Ostatnio zrobiło się głośno o bardzo popularnym programie LastPass. Chodzi o zmianę polityki firmy, bo od 16 marca menedżer haseł przestanie być darmowym rozwiązaniem. Dziwi mnie to, że podjęcie tej decyzji zajęło aż tyle czasu. Jak na komercyjny produkt, wersja darmowa oferowała ogromną liczbę funkcji. Przejście na płatną wersję było mało opłacalne.
Po tej informacji ludzie zaczęli rozglądać się za ciekawymi i darmowymi rozwiązaniami, które pozwolą bezpiecznie przechowywać hasła. Wydawałoby się, że ciężko zaoferować podobne możliwości w darmowym programie. Jednak na rynku od dawna istnieją takie produkty, które są cenione przez dużą grupę użytkowników.
Dlaczego nie LastPass?
Każdy powinien sam sobie odpowiedzieć lub może zasugerować się opiniami w sieci. Osobiście nigdy nie byłem fanem tego rozwiązania i korzystałem z dalej wymienionych programów.
Dlaczego jednak nie wybierać LastPass? Już wspomniałem o tym, że od 16 marca będzie trzeba płacić z to rozwiązania. A wśród płatnych bardziej cenionym rozwiązaniem jest chociażby 1Password lub NordPass.
Jeśli to was nie przekonuje, to może posłuchacie badacza cyberbezpieczeństwa Mike’a Kuketza (The Register). Na swoim blogu opisał jaki kod siedzi w aplikacji i wypowiedział się na ten temat. Nie znaleziono tam żadnego złośliwego oprogramowania ale pojawiają się tam rozwiązania, które nie są mile widziane w programach wspierających nasze zabezpieczenia.
W LastPass znajduje się kilka narzędzi zewnętrznych firm:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment
Zastosowanie pewnych elementów w aplikacji jest logiczne i nie da się tego pominąć. Trzeba zbierać informacje o błędach i innych zdarzeniach. Jednak LastPass zbiera informacje, które są niepotrzebne do działania takich aplikacji. Co więcej, w swojej polityce prywatności nie wspomina o wszystkich „trackerach” znajdujących się w programie. To już wygląda dziwnie.
Aplikacja prosi o dostęp do 36 elementów systemu:
- ACCESS_COARSE_LOCATION
- ACCESS_FINE_LOCATION
- ACCESS_NETWORK_STATE
- ACCESS_WIFI_STATE
- BIND_ACCESSIBILITY_SERVICE
- FOREGROUND_SERVICE
- GET_ACCOUNTS
- INTERNET
- MANAGE_ACCOUNTS
- NFC
- PACKAGE_USAGE_STATS
- READ_EXTERNAL_STORAGE
- READ_PHONE_STATE
- RECEIVE_BOOT_COMPLETED
- RECORD_AUDIO
- SYSTEM_ALERT_WINDOW
- USE_BIOMETRIC
- USE_CREDENTIALS
- USE_FINGERPRINT
- VIBRATE
- WAKE_LOCK
- WRITE_EXTERNAL_STORAGE
- WRITE_HISTORY_BOOKMARKS
- INSTALL_SHORTCUT
- BILLING
- RECEIVE
- BIND_GET_INSTALL_REFERRER_SERVICE
- CLOUD_SYNC_LPA
- ADFS_LOGIN
- C2D_MESSAGE
- CLOUD_SYNC_LPM
- QUICK_SETTINGS_TILE
- WRITE_USE_APP_FEATURE_SURVEY
- BILLING
- PERMISSION_READ_URL
- BILLING
Bitwarden – da się za darmo.
Nie pamiętam kiedy zacząłem korzystać z Bitwarden. Jednak pamiętam, że była to duża ulga. Wcześniej korzystałem z KeePass (o czym później), który jest bardzo dobry, ale brakuje mu jednej rzeczy – logowania. Klasycznego logowania „out of the box”.
Zobacz również:
Bitwarden ma wszystko czego potrzebuję:
- aplikacja na Android
- aplikacja na Windows
- aplikacja na Linuksa
- wtyczka do Firefoxa
- jest za darmo
Bitwarden to oprogramowanie open source. Tym bardziej doceniam pracę twórców i dokładałem się troszkę do projektu. Nie musicie tego robić, bo wersja darmowa jest w zupełności wystarczająca dla większości użytkowników. Jeśli jednak chcecie, to opcja premium kosztuje niewiele (10$/rok). Pełny cennik znajdziecie na stronie.
Nie demonizuję LastPass i jestem daleki od potępiania tego produktu. Jeśli ktoś będzie chciał zostać z nim dłużej, to miło. Jednak zwracam uwagę na to, że jest darmowe rozwiązanie, które może śmiało konkurować z płatną i komercyjną usługą. Przetestowanie zajmuje chwilę, ale ostrzegam, że wtedy możecie już w tym zostać.
Bitwarden używa AES-CBC 256-bitowego szyfrowania dla danych i PBKDF2 SHA-256 do uzyskania klucza szyfrowania.
Bitwarden sam w sobie korzysta z 2 trackerów:
- Google Firebase Analytics
- Microsoft Visual Studio App Center Crashes
Prosi o dostęp do 11 elementów systemu:
- ACCESS_NETWORK_STATE
- CAMERA
- INTERNET
- NFC
- SYSTEM_ALERT_WINDOW
- USE_BIOMETRIC
- USE_FINGERPRINT
- WAKE_LOCK
- WRITE_EXTERNAL_STORAGE
- RECEIVE
- WRITE_USE_APP_FEATURE_SURVEY
KeePassXC i KeePassXD
Mam sentyment do tego rozwiązania. Zanim przeczytałem o Bitwarden, to korzystałem z niego na Linuksie. Jest to bardzo polecana metoda na komputer i telefon. KeePassXC miałem zainstalowane na laptopie. Z kolei KeePassXD na smartfonie. Są to forki programu KeePass, który jest na licencji GNU GPL. Obsługują te same pliki z bazami haseł.
Bardzo cenię sobie te programy, ale daję minusa za brak logowania po instalacji. Synchronizacja bazy danych odbywa się za pomocą pliku, który musimy posiadać na urządzeniach lub umieścimy w chmurze. Gdybym korzystał tylko z systemu Windows i Android, to nie byłoby problemu. Jednak pracuję na Linuksie i tam wybór chmury, a raczej programów ich obsługujących, jest mniejszy. Tylko to popchnęło mnie do przesiadki na Bitwarden.
Do tej pory doceniam rozwiązanie KeePass i również mogę polecić je każdemu. Jest solidnie zabezpieczone i również posiada generator haseł.
Zarzucam mu tylko mniejszą funkcjonalność w przypadku typowego „Kowalskiego”.
KeePass korzysta z takich zabezpieczeń jak: AES, ChaCha20 i Twofish oraz haszujących SHA-256. Nie stosowałem rozszerzeń do przeglądarek gdy używałem KeePass. Nie mam zaufania do takich rozwiązań, w przypadku haseł, gdy rozszerzenie jest napisane przez inne osoby.
Na plus zaliczam brak jakichkolwiek trackerów w aplikacji na Androida.
KeePassDX prosi o dostęp tylko do 6 elementów systemu:
- FOREGROUND_SERVICE
- QUERY_ALL_PACKAGES
- USE_BIOMETRIC
- USE_FINGERPRINT
- VIBRATE
- WRITE_EXTERNAL_STORAGE