Zakaj bi se gesla učili na pamet?
Večina si varna gesla težko zapomni. So aplikacije za upravljanje gesel in/ali strojni geselniki prava rešitev za vse večje apetite računalniških hekerjev? Kako delujejo in kako varujejo poverilnice? Si z njimi lahko pohitrimo delo z računalnikom? Lahko kot geselnik uporabimo tudi pametni telefon? Koliko poverilnic si zapomnijo in koliko stanejo?
Ljudje si izmišljujejo enostavna gesla predvsem zato, da jih ne bi pozabili. Hekerji jih nemalokrat z lahkoto uganejo že, če malo bolje poznajo svojo žrtev. Mnogi so nedolgo nazaj kot geslo uporabljali kar svojo letnico rojstva ali ime ali letnico rojstva svojega družinskega člana. Danes večina spletnih portalov pa tudi operacijski sistemi zahtevajo gesla, ki vključujejo velike in male črke, številke in posebne znake, zato je njihovo ugibanje težje, a jih prej (delno) pozabimo ali pa pred njihovim vsakodnevnim tipkanjem pozabimo preveriti izbrano raven in jezik tipkovnice. Če zato vnos poverilnic v prepričanju, da jih računalnik ne sprejme zaradi tehničnih težav, prevečkrat ponovimo, se navadno račun za stalno zaklene in ga pogosto brez pomoči skrbnika informacijske storitve ne moremo več aktivirati.
(Ne)varna hramba gesel
Mnogi si varna gesla v strahu pred pozabo zapišejo na listke in celo na spodnjo stran tipkovnice, kar je podobno kot, če bi ključe vhodnih vrat stanovanja skrili pod predpražnik. Drugi jih raje zapišejo v papirni imeniček, ki ga imajo vedno pri sebi. To niti ni tako slaba rešitev, razen če imeniček izgubimo ali nam ga kdo ukrade; vsekakor pa ne smemo dovoliti zijal, ko geslo pretipkavamo v računalniško prijavno okno.
Ob tem pomislimo, da bi bilo poverilnice morda varneje hraniti v elektronski napravi; a kaj, ko danes skoraj ne najdemo take in ta ne bi omogočala zanesljivega izklopa (brez)žične povezave z internetom in povezljivosti bluetooth, predvsem pa bi jo uporabljali le za varno hrambo gesel. Hekerji lahko v slabo zaščitene brezžično povezljive elektronske geselnike in druge pametne naprave prek Wi-Fi in/ali bluetootha (tudi brez internetne povezljivosti) vdrejo že z nekaj 100 metrov oddaljene lokacije. Papirnega imenička po drugi strani ni mogoče brati ali prekopirati na daljavo. Bojazen pred luknjami v sistemski programski opremi elektronskega geselnika in pred našo morebitno nepazljivostjo in pozabljivostjo lahko odpravijo le namenski geselniki brez brezžične povezljivosti ali z zelo omejeno (na razdalji največ nekaj cm).
Danes v pametnih telefonih uporabljamo kodirane elektronske kartice za vzpostavitev povezave z omrežjem mobilnega operaterja. Strogo varovane poverilnice vsebujejo tudi plačilne kartice, ki sicer na nekajcentimetrsko razdaljo omogočajo brezstično plačevanje, a moramo ob večjih nakupih zaradi varnosti v terminal POS trgovca vnesti tudi kodo PIN. Podobne principe varovanja poverilnic uporabljamo tudi graditelji strojnih geselnikov.
Kako delujejo?
Geselnik je lahko le aplikacija za upravljanje gesel, ki jo dodamo v svojo pametno napravo ali osebni računalnik, varneje pa je, če deluje kot samostojna naprava. V samostojnih strojnih geselnikih je aplikacija del naprave. Kot strojne geselnike lahko uporabljamo tudi pametne telefone, na katere namestimo ustrezno aplikacijo. Vseeno pa so pametni telefoni lahko tudi sami tarča hekerskih napadov, zato je bolje uporabljati namenske geselnike.
Prijava v Microsoft Windows s strojnim geselnikom Mooltipass Mini
Ne glede na strojno ali programsko izvedbo navadno omogočajo geselniki poleg varne hrambe poverilnic še veliko drugih funkcionalnosti, med katerimi je najpomembnejši samodejni vnos poverilnic v prijavne obrazce vsakovrstnih (spletnih) aplikacij pa tudi operacijskega sistema. Prijavo v zadnjega sicer omogočajo le strojni geselniki, ki posnemajo delovanje tipkovnice prek priključka USB.
Ostale funkcionalnosti so: večfaktorska avtentikacija, uvoz gesel iz brskalnikov, uvoz gesel iz aplikacij tekmecev, dvostopenjska avtentikacija, izvoz podatkov, samodejni zajem gesel, samodejna ponovitev gesla, polnjenje (več) obrazcev s prijavnimi podatki, izdelava poročil o moči gesel in ustvarjanje novih na ravni aplikacije ali strojnega geselnika.
Naključno ustvarjanje in pomnjenje novih gesel sta zelo pomembni funkcionalnosti, saj hekerjem v veliki meri preprečita, da bi geslo preprosto uganili. Ob pomoči samodejnega tipkanja nato geselnik namesto nas vnese novoustvarjeno geslo v registracijsko ali prijavo okno internetne storitve vsakokrat, ko ga potrebujemo.
Precej programskih aplikacij za upravljanje gesel pa tudi nekateri strojni geselniki se pri shranjevanju gesel zanašajo tudi na javne računalniške oblake (npr. Google Drive), v katerih mora uporabnik ustvariti račun za shranjevanje datotek, kamor geselnik (navadno le varnostno) shranjuje šifrirano datoteko s podatkovno zbirko poverilnic. Vsekakor je dobro, če kopijo zbirke hranimo tudi na lokalnem pomnilnem mediju, ki ni dostopen prek interneta.
Aplikacije za upravljanje gesel
Dejstvo, da skoraj vsi spletni brskalniki, med katerimi so tudi Google Chrome, Microsoft Edge in Firefox, ponujajo možnost shranjevanja pristopnih gesel, je verjetno glavni vzrok za še vedno sorazmerno majhno število uporabnikov geselnikov v primerjavi s številom uporabnikov interneta. Aplikacije za upravljanje gesel večinoma uporabljajo sistemski skrbniki in najbolj izpostavljeni v velikih organizacijah in podjetjih, ostali pa bolj redko, razen če tako narekujejo pravila podjetja, v katerem so zaposleni.
Kakorkoli, za nekoliko podrobnejšo predstavitev aplikacij za upravljanje gesel sem izbral odprtokodni KeePass 2, saj je mogoče njegovo izvorno programsko kodo natančno preučiti in dodatno zaščititi pred hekerji, predvsem pa jim otežiti delo z vgradnjo lastnih funkcionalnosti za kodiranje/dekoriranje gesel. Vsekakor imajo tovrstne in podobne funkcionalnosti tudi druge popularne aplikacije za upravljanje gesel (več v primerjalni tabeli).
KeePass 2 (keepass.info) je gotovo eden izmed najbolj priljubljenih programskih geselnikov, a ne le zato, ker je odprtokoden in brezplačen, ampak tudi, ker je zanj na voljo tudi odprtokodna aplikacija za operacijski sistem Android. Tako so nastale tudi kar tri izpeljanke KeePass, ki so danes na voljo kot samostojne aplikacije: KeePassX, KeePassXC in KeeWeb.
KeePass 2 omogoča tudi vgradnjo vtičnikov, s katerimi mu dodamo funkcionalnosti, kot je samodejni vnos poverilnic v prijavna okna. Res pa je, da osnovna različica omogoča le kopiranje uporabniških imen in gesel prek odložišča (angl. clip board) operacijskega sistema, pri čemer lahko v nastavitvah nastavimo tudi čas, po katerem KeePass 2 geslo samodejno izbriše iz odložišča in tako prepreči njegovo nadaljnje kopiranje, če smo ga pozabili skopirati v prijavno okno.
KeePass 2: Prikaz moči gesel
Še to! Če ne zaupamo samodejnemu ustvarjanju gesel, lahko novo geslo pred prvo uporabo na poljubno izbranih mestih ročno dopolnimo z lastnimi kombinacijami znakov in ponovno shranimo. S posebnim vtičnikom lahko mobilno različico KeePass 2 za pametni telefon spremenimo tudi v strojni geselnik. A ker so hekerji že dokazali, da se da na daljavo vdreti v skoraj vsak pametni telefon, to morda ni najboljša rešitev.
Programske zaščite v odprtokodnih aplikacijah za upravljanje gesel
KeePass 2 kljub odprtokodnosti ne omogoča, da bi ob pomoči izvorne kode in z zastonjskim Microsoftovim Visual Studio 2017 Community ali novejšim odprli (meni je uspelo prevajanje tudi z Visual Studijem 2015) in dekodirali katerokoli podatkovno zbirko s shranjenimi gesli. Certifikat za kodiranje gesel v priloženi datoteki PFX in pripadajoči ključ »123123« za odklepanje gesel nista enaka kot že prevedeni različici tega programskega orodja. Vsekakor pa moramo različico KeePass za produkcijsko uporabo prevesti s svojim certifikatom v datoteki PFX in pripadajočim ključem, ki ju lahko ustvarimo tudi z odprtokodnim OpenSSL (openssl.org). Obenem je originalna programska koda namerno spisana tako, da razhroščevanje spodleti, saj tako ni mogoče, da bi se heker z običajnim razhroščevalnikom dokopal do gesel in ostalih poverilnic.
1Password (1password.com) izpostavlja pomen uporabe enake aplikacije za upravljanje gesel v osebnih računalnikih in (pametnih) mobilnih napravah s široko paleto operacijskih sistemov. Omogoča dvofaktorsko avtentikacijo, pogrešamo pa možnost delitve gesel drugim uporabnikom oziroma dedovanja gesel. Za standardno licenco bomo odšteli 35,88 USD letno, kar omogoča sinhronizacijo gesel na poljubno napravah in 1 GB šifriranega pomnilnika, v katerem lahko ustvarjamo in shranjujemo zapiske, digitalne identitete pa tudi podatke plačilnih kartic. Zbirka orodij Watchtower omogoča tudi preverjanje varnosti gesel. Za 59,88 USD na leto je na voljo družinski paket petih licenc z možnostjo deljenja gesel med člani družine in z do petimi gosti. Za vsakega dodatnega uporabnika moramo plačati še 1 USD na mesec.
Bitwarden (bitwarden.com) ima zastonjsko, premiumsko in družinsko različico, od katerih že prva nudi skoraj vse funkcionalnosti, med drugim tudi sinhronizacijo gesel v vseh uporabnikovih napravah. Premiumska različica, katere licenca stane 10 USD letno, omogoča še dvofaktorsko avtentikacijo, poročanje in analizo shrambe gesel ter 1 GB velik šifriran podatkovni pogon v računalniškem oblaku, prek katerega lahko zaupne podatke delimo tudi drugim uporabnikom. Vsak dodatni GB varne shrambe stane 4 USD letno. Za družinsko licenco, ki vključuje šest premiumskih licenc, bomo odšteli 40 USD.
Dashlane (dashlane.com) je zmogljiva aplikacija za upravljanje gesel, vendar pa lahko zastonjsko različico uporabljamo le v enem računalniku. S plačljivima različicama, katerih uporabi staneta 35,88 USD oziroma 59,88 USD letno, dobimo še možnost sinhronizacije gesel in drugih poverilnic prek dveh računalnikov ali več, pametnih telefonov in drugih pametnih naprav. Pri tem je cenejša različica omejena le na dve napravi. Posebnost Dashlane je tudi samodejno pregledovanje zbirk gesel v temnih internetnih podomrežjih, s čemer aplikacija sistematično preverja, ali je bilo nemara katero od naših gesel že zlorabljeno med hekerskimi vdori v računalniške sisteme ponudnikov internetnih storitev ali na kak drug način.
Keeper: Pregledni meni s hranjenih poverilnic
Keeper (keepersecurity.com) se od leta 2018, ko ga je PC Magazin razglasil za najboljši upravljalnik gesel, redno uvršča na vrh lestvic tovrstne programske opreme. Gesla in datoteke šifrira z 256-bitnim algoritmom AES, pri čemer uporablja iz skrbniškega gesla (z algoritmom PBKDF) izračunan šifrirni ključ. Posebno pozornost namenja preprečevanju t. i. utrujenosti gesel, kar omogoča uporabnikom, da za vsako spletno storitev uporabijo unikatno varno geslo, namesto da bi enako geslo zaradi njegove lažjega zapomnjenja uporabili za večino storitev.
Keeper lahko na eno napravo namestimo in uporabljamo zastonj, pri čemer število shranjenih gesel ni omejeno. Neomejena licenca za osebno rabo na poljubnem številu naprav stane 34,99 USD letno, lahko pa se odločimo tudi za enoletno licenco za vse družinske člane, za katero bomo odšteli 74,99 USD. Najdražja licenca za 103,48 USD vključuje tudi storitev BreachWatch, ki sproti preverja, ali je bilo katero od gesel zlorabljeno.
LastPass (lastpass.com) ima zastonjsko, premiumsko in družinsko različico, pri čemer že zastonjska vključuje vse standardne funkcionalnosti za upravljanje gesel pa tudi nekatere, ki so v aplikacijah za upravljanje gesel drugih proizvajalcev plačljive. Vseeno pa je možnost sinhronizacije gesel v zastonjski različici zdaj mogoča le znotraj izbrane skupine naprav: med osebnimi računalniki ali pametnimi napravami. Licenca za različico brez omejitev stane 36 USD letno.
NordPass (nordpass.com) ne dovoli hkratnega dostopa do zbirke gesel in drugih varovanih podatkov iz različnih naprav in prav tako ne njihove delitve drugim uporabnikom. Kljub temu lahko shranimo neomejeno število gesel. Za 5 USD na mesec lahko uporabljamo zbirko gesel na do šestih napravah, mogoča pa sta tudi analiza moči gesel in preverjanje morebitne zlorabljenosti gesel s funkcijo Data Breach Scanner.
Kako ukradejo (varno) geslo?
Skoraj vsi sodobni operacijski sistemi osebnih računalnikov, tablic in pametnih telefonov imajo ranljivosti, ki jih hekerji s pridom izkoristijo pri vdoru vanje prek spleta, povezave Wi-Fi ali bluetootha. Če ob tem heker na podatkovnem pogonu odkrije še datoteko, kamor zaradi varnosti pred pozabo shranjujemo pristopna gesla in druge poverilnice, lahko dostopa do vseh naših informacijskih storitev, razen morda tistih, ki so (dodatno) varovane z elektronskimi certifikati. A mnogi tudi te hranijo v obliki datotek na podatkovnem pogonu svojega računalnika, saj jih le tako lahko ponovno namestijo, če želijo zamenjati spletni brskalnik.
Ko računalnik uporabljamo zunaj domačega okolja, se med nepridipravi (pogosto celo sodelavci) najdejo tudi taki, ki naše tipkanje opazujejo na kaki napol zrcalni površini, kot je debel črn okvir starega monitorja ali celo v steklu okna, ko so zagrnjene žaluzije. Kot priročno ogledalce je mogoče uporabiti celo zaslon pametnega telefona, ki je obenem danes že tudi pravi »švicarski nož« za prikrito snemanje videa, saj je na spletu tovrstnih aplikacij vsaj za operacijski sistem Android več kot dovolj. Pretipkavanje ali vsakokratni ročni vnos poverilnic prek tipkovnice tako nikakor ni dobra rešitev.
Eden izmed načinov kraje gesla je tudi nastavljanje lažnih prijavnih spletnih strani, kamor samodejni geselniki vnesejo poverilnice, saj jih zamenjajo za prave spletne strani ponudnikov različnih spletnih storitev. Hekerji so pri tovrstnem početju navadno zelo prekanjeni in nas po kraji poverilnic vključno z geslom usmerijo na želeno spletno stran, pri čemer se hekerjem nemalokrat zalomi le pri prijavi samodejno na spletni portal ponudnika storitev z ukradenimi poverilnicami. Eden od opozorilnih znakov je zato tudi ponovno prikazovanje prijavnega okna (tokrat pravega), kar se zgodi tudi, če smo se zmotili pri vnosu poverilnic, a takrat se navadno izpiše tudi opozorilo, da smo vnesli napačne poverilnice.
Kaj pa shranjevanje gesel v javnih računalniških oblakih? Strojne ali aplikacijske rešitve brez lastnega pomnilnika za shranjevanje gesel morajo za prenos kodiranih gesel v računalniški oblak in iz njega uporabiti Internet. Vse, kar mora heker narediti, je prestreči podatke in jih dešifrirati ob pomoči kriptografske analize, za kar ima veliko možnosti in časa, še posebej, če za dostop od interneta uporabljamo povezave Wi-Fi.
Strojni geselniki in šifrirne naprave
Čeprav napravice z lastnimi zasloni in tipkovnicami, kot so RecZone Password Safe, passwordsFAST in Royal Vault Password Keeper, ki jih lahko za okoli 50 USD kupimo na Amazonu (amazon.com), lahko primerjamo s papirnimi imenički, saj ne zanjo skoraj ničesar drugega kot shranjevati, urejati in prikazovati uporabniška imena in gesla, zadnja vseeno bolje varujejo pred vpogledi nepooblaščenih, saj moramo pred njihovo vsakokratno uporabo vnesti kodo PIN.
RecZone Password Safe
Nasprotno se zmogljivejši strojni geselniki po funkcionalnostih spogledujejo z že omenjenimi aplikacijami za upravljanje gesel in jih z računalnikom ali s pametno napravo povežemo prek priključka USB. Večina ima lastno tipkovnico, prek katere geselnik odklenemo (PIN), hkrati pa šele s pritiskom vsaj ene od njenih tipk sprožimo samodejno tipkanje izbranega gesla. Ni mogoče torej, da bi hekerji z morebitnim vdorom v osebni računalnik ali prek okužene ali lažne spletne strani iz geslenika izbezali geslo.
Strojni geselniki lahko naključno ustvarjajo gesla tudi s strojnim generatorjem naključnih števil, ki ni odvisen od matematične funkcije, zato zaporedja naključnih števil ni mogoče napovedati. Obenem poverilnice hranijo v zaščitenem notranjem pomnilniku, zato jih ni mogoče preprosto prekopirati. Večina v notranjem pomnilniku shranjena gesla tudi šifrira z enim od za ta namen razvitih algoritmov, kot sta AES256 in ChaCha20. Do njih se hekerji zato ne bodo zlahka dokopali niti, če nam geselnik ukradejo.
So odtujeni strojni geselniki varni pred hekerji?
Da varovanje poverilnic ni enostavno niti s strojnim geselnikom, razkrivajo na spletnem portalu pentestpartners.com. Testirali so RecZone Password Safe, passwordsFAST in Royal Vault Password Keeper, ki omogočajo le ročno shranjevanje in običajen prikaz shranjenih uporabniških imen in gesel. Primerjamo jih lahko s papirnimi imenički, saj ne omogočajo komunikacije z drugimi napravami. Prva dva imata vgrajena bliskovna pomnilnika z zaporednim dostopom, kamor shranjujeta gesla in uporabniška imena, pri čemer podatke iz njih preberemo kar z Raspberry Pijem z ustreznim razvojnim konektorjem.
Branje nekodirane zbirke gesel z Raspberry Pi med varnostnim preizkusom RecZone Password Safe
Presenetljivo je, da RecZone Password Safe poverilnic sploh ne kodira in jih lahko preberemo z bralniki vsebin datotek, kot je priljubljeni HexEdit, medtem ko passwordsFAST uporablja šifrirni algoritem AES256, krati pa ima vsaka naprava vgrajen svoj šifrirni ključ. Edina možnost za odkodiranje gesel bi bila zato analiza vgrajene programske kode v mikrokrmilniku, združljivem z Intelovim 8051, ki so ga nekoč vgrajevali v skoraj vse tipkovnice za peceje.
Branje gesel ni enostavno niti pri Royal Vault Password Keeperju, saj uporablja bliskovni pomnilnik z vzporednim dostopom s kar 48 priključki, ki ga moramo najprej s posebnim orodjem odstraniti iz tiskanega vezja, za branje podatkov pa moramo namesto Razberry Pi uporabiti ustrezen programator. Kljub temu je gesla mogoče odkodirati, saj je mogoče med shranjenimi podatki odkriti kodo pin, ki je hkrati ključ za odšifriranje gesel.
Mooltipass Mini (themooltipass.com) zaradi pestre funkcionalnosti in šifriranja v notranjem pomnilniku shranjenih pristopnih gesel uporabljajo predvsem poslovni uporabniki. Z uporabnikom komunicira prek modro-črnega zaslona in vrtljivega kolesca z vgrajeno tipko. S tem vnesemo PIN, nato pa izbiramo menije, pišemo in potrjujemo izbire. Posebnost Mooltipassa Mini je vgrajeni čitalnik čipnih kartic, ki vsebujejo identifikacijske podatke posameznega uporabnika, zato ga lahko uporablja več ljudi. Omogoča tudi komunikacijo prek bluetootha, ki pa jo je mogoče izklopiti. Poleg samodejnega tipkanja poverilnic se zna povezati tudi s spletnimi brskalniki in vnašati poverilnice na spletne strani za prijavo v posamezne informacijske storitve. Stane 125 USD.
Mooltipass Mini z lastnim zaslonom in za interakcijo z vgrajeno aplikacijo za upravljanje gesel
OnlyKey (onlykey.io) ni kdove kako zmogljiv geselnik, saj lahko vanj shranimo le do 12 poverilnic, ki vsebujejo prijavno geslo, vendar ima lastno tipkovnico, ki preprečuje, da bi morebitna zlonamerna programska oprema iz njega izbezala kako geslo. Dobro sodeluje tudi s spletnimi brskalniki. Zaklenjen je tudi s kodo PIN, ki jo moramo vtipkati pred uporabo. Najdaljša dolžina gesla je 56 znakov, podpira pa tudi dvofaktorsko avtentikacijo. Deluje ne le na osebnih računalnikih, temveč tudi s pametnimi mobilnimi napravami. Na amazon.com stane okoli 46 USD.
Enostavni geselnik OnlyKey
Doma izdelani strojni geselnik
Ko sem se loteval izdelave lastnega geselnika, sem razmišljal predvsem o zaščiti gesel ter njihovem ustvarjanju, urejanju, samodejnem tipkanju. Microchipov mikrokrmilnik PIC32 z 256 kB vgrajenega bliskovnega pomnilnika in s številnimi funkcionalnimi enotami je lahko geselnik v enem čipu. Ker omogoča zaklepanje delov pomnilnika, gesel ni mogoče prebrati niti s programatorjem, razen če bi čip razstavili – taka orodja imajo le razvijalci čipov. A z 32-bitnim PIC32 gesla pred shranjevanjem brez težav tudi varnostno kodiramo. Tako geselnik poleg mikrokrmilnika, ki ga z računalnikom ali s pametnim telefonom povežemo prek priključka USB, potrebuje le še tipkovnico in zaslon ter vgrajeno aplikacijo za upravljanje gesel.
Doma narejeni strojni geselnik
V praksi se geselnik odlično obnese, saj morebitni opazovalec zaradi samodejnega tipkanja tipkovnice ne more videti gesla, paziti moramo le pri nosu varnostne kode, s katero geselnik odklenemo pred vsako uporabo. Pri Mooltipass so namesto te uporabili čipne kartice, ki omogočajo, da isti geselnik deli več uporabnikov, koda PIN pa je vezana na identifikacijsko kartico, ki jo imajo vedno pri sebi. Več preberite na sites.google.com/site/pcusbprojects.
iStorage cloudAshur in iStorage datAshur (istorage-uk.com) sta šifrirna/dešifrirna naprava in šifriran podatkovni ključek (uporabljata 256-bitni algoritem AES-XTS, nekateri modeli datAshur pa tudi AES-CBC). CloudAshur šifrira datoteke na poljubnih podatkovnih nosilcih, vključno s shrambami v (javnih) računalniških oblakih, kot je Google Drive, omogoča pa tudi delitev datotek med uporabniki s cloudAshur z enakim šifrirnim ključem. Resda ne zna samodejno tipkati, a lahko poverilnice iz katerekoli šifrirane datoteke vselej ročno prenesemo na prijavne strani spletnih storitev prek odložišča. CloudAshur lahko uporabljamo tudi v kombinaciji z aplikacijami za upravljanje gesel, tako da šifriramo datoteke s podatkovnimi zbirkami gesel in jim tako dodamo tudi fizično zaščito, ki jo sicer pri tovrstnih rešitvah pogrešamo, medtem ko je datAshure podatkovni šifriran podatkovni ključek s 4 –512 GB pomnilnika za shranjevanje datotek, odvisno od modela.
Za uporabo šifriranih datotek moramo cloudAshur ali datAshur vstaviti v prosto vtičnico USB in prek njegove tipkovnice vnesti PIN iz 7–15 znakov. Za cloudAshur lahko dokupimo tudi nekatera skrbniška orodja, še posebej iStorage KeyWriter, s katerim isti šifrirni ključ prenesemo na več naprav. Povejmo še, da lahko skrbnik odtujen ali izgubljen ključ onemogoči na daljavo pa tudi vnaprej omeji čas delovanja. CloudAshuru, ki stane 99 funtov, lahko očitamo predvsem, da šifriranih datotek ne more shraniti tudi v svoji notranjosti kot njegov bratranec datAshur, ki stane od 39 funtov naprej, njemu pa ravno nasprotno, da lahko šifrira le datoteke v svojem pomnilniku.
Trezor Model T (trezor.io) je bil sprva mišljen kot varna šifrirana shramba za kripto valute, a ga lahko s posodobitvami vgrajene programske opreme in vtičnikom Trezor Password Manager za Google Chrome uporabljamo tudi kot strojni geselnik. Ni pa poceni, saj stane kar 200 EUR.