Czy wykorzystanie menedżera haseł open source to dobry pomysł? Czym tego typu rozwiązanie różni się od zamknięto-źródłowych odpowiedników?
W dobie ilości usług, z których na codzień korzystamy menedżer haseł jest niezbędnym rozwiązaniem, które pozwoli zapamiętać wszystkie hasła z zachowaniem wysokiego poziomu bezpieczeństwa i stosowania unikalnych haseł dla każdej z usług. Aktualna sytuacja cybernetyczna na świecie dodatkowo zachęca do poprawy poziomu bezpieczeństwa. Z drugiej strony menedżer haseł zachowuje wszystkie hasła do usług takich jak bankowość elektroniczna, dostępy do kont u operatorów telefonicznych czy w popularnych usługach, a zatem bardzo wrażliwe dane, których kradzież lub wyciek z pewnością wyrządza wiele szkód.
Na rynku znajdziemy coraz więcej menedżerów haseł rozwijanych w otwarto-źródłowym modelu open source. Czym różnią się one od klasycznych menedżerów haseł oraz czy warto się nimi interesować?
Zobacz również:
Open source, a closed source – jaka jest różnica?
Świat oprogramowania od lat dzieli się na dwa obozy preferujące różne modele dystrybucji. Programy otwarto źródłowe udostępniane są na licencji open source, która pozwala na swobodny dostęp i modyfikację kodu źródłowego. Idealnym przykładem mogą być dystrybucje Linuxa oraz Android.
Po przeciwległej stronie znajdziemy oprogramowanie typu closed source – z zamkniętym kodem źródłowym, który pozostaje własnością producenta i nie jest udostępniany użytkownikom. Do tego typu oprogramowania zaliczamy m. in. system operacyjny iOS lub niezwykle popularnego Windowsa.
W przypadku programów typu open source każdy może przeglądać kod i uzyskiwać do niego dostęp. Takie działanie pozwala osobom fizycznym zmieniać aplikację na własny użytek, identyfikować błędy i luki w zabezpieczeniach oraz stać się częścią społeczności skupionej na ogólnym ulepszaniu oprogramowania.
Społeczności open source są często pomocne w ostrzeganiu firm o problemach w ich kodzie, co może pozwolić im zaoszczędzić pieniądze i czas, a także uniknąć problemów technicznych i włamań.
Oprogramowanie o zamkniętym kodzie źródłowym nie oferuje publicznego dostępu do kodu źródłowego. Pozostaje on pod kontrolą prawnych właścicieli (często firm lub osób, które je opracowała, lub strony, która kupiła je od pierwotnych właścicieli). Przypadkowe osoby nie mają prawa modyfikować, kopiować ani dodawać elementów do zamkniętego oprogramowania. Legalnie mogą to robić tylko prawni właściciele i osoby, którzy mają oficjalne pozwolenie od właściciela praw autorskich do danego oprogramowania.
W przypadku menedżerów haseł należy podkreślić, ze niezależnie od tego czy mowa o oprogramowaniu open, czy closed source, osoby modyfikujące kod źródłowy programu nie mają dostępu do danych, które się w nim znajdują. Oznacza to, że wszystkie pliki i hasła są bezpieczne. Dostęp do kodu źródłowego pozwala na zmienianie, modyfikowanie oraz ulepszanie oprogramowania tak, aby pojawiały się w nim np. nowe funkcje. W przypadku oprogramowanie z zamkniętym kodem źródłowym takie zmiany mogą być dokonywane jedynie przez właściciela programu, co wydłuża ścieżkę modyfikacji oraz może ograniczać potencjał danego rozwiązania.
Open source, a bezpieczeństwo
W przypadku menedżerów haseł nadrzędnym priorytetem jest zapewnienie wysokiego poziomu bezpieczeństwa, co z pozoru jest łatwiejsze do zapewnienia w modelu zamknięto-źródłowym.
W tym miejscu warto przypomnieć, że szeroki dostęp do kodu źródłowego oprogramowania rozwijanego w modelu Open-source pozwala większej ilości osób poddawać ten kod kontroli, co pozytywnie wpływa na czas niezbędny na wykrycie luk w zabezpieczeniach oraz minimalizuje czas reakcji niezbędny do naprawienia znalezionej luki.
Renomowani twórcy oprogramowania robią, co mogą, aby wyeliminować luki w zabezpieczeniach przed wydaniem programu, ale jeśli kod programu jest szczególnie obszerny, może to być trudne.
Bardzo często w oprogramowaniu z zamkniętym kodem źródłowym istnieją luki w zabezpieczeniach, o których producenci nie mają pojęcia nawet przez wiele lat, a luki te są aktywnie wykorzystywane przez cyberprzestępców. Taka sytuacja o wiele rzadziej ma miejsce w oprogramowaniu typu Open-source.
Oprogramowanie, które ma krytyczne znaczenie dla bezpieczeństwa i ochrony prywatności użytkowników powinno przechodzić niezależne audyty bezpieczeństwa potwierdzające wdrożenie odpowiednich zabezpieczeń i utrzymanie ustalonego poziomi bezpieczeństwa. W przypadku oprogramowania o zamkniętym kodzie źródłowym przeprowadzenie niezależnego audytu poprzez firmę zewnętrzną jest mocno utrudnione. Problemu tego nie ma w przypadku otwarto źródłowych odpowiedników.
W tym miejscu warto zaznaczyć, że oprogramowanie o zamkniętym kodzie źródłowym może być bezpieczne, jeśli programiści zapewnią, że stosują odpowiednie funkcje bezpieczeństwa i przeprowadzają regularne audyty. Co więcej, menedżery haseł typu open source nadal mogą zostać zhakowane lub napotkać problemy techniczne. Kluczową kwestią jest fakt, że upublicznienie kodu pozwala większej liczbie osób sprawdzić błędy, wyeliminować luki w zabezpieczeniach i wprowadzić własne modyfikacje.
Drugą stroną medalu jest fakt, że oprogramowanie open-source może mieć wady, takie jak restrykcyjne licencje na użytkowanie i spory dotyczące własności intelektualnej. Oprogramowanie open-source nie jest również objęte gwarancją bezpieczeństwa, o czym należy pamiętać.
Najpopularniejsze menedżery haseł oparte na licencji open-source
- KeePass
- Password Safe
- Gnome Keyring
- Bitwarden
- Pass
- Psono.
- Passbolt
Najpopularniejsze menedżery haseł oparte na licencji closed-source
- Sticky Password
- LastPass
- Enpass
- 1Password
- Dashlane
- Keeper
- SafeInCloud
- Roboform
- Myki
- Hasła Google
- Hasła Apple iCloud (Pęk Kluczy)
Menedżer haseł open-source to dobry wybór
Menedżery haseł typu open-source to dobry wybór dla osób dbających o swoją prywatność w sieci. Pozwalają one cieszyć się funkcjami bezpieczeństwa i gwarantują, że kod źródłowy jest regularnie poddawany niezależnemu audytowi mającemu na miejsce jak najszybszą identyfikację i pozbycie się luk w zabezpieczeniach. Całość wpisana jest również dużą społecznością użytkowników, którzy stale rozszerzają funkcjonalność tego typu oprogramowania.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS