Názory k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci?

Připomnělo mi to starý vtípek.

Síla hesla se měří počtem draků:
Enter new password:
> dragon
This is not strong enough. Minimum one uppercase character needed:
> Dragon
This is not strong enough. Minimum one number needed:
> 1Dragon
This is not strong enough. Minimum one non-aplha character needed:
> 1Dragon!
This is not strong enough. Minimal length is 9 characters:
> 2Dragons!
This is strong. Your password has been successfully changed.


On to není vtip ale leckdy realita. Akorát na posledním řádku bývá častěji hláška "Heslo se už používá, zadejte něco jiného." .

Kdysi, (před mnoha lety!) jsem to viděl i v podobě Heslo je již použito uživatelem.....
(Mimochodem: to heslo bylo poněkud dost sprosté a uživatelské jméno patřilo panu řediteli.)

Tak to mi nedá a musím reagovat...

Není to tak dávno - zažil jsem před rokem a nejspíš stále platí.

ERP systém (účetnictví, majetek, sklad...) od firmy Gordic (klidně je prásknu). Jejich levný "souborový" systém je protlačován do "malé" státní správy a příspěvkových organizací.

V jejich systému je možné mít IDENTIFIKACI UŽIVATELE POUZE HESLEM (a dokonce je to konzultanty doporučený způsob a default způsob přihlašování!) A heslo vlastně není heslo, ale číselný PIN. A konzultanti firmy doporučují používat právě 4-místné číslo.

Důsledky:
- Do některých subsystémů jde zadat dva různé uživatele se stejným PINem (heslem). Když se tímto PINem přihlásí, můžete si hodit kostkou, pod účtem kterého z nich a s jakými přístupovými právy budete pracovat.

- Jeden ze subsystémů (tuším Majetek) zvolit stejné heslo nepovolí, ale zase na duplicitu upozorní. ;-) Takže získáte (i nechtěně) přihlašovací údaje stávajícího uživatele.

- Brute force útok na přihlášení na 4-místný PIN je možný, systém neomezuje počet chybných přihlášení. Navíc ("osvětová" činnost a výchozí nastavení od konzultantů) stačí obvykle zkusit 1111, 2222, ... 9999 a něco z toho nejspíš vyjde. 9999 bývá nejvyšší úroveň práv.

A ještě něco navíc: Pokud si uživatel změní heslo (PIN) a použije v něm nečíselné znaky, změna mu projde. Ale už se do systému nepřihlásí (ani starým, ani novým heslem).

Je něco takového možné v roce 2022, 23? Je.

Před noční můrou zvanou SAP jsme měli ERP od Gordic. Používala jsem několik subsystémů řadu let a autentizace probíhala klasickým zadáním přihlašovacího jména a hesla, takže nevím, jestli si vymýšlíte, záměrně haníte firmu Gordic nebo jste narazil na neaktualizovaný systém z 90. let.

Shodou okolností jsem si nedávno měnil heslo na PayPalu a vypadalo to velmi podobně. Akorát, že místo heslo je příliš krátké, mi to neustále psalo heslo je příliš dlouhé...pak pro změnu, že jsem použil nepovolené znaky. Pořád nechápu, jak takové hloupé omezení můžou v roce 2023 existovat.
A vypadá to, že jednu dobu dokonce delší hesla v tichosti zkracovali: https://www.reddit.com/r/cybersecurity/comments/10g22mr/paypal_silently_truncates_passwords_to_20/

To delal desitky let microsoft, hesla na sve weby orezaval na 6 znaku. Klidne sis tam moh psat 60, neprotestovalo to.

Nejak to limitovano byt musi, ale ten limit bych videl na 1k+. A rozhodne by te to melo na ten limit vzdy upozornit.

Ten limit může být daný hashovacím algoritmem. Často používaný bcript má limit 72 bytů.

…z čehož byl mimochodem už jeden průšvih, když někdo spojil 32 bajtů sůl, 32 bajtů pepř a pak zadané heslo -- čímž se z něj vzalo jen 8 znaků…

Super byly kdysi taky hesla na Steamu - člověk tam mohl zadat cokoli, a ono to na pozadí z hesla tiše vyházelo všechny "speciální" znaky a zkrátilo ho to na maximální délku 64. Takže člověk si myslel, že má (pro ilustraci) silné heslo "příští hráči", ale ve skutečnosti uložené heslo bylo jenom "pt hri".

(No a o bezpečnosti hesel tady na rootu, kde mi ho ochotně pošlou zpátky "připomínacím mailem", se taky asi nemá smysl rozepisovat)

Co root, me vytiskli heslo do internet bankingu ve Fio bance normalne na papir ;)

to me taky, a le vzhledem k faktu, ze ucty ze zakladaji s 0coin, tak mi to nevadilo a a doma jsem si heslo zmenil, (k cemuz te stejne vyzvou), a pak prevedl penize, ja zadnou senzaci nevidim a v podbrisku klid

a co to bylo za heslo ? :)

Na papirku jsem dostal:

234987564/2010

2zkN34l

ale obavam se, ze ti to k nicemj nebude :)

Jak jsem to cetl, tak si rikam, treba ma nejaka respektovana entita (NIST?) pro toto guidelines? Kdyby to nekoho zajimalo, tak ma.

> I když v dnešní době dobře víme, že optimálním zabezpečením přístupu do aplikace je pro běžného uživatele dvoufaktorová autentizace...

K obdobnym prohlasenim jsem znacne skepticky. Spis by me prekvapilo, kdyby tohle za 5/10 let porad platilo.

Jen doplním, že jsme o tomhle aktualizovaném standardu pro přihlašování psali už v roce 2017. Je to známá věc, kterou bohužel nedodržují zdaleka všichni. Pořád od uživatelů kolem sebe slýchám, jak jsou nuceni ke zbytečné pravidelné změně hesel.

Ponovu to budou mit narizeno ze zakona, a aby to bylo uber, tak kazdy tyden nejmene 2x.

A víte, co znamená OTP?
V oblasti přihlašovací bezpečnosti to znamená One Time Password, tedy: uživatel je povinen si po každém přihlášení nastavit nové heslo. ;oD

Chcete příklad ještě větší bezpečnosti?
Což taková povinná pravidelná výměna hesel, kdy pro změnu hesla potřebujete dvoufaktorovou autentizaci?
Jasně, to heslo je tak nějak lépe chráněné, tedy možná trochu důvěryhodnější - ale tak nějak se neřeší, co v případě, kdy uživatel to heslo napíše viditelně před kolegy do nesprávného políčka (toho, kdo vymyslel přihlašovací formulář, kde je jen jedno pole a to druhé se objeví samotné na další stránce po odeslání prvního, bych na chvíli pověsil do hodně studeného průvanu), nemá jednoduchou možnost je rychle změnit, nemá-li přichystaný jinak nepoužívaný token...

A tak hlavne to nedodrzuji ani na NUKIBu. Ten to dokonce cpe do vyhlasek jako explicitni povinnost hesla menit - a samozrejme to chteji nacpat i do provadecich vyhlasek k pripravovane transpozici NIS2, tzn. rozhodne nekopiruji trendy v teto oblasti, naopak zachovavaji zlozvyky z minulosti.

No a kdyz je to ve vyhlasce... tak obcas se v nejake organizaci najde chytrak, co vynucenou periodicitu nastavi na kratsi interval, nez je pozadovano - protoze kyberexperti z uradu stanovi jen horni mez, ale spodni si muze kazdy urcit dle sve libovule. A samozrejme u toho vykladaji, jak pravidelne zmeny hesel zvysuji bezpecnost.

Proto jsem k "respektovane instituci" napsal NIST, a ne NUKIB :)

Problem je, ze vyplody z NUKIBu se v nekterych situacich musite ridit, i kdyz tuto organizaci nerespektujete. Ted takovych subjektu neni az tak moc - ale s NIS2 ten pocet docela naroste. A treba pokud jen provozujete 10 tisic domen, uz se z vas stane subjekt, na ktery dopadnou vyssi povinnosti... i kdyby tech 10 tisic domen byly jen blogy o kockach, kralickach atd... ;-)

Ad cyklická výměna je problematická - user pak často sice splní komplexitu a neopakovatelnost, ale zakomponuje tam vzorec, takže jednou uniklé heslo už lze kdykoliv sestavit algoritmem. Např. povinnost měnit každý třetí měsíc = zakomponujete roční období, po měsíci = název měsíce apod.

A k té komplexitě je ještě problém v návodu: Musdí obsahovat jedno velké, jednu číslici a jeden znak = hromada hesel začínají velkým písmenem a končí interpuknčním znakem (tečka) = ihned se sníží entropie :-)

Řešil jsem vážně míněný dotaz uživatele, co má dělat, když jeho heslo typu Jouza-Listopad2023-banka nelze zadat, když obsahuje velká/malá/čís­lice/paznaky a je delší než předepsaných 14 znaků.
(Kupodivu tím hlavním důvodem, proč to heslo neprošlo, byla délka: maximum 22 znaků.)

A kdysi dávno jsem zažil i případ, kdy vedoucí na pracovišti dohlédla vždy první pracovní den v měsíci, na to, že si všichni změní heslo - na Password-2024-Led.

hlavně problematická je komplexnost hesla, kam to povede? Když si člověk dá do grafu jak se ty požadavky zvyšovaly, za chvilku to přesáhne naše schopnosti.

Nechat složité heslo generovat uživatelem je ten největší IT problém co v současnosti máme.

Pravidelná změna hesla je jen berlička, kdyby se heslo pořád nemuselo posílat po síti v plaintextu druhé straně (TLS balí jen na cestě), nemusel by se hledat rovnák na ohýbák, snížila by se šance na únik hesla. Dostatečnou entropii mají zaručovat generovaná data a klíče a ne vymýšlené heslo z hlavy.

Jenž tu hlavu mívá člověk tak nějak pořád s sebou...

... ale její limity jsou poměrně striktní, už dnes je problém si ty dlouhá hesla vymyslet, natož zapamovat. K čemu mi je hlava pořád s sebou, když to heslo z ní nevytluču?

Ano a prave i proto se uzivatele nemaji nutit k jejich periodickym zmenam, ze? ;-) A vy sam to jinde obhajujete. Ono ty periodicky vynucovane zmeny hesel v hlavach uzivatelu samy o sobe vygeneruji ve vysledku tak trosku gulas, ze? :-)

Naštěstí těch dobrých hesel není potřeba zas tak moc. Spousta hesel je k účtům, jejichž hodnota je dost pochybná.

Za chvilku přesáhne? já bych řekl. že už to místy dávno přesáhlo.

A otázka je, proč se vůbec primárně doporučují generovaná hesla a password manager. Z pohledu uživatele je to už pomalu to samé jak přihlašování SSH klíčem uloženým v tom samém manageru. Akorát se zbytečnýma problémama navíc.

správce hesel je podle mě jen takový mezičlánek, který vyplňuje místo, než se forma přihlašování změní. Uživatelsky přijatelný je asi pin, master heslo a otisk prstu/obličeje, jak to používáme u mobilních aplikací.

Nesmysl je, že se heslo, které je hodně cenné musí posílat v textové formě po síti druhé straně, která ho naprosto různě veme a zpracuje, často stejné textové heslo putuje ještě do databáze. Jak v takovém prostředí chceš zajistit, aby neuniklo?

SSH klíč je super, privátní klíč (jako master heslo) nikdy neopustí klienta, údaje, které po síti putují je možné teoreticky i odposlouchat a komunikace je pořád docela bezpečná. Můžeš mít libovolné množství klíčů a sám si spravovat, které jsou pro co. Škoda neodolnosti proti brute-force útoku na získaný šifrovaný privátní klíč. A škoda, že webauth přišel až teď, měl tady být od počátku a věci jako http digest (RFC 2069) neměly nikdy vzniknout.

On se kupodivu web povazoval za primarne verejny prostor, a co je verejne, neni treba sifrovat ani se k tomu prihlasovat.

Po bitve je kazdy general :-) Aneb RFC 2069 vzniklo na pocatku roku 1997 - v ty dobe se spousta veci delala jinak a tehdy se to jako v zasade bezpecne reseni jevilo. Tehdy se sotva zacinalo mluvit o tom, ze kolize v MD5 muzou byt problem... a dalsich par let trvalo, nez to prokazal. A je to jen o dva roky mladsi RFC, nez SHA1... a kdepak jsme dnes :-) Vsak i format tech klicu se meni, aneb kdo by dnes sahnul po DSA... v dobe vzniku RFC 2069 bezne pouzivanych? :-) Jasne, dneska by clovek analogicky mohl rict, ze veci jako MD4, MD5, RIPEMD, SHA1, DES... vlastne nemeli nikdy vzniknout :D

No tak v dalším článku čtu:
"... používejte druhý faktor odolný proti phishingu, kterými jsou hardwarové FIDO tokeny nebo softwarová obdoba takových klíčů ve formě vašeho telefonu spojeného s biometrikou. Jejich použití je velmi jednoduché a je to to nejbezpečnější, co dnes máme k dispozici. "
Je to velmi jednoduché, ale překvapivě v populárních internetových magazínech je takových článků fakt málo.
Jestli bezpečáci chtějí, aby se praktiky zlepšily, tak musí psát populární články na weby typu idnes a podobně, kde bude ukázáno jak se to dá jednoduše udělat.
A ani tady na rootu moc takových článků není.

Mne nejvic stve kdyz my sluzba zahlasi vase heslo nesouhlasi chcete ho resetovat. Tak jo resetujem ho. Pak zadejte nove heslo. Tak zadam to co my psalo ze je spatne. A ono my napise "je to stare heslo napiste jine".

Smutný, že se s tím už spousta lidí setkalo.

Problém může nastat se znaky, které nejsou na klávesnici (protože je nemusí bít možné zadat). To se týká i znaků s diakritickými znaménky.

Někteří si pamatují ASCII/Unicode kód přes (pravý?) Alt (já to nepoužívám). Případně jde zobrazit softwarová (on-screen) klávesnice, kam kliká myší.

Japa se alt macka na patlafounu? A sem zvedav, japa se rozlisi jeden obrazek od jineho obrazku, protoze to ze znak na monitoru vypada stejne, vubec neznamena, ze to je stejny znak.

Mimochodem ... (sem zvedav jak to dopadne) а vs a

Na patlafounech staci pismenko bez diakritiky chvil podrzet a nabidne vam to spoustu dalsich moznosti, ze?

Já vždycky říkám: bezpečnost je prima věc, ale dostupnost je mnohem lepší. Ono se nejednou stalo, že bezpečáci tak dlouho buzerovali s bezpečností, až se to přehnalo a pak se tam nemohl dostat ten, co měl náhle řešit problém a naopak ten, kdo by mohl pomoct s přístupem, měl zrovna dovolenou (protože bezpečák si vynutil nastavení, o kterém se dozvěděl, že zvyšuje zabezpečení, akorát že to nastavení způsobuje, že když už vám to heslo vyprší, tak si ho nemáte jak změnit).
Bezpečák do baráku, hůl do ruky. Nejlíp hromovou. Já to ještě snáším, i když začínám prskat jak vodou zalitej rozpálenej olej, ale muj brácha prostě nedokáže pochopit, proč po něm furt někdo v rámci zabepečení chce přepisovat odněkud někam nějaký zapráskaný kódy, „koho tohle jako baví?“. No, mně to asi přestane časem bavit taky a na IT se vykašlu, ať si to spravuje někdo, koho to fakt baví.
Takhle jsem odmítl v práci dělat na projektu, kde když po člověku klient něco chce, tak musí ten člověk nejdřív oficiální žádostí poníženě klienta požádat o přístup, ten je mu na určitou dobu (jako je třeba hodina) povolen (když to nestihneš, musíš žádat znovu, mezitím se všechno odhlásí) a je znemožněno používat clipboard. Tak jsem řekl, že mám jen jedny nervy a že tohle ať si v tý příkazový řádce dělá někdo, kdo neni takovej nervák jako já, že jim na to zkrátka s**u a jestli mě za to chtěj vyhodit, tak ať si pospíšej, ať se navzájem neokrádáme o čas. Nevyhodili a na tom projektu nedělám pořád, dělám na jiných, kde neni bezpečák psychopat.

Ja ti to popisu z druhy strany ju?

Takze mam u zakaznika nasazeny ipsec. Vsude (tzn vcetne interni site). Jednoduse proto, ze nehodlam resit, ktera aplikace umi nebo neumi sifrovat aspon hesla ... o datovy komunikaci radsi nemluve ...

Chtelo se od jednoho dodavatele at prevede svoji aplikaci na novou verzi. A straaasnej problem, ani po mesici mu to nefungovalo, a samozrejme za to "moh ten ipsec a dmentni konfigurace uplne vseho ..." a vis v cem byl ve vysledku problem, na zaklade kteryho sem ho poslal dorite? On, pan nejchytresi a naprosto negramotny si nedokazal v logu precist, ze jaksi na druhe strane neni dostupny prislusny port, ne proto, ze nejaky ipsec, ale proto, ze mu proste nebezi ta sluzba. Psalo mu to tam kazdou minutu.

Podotykam, ze nejsem priznivcem nejakyho hazeni klacku, ale podobne tim klacem s potesenim natru.

Ono to neni spatne, kdyz tu bezpecnost nekdo resi - ale chce to proste u toho taky premyslet - a to i nad situacemi, ktere muzou byt rekneme... okrajove pripady, coz se malokdy deje. Kdysi pred lety takhle nejaky "bezpecak" resil EZS v nejmenovanem baraku... klasicky dvere se cteckou cipu, zadny turniket. Koule z obou stran, dvere zevnitr slo otevrit take jen kartou. Ale kamsi se nastavila podminka, ze dvere ve smeru ven muze otevrit jen karta, co prosla dovnitr.... fungovalo to skvele, dokud jednoho krasneho dne nejvyssi pan sef neprosel dovnitr s kolegou - ale pak tam zustal a uz nemohl ven, protoze si nepipnul :D Podotykam, slo o kancelare, zadne specialni rezimove pracoviste. A co na takove reseni by rikali hasici radsi neresme... :-) Kazdopadne - vysledkem bylo, ze se tahle blbost z EZS vyhodila. Jo, asi tam slo rozbit sklicko, vyndat klicek... ale to jsou presne situace, co nechce clovek resit, kdyz mu za zadkem hori. Ono je to ve finale stejne jako "klasicke" zamykani v bytovych domech na klic... ktere stale na mnoha mistech preziva a kdy na vas ti duchodci kolem koukaji jeste pres prsty, kdyz za sebou tim klicem v zamku neotocite.

Ano, a i tady se da najit paralela k uvazovani v NUKIBu.... oni vam ten barak dokonale zamknou, tak ze nikdo neprojde nikdo ani dovnitr, ani ven... ale to ze tam mozna chcipnete, kdyz zacne horet uz proste neresi :-) Protoze prece kdyz tim klicem otocite a dvere zamknete, tak ten barak lip chranite. To je presne ta argumentace kolem password hashu a jejich hypotetickych uniku... ktera oduvodnuje ty periodicky vynucovane zmeny hesel. Stejne tak vam v tom baraku budou oduvodnovat, ze mate otocit klicem v zamku... kdy soucasne se neinvestuje do (klidne mechanickych) reseni, co tenhle problem vyresi taky - zvenci odemykate, zevnitr utecete stisknutim kliky... proste takovi ti klasicti "bezpecaci" s klapkama na ocich, co resi jen ten svuj jeden jediny problem a pritom hledaji zpusoby, jak to udelat pro sebe jednoduse (a levne).

Ono je to ve finale stejne jako "klasicke" zamykani v bytovych domech na klic... ktere stale na mnoha mistech preziva a kdy na vas ti duchodci kolem koukaji jeste pres prsty, kdyz za sebou tim klicem v zamku neotocite. Když vám do baráku pravidelně v zimě lezou bezdomovci, které zastaví jen zamknuté dveře a ještě nikdy nehořelo, tak se na to logicky budete dívat jinak... Důchodci prostě upřednostňují chranu před aktuálním nebezpečím, které se reálně děje (byť třeba jen u jejich přátel a ne přímo u nich v domě) před hypotetickým nebezpečím (pochybuji, že v jejich sociální bublině pravidelně hoří bytové domy).

30. 11. 2023, 08:41 editováno autorem komentáře

Na tohle funguje lék v podobě pravidelné kontroly a následné pokuty od hasičů.
Nicméně ze zkušenosti vím, že
a) bezdomovci se do baráku dostanou, byť zamykáte - stačí se připojit k nějakému školou povinnému dítku a ještě ho pochválit, že za sebou zamklo,
b) zkušenému zloději stačí na odemčení FAB-ky planžetou mnohem kratší doba, než některým (mně) odemknutí klíčem (a ještě ani nepoškodí zámek ani v něm nezalomí klíč),
c) kupodivu poměrně velký díl čipovách zámků vchodových dveří (těch starších) snadno a rychle překoná elektronická hračka za 10 dolarů.

Hasicum je to uplne jedno.

Stejne tak nesmis mit zamceny vystupy na strechy, atd atd atd. Kdyz sem tohle namital na jedne ze schuzi, tak mi dotycny tvrdil ze ten zamek prece snadno utrhnu, tak sem ho vyzval, at mi to ukaze ... v situaci kdy nehori a neni tam zadny kour, ze skodu klidne zaplatim, a az ten zamek utrhne, tak ze to zcela jiste bez problemu zopakuje v chodbe, do ktere hodim dymovnici.

Hasičům to rozhodně jedno není. Alespoň tady dost trvají na odstranění závad a tučnou pokutu dají s radostí - za podstatné věci, přeměřovat tloušťku nástěnky na chodbě pro jistotu opomněli.

A az jim tam uhori vnouce, protoze nezvladne odemknout... tak budou obvinovat vsechny okolo, ze za to muzou... zname :-)

Ad zamceni domu, na to tema sem pred par lety s jednou duchodkyni ved zajimavou debatu. Nejdriv se do me navezla ze sem nezamkl, takze sem se ji marne pokusil vysvetlit, ze rozdil mezi vypadenim nezamcenych dveri s kouli zvenku a zamcenych je tak maximalne par kilogramonewtonu navic ... (a o dost vetsi skoda). Taky nechtela pochopit, ze z 10teho podlazi vazne nehodlam behat do prizemi, kdyz nekdo prijde, protoze zamcene dvere samozrejme nejde otevrit elektricky.

Pak sem se ji zeptal, co bude delat, kdyz bude horet... pochlubila se, ze vyskoci z okna. To okno v prizemi je cca 4m nad urovni terenu pod nim, tak sem po ni chtel at mi to ukaze, kdyz je ve svych 70ti takova srnka, ze to chci videt....

Rozdíl mezi odemčením (planžetou) dveří zabouchnutých, zamčených a zamčených na dva západy je v řádu sekund.
Nám se do baráku pravidelně dostával zloděj. Měli jsme i kamerový záznam. Odemknout vchodové dveře (jen zabouchnuté, s koulí) zvládl za sedm sekund, odemknout dveře ke sklepům (zamčené) za dvanáct sekund. Z toho usuzuji, že potřebuje dvě sekundy na nasazení planžety a pět sekund na otočení.

A tak slo by tam mit i vlozky, co jsou v tomto smeru vyrazne odolnejsi - ale tam by se asi uplne nelibila cenovka... ;-)

Tenhle problém měla strašně dlouho budova KB u Prašné brány, když tam člověk šel mimo pracovní dobu, nejednou jsme tam uvízli a museli spustit alarm, abysme se dostali ven.

Stejně tak to byl problém, když si člověk šel pro novou kartu a dostal jí uvnitř, pak nebyl záznam o jejím příchodu, naštěští, když fungovala recepce, šlo to řešit.

Ta periodická změna hesla se řeší nejen kvůli úniku hashe, ale pokud je z hesla derivovaný šifrovací klíč, který potřebuješ pravidelně rotovat. Bohužel opět, nápad, kdy se šifrovací klíč derivuje z uživatelského heslo přímo je z dnešního pohledu blbost, s kterou teď musíme bojovat.

Abychom nebyly v rozporu, také nesouhlasím s plošným nařizováním platnosti hesla, to nemá žádnou technickou oporu, ale chtěl jsem ti ukázat, že IT systémy to občas potřebují.

IT systemy by mely svym uzivatelum slouzit, uzivatel by nemel byt jejich otrokem :-) I ta (historicka) negativa jde nejakymi obejit jinym technickym opatrenim. Jenomze je s tim prace navic a ono se obcas "navic" nic delat nechce.

…na vas ti duchodci kolem koukaji jeste pres prsty, kdyz za sebou tim klicem v zamku neotocite.
To je ještě ta lepší varianta, v některých případech na vás důchodci koukají přes prsty, když tím klíčem otočíte ;).

1. 12. 2023, 14:48 editováno autorem komentáře

A to si představte barák, do kterého můžete vstoupit předem, zadem, přes garáže + ještě tam jsou vnitřní dveře od garáží dovnitř, atd. Zpočátku stačil jeden klíč, ale pak kdosi prosadil, že je potřeba to rozdělit, takže to nahradily různé klíče, v počtu pěti.
Což o to, můžete je mít na jednom kroužku (pro ajťáky: to je něco jako password manager ;oD ) - jen trochu žerou systémové prostředky (zatěžují kapsu).
Pak následovala fáze očipování dveří, čímž se elegantně snížil počet potřebných klíčů na dva plus čip. Zároveň ale bezpečnostní oddělení (v osobě zvědavé sousedky důchodového věku) protlačilo u managementu (výbor SVJ), že přístupy budou přísně zónové, takže do garáží smí pouze ten, kdo tam má auto, a podobně. Že se tím dětem prodlouží cesta ze školy zhruba o půl kilometru obcházení baráku není relevantní.
Zároveň je omezen počet těchto klíčů na počet členů domácnosti nad 6 let - takže menší děti mohou domů pouze v doprovodu rodičů a pokud potřebujete dát klíč babičce či ošetřovatelské službě, musíte to složitě vypapírovat a periodicky zdůvodňovat.

Ono to bezpečáché peklo občas uteče z prostředí firem a jejich IT až do fyzického světa domů a domovnic. ;o(
Ale poměrně dobře to ilustruje, že často jsou ta opatření zaváděna nikoliv, protože jsou potřebná, ale protože to lze. (A snadno se to vynucuje.)

V jednom baraku vymysleli skvele mrize na schodech do sklepa :-) A system, co byt to jeden klic - samozrejme standardne nezkopirovatelny. Bezpecnost musi byt! Ze pod tema schodama byl treba i hlavni uzaver plynu nikdo neresil... no co, maximalne ten barak vybouchne :D

A jako bonus, mechanicky klic si muzes nechat kdykoli kdekoli 100x zkopirovat, zatimco chip ... takze kdyz ma prislusny chipovac dovolenou, budes cekat pred domem, nez te nekdo pusti.

Na alíku za 200,– kopírovačka a za 250 kombo kopírovačka + 15 chipů.

Jasne, takze rekneme 50tileta urednice, si nejdriv (jak?)zjisti, jaky typ chipu, jaka frekvence, komunikacni protokol ... se pouziva. Pak si pujde koupit nejake zarizeni, o kterem ani nevi ze existuje, pak bude resit co snim (pocitac nema) a pak to cele nacpe idealne tobe mezi pulky.

Zatimco s klicem si dojde do neblizsiho zamecnictvi, rekne ze chce 5 kopii a za 15 minut snima odchazi.

Nevidím důvod, proč by zámečnictví nemohlo nabízet i kopírování těch levnočipů. S tím rozdílem, že u čipu si můžu tu kopii vyrobit podle potřeby ihned a nářadí mám v šuplíku. Mimochodem, existují i třídy klíčů, u kterých je (předpokládám že smluvně) ošetřené, kdy se můžou vyrábět kopie. U čipu se dá tohle omezení vynutit technicky. Takže je na vlastníkovi dveří, jaký přístup zvolí - ať už s čipy nebo mechanikou.

Hesla odpovídající bezpečnostním standardům s pravidelnou změnou ovšem zaměstnanci berou jako obtěžování a na tom bezpečnost také skončí, protože rychle se objeví papírek u monitoru, telefonu, nebo NTB s heslem pro přihlášení do systému (ADDS) a klíčenky. Tedy celá bezpečnost bude ta tam. Stejně tak nemůže mít Josef Novák heslo pepa007.

Naštěstí existují tokeny (Yubikey NFC) která se dá kombinovat s heslem a výsledkem je maximální bezpečnost a minimální zátěž na uživatele. Ještě se to dá prokombinovat s TPM a klíčenkou a Pepa si klidně může používat heslo pepa007, protože bez tokenu je k ničemu.

Navíc na token se dá navázat i docházkový systém, otevírání dveří … a nikomu nevadí, když bude mít na XY unikátních hesel jako např.: \dj1w/Z~@8bY}­Fm*cYkG7hZT*au­5.^.F ...

Stejný boj jsem vedl s rodiči v důchodu, jedinou možností bylo pořídit jim na stolní počítač biometriku a oddělené klíčenky, jinak by si používali dál ty parodie na hesla. Nakonec to vyřešila čtečka Kensington zapíchnutá do USB na čelním panelu skříně, Windows Hello a KPM. Sdílený s telefonem a ani si nevšimli, že místo pepa1950 mají najednou složité heslo. Jediné čemu nezabráním je fakt, že jsou .... a klidně pošlou mailem heslo někomu jinému. Prý chce taky vidět fotky z dovolené. Ve své režii dokážu ošetřit, ale oni kamkoliv jinam bez šance.

A ted se zamysli, s cim vsim ti ten tvuj token fungovat vubec nebude. 2/3 dodavatelu naprosto cehokoli si na me chodeji stezovat, kdyz po nich chci, prihlasovani vuci ldapu. Kdybych po nich chtel HW token, tak se mnoztvi dodavatelu smrskne na krasnou 0.

Takze priznavate, ze mate dodavatele ze stoleti pary neschopnych inovaci :-) Standardizovana reseni, kterak tyhle veci integrovat existujo a jsou dokonce opensourcovana.

Mně úplně ke spokojenosti stačí ISV certifikace, což mají všechna provozovaná zařízení a tím je vyřešena základní funkce a přirozeně i plnou integraci pod Windows Server ADDS s centrální správou, včetně TPM.

Prostá elegance centrální správy řeší situace, kdy se Yubikey (NFC) prostě rozbije. Nejběžnější příčinou fyzické výměny tokenu zůstává rozdrcení a děje se to proto, že klíče i s token ležící na vaně kufru přizdí 20-30 kg kufr či brašna s nářadím. Rezervní klíče jsou dávno v systému a přirazení konkrétní osobě zabere pár vteřin. Mnohem déle trvá slovní hromobití spojené s fyzickým předáním.

Tím chci říci, že všechny telefony Samsung, notebooky HP Elitebook, Panasonic Toughbook, stolní počítače HP Elitedesk, Jablotron, NFC čtečky ovládající zámky … s tím zkrátka fungují. Jistě, první kdo přijde do práce musí použít fyzický klíč, zbytek už se courá jen prostým přiložením Yubikey k čtečce a rovnou se tím řeší i docházkový systém. Mimochodem největší hloupost je docházkový systém založený na biometrice, protože ruce řemeslníků vypadají různě a čtečky s tím mají zatraceně velký problém, proto je NFC token lepším řešením, které vylučuje problémy se stavem jejich rukou. Modernější a pohodlnější verze SmartCard. Otisk prstů je zkrátka u řemeslníků dost nespolehlivé řešení.

Jasně, jsou dodavatelé, kteří 2FA nepodporují, ale pořád jsou tu klíčenky, kde ty hesla uložena jsou a nemusí si je pamatovat, protože se vše děje automaticky. Pravdou je, že u většiny dodavatelů se to řeší telefonem a mailem, protože se osobně znáte a jste neustále v kontaktu (Socomec, Hager, Schneider ...) a domlouváte s konkrétními lidmi. To platí i o velkoobchodních partnerech, které dodávají svorkovnice, svorky, vodiče, kde je to zase osobní přístup a třetím typem dodavatelů jsou velkoobchody, kam si osobně zajedou (zapomněli, urgentně potřebují) a hezky si to vyzvednou na místě. No vlastně za ty roky už je to také skoro osobní, protože ten okruh je vlastně neměnný.

Určitě vymyslíš dalších 100+1 důvodů, proč je to úplně k ničemu a proč to nemůže nikdy fungovat. SC jsem na firmě používal 10 let, poslední 3 roky jsem přešel na Yubikey NFC a když se čtečka strčí nízko, tak nemusí ani tahat klíče z kapsy montérek. Nikoho to neotravuje a bezpečnost i automatizace je podstatně někde jinde, než kdyby měli spoléhat jen na hesla. A to jsme malá firma, spíš rodina, kde nás není ani 25 a jde to. Vlastně ono to není vůbec drahé, protože zdravá firma si ty pořizovací náklady hravě zaplatí.

P.S.: S iPhone a Yubikey bývalo dost problémů, to už by mělo být vyřešení, ale i tak jsou firemní telefony Samsung (dlouhodobě), protože ve správě a podpoře jsou nejdál. Teď sice kupuji HP, ale úplně stejně spolehlivě funguje Dell.

1. 12. 2023, 16:35 editováno autorem komentáře

A až někde budete dělat osvětu, přidejte k těm rozumným pravidlům na hesla také požadavek na:

* zrušení nesmyslného odhlašování od služby po 5, 10 minutách a vyžadování nové autentizace
* vynucování dvoufaktorové autentizace i tam, kde to uživatel skutečně nepotřebuje
* protlačování běžných biometrik (prst, tvář, duhovka), tam kam nepatří, protože jsou snadno nabořitelné z mnoha stran a nevyměnitelné (bez násilí na těle)
* běžné bezkontaktní řešení a jejich zneužitelnost
....

Mne by sa pacila globalna autorita ktora by managovala moje heslo na statnej alebo europskej urovni Tento jeden bod by bol zabezpeceny a pouzival rozsirene moznosti (napr oath token, prihlasovanie pomocu privatneho kluca na obcianskom preukaze, notifikacie o prihlaseni napriklad mailom). Kazdy web, sluzba by sa overoval voci tomuto zdroju. Nevidim dovod, preco napriklad banka, nejaky web na internete, alebo kryproburza mala mat o mne akekolvek osobne informacie. Jednym smahom by sa splachlo aj cele KYC (kde treba kade tade posielat dokonca fotku obcianskeho).

Pristup k udajom v danom centralnom bode by mala napriklad policia. Nemyslim si, ze napriklad aj taka banka potrebuje vediet moje meno, alebo datum narodenia. Upne im staci dany token + doplnkove informacie podla sluzby (napriklad rok narodenia pre hypoteky).

Mam dobre skunenosti s MojeID, len by som si to predstavoval na globalnejsej urovni... Napriklad aj na natlak EU (lepsie ako vynutene potvrdzovanie cookies, alebo povinne KYC ktorych udaje nie su pod kontrolou).

2. 12. 2023, 10:43 editováno autorem komentáře

Tohle silně narazí na požadavky zákona - třeba ta banka potřebuje ověřovat klienty ze zákona daleko silněji než třeba root.cz. Navíc by to vytvořilo monopol na přihlašování (zdravím trojjediný monopol mobilních operátorů, CHAPS a podobně). Nehledě k tomu, že by taková autorita poskytla spoustu "zajímavých" informací, ať už komukoliv, kdo se nabourá dovnitř, nebo přímo státu/policii (ani jeden nepotřebuje by default vědět, že na internetu chodím třeba sem na roota).

Samozrejme, ze tato centralna sluzba by mala dostupne vsetky udaje o pouzivatelovi, ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie. Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi. Mala by overeny moj verejny kluc. Pri vytvarani konta napriklad na root-e by sa overilo, ze ten kluc patri k mojmu sukromnemu, cim by sa overilo, ze naozaj ide o daneho (overeneho) pouzivatela - aj ked by dany web nemusel poznat totoznost. Nasledne sa na danu sluzbu mozem prihlasovat pouzivamim mojeho privatneho kluca. Ona centralna sluzba by sa o tom nemusela dozvediet.

> ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie

To je (redakce promine) hovadina, a navíc dost nebezpečná. Opravdu chybí už jenom "nevinní se nemají čeho bát".

> Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi

Ta centrála se to dozví nejpozději ve chvíli, kdy si koncová služba u ní nechá ověřit klíč.

> aj ked by dany web nemusel poznat totoznost

Ta koncová služba by mě přihlásila mým soukromým klíčem, ale nedokáže podle odpovídajícího veřejného klíče ztotožnit přihlášení k mé osobě? K čemu ta centrála teda vlastně je?

Nikto nehovori, ze by nemohli fungovat aj aktualne klasicke sposoby prihlasenia. Kludne by to slo aj lokalnym kontom ..slo by o doplnok. Nieco ako teraz MojeID alebo google. Pouzival by to kto by chcel. Napriklad ja by som mal na niektorych weboch zaujem.
Centrala by bola uzitocna vzdy pri prvom prihlaseni, alebo pri zmene kluca. Web by ma overil voci tomuto zdoju a kludne by si mohol stiahnut moj verejny kluc a pokial by som pouzival rovnaky privatny, nemusi sa dany web uz centralu opierat. Ak mi predsa posle token a ja ho zasifrujem privatnym klucom, on si ho vie odsifrovat verejnym... cim ma potvrdene ze ide o mna. Ak by som zmenil kluc, znova by doslo k overeniu voci centrale.
Uloha centralneho stroja by bola o tom, aby overovala pouzivatela sposobom KYC. Cize vie, ze tento kluc patri urcite mne. Ci uz by to bolo sposobom ako je aktualne KYC alebo inym je jedno. Naviac by bola vyhoda, ze nemusi ani drzat doplnkove informacie, stacilo by, ze by mala overene danove cislo, alebo nejaky iny identifikator (cislo obcianskeho + datum platnosti). Nieco vdaka comu ta vie statna sprava dopatrat v pripade problemov. O tom predsa v pripade KYC ide, nie?. Nejde o to aby ta poznala dana stranka, nejde o to aby ta poznal ten kto ta overuje. Ide o to, ze ak nieco sposobis, aby si bol dopatratelny.
Za mna by bolo lepsie jedno centralne zastresne riesenie, ako posielanie obcianskeho kade komu po internete.

"globalna autorita"?
Tak to uz viem o com budu dalsie retazove maily od prituznej. Chcu nas ovladat, globalna autorita bude o vas vediet vsetko, mozu vas odpojit kedy sa im zachce, cenzura je tu.

Kdyz prosatras analy (nejen)tohoto webu, tak zjistis, ze presne toto prosazoval NIC, v podobne internetove ovcanky a pokousel se to protlacit do legislativy jako povinost = bez toho by ses nedostal nikam.

Argumentace byla samozrejme na tema ze bud si to zavedem sami nebo nam to vnuti. A pochopitelne take "i kdyby to melo zachranit jediny zivot" ...

Pokud NIC znamená CZ.NIC a ta vaše tajemná internetová občanka je mojeID, pak vězte, že to je služba, která předběhla svou dobu. Stát se teď složitě snaží implementovat eIdentitu, kterou CZ.NIC na své náklady provozuje už deset let. Ovšem na rozdíl od ostatních (čtěte BankID) to CZ.NIC dělá od začátku otevřeně, aby ověřenou identitu mohl použít kdokoliv. To třeba s bankovní identitou nejde.

A to jste si precetl na nejakem dezinformacnim webiku, nebo odkud cerpate? :-) Ja jen ze do utrob NICu uz docela dlouho vidim a nevzpominam si, ze by nejaka takova aktivita spojena se snahou z toho udelat zakonnou povinnost probehla. Muzete alespon odkazat na konkretni clanek tady na rootu, kde se o tom pise? Nebo tu jen sirite sve FUDy? :-)