W pierwszej części wpisu podzieliłem się czytelnikami Antyweb ogólnymi zasadami bezpieczeństwa, jeśli chodzi o hasła oraz opisałem jak wygląda praca z KeePass, jako samodzielnym programem, w praktyce. Teraz przyszedł czas na rozwiązanie bardziej współczesne, czyli w chmurze, jak to się teraz modnie określa. Z LastPass mam do czynienia od kilku tygodni. O tym jak się […]

W pierwszej części wpisu podzieliłem się czytelnikami Antyweb ogólnymi zasadami bezpieczeństwa, jeśli chodzi o hasła oraz opisałem jak wygląda praca z KeePass, jako samodzielnym programem, w praktyce. Teraz przyszedł czas na rozwiązanie bardziej współczesne, czyli w chmurze, jak to się teraz modnie określa. Z LastPass mam do czynienia od kilku tygodni. O tym jak się sprawuje i jak wypada na tle KeePass w praktyce będzie w tym artykule.

LastPass

LastPass to rozwiązanie mieszczące się całkowicie w chmurze, do którego dostęp mamy tylko za pomocą przeglądarki i pluginów do niej oraz dedykowanych aplikacji mobilnych. Oczywistą zaletą jest synchronizacja haseł pomiędzy urządzeniami wbudowana w zasadę działania, a co za tym idzie, łatwe dodawanie haseł również z poziomu urządzeń mobilnych. Zasadniczo jest tylko jedna baza danych na serwerze LastPass a my logując się do niej, zyskujemy dostęp do haseł. Można co prawda zrobić lokalną kopię bezpieczeństwa, ale spełnia ona tylko taką rolę i na co dzień jest absolutnie zbędna.

Bezpieczeństwo

Bezpieczeństwo naszych haseł jest na naprawdę wysokim poziomie. Baza danych jest szyfrowana całkowicie po stronie użytkownika, co oznacza, że nikt oprócz nas samych, znających hasło, nie ma dostępu do haseł, nawet ludzie z LastPass nie są w stanie się do nich dostać. Jest jednak cały szereg dodatkowych zabezpieczeń, będących odpowiednikiem pliku-klucza z KeePass, tylko lepszych, nowocześniejszych i bezpieczniejszych.

Jako uwierzytelnienie dwuczynnikowe, zamiast pliku (który w przypadku LastPass premium też można wykorzystać), który łatwo skopiować, można zastosować Google Authenticator, ten sam co w przypadku logowania do Gmaila czy konta Google w ogóle. Są to jednorazowe hasła generowane na bieżąco, ważne przez kilkadziesiąt sekund i dostarczane do nas za pomocą SMS, albo specjalnej aplikacji na Androida i iOS. Warto odnotować, że kod jest generowany specjalnie na potrzeby LastPass i jest różny od tego koniecznego do zalogowania do Google (otwierając appkę widzimy dwa kody). Aplikacja jest o tyle lepsza od SMSów, że nie wymaga stałego dostępu do internetu czy sieci GSM. Całość przypomina system logowania do banku tylko, że wygodniejszy.

Inny sposób na dwuczynnikowe zabezpieczenie swoich haseł to zastosowanie sprzętowego generatora kodów czasowych Yubikey. W przeciwieństwie do pliku, nie można go skopiować, nie wymaga również zasilania. Jest zrobiony z grubego plastiku, dlatego uszkodzenie go jest praktycznie niemożliwe, nawet upranie z ubraniami w pralce czy przejechanie autem mu nie zaszkodzi. Wreszcie w systemie jest rozpoznawany jako standardowa klawiatura USB i w ten właśnie sposób wprowadza ciągi znaków, a więc nie potrzebuje żadnych sterowników i działa praktycznie wszędzie, po zastosowaniu przejściówki, nawet z iPadem czy w telefonie z Androidem. Generowane kody podobnie jak w przypadku rozwiązania Google, są jednorazowe i ważne bardzo krótko, dlatego jedynym sposobem na dostęp do naszego konta, jest kradzież naszego klucza sprzętowego.

Uwierzytelnianie dwuczynnikowe jest znacznie bezpieczniejsze, niż najdłuższe hasło. Zwykłe hasło może zostać przejęte przez złośliwe oprogramowanie czy sprzętowy logger, można je podpatrzeć, poza tym trochę strach używać go na nie swoim i niesprawdzonym komputerze, np. w kafejce. Za to jednorazowe hasło jest ważne tylko w krótkim okresie czasu. Nie ma żadnego znaczenia czy je ktoś podpatrzy, bo za każdym razem jest inne. Samo w sobie nie jest bardzo silne, bo posiada zaledwie 6 cyfr i milion kombinacji, ale ciągle się zmienia i w połączeniu z mocnym, tradycyjnym hasłem, stanowi bardzo dobre zabezpieczenie. Dlatego zachęcam do skorzystania z dwuczynnikowego uwierzytelniania w koncie Gmail, niezależnie czy planujecie korzystać z LastPass czy nie.

Biorąc pod uwagę powyższe kwestie, zapisywanie haseł w LastPass jest zdecydowanie bezpieczniejsze, niż zapisywanie haseł na koncie synchronizacji przeglądarki Google Chrome, Firefoksa czy Opery. Za to rozszerzenia LastPass do każdej z tych przeglądarek potrafią w sposób niemal niewidoczny dla użytkownika zastąpić menadżer haseł wbudowany w daną przeglądarkę, w efekcie loginy i hasła mogą być automatycznie uzupełniane (lub na życzenie, zależnie od ustawień), tak jak miało to miejsce przed zastosowaniem LastPass. Dodatkowo, możemy korzystać z różnych przeglądarek na różnych urządzeniach, a hasła i tak będą synchronizowane i umożliwią automatyczne logowanie.

W praktyce

Oczywistym minusem trzymania wszystkiego w chmurze i dostępu za pomocą przeglądarki jest zdecydowanie mniej wygodne wpisywanie haseł poza przeglądarką. W zasadzie sprowadza się to do edycji konkretnego wpisu w bazie danych, a następnie ręcznego skopiowania hasła, pozbawionego funkcji np. automatycznego usunięcia go z pamięci po upływie określonego czasu. Nie jest niemożliwe, aby zalogować się w ten sposób w Steam, ale cała operacja będzie trwała dłużej, niż w przypadku jednego skrótu klawiaturowego w KeePass. Dodatkowo, chociaż LastPass posiada dodatkowe narzędzia, np. generator haseł, są one w moim odczuci mniej wygodne i bardziej ubogie w funkcje, niż w przypadku KeePass. Za to w przeglądarce jest super wygodny.

Inne systemy i urządzenia mobilne

LastPass posiada dedykowane aplikacje na niemal wszystkie platformy mobilne, również te zdecydowanie mniej popularne (jest Symbina S60 czy HP WebOS). Aplikacje posiadają wbudowaną przeglądarkę, więc jeśli chcemy na szybko sprawdzić coś np. w banku, możemy z niej skorzystać, zamiast kopiować hasło i przełączać się do dedykowanej przeglądarki w naszym urządzeniu mobilnym. Tutaj wszystko działa wzorowo, trzeba tylko pamiętać, że aplikacje mobilne są dostępne tylko dla użytkowników wersji płatnej, która kosztuje dolara miesięcznie i musimy ją wykupić na rok z góry, płacąc 12 dolarów.

Jeśli natomiast chodzi o inne desktopowe systemy operacyjne, to nie ma najmniejszego problemu. Rozszerzenia do przeglądarek są skonstruowane tak, że działają na każdej platformie. Nie ma więc większej różnicy z którego systemu korzystamy. Dodatkowo są jeszcze wersje portable LastPass razem z przeglądarką, przygotowane na wszystkie trzy systemy operacyjne. Ostatecznie, zawsze pozostaje nam jeszcze możliwość zalogowania się do naszej bazy haseł przez WWW i chociaż stracimy część opcji, kompatybilność w tym wypadku jest nie do pokonania i należy ją ocenić jako wzorową.

Podsumowanie LastPass

LastPass oferuje bezpieczeństwo i dużą wygodę, zwłaszcza jeżeli hasła, którymi się posługujemy, wykorzystujemy głównie w przeglądarce. Na szczególną pochwałę zasługuje zastosowanie kilku różnych metod dwuczynnikowego uwierzytelniania, wzorowe wsparcie wszystkich dużych systemów, jak i wielu platform mobilnych, jeśli zdecydujemy się na wersję premium. Słabo jednak rozwiązano wpisywanie haseł poza przeglądarką.

Podsumowanie obu części: kto wygrał KeePass czy LastPass?

Tak naprawdę to oba programy się uzupełniają. Z przeniesieniem haseł z jednego do drugiego nie ma większych problemów, bo zarówno KeePass jak i LastPass potrafią eksportować jak i importować bazę zapisanych haseł. Dlatego mając wszystkie hasła w KeePass, uruchomienie i skonfigurowanie LastPass do pracy trwało tylko chwilę. Oprócz tego LastPass potrafi zaimportować hasła już zapamiętane w przeglądarce i np. hasła od zapisanych sieci bezprzewodowych.

Początkowo myślałem, że zrezygnuję z KeePass na rzecz wygodniejszej obsługi na urządzeniach mobilnych, ale w praktyce okazało się, że do Steama, EA Origin czy Truecrypta wciąż wolę logować się za pomocą KeePass. Dodatkowo okazało się, że w niektórych egzotycznych serwisach, w których cały interfejs został wykonany w nietypowej technologii, włącznie z oknem logowania, czasem LastPass potrafi nie wykryć właściwie pól odpowiedzialnych za login i hasło. KeePass nie musi ich wykrywać, bo sami ustawiamy kursor w odpowiednim miejscu. Wszystko jednak wskazuje na to, że z LastPass w wersji premium już nie zrezygnuję i właśnie LastPass stał się moim menadżerem haseł numer jeden. KeePass zostanie na awaryjne sytuacje, ale używam go raczej rzadko.

KeePass mogę polecić wszystkim tym, którzy potrzebują często logować się do kont poza głównym oknem przeglądarki, oraz szukają całkowicie darmowego rozwiązania, również na urządzeniach mobilnych, kosztem bezobsługowej synchronizacji.

LastPass przyda się szczególnie tym, którzy intensywnie korzytają z urządzeń mobilnych, często dodają z ich poziomu nowe hasła i cenią bezproblemową synchronizację. Jeśli natomiast hasła wykorzystujesz niemal tylko i wyłącznie w przeglądarce, zadowolisz się również darmową wersją usługi.