Opět strašák v podobě papírku s heslem nalepeným na monitoru :-) Ok, pokud nějaký hacker dokáže zjistit heslo, které mám nalepené na monitoru, dobrovolně mu převedu celý obsah svého bankovního účtu na jeho konto :-)) Samozřejmě, ve firmě nebo v úřadě nemají papírky s hesly co pohledávat, tam bych s tím souhlasil.
Heslo je můj osobní identifikátor. Jakmile si ho nalepím na monitor, ztrácím nad ním kontrolu. Vidí ho kolegové, návštěvy, cizí lidé a uklízečky. Může spadnout, být někým vyhozen do koše, nebo se třeba objeví na fotce. Jak pak může takové heslo sloužit k osobní identifikaci?
Mnohem lepší nápad je mít heslo ve správci hesel, kde je skryté před očima zvědavců a nikdy se nemusí objevit na obrazovce ve viditelné podobě.
Osobně mám problém se správci hesel. Všude se píše že je mám používat. Jenže který? Jak zjistím že daný správce hesel je dostatečně dobrý? Jak vím, že správce hesel je neposílá někam do tramtárie? Jak vím, že článek a recenze správců hesel na uzasny-technicky-web-pro-bfu.com je dostatečně dobrý? Měl autor článku dostatečné znalosti nebo to je jen jeden z miliónů pisálků píšících o něčem čemu nerozumí?
Tady heslo v papírovém zápisníku pomáhá.
(Jasně, zapsání hesla do prohlížeče může taky vést k tomu, že prohlížeč hesla ukradne. Ale řekněme že se spolehnu na schopnost firmy (Google, Mozilla), stejně jako se spoléhám na schopnost banky udržet mé peníze.)
Já třeba věřím PGP, proto si hesla ukládám do textových souborů zašifrovaných pomocí PGP, které ukládám v Git repozitáři.
A pak jsem zjistil, že přesně toto dělá nástroj pass, takže výběr správce hesel mám vyřešený ;)
Mno mám i něco podobného. Jenže pan Krčmář zmiňoval tohle: "a nikdy se nemusí objevit na obrazovce ve viditelné podobě". Tedy heslo v souboru musíte zkopírovat a vložit do browseru, to asi jde vidět na obrazovce snadno. Navíc tady mizí předpokládaná pohodlnost správce hesel že vyplňuje políčko s heslem za uživatele.
Ne, k tomu docházet vůbec nemusí a obvykle nedochází. Konkrétně pass umí heslo rovnou hodit do schránky, odkud se jen slepě vloží. Správci hesel mají velmi často integraci do prohlížečů, takže ani to kopírování nemusí proběhnout. Navíc to krásně chrání proti phishingu, protože správce na rozdíl od uživatele nevyplní heslo do jiné stránky, která jen připomíná tu originální.
Výsledkem je, že své heslo nemusíte nikdy v životě zahlédnout. Vygenerujete ho ve správci, on ho vloží automaticky do registračního formuláře na webu a pak vás přihlašuje. Vůbec nevíte, jak to heslo vypadá, přesto je jedinečné, silné a náhodné.
No ale jak poznám který správce hesel je dobrý a důvěryhodný? Pokud použiji zašifrovaný textový soubor a k tomu pass a ještě plugin pro integraci do browseru, pak používám už dva poměrně minoritní programy (pass, plugin) o kterých nemám ani ponětí jak jsou spolehlivé.
Oproti tomu u papírku aspoň tuším kdo k němu může mít přístup (uklízečka).
U nastroju jako Enpass, 1Password apod. (doufam ze se netrefuju spatne) clovek musi verit firme distribuujici binarni soubory. U Pass je nekolik moznosti jak si overit duveryhodnost. Muzeme se podivat na zdrojovy kod, muzeme duverovat komunite vyvijejici nastroj zcela transparentne a muzeme duverovat spravcum repozitaru linuxovych distribuci. Pokud clovek porovnava Pass oproti jinym password managerum tak nam vyjde ze zpusobu jak odhalit nekale umysly ma mnohem vice a pokud existuji tak je vysoka pravdepodobnost ze je drive nebo pozdeji nekdo najde.
Nehlede na to ze je celej napsanej v Shellu a ma jen 718 radek, to muze byt otazka 2x si uvarit caj a udelat si peknej bash vecer.
Pokud by nekdo neceho chtel dosahnout ve vlastnich skriptech, psali jsme o tom na mojefedora.cz. https://mojefedora.cz/gpaste-z-terminalu-do-schranky-snadno-a-rychle/
Vložení do schránky má pár nevýhod:
1. Nechrání to před phishingem, jak jste zmiňoval.
2. Člověk může heslo někam vložit nedopatřením.
3. Obzvlášť na Linuxu je schránka špatně chráněna před vykradením webovou stránkou, pokud uživatel trochu spolupracuje: https://bugzilla.mozilla.org/show_bug.cgi?id=1169291 a https://bugzilla.mozilla.org/show_bug.cgi?id=363132 .
Netvrdím že toto řešení je pro každého. Ale pokud někdo bydlí sám, nechodí k němu často návštěvy, nedává fotky svého monitoru na internet a neháže bezmyšlenkovitě věci do koše, může to být relativně bezpečné řešení. Ale je to samozřejmě varianta, pokud někdo raději používá správce hesel, proč ne :-)
Zde vynecháváte faktor motivace i technické proveditelnosti.
Kolegů a uklízeček je jen omezený okruh a nejsou anonymní. U většiny duševně zdravých lidí funguje autoregulace, prostě si netroufnou heslo na lístečku zneužít.
Proti tomu správce hesel může být zvesela podrobován anonymním útokům a mnohem rychleji. Jakmile podlehne, útočníka nebrzdí žádné společenské zábrany; útočník ví, že je prakticky nevystopovatelný.
Je tedy velmi obtížné objektivně srovnat, co je bezpečnější. Osobně si dovolím odhadovat, že daleko víc škod je z ukradených hesel z počítačů, než z lístečků na monitorech.
Dneska je vyžadována registrace snad úplně všude na každou banalitu. Nejvíce nesnáším povinné registrace pro stažení testovací verze produktu, protože to pak musím vyplňovat pět minut fake údaje o firmě a podobné hovadiny.
V podstatě je moje aktuální taktika taková, že použiji některou ze služeb pro dočasné emaily a k tomu jedno náhodné heslo. Vyřídím co potřebuji a ani si údaje nezapíšu.
Zde by mělo v dlouhodobějším horizontu zafungovat GDPR. Vyžadovat registraci je i pro poskytovatele služby zbytečná zátěž. Musí Vaše data chránit. Tipuji, že bude čím dál víc přibývat služeb, které umožní registraci konta aniž by bylo spojeno s e-mailem či telefonním číslem. Tyto indentifikující údaje se budou vyplňovat buďto k jednorázovým úkonům, nebo na základě skutečně dobrovolného souhlasu. V současné době vídáme jen parodie na skutečné souhlasy; situace je prakticky vždy postavena na úroveň: musíš souhlasit, nebo odejdi. To je samozřejmě špatně.
Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.
jsou služby kde je mi jedno jakou délku hesla použiji ( většinou e-shop atp...) Ale přesto mne správce nutí vymýšlet bůh ví jak dlouhé heslo a pak to končí většinou takto.
Zadejte nové heslo:
zelí
Heslo musí obsahovat více než 8 znaků
kyselý zelí
Heslo musí obsahovat alespoň jednu číslici
3 kyselý zelí
Heslo nesmí obsahovat diakritiku
3 kysely zeli
Heslo nesmí obsahovat mezery
3blbykyselyzeli
heslo musí obsahovat alespoň jedno velké písmeno
3BLBYkyselyzeli
Heslo nesmí obsahovat více velkých písmen jdoucích po sobě
3BlbyKyselyZeli,DejMiTenBlbejPristup
Heslo nesmí obsahovat interpunkci
TakTedJsemSeAleUzFaktNasral3BlbyKyselyZeliDejMiTenBlbejPristup
Omlouváme se, ale toto heslo už někdo používá. Vymyslete jiné!
Jsem moc rád, že to konečně napsali do NISTu, takže to končeně ti co umí jen opisovat, také převzali. Mám na myslí náš ZoKB a hlavně vyhlášky - 316/2014 a 82/2018. Když se projednávala ta původní (v roce 2011-13), tak jsem naprosto marně argumentoval zcela stejně, jako je dnešní článek a pasáže o tom, jak musí být heslo "komplexní", bylo doplněno perlami o minimální délce 8 znaků a omezení max. délky na 16. Nemyslící opisovači prostě opsali původní NIST (resp. ISO 27001) do zákona bez ohledu na to, že v českém prostředí se nemusí používat jen ASCII apod.
Konečně tedy v 82/2018 je už uvedeno, že omezení na max. délku nesmí být kratší než 64 znaků, minimální délka je už na 12 znacích (lépe 14 či 16, ale aspoň tak) a už není nic o komplexitě. Bohužel než se to prosadí do firem a do politik v MS AD, které se běžně nastavují se zastaralými omezeními a 90ti denní platností hesla, tak to bude trvat dalších 10 let a možná déle.
Moje dcera ma hodne podobny username u guglu. Clovek nemuze mit telefon bez toho, aby mel ucet u guglu. Tak jsem byl nucenej ji ho zalozit. Vypadalo to podobne jak tady - jakekoliv jmeno, ktere jsem byl schopnej si vymyslet, uz existuje. Bodejt, kdyz uzivatelu guglu je vic nez lidi na Zemi. Takze nakonec ma neco takovyho podobnyho jak TakTedJsemSeAleUzFaktNasral3BlbyKyselyZeliDejMiTenBlbejPristup@gmail.com :-)
Zaujímavé, ja u Googlu mám opačnú skúsenosť... asi si viem vymyslieť jedinečné meno na prvý pokus... mám celkovo 4 účty (z veľa dôvodov prečo až toľko). Jeden účet je len so 4 obyčajnými písmenami `[A-Z][a-z]{3}` bez diakritiky pred zavináčom. Ďalšie 3 taky pri registrácii prešli na prvý pokus. U posledného síce mám navyše číslicu 9, ale to preto že ten som chel mať názov účtu zhodný s účtom na inej stránke, kde bol ten username bez číslice obsadený. Takže tak.
Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.
Pokud tohle uživatel řeší, asi používá pro každou službu unikátní heslo, a tím pádem používá správce hesel. Pak je jen zbytečná komplikace přenastavovat parametry pro generování hesla a nejjednodušší je tedy používat všude silná hesla. Samozřejmě je pak ale potřeba, aby příslušná aplikace to silné heslo akceptovala a nestěžovala si, že je moc dlouhé nebo obsahuje špatné znaky.
Tak ciastocne ano lebo napr v Google mam siroku moznost nastavenia svojej autorizacie 2 Faktora v podobe SMS/Hovoru/GenerovanehoTokenu/HWTokenu/PhonePrompt/OneTimePassword... takze nemusim na kazdej sluzbe vymyslat nove hesla a bat sa o duplicitne hesla/komplikovane hesla/ulozenie hesla v sluzbe/....
Nehledě na to, že spousta firem si integraci s centrálními ID technologiemu představuje tak, že mají centrální LDAP, proti kterému jsou otočené všechny služby. Včetně třeba bezdrátové sítě, která se ověřuje PAPem a tak není problém uživatelské heslo vyčíst na dálku a následně zneužít v jiných službách.
Ale řeší, aspoň někteří.
Třeba Root :-) - i když přihlásit se pomocí MojeID na mobilu je vyšší dívčí (je třeba zadat alespoň jedno písmeno přihlašovacího jména, stisknout "Přihlásit" a po neúspěchu teprve lze zvolit MojeID).
A je to důvod, proč služby umožňují přihlášení přes FB - uživatel nemusí nic vymýšlet, ani ten, kdo má FB jen z nutnosti kvůli něčemu, třeba messengeru.
Příklad: supraphononline.cz - lze se přihlásit i přes Google. Já si nemusím nic extra pamatovat, oni nemusejí skladovat citlivé údaje, krásný win-win případ.
Je dobře, že se to řeší formou standardizace, která asi bude (zatím alespoň v USA) závazná třeba pro vládní sektor (jestli to chápu správně). To dává jistou naději, že se tím inspiruje třeba NÚKIB a zruší třeba požadavek na pravidelnou změnu hesla z vyhlášky o kybernetické bezpečnosti.
Já osobně nesnáším, když mi stránky vnucují, jak má heslo vypadat. Že musí mít alespoň jedno velké písmeno, alespoň jeden speciální znak a pod. Myslim, že i to vede k tomu, že lidé pak vymýšlejí hesla, která si nepamatují. Obecné si myslím, že snímat z uživatelů čím dál víc odpovědnosti je špatně. Pokud je někdo tak hloupý a dá si heslo HESLO, tak pardon, ale je to jeho boj. Stejně jako když si někdo dá k bankovní kartě na papírek PIN. Lidé si zvykli, že webovky řeší mnoho věcí za ně, nicméně občas je to až obtěžující. Já osobně bych chtěl mít občas trochu větší kontrolu nad tím, co na webu chci nebo nechci. Různá vyskakovací okna s nabídkami, operatorskymi chaty apod. Mě osobně to dost obtěžuje. Když se chci na něco podívat a první co při návštěvě webu musím udělat je to, že pozavíral kolikrát i pět oken, která tam na mě vyskočí, včetně hlášky o cookies.