Dobry i darmowy menedżer haseł istnieje.

Ostatnio zrobiło się głośno o bardzo popularnym programie LastPass. Chodzi o zmianę polityki firmy, bo od 16 marca menedżer haseł przestanie być darmowym rozwiązaniem. Dziwi mnie to, że podjęcie tej decyzji zajęło aż tyle czasu. Jak na komercyjny produkt, wersja darmowa oferowała ogromną liczbę funkcji. Przejście na płatną wersję było mało opłacalne.

Po tej informacji ludzie zaczęli rozglądać się za ciekawymi i darmowymi rozwiązaniami, które pozwolą bezpiecznie przechowywać hasła. Wydawałoby się, że ciężko zaoferować podobne możliwości w darmowym programie. Jednak na rynku od dawna istnieją takie produkty, które są cenione przez dużą grupę użytkowników.

Dlaczego nie LastPass?

Każdy powinien sam sobie odpowiedzieć lub może zasugerować się opiniami w sieci. Osobiście nigdy nie byłem fanem tego rozwiązania i korzystałem z dalej wymienionych programów.

Dlaczego jednak nie wybierać LastPass? Już wspomniałem o tym, że od 16 marca będzie trzeba płacić z to rozwiązania. A wśród płatnych bardziej cenionym rozwiązaniem jest chociażby 1Password lub NordPass.

Jeśli to was nie przekonuje, to może posłuchacie badacza cyberbezpieczeństwa Mike’a Kuketza (The Register). Na swoim blogu opisał jaki kod siedzi w aplikacji i wypowiedział się na ten temat. Nie znaleziono tam żadnego złośliwego oprogramowania ale pojawiają się tam rozwiązania, które nie są mile widziane w programach wspierających nasze zabezpieczenia.

W LastPass znajduje się kilka narzędzi zewnętrznych firm:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPanel
  • Segment

Zastosowanie pewnych elementów w aplikacji jest logiczne i nie da się tego pominąć. Trzeba zbierać informacje o błędach i innych zdarzeniach. Jednak LastPass zbiera informacje, które są niepotrzebne do działania takich aplikacji. Co więcej, w swojej polityce prywatności nie wspomina o wszystkich “trackerach” znajdujących się w programie. To już wygląda dziwnie.

Aplikacja prosi o dostęp do 36 elementów systemu:

  1. ACCESS_COARSE_LOCATION
  2. ACCESS_FINE_LOCATION
  3. ACCESS_NETWORK_STATE
  4. ACCESS_WIFI_STATE
  5. BIND_ACCESSIBILITY_SERVICE
  6. FOREGROUND_SERVICE
  7. GET_ACCOUNTS
  8. INTERNET
  9. MANAGE_ACCOUNTS
  10. NFC
  11. PACKAGE_USAGE_STATS
  12. READ_EXTERNAL_STORAGE
  13. READ_PHONE_STATE
  14. RECEIVE_BOOT_COMPLETED
  15. RECORD_AUDIO
  16. SYSTEM_ALERT_WINDOW
  17. USE_BIOMETRIC
  18. USE_CREDENTIALS
  19. USE_FINGERPRINT
  20. VIBRATE
  21. WAKE_LOCK
  22. WRITE_EXTERNAL_STORAGE
  23. WRITE_HISTORY_BOOKMARKS
  24. INSTALL_SHORTCUT
  25. BILLING
  26. RECEIVE
  27. BIND_GET_INSTALL_REFERRER_SERVICE
  28. CLOUD_SYNC_LPA
  29. ADFS_LOGIN
  30. C2D_MESSAGE
  31. CLOUD_SYNC_LPM
  32. QUICK_SETTINGS_TILE
  33. WRITE_USE_APP_FEATURE_SURVEY
  34. BILLING
  35. PERMISSION_READ_URL
  36. BILLING

Bitwarden – da się za darmo.

Nie pamiętam kiedy zacząłem korzystać z Bitwarden. Jednak pamiętam, że była to duża ulga. Wcześniej korzystałem z KeePass (o czym później), który jest bardzo dobry, ale brakuje mu jednej rzeczy – logowania. Klasycznego logowania “out of the box”.

Bitwarden ma wszystko czego potrzebuję:

  • aplikacja na Android
  • aplikacja na Windows
  • aplikacja na Linuksa
  • wtyczka do Firefoxa
  • jest za darmo

Bitwarden to oprogramowanie open source. Tym bardziej doceniam pracę twórców i dokładałem się troszkę do projektu. Nie musicie tego robić, bo wersja darmowa jest w zupełności wystarczająca dla większości użytkowników. Jeśli jednak chcecie, to opcja premium kosztuje niewiele (10$/rok). Pełny cennik znajdziecie na stronie.

Nie demonizuję LastPass i jestem daleki od potępiania tego produktu. Jeśli ktoś będzie chciał zostać z nim dłużej, to miło. Jednak zwracam uwagę na to, że jest darmowe rozwiązanie, które może śmiało konkurować z płatną i komercyjną usługą. Przetestowanie zajmuje chwilę, ale ostrzegam, że wtedy możecie już w tym zostać.

Bitwarden używa AES-CBC 256-bitowego szyfrowania dla danych i PBKDF2 SHA-256 do uzyskania klucza szyfrowania.

Bitwarden sam w sobie korzysta z 2 trackerów:

  • Google Firebase Analytics
  • Microsoft Visual Studio App Center Crashes

Prosi o dostęp do 11 elementów systemu:

  1. ACCESS_NETWORK_STATE
  2. CAMERA
  3. INTERNET
  4. NFC
  5. SYSTEM_ALERT_WINDOW
  6. USE_BIOMETRIC
  7. USE_FINGERPRINT
  8. WAKE_LOCK
  9. WRITE_EXTERNAL_STORAGE
  10. RECEIVE
  11. WRITE_USE_APP_FEATURE_SURVEY

KeePassXC i KeePassXD

Mam sentyment do tego rozwiązania. Zanim przeczytałem o Bitwarden, to korzystałem z niego na Linuksie. Jest to bardzo polecana metoda na komputer i telefon. KeePassXC miałem zainstalowane na laptopie. Z kolei KeePassXD na smartfonie. Są to forki programu KeePass, który jest na licencji GNU GPL. Obsługują te same pliki z bazami haseł.

Bardzo cenię sobie te programy, ale daję minusa za brak logowania po instalacji. Synchronizacja bazy danych odbywa się za pomocą pliku, który musimy posiadać na urządzeniach lub umieścimy w chmurze. Gdybym korzystał tylko z systemu Windows i Android, to nie byłoby problemu. Jednak pracuję na Linuksie i tam wybór chmury, a raczej programów ich obsługujących, jest mniejszy. Tylko to popchnęło mnie do przesiadki na Bitwarden.

Do tej pory doceniam rozwiązanie KeePass i również mogę polecić je każdemu. Jest solidnie zabezpieczone i również posiada generator haseł.

Zarzucam mu tylko mniejszą funkcjonalność w przypadku typowego “Kowalskiego”.

KeePass korzysta z takich zabezpieczeń jak: AES, ChaCha20 i Twofish oraz haszujących SHA-256. Nie stosowałem rozszerzeń do przeglądarek gdy używałem KeePass. Nie mam zaufania do takich rozwiązań, w przypadku haseł, gdy rozszerzenie jest napisane przez inne osoby.

Na plus zaliczam brak jakichkolwiek trackerów w aplikacji na Androida.

KeePassDX prosi o dostęp tylko do 6 elementów systemu:

  1. FOREGROUND_SERVICE
  2. QUERY_ALL_PACKAGES
  3. USE_BIOMETRIC
  4. USE_FINGERPRINT
  5. VIBRATE
  6. WRITE_EXTERNAL_STORAGE
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Related Posts