Názory k článku
Den hesel: každý desátý uživatel je ochoten své heslo prozradit

to je takový pěkný alibismus nás od fochu. Víme, že hesla mají být dlouhý, unikátní, neuhádnutelná, nikdy nesmí nikam uniknout, ale pak se člověk potká s realitou kdy správci hesel ne vždy fungují bez problémů, nelze s nimi jednoduše chodit na cizí počítače a je to pořád obecně složitější než si to jednoché a krátké heslo pamatovat a zapsat, tj. překážka pro ty uživatele, kteří nemají dobré technické znalosti.

Přesně tak. Protože ochoten prozradit své heslo není každý desátý uživatel, ale každý uživatel. Každý, kdo zadá heslo do políčka v prohlížeči, který ho následně odešle na server, prozrazuje své heslo. Technologicky by nebyl problém udělat to tak, aby server nemusel znát heslo uživatele v otevřeném tvaru ani jeho ekvivalent. Tím by se výrazně snížilo riziko toho, když uživatel používá jedno heslo na více místech. Ale to ne, my to raději hodíme na uživatele, ať se stará sám a pořídí si správce hesel.

Technologicky by nebyl problém udělat to tak, aby server nemusel znát heslo uživatele v otevřeném tvaru ani jeho ekvivalent.

Jak to myslíte? Že prohlížeč serveru odešle jen hash(heslo+id_ser­veru)?

Mimochodem, co když zapomenu heslo ke správci hesel? :-)

Víceméně takhle, i když je to trochu komplikovanější.

Pro správce hesel můžete mít záložní přístupy, třeba klíče vytištěné na papíře.

> Technologicky by nebyl problém udělat to tak, aby server nemusel znát heslo uživatele v otevřeném tvaru ani jeho ekvivalent.

Tohle ale nechrání před phishingem o kterém je článek. Tohle chrání před únikem hesla z hacknuté databáze. Nebo spíš přenáší zodpovědnost za ochranu těch hesel na prohlížeč (takže Google).

Phishing je chyba primárně mezi židlí a prohlížečem. To se ani moc nedá řešit technicky, protože je to primárně psychologický problém.

Heslo už teď jde přes prohlížeč, takže už teď je nutné se na Google spoléhat. Tohle také chrání proti MitM útokům.

Chrání to i před phishingem. Protože když se útočník dozví jenom hash, nemá nic, co by mohl použít pro přihlášení na skutečný server.

Chyby mezi židlí a prohlížečem jsou primárně chyby toho, kdo navrhoval prohlížeč nebo aplikaci v něm. Říkat, že je to chyba mezi klávesnicí a prohlížečem, je stejné, jako kdybyste člověku, do kterého někdo vrazil zezadu, říkal, že je to jeho chyba, protože má vidět i to, co je za ním. Nebo když někoho porazí auto, tvrdil byste, že je to jeho chyba, protože má takovou srážku vydržet. Stejně jako lidské tělo není stavěno na to, aby člověk viděl dozadu nebo bez škrábnutí přestál, když ho porazí rychleji jedoucí auto, není stavěno ani na to, aby si člověk pamatoval desítky unikátních hesel, neustále kontroloval, na jaké je doméně apod.

> Chrání to i před phishingem. Protože když se útočník dozví jenom hash, nemá nic, co by mohl použít pro přihlášení na skutečný server.

Když. Což vůbec nepokrývá tahaní informací z lidí přes telefon. Nebo podvodníka, který dobrou grafikou vyláká informace z lidí v otevřeném tvaru bez ohledu na nějaký hashování v prohlížeči. Napodobit příslušný vstupní prvek dá práci, ale ta se v objemu phishingové operace celkem bez potíží ztratí.

Když někdo pokliká všechny odkazy v emailu (tím spíš odkazy s podesřelou čežtinou (sic)), je to chudák (nebo blbec), který nedodržuje bezpečná pravidla. V silniční analogii je to trouba, co se snaží vybržďovat kamion. Co čekal?

Před phishingem se může chránit jen uživatel sám. Stejně, jako se rozhlížíme, než přejdeme přes silnici. Stejně, jako by člověk mohl znát pravidla pro veřejné sbírky, když tě někdo zastaví na ulici s tím, že "vybírá na...".

I malá firma může mít svůj vlastní server s doménou, autentifikací a správou. Nestydím se za Windows 2019 Server (ADDS) kombinovaného s integrovanými nástroji HP Protect Tools (+Dell) a samozřejmě každý s mechanickými klíči vyfasuje i SC/Token. Jednoduché, elegantní a bezpečné. Navíc se tím vyřešilo i vypínání alarmu a záznamy docházky. Trochu mi to kazil Android, ale od doby NFC se tento „problém“ odstranil.

První odemyká, zbytek už jen lízne čtečku, dojde na místo a přiloží/zastrčí k notebooku/klá­vesnici, zadá své heslo a tím to končí. O zbytek už se postará doména a integrované nástroje. TPM i distribuci klíčů taktéž řeší ADDS, čili odpadají krkolomná hesla, a tedy různě ukryté papírky s hesly. Stejně tak to funguje i s multiplatformní klíčenkou (používá se výjimečně) např.: pro heslo do velkoobchodního systému třetí strany.

Ty náklady nejsou zase tak vysoké, aby si na ně nevydělala i menší zdravá firma, navíc jde o dlouhodobou investici a podstatně se zvyšuje bezpečnost. A mezi námi, kdo má ten docházkový salát číst, nebo pravidelně měnit heslo od alarmu, když první ospalec probudí půl ulice a začnou volat z Jablotronu. To je lepší token.

Technické znalosti nejsou potřeba, od toho je tam správce, který to navrhne, nastaví a zajistí fungování. Myslíš, že kluci (řemeslníci) něco takového budou řešit, když si jdou brzy ráno (třeba ve tři ráno razí do Ostravy) naložit auto připraveným materiálem, stáhnout projektový plán, schémata, ... ? Neřeší, mají svoje "heslo" a bezpečnost zajistí právě Yubikey a automatizace. Odemknou klíčem, líznou čtečku alarmu a zapnou si počítadlo. Týden v autě kompostovaný salát (dodací listy, faktury, ...) mrsknou do scanneru, kde to pomocí OCR rovnou přistane ke konkrétní zakázce a když se jim hodně chce, najdou první kartonovou krabici, kus urvou a napíšou fixou materiál, který si vzali ze skladu a kam jedou. Pak to strčí za dveře holkám z kanceláře a zmizí. Pokud je systém elegantní a plně funkční, tak posílají (připojení vždy přes VPN) na barák výsledky měření, stáhnou si projektové plány, nebo posílají fotky přímo z místa. V tomto směru jsou Windows, integrované nástroje Dell/HP i Office naprosto dokonalé a dokáže to zvládnout každý. Včetně úrovně bezpečnosti.

samozřejmě každý s mechanickými klíči vyfasuje i SC/Token.
To zní zajímavě.

Jak to funguje v reálném životě? Stane se třeba, že někdy token přestane fungovat nebo se někde ztratí či zapomene doma? Funguje to i po aktualizaci systému? :-)

Při vishingu tedy někdo musí přimět uživatele, aby nainstaloval/ak­tivoval SW pro vzdálenou správu a připojil svůj token?

Sám od sebe zatím žádný token fungovat nepřestal. Zdůrazním sám od sebe.

Kupoval jsem jich 60ks, ačkoliv je nás jen 24, plus 8 UKáček. Samozřejmě rezervní tokeny jsou připravené a zanesené v systému (ADDS). Rozdrcení dílenským kufrem neberu jako závadu, stává se to celkem často a jde o nejběžnější druh poruchy - položí klíče na podlahu kufru v autě, nahází tam vercajk a je po něm. Ročně jich přijde k úrazu minimálně 10, rekord jsou tři v jeden den - takový výkon chce minimálně trochu talentu. Musíš pochopit, že svazek klíčů poslouží jako univerzální šťourátko, podložka, svorka ... cokoliv, protože jsou v kapse a kvůli takové blbosti se nikomu lézt dolů nechce.

To jde mimo mě, rozumím elektronice, elektrotechnice, řídícím systémům, ale na správu Win2019, Exchange, ... mám svého člověka, který se mi o to stará a když je problém, stačí zavolat a je vyřízeno. Klíče se mění každé 3 měsíce a dělá se to vzdáleně, přes ADDS, stejně tak není problém při změně hardware, kdy se najednou zálohují počítače (Dell Optiplex/Latitude na HP Elitedesk/Eli­tebook), nebo rádio stanice Motorola

Začínali jsme se SmartCard ještě s Windows 2000 + Server, takže ano, funguje to i po aktualizacích a větších změnách v systému i výměně hardware. Přeházet uložené klíče z TPM Dell Optiplex + Latitude, do nových Elitedesk a Elitebook, Panasonic, včetně rádiových/3G stanic stanic Motorola, Siemens, Nexter, nebo Socomec, které monitorují řídící systém a každou sebemenší chybu okamžitě zasílají na barák.

Takže ideálně token zatavený v trubce :-)

Klíče se mění každé 3 měsíce a dělá se to vzdáleně, přes ADDS
při té aktualizaci klíčů zaměstnanec připojí token jako každý jiný den a ono se mu to automaticky přehraje aniž by si toho všiml?

Na kolik orientačně taková věc přijde? (tokeny, čtečky, SW)

je to na úrovni přístupové kartičky do firmy, také bez ní jsi nahraný, tohle je vlastně to stejné. Pořád je možnost mít náhradní tokeny a když příjde zaměstnanec, že ho nemá/ztratil, tak mu dát nový.

je to na úrovni přístupové kartičky do firmy, také bez ní jsi nahraný
To je jasný

když příjde zaměstnanec, že ho nemá/ztratil, tak mu dát nový
pokud to není ve tři ráno

Jsou hesla a jsou hesla. Každý asi souhlasí, že heslo např. zde k root.cz není tak důležité jako k internetovému bankovnictví nebo domácímu routeru z přístupu WAN. Podle mě je to otázka priorit. Jsou prostě situace kdy mě vyzrazení mého hesla či usera je mě u pr...le, protože následky(ztrata profilu, malé částky peněz, atd..) plynoucí z dané ztráty mě prakticky nevadí.

např. zde na root si prostě založím nový účet a jede se vesele dál a klidně ať si ten můj účet někdo užije.

co když to ale není tak jednoduché, co když díky odcizenému účtu tady na rootu útočník kontaktuje někoho dalšího, kdo má k tobě jakou dlouholetému uživateli důvěru a přiměje ho třeba k půjčce nebo jiné akci?

Co když na ukradém účtu změní BIO a přesměruje ho na svoje weby, kde budou nějaké neplechy a ty je budeš potichu šířit dál, tím, že tady budeš dávat příspěvky a občas si někdo prokline tvoje jméno? To ti nevadí?

Stejně tak tady může zpětně měnit tvoje příspěvky a dávat tam opět to co sem nepatří.

to všechno ale může udělat i provozovatel serveru.

Já jsem nedávno poprvé nedokázal poznat phishing.

Při stahování pošty z firemního gmailu thunderbirdem vyskočilo okno s "webovou stránku" "one account all google" (custom design, prostě web) a vyžadující přihlášení ke gsuitu. To mě zarazilo, protože normálně je okýnko na heslo, pokud ho Thunderbird z jakéhokoli důvodu vyžaduje (jinak si ho nastavím při zakládání účtu a uložím do integrovaného správce hesel), gtkčkový dialog. V tom jakože prohlížeči nešlo zobrazit URL ani použít pravé tlačítko, prostě nebyla žádná možnost zjistit, co je to zač. Vypadalo to jako že někdo vymyslel jak zobrazit (svoji) webovou stránku při stahování pošty, taková pokročilejší verze https://portswigger.net/daily-swig/deep-dive-into-electrum-hack-reveals-70-of-network-was-controlled-by-attackers

Blokaci pravého kliknutí javascriptem by mělo jít v Gecko-based prohlížečích obejít se stisknutým shiftem (Shift+right click).

Znám, nepomohlo, imho je to nějaký divný embedded web view kde to nejde.

Zůstávám v klidu, protože Outlook (client) řeší popsané situace nativně prostřednictvím Safe Links pro exchange účty (Office365). S Windows 10/11 už je Microsoft účet prakticky nutností (pro hnidopichy, ano dá se bez něj žít), naroubovali Safe Links pro jejich účet přímo do Defenderu a funguje to i s integrovaným klientem Windows Mail. Ostatní IMAP/POP3 přes "Internet Security" a nepustit, minimálně hlavní výrobci bezpečnostních řešení si phishing/malicious links hlídají. Při nasazení Exchange serveru se stejně pořizují i licence "Mail Security", takže zůstávám v klidu.

Nicméně mně utvrzuješ v dlouhodobém názoru na Thunderbird reprezentující příklad katastrofálního klienta, který nezvládá ani základní správu větší poštovní schránky, natož něco navíc (třeba indexaci, OCR apod.).

https://support.microsoft.com/en-us/office/advanced-outlook-com-security-for-microsoft-365-subscribers-882d2243-eab9-4545-a58a-b36fee4a46e2

> Ostatní IMAP/POP3 přes "Internet Security" a nepustit, minimálně hlavní výrobci bezpečnostních řešení si phishing/malicious links hlídají.

Asi jsme se nepochopili, tohle nijak nesouvisí s nějakým přijatým mailem, to je způsob autentizace -- heslo přes TLS nebo klientský certifikát někomu přišel málo moderní, tak chce pro schválení přístupu otevírat webovou stránku.

Jasně, to mi nedošlo asi prostě proto, že mám všechno na Exchange a Outlook, proto mi nedocvaklo, že jde o "moderní" přístup k autentizaci.

Gmail se mi uhnízdil v Androidu, jakožto vlezlá nezbytnost a v první chvíli mi to nedošlo.