Vlákno názorů ke zprávičce Má dnes ještě cenu skrývat heslo při psaní do přihlašovacího formuláře?

Jak je vidět z komentářů, málokdo se obtěžuje číst odkazovaný článek.

„Jestliže se vám někdo dívá přes rameno, tak nepotřebuje vidět co píšete na obrazovce, protože vidí klávesy které mačkáte“ – Toto je taky blud, který v originálním článku vůbec není. Autor jen poukazuje na to, že ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.

Ve zprávičce by taky mělo být uvedeno, že autor navrhuje používání checkboxu, kterým si zvolí, jestli chce mít pole maskované.

>> ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.

Konečně rozumná řeč. Nemám rád, když se někdo ohání bezpečností a přitom pořádně neřekne, proč říká to, co říká… Skutečně, ochrana hvězdičkama chrání před kým? Před tím, kdo se mi dívá přez rameno a moje heslo pro něj nemá ani takovou cenu, aby se obtěžoval do mého okolí umístit kameru, keylogger, o možnosti odposlouchávání elmag šumu ani nemluvě…

Podle mě jsou hesla už úplně out a divím se, že se vůbec ještě používají. Byl bych mnohem raději, kdybych měl u sebe USB token s ochranou pinem – a tam narvaná všechna „hesla“ a všechny ostatní citlivé údaje. Samozřejmě „hesla“ formou certifikátů. Přihlašoval bych se třeba na root.cz a na displeji tokenu by se objevilo: root.cz, klikl bych na OK a byl přihlášenej. Důležitější certifikáty by byly chráněné heslem. Pohoda.

Jenže to by takovou věc musely všechny OS podporovat out of the box, což je zatím asi nereálné…

Clovece, a PIN je podle vas asi co, kdyz ne heslo? Ted jste to fakt rozlousknul. :-))))))

Z tokenu klice neexportujes, takze kdyz si ho prisijes ocelovym dratkem kolem nejake kosti v predlokti, tak ti ho snad nikdo neslohne. V tomto pripade je ti pin na prd.

Pin chrání proti zneužití tokenu v případě jeho krádeže. Token pochopitelně neopouští, takže rozdíl oproti heslu je jasný.

To by me fakt nenapadlo, ze chrani proti zneuziti, diky za informaci. Takze zatimco kdyz nekomu budu cumet pres rameno a odkoukam heslo, tak jsem odkoukal jedno konkretni heslo, tak v pripade, ze nekde ukradnu/najdu token, tak staci bruteforce metodou najit ten PIN a mam vsechno pekne pohromode. No to je genialni myslenka a prudke zlepseni, to jste to fakt vyresili. :-))))))))

A jak chcete bruteforce najit pin, ktery se zadava NA TOM TOKENU? Budete postupne vytukavat 10000 cisel? To Vam zabere dost casu – mezi tim stacim revokovat certifikat i se zavrenyma ocima :)

Aha, tak ten PIN bude jeste ctyrmistny, no to bude fakt paradni bezpecnost. :-D

Jinak vam jeste napovim, taky se delaji genialni tokeny, ktere se po peti spatnych zadanich PINu nenavratne zablokuji. Ma to malou nevyhodu – az vam to nejaky vtipalek udela behem vasi prestavky na obed, tak mate vsechna hesla a certifikaty v peeerdeli. A az si to ve stavu opojeni alkoholem udelate sam, tak se druhy den rano urcite taky pochvalite. :P

Inu, jsou i takoví lidé, kteří svoje certifikáty mají na jediném místě. Dokonce i takoví, kteří při přestávce na oběd nechávají token na stole. Anebo takoví, kteří si svoje heslo přilepí na monitor. Holt lidé jsou různí.

Já bych chtěl jen jedno: MacOSácký Keychain mít zaheslovaný velmi dlouhým heslem, které bych měl napsané doma na papírku a taky v tokenu. Pokud bych se bál, že mi někdo hackne MacOS pod rukama (takže bych nevěřil hláškám systému o tom, kdo právě chce přistupovat ke Keychainu), ocenil bych, kdyby se mě token zeptal, jestli zrovna teď jsem chtěl keychain otevřít nebo ne. Odpověď ano/ne je jednobitová, takže i Lael pochopí, že na to tlačítko stačí.

Vite, normalni smart card login v normalnim operacnim systemu se pta aspon na PIN, nez tu kartu nacte a pouzije k overovani. Opravdu se nedivim, ze „zabezpeceni a la Prymek“ nikdo neimplementuje, to by si totiz zakaznici museli vazne poklepat na hlavu, jestli si z nich vyrobce nevystrelil.

Zkuste se soustředit:

1. běžně se používá jednofaktorová autentizace heslem, které si uživatel musí pamatovat a je otravné ho zadávat

2. myslím, že tenhle faktor „něco vím“ by se klidně mohl nahradit faktorem „něco mám“. Bezpečnost se moc nezvyšuje, ale zvyšuje se komfort uživatele.

3. jestliže je to něco kompromitováno, v případě tokenu to vím, můžu tedy včas zasáhnout (revokovat certifikát). V případě hesla to nevím, čili útočník si heslo vesele užívá dokud náhodou vše nevyjde najevo.

Ano, jenze klicem od neceho, napr. od toho trezoru, obvykle neodemknete jeste napr. byt, auto, chatu a v bance s nim nevyberete svoje konto. Jestli vam ten rozdil unikl, to je opravdu smutne.

Pokud bych měl černou skříňku, která by

1.obsahovala různé certifikáty

2.uměla pokaždé použít ten správný

3.žádný certifikát by ji nemohl opustit

4.vždy by žádala potvrzení, že nějaký z certifikátů může použít

tak by útočník i v případě, že by cracknul můj počítač, mohl získat jenom JEDEN neoprávněný přístup k nějakému zdroji (ano, přístup, ne klíč). Pokud by totiž požádal blackbox o response na challenge záhy před nebo potom, co bych to chtěl já (to je jediný útok, který by mohl provést, protože jinak bych poznal, že žádost pochází od crackera), tak by se to okamžitě provalilo. Jednoduše bych se pak blackboxu zeptal, který certifikát použil jako poslední a ten bych okamžitě revokoval, odřízl přístup k danému zdroji a zjišťoval, odkud byl zneužit.

Nic víc by útočník nemohl zvládnout. Nemohl by ani ukrást všechny certifikáty, ani by nemohl získat přístup k něčemu tak, abych o tom nevěděl. Přesto bych měl bezheslový přístup ke všem zdrojům – jenom na stisknutí tlačítka.

Už si rozumíme?

Omlouvám se, revokovat certifikát by bylo zbytečné :)

Pane Prymku, ne nerozumime. Vy uplne zcestne predpokladate, ze vam bude nekdo vzdalene hackovat pocitac. Predstavte si daleko pravdepodobnejsi situaci, ze ten vas zazracny krap nekde zapomenete zastrceny v USB nebo vam ho nekdo ukradne. To pak bude to vase „zabezpeceni“ zmacknutim cudliku opravdu skvele.

Ano, je to o něco bezpečnější než klíč od auta, kanceláře, bytu, …

A o něco bezpečnější než heslo, které ve stejné situaci běžně všichni používáme.

Jen pro rekapitulaci: token by se mohl použít na počítačích v síti k přihlášení K DANÉMU POČÍTAČI bez hesla a NA MÉM počítači k přihlášení k různým zdrojům (pomocí něj bych otevřel klíčenku s ostatními certifikáty).

Čili riskuji jen to, že mi někdo token ukradne a bude se moci přihlásit DOKUD KLÍČ NEREVOKUJI (o to je to bezpečnější než běžný klíč).

Ostatní certifikáty by mohl získat jen v případě, že by mi zároveň ukradl token i počítač, což je riziko, které bych byl ochoten podstoupit.

Ještě si nerozumíme?

P.S. jaká myslíte, že je pravděpodobnost, že mi někdo ukradne token a stihne ho použít dřív, než si toho všimnu?

spousta tokenu ma ctecku otisku prstu a to se sice pomalu ale jiste dostavame do stavu pouzitelneho.

Porad vetsi komfort nez blbe heslo, ale widlakum to nic nerika protoze neznaji

Jo, to zní dobře. Ale to už jsme cenově trochu jinde, ne?

Snímače otisků lze velmi snadno (a celkem rychle) obejít, to je ještě méně bezpečné než rozumně dlouhé heslo. Ale bral bych token se snímačem sítnice :)

proto jsem psal „a to se sice pomalu ale jiste dostavame do stavu pouzitelneho“

jsou i kvalitni snimace

myslite rozumne dlouhe heslo ve windows vs rainbow tables? :-D

Tokeny funguji out of the box minimalne na linuxu, windows a solarisu. Porizovaci cena od 800 CZK, s ochranou pinem jsou malinko drazsi. Bezte do oblibene PC prodejny, kupte si token a mate po problemu s heslem.

Přiznám se, že jsem to zatím nezjišťoval – jak teď koukám na net, tak můj oblíbený obchod tokeny neprodává :)

Jestli s tím máte zkušenost, můžete poradit? Pokud by to stálo do tisícovky, tak vůbec neváhám a jdu to koupit.

P.S. pro mě ochrana PINem není nutná, na hesla stejně používám úložiště, takže bych potřeboval tokenem ochránit jenom přístup k němu. Nebezpečí, že mi někdo ukradne i token i notebook, jsem ochoten podstoupit :) Co bych ale chtěl, by bylo, aby token obsahoval tlačítko, kterým by se povolilo jeho použití – v případě, že by někdo hacknul stroj, do kterého token strčím, aby ho nemohl zneužít. Existuje něco takového?

Jo a ještě drobnost – tím „out of the box“ jsem myslel, aby se nic nemuselo instalovat, nastavovat apod. Prostě při vytváření uživatele by se OS (v základní instalaci!) zeptal, jestli chci použít heslo nebo token – a když token, tak ať ho vložím. To žádný OS, který znám, asi neumí (nejspíš bych to očekával u MacOSu, ale zatím jsem o tom teda neslyšel).

google vam dnes nefunguje? hledejte „rsa token“ a hned treti odkaz je alza, dalsi xcomputer a dalsi a dalsi…

Pardon, do windows budete muset urcite instalovat drivery a podpurne utility :-)))

Zkusim jeste jednou zopakovat, jake reseni by mi vyhovovalo:

Token obsahuje certifikat (staci jeden). Jakmile ho chce pocitac pouzit, tak se treba rosviti ledka – a teprve az zmacku (na tokenu) tlacitko, muze ho pocitac pouzit.

Takovy token jsem opravdu nevygooglil.

Dalsi genialni zabezpeceni pana Prymka – nauc se zmacknout tlacitko. Clovece, prvniho aprila uz bylo. OMG.

Ano, klíč od trezoru taky funguje takto stupidně.

Další geniální zabezpečení pana Faba – nauč se otočit klíčem. Člověče, prvniho aprila už bylo.

Ano, jenze klicem od neceho, napr. od toho trezoru, obvykle neodemknete jeste napr. byt, auto, chatu a v bance s nim nevyberete svoje konto. Jestli vam ten rozdil unikl, to je opravdu smutne.

Ad vase genialni tlacitko: viz. muj prispevek nahore. Googlujte pozorneji.

Vsak co chcete, zpravicky od p. Posvice jsou takoveto skoro vsechny (nesmyslne prelozene, domyslene vety, popripadne uplne prekrouceny obsah puvodniho clanku, navic i mizerne napsane..)