Má dnes ještě cenu skrývat heslo při psaní do přihlašovacího formuláře?

Přesně tak, navíc když člověk píše všemi deseti a velmi rychle, navíc heslo, které já mám velmi dlouhé, ale vzhledem k tomu jak často ho píšu ho napíšu tak rychle, že bych to asi ani sám nedokázal přečíst na klávesnici, kdybych se na prsty ještě vůbec u toho díval, chtěl bych vidět jak mi to někdo z podprstů přečte.

Tak možná první dvě písmenka, potom už lítají všechny prsty =)

souhlas mám 18 místné heslo číslice +písmena náhodné ,nejsou ze slovníku etc, píšu je tak rychle že většina lidí nepostřehne že píšu heslo

Hmmm, asi jsi nepochopil, ze oni mysli, ze jim to nikdo nestaci odecist Z PRSTU, ne z monitoru.

Přesně. Běžně používaná hesla člověk píše z motorické procedurální paměti, takže je dokáže napsat i když už začíná zapomínat jejich znění :) Myslím že u pacintů s poruchou běžné paměti (kdy se procedurální paměť často zachovává) se to i experimentálně prokázalo, vedle jiných činností dokázali vyťukat hesla nebo telefoní čísla, (která si jinak nepamatovali).

a proto by se meli hesla menit kazdej mesic a na kazdej server jiny, aby je clovek nepsal automaticky:)

Pefektní myšlenka, ovšem ze zkušenosti vzhledem k tomu na kolika serverech jsem třeba registrován, to vůbec není třeba, stává se mi i to, že při pokusu se někde registrovat (což dělám velmi nerad) se mi zobrazí hláška, že uživatel s tímto e-mailem je již registrován, což v kombinaci s absencí možnosti „zaslat heslo e-mailem“ opět dává krásnou příležitost zavpomínat zda nemám nějakou jinou nevytíženou email adresu =)

Niečo na tom bude pravdy – ani za boha neviem, aký mám PIN ku karte, ale nikdy nemám problém ho zadať za necelú sekundu :)… pokiaľ nie je klávesnica úplne na prd.

Nesuďte tak rychle a jděte si odkazovaný článek přečíst. Řešení, které dotyčný navrhuje, není hloupé – s tím, co jste říkal, počítá.

OT: Mrzí mne, že dneska lidé ty druhé soudí podle stručného odkazu na jejich článek bez toho, aby si ten článek alespoň přečetli. Ale ono je asi jednodušší kritizovat bez znalosti kritizovaného tématu.

Clanek jsem cetl a kdyz tam vidim hlasky jako „obvykle se pres vase rameno nikdo nekouka“ tak mi je z toho spatne. Zustava mi jenom potvrdit ze ten clovek o bezpecnosti opravdu nema ani tuseni.

Tohle byla moje první reakce taktéž. Na stranu druhou, zrovna v tomhle _měl_ pravdu. Obvykle se mi přes rameno skutečně nikdo nekouká. A jak občas pracuji s BFU, napsat heslo správně mívají problém, když nevidí, co zadávají. Checkbox „zobrazit heslo“ tedy podle mého není v některých případech úplně od věci (občas mi totiž beztak nezbylo než uživateli poradit, aby napsal heslo do políčka s uživatelským jménem, a pak ho pomocí copy'n'paste přesunul do políčka s heslem – tohle by ten proces usnadnilo).

Neříkám, že bych ho narval všude, nebo že bych ten checkbox nechal defaultně zapnutý (v tom s autorem rozhodně nesouhlasím), ale zase bych jeho myšlenku až tak úplně nezatracoval. Ostatně, třeba Wicd má u zadávání hesla k WiFi sítím checkbox k jeho zobrazení. A zrovna tady je to docela dobrá věc.

Uznavam ze druha reakce je na tom podstatne lip :o) Taky to uplne nezatracuji, (popravde kdyz jsem poprve videl v ubuntu „zobrazit heslo“ tak mi to prislo jako docela dobra funkce), ale davat to vsude s nastavenim puvodne odkryteho hesla? Pan Nielsen to opravdu prehani. Taky pracuju s BFU, ale muj pristup je ten, ze na prvnim miste bezpecnost a tolerance neprofesionality uzivatelu na poslednim.

Možnost zobrazit heslo i wifi sítí mi přijde jako rozumná věc, potřebuji ho zadat tak jednou za rok a většinou je dost složité → možnost si ho přečíst je dobrý nápad

Pokud tam píše i toto, tak je to těžce smutný. Takovou blbost mohl vypustit jen … (doplňte si dle svého). Já píšu rychle a nemají šanci to okoukat, ale pokud toho dotyčného znám, on se bude neustále koukat na mé heslo, tak časem ho může opozorovat, z toho mám trochu strach, ale zde je to už o důvěře. Osobně se tomu snažím vyhnout.

Mnohem více by mě potěšilo, kdyby se zaměřili podobní floutkové, jak je zabezpečen přenos hesla po netu. Nechápu, proč není zakázán nešifrovaný přenos třeba v html, osobně bych mnohem raději viděl pouze https. Ale o bezpečnosti vím prd, musím se hodně učit, to uznávám. ;)

také nesouhlasím, je to chujovina. Kolikrát v práci se přihlašujeme různě, když sedíme spolu u kompu atd.. Na klávesnici se nedívám, na monitoru bych to asi nepřehlédl, takže je dobře, že jsou tam hvězdičky

souhlasim s tim ze skryvani hvezdicek ma svoje opodstatneni.. ale zase nemuzu souhlasit s temi dataprojektory.. uz jsem zazil mnohomnoho prihlasovani pri pouziti dataprojektoru.. a kazdy si ten dataprojektor bud pauzne nebo zhasne.. nevidel jsem nikoho kdo by vyplnoval prihlasovaci formular a mel zaplej projektor.. uz jenom treba proto ze se obcas stava.. ze omylem pisete heslo do pole se jmenem ;-)

Zajimavej nazor. Ale je to jenom jeden uhel pohledu i to, ne zrovna ten nejlepsi. Jinej by byl, ze v dnesni dobe zlepsujici se kvality snimku (at uz se jedna o jakekoliv kamery) by to mohl byt hodne spatnej napad. Prece jenom kdyz mi nekdo kouka pres rameno kdyz jdu psat heslo tak se otocim a beze slova cumim na nej dokud mu to nedojde ze „wo co go“ (jedinej zpusob jak tento „zvyk“ lidi odnaucit). Stejne svoje heslo pisu tak rychle a takovym zpusobem aby nemel nikdo sanci videt co jsem jak pomackal. Na monitoru by si to mohl ale klidne precist, takze jakakoliv snaha heslo utajit by byla v cudu. Podle me Jakob Nielsen nema ani nejmensi tuseni co je to bezpecnost a zajima ho jenom to, jak userit penize za support. Mluvim ze zkusenosti.

zato ked ma clovek bezdrotovu klavesnicu, tak je uplne safe :D

Juuu… to bych chtel videt tu masinku v praxi. Hlavne s tim mym malym jadernym reaktorem co se vola SONY MultiScan G500 :D

Nojo, ale CRT jsou už dost na ústupu.

Jsou, ale ani bravia nema takovej obraz u 1080p ani takovou frekvenci. Duvod proc mi to napadlo je, ze je to opravdu priklad pro tu radiaci z monitoru :)

Odposlouchavat jde i dratova klavesnice, viz http://lasecwww.epfl.ch/keyboard/. Meli tam i video.

Tam kde to vadi se pouzivaji jine klavesnice, poptej u IBM.

Jo, ale to funguje jen na CRT monitory. Z LCD sice take nejake to zareni vychazi (ostatne to vychazi z veskere elektroniky), ale vcelku minimalni a v praxi je na LCD tahle metoda nepouzitelna.

Podle me Jakob Nielsen nema ani nejmensi tuseni co je to bezpecnost a zajima ho jenom to, jak userit penize za support. Mluvim ze zkusenosti.

Marku, přečtěte si ten článek (a vůbec ten web). Hovoří tam jasně o checkboxu, který zakryje heslo na vyžádání.

Naprostá většina toho co Nielsen tvrdí (včetně tvrzení z toho článku) je opřená o tvrdá data z testování.
A použitelností uživatelského rozhraní se zabývá nějakých 15–20 let. Za tu dobu jich viděl tolik, že bych si o tom, že o bezpečnosti nic neví, fantazie nedělal.

Ked uz chce velmi mysliet na uzivatelov a pomoct im v tom, aby videli co pisu na obrazovke, tak nech zvoli pristup aky sa bezne pouziva na mobilnych telefonoch – napises znak, ten sa najskor zobrazi normalne a po par sekundach sa zamaskuje a tak si uzivatel moze priebezne kontrolovat co pise pritom cele heslo nie je naraz vidiet a ked mu nato niekto cumi, tak musi mat dobru pamat, aby si zapamatal cele heslo, alebo moznos zapisovat si znak po znaku.

Většina BFU nemá 15-místná složitá hesla, takže toto je imho k ničemu. Jednoduché heslo si je schopen zapamatovat každý, a to nemusí mít po ruce papír.

Asi tak douboru paměť jako na zapamatování postupu zavazování tkaniček u bot.

Presne tak, staci videt posledni napsany znak. To je vec prohlizecu aby toto implementovaly.

Jak je vidět z komentářů, málokdo se obtěžuje číst odkazovaný článek.

„Jestliže se vám někdo dívá přes rameno, tak nepotřebuje vidět co píšete na obrazovce, protože vidí klávesy které mačkáte“ – Toto je taky blud, který v originálním článku vůbec není. Autor jen poukazuje na to, že ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.

Ve zprávičce by taky mělo být uvedeno, že autor navrhuje používání checkboxu, kterým si zvolí, jestli chce mít pole maskované.

>> ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.

Konečně rozumná řeč. Nemám rád, když se někdo ohání bezpečností a přitom pořádně neřekne, proč říká to, co říká… Skutečně, ochrana hvězdičkama chrání před kým? Před tím, kdo se mi dívá přez rameno a moje heslo pro něj nemá ani takovou cenu, aby se obtěžoval do mého okolí umístit kameru, keylogger, o možnosti odposlouchávání elmag šumu ani nemluvě…

Podle mě jsou hesla už úplně out a divím se, že se vůbec ještě používají. Byl bych mnohem raději, kdybych měl u sebe USB token s ochranou pinem – a tam narvaná všechna „hesla“ a všechny ostatní citlivé údaje. Samozřejmě „hesla“ formou certifikátů. Přihlašoval bych se třeba na root.cz a na displeji tokenu by se objevilo: root.cz, klikl bych na OK a byl přihlášenej. Důležitější certifikáty by byly chráněné heslem. Pohoda.

Jenže to by takovou věc musely všechny OS podporovat out of the box, což je zatím asi nereálné…

Pin chrání proti zneužití tokenu v případě jeho krádeže. Token pochopitelně neopouští, takže rozdíl oproti heslu je jasný.

A jak chcete bruteforce najit pin, ktery se zadava NA TOM TOKENU? Budete postupne vytukavat 10000 cisel? To Vam zabere dost casu – mezi tim stacim revokovat certifikat i se zavrenyma ocima :)

Inu, jsou i takoví lidé, kteří svoje certifikáty mají na jediném místě. Dokonce i takoví, kteří při přestávce na oběd nechávají token na stole. Anebo takoví, kteří si svoje heslo přilepí na monitor. Holt lidé jsou různí.

Já bych chtěl jen jedno: MacOSácký Keychain mít zaheslovaný velmi dlouhým heslem, které bych měl napsané doma na papírku a taky v tokenu. Pokud bych se bál, že mi někdo hackne MacOS pod rukama (takže bych nevěřil hláškám systému o tom, kdo právě chce přistupovat ke Keychainu), ocenil bych, kdyby se mě token zeptal, jestli zrovna teď jsem chtěl keychain otevřít nebo ne. Odpověď ano/ne je jednobitová, takže i Lael pochopí, že na to tlačítko stačí.

Zkuste se soustředit:

1. běžně se používá jednofaktorová autentizace heslem, které si uživatel musí pamatovat a je otravné ho zadávat

2. myslím, že tenhle faktor „něco vím“ by se klidně mohl nahradit faktorem „něco mám“. Bezpečnost se moc nezvyšuje, ale zvyšuje se komfort uživatele.

3. jestliže je to něco kompromitováno, v případě tokenu to vím, můžu tedy včas zasáhnout (revokovat certifikát). V případě hesla to nevím, čili útočník si heslo vesele užívá dokud náhodou vše nevyjde najevo.

Ano, jenze klicem od neceho, napr. od toho trezoru, obvykle neodemknete jeste napr. byt, auto, chatu a v bance s nim nevyberete svoje konto. Jestli vam ten rozdil unikl, to je opravdu smutne.

Pokud bych měl černou skříňku, která by

1.obsahovala různé certifikáty

2.uměla pokaždé použít ten správný

3.žádný certifikát by ji nemohl opustit

4.vždy by žádala potvrzení, že nějaký z certifikátů může použít

tak by útočník i v případě, že by cracknul můj počítač, mohl získat jenom JEDEN neoprávněný přístup k nějakému zdroji (ano, přístup, ne klíč). Pokud by totiž požádal blackbox o response na challenge záhy před nebo potom, co bych to chtěl já (to je jediný útok, který by mohl provést, protože jinak bych poznal, že žádost pochází od crackera), tak by se to okamžitě provalilo. Jednoduše bych se pak blackboxu zeptal, který certifikát použil jako poslední a ten bych okamžitě revokoval, odřízl přístup k danému zdroji a zjišťoval, odkud byl zneužit.

Nic víc by útočník nemohl zvládnout. Nemohl by ani ukrást všechny certifikáty, ani by nemohl získat přístup k něčemu tak, abych o tom nevěděl. Přesto bych měl bezheslový přístup ke všem zdrojům – jenom na stisknutí tlačítka.

Už si rozumíme?

Omlouvám se, revokovat certifikát by bylo zbytečné :)

Ano, je to o něco bezpečnější než klíč od auta, kanceláře, bytu, …

A o něco bezpečnější než heslo, které ve stejné situaci běžně všichni používáme.

Jen pro rekapitulaci: token by se mohl použít na počítačích v síti k přihlášení K DANÉMU POČÍTAČI bez hesla a NA MÉM počítači k přihlášení k různým zdrojům (pomocí něj bych otevřel klíčenku s ostatními certifikáty).

Čili riskuji jen to, že mi někdo token ukradne a bude se moci přihlásit DOKUD KLÍČ NEREVOKUJI (o to je to bezpečnější než běžný klíč).

Ostatní certifikáty by mohl získat jen v případě, že by mi zároveň ukradl token i počítač, což je riziko, které bych byl ochoten podstoupit.

Ještě si nerozumíme?

P.S. jaká myslíte, že je pravděpodobnost, že mi někdo ukradne token a stihne ho použít dřív, než si toho všimnu?

spousta tokenu ma ctecku otisku prstu a to se sice pomalu ale jiste dostavame do stavu pouzitelneho.

Porad vetsi komfort nez blbe heslo, ale widlakum to nic nerika protoze neznaji

Jo, to zní dobře. Ale to už jsme cenově trochu jinde, ne?

Snímače otisků lze velmi snadno (a celkem rychle) obejít, to je ještě méně bezpečné než rozumně dlouhé heslo. Ale bral bych token se snímačem sítnice :)

proto jsem psal „a to se sice pomalu ale jiste dostavame do stavu pouzitelneho“

jsou i kvalitni snimace

myslite rozumne dlouhe heslo ve windows vs rainbow tables? :-D

Tokeny funguji out of the box minimalne na linuxu, windows a solarisu. Porizovaci cena od 800 CZK, s ochranou pinem jsou malinko drazsi. Bezte do oblibene PC prodejny, kupte si token a mate po problemu s heslem.

Přiznám se, že jsem to zatím nezjišťoval – jak teď koukám na net, tak můj oblíbený obchod tokeny neprodává :)

Jestli s tím máte zkušenost, můžete poradit? Pokud by to stálo do tisícovky, tak vůbec neváhám a jdu to koupit.

P.S. pro mě ochrana PINem není nutná, na hesla stejně používám úložiště, takže bych potřeboval tokenem ochránit jenom přístup k němu. Nebezpečí, že mi někdo ukradne i token i notebook, jsem ochoten podstoupit :) Co bych ale chtěl, by bylo, aby token obsahoval tlačítko, kterým by se povolilo jeho použití – v případě, že by někdo hacknul stroj, do kterého token strčím, aby ho nemohl zneužít. Existuje něco takového?

Jo a ještě drobnost – tím „out of the box“ jsem myslel, aby se nic nemuselo instalovat, nastavovat apod. Prostě při vytváření uživatele by se OS (v základní instalaci!) zeptal, jestli chci použít heslo nebo token – a když token, tak ať ho vložím. To žádný OS, který znám, asi neumí (nejspíš bych to očekával u MacOSu, ale zatím jsem o tom teda neslyšel).

google vam dnes nefunguje? hledejte „rsa token“ a hned treti odkaz je alza, dalsi xcomputer a dalsi a dalsi…

Pardon, do windows budete muset urcite instalovat drivery a podpurne utility :-)))

Zkusim jeste jednou zopakovat, jake reseni by mi vyhovovalo:

Token obsahuje certifikat (staci jeden). Jakmile ho chce pocitac pouzit, tak se treba rosviti ledka – a teprve az zmacku (na tokenu) tlacitko, muze ho pocitac pouzit.

Takovy token jsem opravdu nevygooglil.

Ano, klíč od trezoru taky funguje takto stupidně.

Další geniální zabezpečení pana Faba – nauč se otočit klíčem. Člověče, prvniho aprila už bylo.

Ad vase genialni tlacitko: viz. muj prispevek nahore. Googlujte pozorneji.

Vsak co chcete, zpravicky od p. Posvice jsou takoveto skoro vsechny (nesmyslne prelozene, domyslene vety, popripadne uplne prekrouceny obsah puvodniho clanku, navic i mizerne napsane..)

je jedno jestli je input password nebo ne.

ja pouzivam na prihlasovanie Addon Secure login.