Vlákno názorů k článku Hyper-threading je mrtvý, zámečky v prohlížečích nikoho nezajímají od Riman - Vždycky mě pobaví, když si čtu rady, jak...
-
Vždycky mě pobaví, když si čtu rady, jak vytvářet bezpečná hesla. Jak používat v hesle mezery, celé věty, jak je mít jedinečná a bez vzoru... což je jako idea krásné, ale poněkud to naráží na realitu. Protože uživatel o parametrech konstrukce hesla nerozhoduje, on se jim pouze přizpůsobuje.
Schválně jsem si spočítal, kolik různých loginů mám, a došel jsem zhruba ke 160. A to ještě pro některé služby vedle vlastního hesla máte nějaký PIN nebo dokonce několik PINů. Zapamatovat si takové množství unikátních přihlašovacích jmen a hesel je zcela mimo možnosti běžného uživatele. Takže zbývá jedině využívat nějaké správce hesel a nebo si všechny údaje zapisovat. První možnost kvůli závislosti na dalším SW nepoužívám, takže je jasné, u čeho jsem skončil.
Požadavky na konstrukci hesla se systém od systému liší, nicméně typicky je mezera zakázána, maximální délka hesla omezena a většina služeb odmítá diakritiku. Když se snažíte omezit počet unikátních hesel na minimum (abyste si je zapamatovali), pak skončíte na průniku povolených znaků a délce, které z dnešního pohledu lze jen těžko označit za bezpečné.
Takže po letech hledání vhodného přístupu jsem skončil u toho, že mám 2 hesla - jedno pro citlivé služby, které pravidelně měním a je bezpečnější, a druhé pro ostatní služby, které měním v 1 - 2 ročním intervalu. Drtivá většina těch citlivých používá dvoufaktorové ověření, takže případný průnik tak jednoduchý nebude, u těch ostatních jsem se zkrátka s rizikem smířil. V prohlížeči na svém počítači mám hesla předvyplněná, jinde se v případě selhání paměti (a výjimek, kterých není málo) můžu podívat do souboru. Jsem jen člověk... -
Je samozřejmě chyba, pokud služba zakazuje použití některých znaků. Nový standard od NIST tohle nedoporučuje, naopak říká, že se má uživatel nechat vymyslet heslo třeba z emoji. Technicky není důvod mu to zakazovat.
Mít dvě hesla je velmi nebezpečné, protože ta hesla prostě unikají. Stačí, aby ta jedna „důležitá“ služba přišla o databázi a máte zásadní problém. Mnohem lepším řešením je správce hesel (dnes je zabudovaný do prohlížečů, například) a mít naprosto unikátní heslo ke každé službě. Já to tak mám mnoho let, žádné heslo neznám, ani jedno se nikdy neopakuje. Kompromitací jsem zažil několik (v těch službách), ale nikdy to nepředstavovalo problém, protože služba heslo resetne a já si to jedno jediné heslo vyměním.
-
To naráží na schopnosti uživatelů. Masy zvládají asi tak čtyřmístný PIN na platební kartě (ani tam si netroufnou jít dál). Užívání správce hesel je utopie. Možná se chytnou prohlížeče s jejich interními úložišti (a synchronizací) - ale tam zůstává diskutabilní bezpečnost.
Jako rozumná kombinace pohodlí se dnes jeví 2FA + zapamatování ověřeného počítače. Uživatel nemusí ověřovat 2FA při každém přihlášení, ale pouze na stroji, kde se přihlašuje poprvé.
Trvání na odlišných heslech ve skutečnosti bezpečnost nezvyšuje tak moc, jak se zdá. Pouze přenáší odpovědnost od poskytovatele na uživatele. Když uživateli někdo prolomí trezor, poskytovatel si umyje ruce. Je to víc alibismus, než skutečná bezpečnost. (Skutečná bezpečnost by byla, kdyby vznikly standardy, jak mají s hesly zacházet poskytovatelé).
-
Používání správce hesel nesnižuje bezpečnost, i když tím spousta lidí argumentuje. Slýchám to i na školeních. Ve skutečnosti nezvyšuje zranitelnost vašeho počítače, jehož kompromitace je katastrofou v každém případě, bez ohledu na kvalitu hesel. Tady je výsledek 1:1.
Ovšem použití správce hesel eliminuje riziko celkové kompromitace na všech službách, které používáte. Pokud tam máte unikátní heslo, je vám jedno, že dané službě uniklo. Prostě si ho tam vyměníte. Tady je výsledek 100:0.
Celkově je tedy zápas 101:1 ve prospěch správce hesel, ať už je v jakékoliv podobě. Per Thorsheim na přednášce říkal, že lidem doporučuje klidně používat na hesla notýsek, pokud nezvládnou obsluhovat správce hesel. Je to pořád bezpečnější stav, než mít na stovce služeb dvě velmi podobná hesla.
-
Nehlásím se z neznámých zařízení, mám dost vlastních. Nemám důvod sedat si někam v kavárně a ťukat tam citlivé údaje. Ale i u neznámého počítače jsem na tom se správcem hesel lépe, protože tam případně zadám jen jedno heslo k jedné službě. Jeho kompromitace mě bude bolet výrazně méně než kdybych vyzradil rovnou všechna svá (čti: jedno univerzální) hesla najednou.
Závislost na software mě netrápí, mám ho pořád u sebe. Nikdy jsem nenarazil na situaci, kdy by to byla překážka. Dnes jste naopak čím dál s dvoufaktorem závislý dokonce na hardware. Musíte mít správný mobil nebo token. Je to daň za dramatické zlepšení bezpečnosti.
-
Zaujimalo by ma, ako to mate osetrene pre pripad utoku, ze niekto sa dostane na jedno z vasich zariadeni? Ak nepouzivam spravcu hesiel, tak ten, kto sa dostane na moj pocitac, si pozrie maximalne to, co mam prave otvorene. Ale so spravcom hesiel moze prakticky neobmedzene otvarat sluzbu za sluzbou, prehliadac vsetko poslusne vyplni. Alebo to ma ten spravca nejako osetrene? (pyta to heslo zakazdym, ked pristupuje k novej sluzbe?_
-
Pokud se někdo dostane na moje zařízení, získá moje hesla, ať je mám ve správci nebo ne. Prostě si nainstaluje keylogger a v klidu si počká, až mu tam ta hesla zadám. Totéž platí pro případ, že by správce hesel chtěl třeba pokaždé otisk prstu na čtečce. Útočník má čas a počká si, až ta hesla správce postupně vydá. V tomhle není vůbec žádný rozdíl, jestli správce používám nebo ne.
-
Ondra Satai NekolaZlatý podporovatel"To je přesně to odtržení od spotřební reality, které se týká určitě 95 % populace, ne-li víc"
Jako vážně? 2019.
Kdy jsi naposledy viděl internetovou kavárnu nebo někoho pod 70, kdo v knihovně nepoužívá vlastní notebook místo místních tenkých terminálů?A i kdyby... pořád by to nedělalo ze správného postupu (password manager) špatný pro lidi, co ty cizí počítače neužívají.
7. 10. 2019, 14:57 editováno autorem komentáře
-
Kdy jsi naposledy viděl internetovou kavárnu nebo někoho pod 70, kdo v knihovně nepoužívá vlastní notebook místo místních tenkých terminálů?
Znám dost lidí, nejen < 70 let. Dokonce znám notáře, který jezdí ke klientům a pracuje na jejich počítačích. Školy (základní, střední). Často různé zasedačky a prezentační počítače. Příkladů je hafo.
-
To klidně může. Dotaz ale zněl, jak to dělám já. A zároveň se tu bavíme o používání správců hesel a ten v tomhle případě rozhodně situaci nezhoršuje, právě naopak. Pokud má takový notář unikátní heslo do nějakého jednoho notářského systému, v případě úniku ohrozí jen tu jednu službu a ne svůj mail, Facebook, LinkedIn, Dropbox, Mega, objednávání obědů, bankovnictví, fakturační systém…
-
Pokud má takový notář unikátní heslo do nějakého jednoho notářského systému, v případě úniku ohrozí jen tu jednu službu a ne svůj mail, Facebook, LinkedIn, Dropbox, Mega, objednávání obědů, bankovnictví, fakturační systém…
Chápu. Já hovořím právě o tom "Pokud má notář ..." - že pro takové lidi nabízí náš obor zoufale málo řešení a málo praktických rad. On i ten notář ví, že by měl mít ke každé službě jiné heslo. Ale ve skutečnosti má jedno, dvě semiuniverzální a bezpečnost jde do háje úplně.
-
Ondra Satai NekolaZlatý podporovatel
"On i ten notář ví, že by měl mít ke každé službě jiné heslo."
Tak ať se podle toho chová. A hlavně ať neposlouchá lidi jako MŠ a nenehá si plést hlavu - prostě to dnes nejde lépe. Za 44 let budeme mít warp a za 150 transportéry, ale teď halt musí po svých.
Nebo ať se pak nediví. Jen chudáci klienti.
-
Ondra Satai NekolaZlatý podporovatel
Pokud mohu za sebe
- FF podporuje všechna má zařízení
- nehlásím se ze žádných cizích zařízení
- nejsem závislý, hesla jde exportovat ven -
RaviseStříbrný podporovatel
> Podporuje váš správce všechna?
Nemusí, podporuje můj mobil a tam si heslo přečtu.> Nikdy se nehlásíte z cizích zařízení?
Pokud se tomu můžu jen trochu vyhnout, tak ne. Pokud není vyhnutí, nepřihlašuju se tam, kde by mě kompromitace zabolela (banka, hlavní emaily, telegram...)> Pokud hesla sám neznáte, pak jste na tom SW zcela závislý.
Dneska už jsem bohužel na tom mobilu závislý natolik, že mít nebo nemít heslo už nehraje velkou roli, když o mobil přijdu. Samozřejmě hesla nejsou jenom na něm - udržuju synchronní kopie a zálohy (včetně starého dobrého papíru v obálce). -
Ondra Satai NekolaZlatý podporovatel
"Skutečná bezpečnost by byla, kdyby vznikly standardy, jak mají s hesly zacházet poskytovatelé"
OK, tak v tom případě by bylo pro uživatele nejlepší... wait for it... mít stále dlouhá unikátní hesla s velkou entropií.
-
Navíc ty standardy existují, vydává je například zmíněný NIST, který je považován za globální autoritu. V NIST Special Publication 800-63B se například tohle řeší velmi podrobně včetně toho, jaké hašovací funkce mají být použity, jak se má solit a podobně.
Ovšem standardy samy o sobě nic neřeší. Když sem na Roota dám formulář a napíšu k němu, že se nemusíte bát, že děláme všechno správně podle doporučení a standardů, tak mi tam stejně napíšete svoje heslo do banky. Stejně musíte počítat s únikem, používáte desítky či spíše stovky služeb. Standard nezajistí kouzlem bezpečnost všech. Lepší je zařídit si bezpečnost u sebe.
-
Ondra Satai NekolaZlatý podporovatel
Přesně tak.
Uživatel se z toho (v dohledné budoucnosti) vyvléct nemůže - generování většiny hesel a password manager jsou jeho jediná rozumná šance.
-
BobTheBuilderStříbrný podporovatelJeště to můžete značně omezit použitím autentizační autority (třeba MojeID), tím vám odpadá heslo k mraku služeb.
Na řadě e-shopů (nejen čínských) můžete kupovat přes PayPal - takže zase, nemusíte se registrovat, zadávat adresu atd. a zejména evidovat přihlašovací údaje.
Na nějaké weby nevelké důležitosti se dá docela použít třeba přihlášení přes FB nebo Google (to druhé mám třeba na supraphononline.cz).
Tím se to dost zredukuje. Ostatní pořeší třeba ten Firefox se synchronizací.
A pak je tu kategorie, kterou nemám v žádném manageru: banky, e-občanka - tam je záloha obálka s papírem uvnitř. -
Martin X (neregistrovaný)
Zaujimave pasaze z toho dokumentu - vacsina korporatnych informacnych systemov to robi presne naopak:
"Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator
.....
In order to assist the claimant in successfully entering a memorized secret, the verifier SHOULD offer an option to display the secret — rather than a series of dots or asterisks — until it is entered. This allows the claimant to verify their entry if they are in a location where their screen is unlikely to be observed.." -
Tak před dvěma roky u nás oddělení bezpečnosti zveřejnilo na firemním intranetu článek, jak správně vytvářet hesla (celé věty, diakritika, mezery... a že by systém neměl vyžadovat periodicky změnu). Chápal jsem to jako změnu bezpečnostní politiky. Myslíte si, že se něco v reálu změnilo? Ne, například přihlášení do domény vyžaduje nejméně 2 malá písmena, 2 velká, 2 číslice, 2 nealfanumerické znaky a každé tři měsíce vás systém donutí heslo změnit. ;-)
-
dvě hesla bohatě stačí. Jsem na tom podobně jako pisatel výše, mám přes 150 různých účtů. U 99% z nich jsem heslo vytvořil jen jednou, při založení. Hesla mají 32 znaků (pokud to umožňuje jejich systém, malá, velká písmena a speciální znaky). Na Apple používám Keychain, cross OS pak KeyPass. Některé účty nemají heslo změněné i přes 10 let a nikdy jsem neměl žádný problém a mít nebudu ;-). Banky jsou díky nařízení EU jinde, tam to chce i mobil ;-( a další zh*vadilosti... U systémů, kde pravidelně vyžadují změnu hesla používám složeninu tvaru "AktuálníMěsícRok". Jestli někomu pomůže, když mi "ukradne" účet na root.cz, tak ať si to užije... ;-)
Admini, organizace a EU by si měla uvědomit, že je to můj účet a á budu rozhodovat o tom, jak si ho nastavím. Pokud mne rádoby "security" nezajímá, je to moje věc, neměli by mě nutit jejich názory. Znám pár případů, kde klient požadoval min. 12 znaků (jak malá, velká tak speciální znaky) a ve finále, když jsem pak viděl, že jsou hesla uložena v DB v plain textu... :-D
-
Ondra Satai NekolaZlatý podporovatel
"Admini, organizace a ... by si měla uvědomit, že je to můj účet a á budu rozhodovat o tom, jak si ho nastavím. Pokud mne rádoby "security" nezajímá, je to moje věc, neměli by mě nutit jejich názory"
Tvůj účet... na jejich systému.
-
Ondra Satai NekolaZlatý podporovatel
Prostě správce hesel pro drtivou většinu hesel je dnes jediné schůdné řešení.
-
Tohle rikam uz léta (napsal jsem o tom i blog), že všechny ty požadavky na hesla jsou nesmysl a nedodržují je ani ti co tak blahosklone kážou. Nakonec jsem skončil u dvou vecí.
a) všechna hesla ja i cela rodina píšeme do sešitu který je v šupleti, je to na důvere a hlavne když se mi neco stane rodina se dostane k mím účtům. Jenom 2 hesla tam nejsou ;o)
b) vetsina nepotrebných hesel je uložena ve správci hesel firefox, když je potrebuji videt kliknu na ukaž hesloHesla si nepamatuji.
ČLÁNKY DO MAILU