protiakcí ke keyloggerům a špionům obrazovky a konče ochranou proti falšování IP adresy síťového zdroje. Pro ochranu sítě se používá Google Public DNS a antispyware je poskytován automatickým nahrazováním autorizačních dat ve webových formulářích.