Navigate back to the homepage

Migrácia z LastPass do Enpass

LastPass Premium som používal niekoľko rokov. Teraz som sa rozhodol zmigrovať na iné riešenie. Aké som mal dôvody a bola migrácia zložitá?
Vladimír Záhradník
May 11th, 2020 · 5 min read

LastPass bol môj prvý správca hesiel. Pred LastPassom som si pamätal mnoho hesiel v mojej hlave a uvedomujem si, že bezpečnosť mojich hesiel bola vážne ohrozená. Pre dôležité účty ako Google som používal samostatné heslo a tam, kde to bolo možné, som tiež zapol dvojfaktorové overenie. Avšak v skutočnosti mnoho účtov nepodporovalo 2FA a ja som zdieľal niekoľko hesiel medzi viacerými stránkami.

LastPass vyriešil všetky tieto problémy a v tom čase to bolo to najlepšie riešenie na správu hesiel, o akom som vedel. Postupne som pridal všetky moje účty a nastavil som pre každý jeden z nich nové, silné heslo. Tento prístup obmedzil možné škody, keď dôjde ku kompromitácii hesla, na minimum. Potom som zašiel ešte ďalej. Ako som zistil, LastPass podporoval YubiKey kľúče, ktorými viete pridať do trezora s heslami ďalšiu vrstvu zabezpečenia. Táto funkcia bola (a stále je) k dispozícii iba v rámci LastPass Premium. V tom čase, asi pred tromi rokmi, bola cena za prémiový účet asi 12 dolárov ročne a ja som si rád za tento komfort zaplatil.

Nevýhnutné funkcie

Kým som začal používať LastPass, spravil som si prieskum a vedel som o KeePasse. Je to skvelé riešenie, ale chýba mu niekoľko funkcií, ktoré potrebujem:

  • Schopnosť uložiť ľubovoľné dátové hodnoty, nie len kombinácie s menom a heslom (privátne GPG kľúče, fotky môjho občianskeho preukazu a pasu a iné súbory)
  • Schopnosť flexibilne pridať do položiek nové polia, ako napríklad poznámky, bezpečnostné otázky, PINy
  • Štandardizované rozšírenie pre prehliadač, ktoré funguje na každej platforme rovnako
  • Funkcia s automatickým dopĺňaním (vo všetkých mojich zariadeniach), podpora pre Android autofill API
  • Automatická záloha môjho šifrovaného trezora
  • Pohodlný generátor zabezpečených hesiel
  • Bezpečnostný audit (spôsob, ako nájsť slabé heslá, heslá použité na viacerých stránkach, pwnuté heslá)

KeePass nie je homogénny. Existuje množstvo aplikácií s premenlivou úrovňou podpory a s rôznymi funkciami. Avšak mnohé funkcie uvedené v mojich požiadavkách v ňom stále nie sú prítomné. Na druhej strane, KeePass vám dáva plnú kontrolu nad šifrovanými trezormi. Trezor je iba šifrovaný súbor a vy ste zodpovední za jeho zálohovanie. Nedostane sa do cloudu, pokiaľ ho tam sami nenahráte.

Bezpečnostné zraniteľnosti a výpadky

Počas rokov som počul o niekoľkých zraniteľnostiach v LastPass rozšíreniach pre prehliadače. Klobúk dolu pred vývojármi, zvyčajne ich rýchlo opravili. Avšak jednou z hlavných nevýhod podľa mňa je, že LastPass závisí na internetovom pripojení a jeho cloude. Ak nemáte pripojenie, čakajú vás tažké časy pri snahách dostať sa k vašim heslám.

Niekoľkokrát som sa dostal do situácie, že som sa nemohol prihlásiť do môjho trezora a pristupovať k heslám. Je dosť možné, že servery LastPassu mali výpadok. Čo je iba nepríjemnosť u iných služieb, je u tejto nočná mora. Heslá v svojej hlave už viac nenosím.

Problémy s použiteľnosťou

Počas roka som narazil na drobné nedostatky, vďaka ktorým nebolo použitie tohto riešenia až také príjemné. Možno, že Firefox zvýšil zabezpečenie pre rozšírenia a vývojári z LastPassu neboli schopní sa s tým úplne vysporiadať, naozaj neviem. No zakaždým, keď som zapol počítač a otvoril prehliadač, musel som zadať moje hlavné heslo. Občas to nestačilo a rozšírenie si pýtalo heslo niekoľkokrát, kým som sa prihlásil do trezora. Často ma rozšírenie požiadalo o vložene môjho YubiKey napriek tomu, že som označil moje zariadenie ako dôveryhodné na 30 dní.

Neustále zvyšovanie cien

Odkedy som začal používať LastPass, jeho ročný prémiový plán bol každým rokom drahší. Čo začalo ako pohodlná služba za 12 dolárov ročne, stojí aktuálne 36 dolárov (máj 2020). Nevadí mi platiť vyššie sumy, ak dostanem dokonalý produkt, kde všetko bez zaváhania funguje — o LastPasse to už viac neplatí. Keď sa blížil koniec môjho prémiového plánu, aktívne som začal hľadať náhradu.


Zámok
Zdroj: Thomas Breher, Pixabay

A víťazom sa stáva Enpass

Nedávne roky boli na poli správcov hesiel veľmi turbulentné. LastPass získal mnoho konkurentov, mnohí z nich ponúkli porovnateľné funkcie za rovnakú alebo nižšiu cenu. Keď som sa rozhodol zmigrovať na iné riešenie, spravil som si prieskum, aby som si zistil, ktoré riešenia sú pre mňa dobré. Pred pár dňami som čítal blogový príspevok od Nextcloudu, kde porovnávajú rôznych správcov hesiel. Uviedli tam isté skvelé možnosti a Enpass vyzeral sľubne. Len nedávno jeho autori pridali podporu pre WebDAV, ktorý mi umožňuje použiť môj lokálny Nextcloud server ako “cloud.” Inými slovami, mám plnú kontrolu nad mojimi heslami.

Funkcie Enpassu:

  • Umožňuje synchronizovať heslá s lokálnym Nextcloud serverom
  • Podporuje viacero trezorov
  • Poskytuje aplikácie pre počítač na všetkých hlavných platformách
  • Trezory sú šifrované a ukladajú sa lokálne. Synchronizácia do cloudu je úplne voliteľná
  • Na Androide podporuje autofill API a odomykanie trezora odtlačkom prsta
  • Rozšírenia pre prehliadať nepotrebujete. Ak ich použijete, neodosielajú Enpassu žiadne údaje. Rozšírenie komunikuje priamo s vašom lokálne nainštalovanou aplikáciou
  • Umožňuje ukladať do trezora akékoľvek dáta, vrátane ľubovoľných súborov
  • Jeho aplikácie sú veľmi moderné a páči sa mi ich UI
  • Jednou z najlepších funkcií je podpora pre TOTP
  • Ponúka doživotné predplatné, ktoré stojí menej ako jeden rok LastPass Premium

Doživotné predplatné od Enpassu a schopnosť synchronizovať trezory s mojim Nextcloud serverom boli rozhodujúce. Aplikáciu som sa rozhodol kúpiť len pár minút po tom, čo som si ju nainštaloval. Synchronizácia je bleskurýchla. Keď aktualizujem v aplikácii môj trezor, trvá menej ako 30 sekúnd, kým sa zmeny prejavia na iných zariadeniach ako môj telefón. Keď si kúpite ich aplikáciu, potrebujete dať Enpassu vašu emailovú adresu. Spáruje vašu platbu s emailom, aby ste mohli vašu licenciu obnoviť na ďalších zariadeniach. A to je všetko — Enpass potrebuje iba emailovú adresu, a aj to iba na neskoršiu obnovu vášho nákupu.

Bezplatná verzia Enpassu je obmedzená na 25 položiek v jednom trezore. Nevyžaduje vôbec žiadnu registráciu, takže vás povzbudzujem, aby ste si ju skúsili, hlavne ak ešte správcu hesiel nepoužívate.

Zakaždým, keď spustíte počítač, potrebujete zadať celé hlavné heslo. Raz za deň je to prijateľné. Enpass uzamkne trezor po zadanej dobe nečinnosti. Aby ste ho odomkli, štandardne opäť žiada o heslo, ale existuje aj lepší spôsob. Môžete nastaviť PIN, ktorým budete odomykať aplikáciu namiesto hesla. V mojom prípade je PIN oveľa kratší ako moje hlavné heslo a nevadí mi zadávať ho, keď je to potrebné. Na mojom telefóne odomykám aplikáciu odtlačkom môjho prsta. Toto odomykanie odtlačkom má svoje muchy, občas sa pole na priloženie prsta nezobrazí. Ale keď odídem z aplikácie a vrátim sa späť, vo väčšine prípadov začne fungovať. O nič nejde, pretože väčšinou na Androide interagujem s aplikáciou pomocou funkcie autofill.

Jednou z novších funkcií je podpora pre autentifikačné tokeny TOTP. Teraz môže každý účet obsahovať heslo a token na jednom mieste. Stále si nechávam Authy ako zálohu, ale veľmi ho už nepoužívam. Keď sa pokúsite prihlásiť sa do služby, ktorá vyžaduje heslo a číselný kód meniaci sa v čase, Enpass zadá všetky informácie za vás.

Svoje heslá som rozdelil do dvoch samostatných trezorov. Jeden je pracovný a druhý môj osobný. Fyzicky sú heslá uložené v samostatných súboroch, ale Enpass dokáže zobraziť položky zo všetkých trezorov na jednom mieste.


Migrácia

LastPass podporuje exportovanie položiek do jedného veľkého JSON súboru. Enpass by mal podporovať import takéhoto súboru, avšak neviem vám to povedať s istotou. Rozhodol som sa prejsť všetky svoje položky a zadať ich ručne. Mojím hlavným dôvodom bolo, že som mal skvelú príležitosť zrevidovať moje účty, aktualizovať heslá a odstrániť tie účty, ktoré nepoužívam. GDPR “právo byť zabudnutý” sa občas zíde.

Heslo
Zdroj: Gino Crescoli, Pixabay

Keď už som nainštaloval rozšírenie do prehliadača od Enpassu, migrácia prebiehala rýchlo. Hneď ako som sa prihlásil na webovú stránku s prístupovými údajmi z LastPassu, Enpass tieto údaje odchytil a ponúkol ich uloženie do jedného z lokálnych trezorov. Všetko, čo som musel spraviť, bolo prezrieť pridávanú položku a kliknúť na tlačidlo “Uložiť”. Občas som opravil alebo pridal dodatočné informácie. Mnoho položiek v mojom LastPass trezore obsahovalo dodatočné poznámky ako zoznam kódov na obnovu.

Enpass vám umožňuje pridať vlastné polia. Definoval som si teda polia ako Kódy na obnovu a všetky kódy som zapísal na jeden riadok. Enpass má možnosť označiť polia ako citlivé, aby sa zabránilo náhodnému úniku informácie. Namiesto kódu vidíte bodky, ako pri oknách, kde zadávate heslá.

Skvelou funkciou je podpora pre značky. Položke môžete priradiť viacero značiek, vďaka čomu ju veľmi jednoducho viete nájsť. Napríklad, môj MailChimp účet som označil ako Nástroje na produktivitu, Blog, Podnikanie a Mailing list. LastPass mal kategórie a položku ste mohli pridať len do jednej kategórie. Označovanie je oveľa lepšie.

Migráciu som dokončil za niekoľko hodín. Keď som zmigroval všetky dáta, nakoniec som šiel do správy účtu LastPassu a požiadal o úplné odstránenie účtu.


Záver

Enpass je riešenie pre moje potreby! Jednoduchý, ale výkonný nástroj s doživotnou licenciou. Chýbajú mi funkcie ako podpora pre YubiKey, ale tie časom môžu pribudnúť. Keďže všetko beží lokálne na mojom počítači, silné hlavné heslo by malo na zaistenie bezpečnosti viac ako stačiť.

Pokojne mi napíšte do komentárov, aké riešenia používate na správu hesiel a prečo? Môže to byť podnetná diskusia.

More articles from Vladimír Záhradník

WireGuard — A VPN with real-world usage in mind

Recently I made a switch from OpenVPN to WireGuard. I'm super-impressed by that project, and this post tells you why.

May 3rd, 2020 · 13 min read

WireGuard — VPN, u ktorej mysleli na využitie v reálnych podmienkach

Nedávno som prešiel z OpenVPN na WireGuard. Tento projekt na mňa urobil obrovský dojem a v tomto príspevku vám poviem prečo.

May 3rd, 2020 · 12 min read
© 2018–2020 Vladimír Záhradník
Link to $https://github.com/vzahradnikLink to $https://medium.com/@vladimir.zahradnikLink to $https://www.youtube.com/channel/UCogZ6qxqKa_WIsw7NnU2IaALink to $https://twitter.com/VladoZahradnikLink to $https://www.linkedin.com/in/vladimirzahradnikLink to $https://www.facebook.com/vzahradnikLink to $https://www.instagram.com/vladimir.zahradnik