Vlákno názorů k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od RRŠ - Připomnělo mi to starý vtípek. Síla hesla se měří...
-
Připomnělo mi to starý vtípek.
Síla hesla se měří počtem draků:
Enter new password:
> dragon
This is not strong enough. Minimum one uppercase character needed:
> Dragon
This is not strong enough. Minimum one number needed:
> 1Dragon
This is not strong enough. Minimum one non-aplha character needed:
> 1Dragon!
This is not strong enough. Minimal length is 9 characters:
> 2Dragons!
This is strong. Your password has been successfully changed. -
Tak to mi nedá a musím reagovat...
Není to tak dávno - zažil jsem před rokem a nejspíš stále platí.
ERP systém (účetnictví, majetek, sklad...) od firmy Gordic (klidně je prásknu). Jejich levný "souborový" systém je protlačován do "malé" státní správy a příspěvkových organizací.
V jejich systému je možné mít IDENTIFIKACI UŽIVATELE POUZE HESLEM (a dokonce je to konzultanty doporučený způsob a default způsob přihlašování!) A heslo vlastně není heslo, ale číselný PIN. A konzultanti firmy doporučují používat právě 4-místné číslo.
Důsledky:
- Do některých subsystémů jde zadat dva různé uživatele se stejným PINem (heslem). Když se tímto PINem přihlásí, můžete si hodit kostkou, pod účtem kterého z nich a s jakými přístupovými právy budete pracovat.- Jeden ze subsystémů (tuším Majetek) zvolit stejné heslo nepovolí, ale zase na duplicitu upozorní. ;-) Takže získáte (i nechtěně) přihlašovací údaje stávajícího uživatele.
- Brute force útok na přihlášení na 4-místný PIN je možný, systém neomezuje počet chybných přihlášení. Navíc ("osvětová" činnost a výchozí nastavení od konzultantů) stačí obvykle zkusit 1111, 2222, ... 9999 a něco z toho nejspíš vyjde. 9999 bývá nejvyšší úroveň práv.
A ještě něco navíc: Pokud si uživatel změní heslo (PIN) a použije v něm nečíselné znaky, změna mu projde. Ale už se do systému nepřihlásí (ani starým, ani novým heslem).
Je něco takového možné v roce 2022, 23? Je.
-
Tak SAP asi také nebude procházka růžovým sadem... z důvodu jeho robustnosti a tajuplnosti.
Gordic má minimálně dvě řady produktů - jedné říká "souborová" (má nějaký vlastní "databázový" systém) - o té mluvím. Druhé říká SQL. A ta souborová verze je navíc v lokální a síťové variantě. Možná, že ta SQL verze je ok, s tou jsem se nesetkal.
Ta souborová verze má jako kouli u nohy kořeny v 90. letech. Vypadá jako první pokus někoho, kdo slezl z mainframu s dávkovým zpracováním, a učí se psát aplikace pro Windows 3.0. A dělá spoustu špatných designových rozhodnutí, protože je zatížen terminálovým přístupem. Nicméně instalace v organizaci, o které mluvím, vznikla před 6-7 roky. Čili tato příšerná verze se nabízela a prodávala během posledních deseti let.
Nemám zvláštní důvod Gordic pomlouvat - setkal jsem se s ním zatím jednou a naposled v jedné příspěvkové organizaci. A musím říci, že spousta problémů v té organizaci byla dána tím... že Gordic.
A netroufl bych si psát pomluvy, kdybych si řečené prohřešky proti správě hesel a zabezpečení sám několikrát neověřil. Zkoušel jsem to řešit i jako chyby s Gordicem... marně.A to jsem se ještě nezmínil, že konzultanti Gordicu měli pro přihlášení do systému backdoor přístup ("tajný uživatel", který ve správě uživatelů nebyl vidět). A že uživatel provádějící rutinní účtování musel dostat administrátorská práva.
Tím jsme s vrátili zpět k tématu hesel.
.6. 12. 2023, 19:32 editováno autorem komentáře
-
Shodou okolností jsem si nedávno měnil heslo na PayPalu a vypadalo to velmi podobně. Akorát, že místo heslo je příliš krátké, mi to neustále psalo heslo je příliš dlouhé...pak pro změnu, že jsem použil nepovolené znaky. Pořád nechápu, jak takové hloupé omezení můžou v roce 2023 existovat.
A vypadá to, že jednu dobu dokonce delší hesla v tichosti zkracovali: https://www.reddit.com/r/cybersecurity/comments/10g22mr/paypal_silently_truncates_passwords_to_20/ -
KateStříbrný podporovatel
Ten limit může být daný hashovacím algoritmem. Často používaný bcript má limit 72 bytů.
-
Jan HrachStříbrný podporovatel…z čehož byl mimochodem už jeden průšvih, když někdo spojil 32 bajtů sůl, 32 bajtů pepř a pak zadané heslo -- čímž se z něj vzalo jen 8 znaků…
-
DannyStříbrný podporovatelFurt lepsi nez LM/NTLM, kde bylo heslo natvrdo omezeno na 14 znaku :D A obavam se, ze nekde muzou byt k potkani systemy, kde pres toto proste nejede vlak.
-
Super byly kdysi taky hesla na Steamu - člověk tam mohl zadat cokoli, a ono to na pozadí z hesla tiše vyházelo všechny "speciální" znaky a zkrátilo ho to na maximální délku 64. Takže člověk si myslel, že má (pro ilustraci) silné heslo "příští hráči", ale ve skutečnosti uložené heslo bylo jenom "pt hri".
(No a o bezpečnosti hesel tady na rootu, kde mi ho ochotně pošlou zpátky "připomínacím mailem", se taky asi nemá smysl rozepisovat)
