Názory k článku
DiceKeys: silné heslo na celý život

Fotit heslo appkou.... ????

Jak úroveň zabezpečení snížit pod bezpečnost hesla 12345

Pod 12345 asi ne. Navíc 1passwordu třeba taky věříte, že ta hesla nečte, i když to je technicky možné. Stejně jako veškerému softwaru, co si na počítač nainstalujete. Ten má totiž přístup ke všemu, včetně třeba vašeho SSH klíče. V čem by ta appka měla být jiná?

Tak treba softwaru na mem pocitaci muzu zakazat pristup na internet. Napr. inkscape si mozna precte SSH klice, ale uz je neposle dal. Kdezto ta "appka" na https://dicekeys.app/ je primo webova stranka mimo jakoukoliv moji kontrolu.

Ta appka na https://dicekeys.app/ běží zjevně v prohlížeči a můžete zkontrolovat její zdrojový kód. A vždy je možné ji navíc zakázat přístup do internetu nebo zkusit co to kam posílá.

komu vadí apka, tak ten se to několika pokusy s apkou naučí odvodit z kostek sám s použitím pouze svého mozku, ne?

Čím se liší heslo uložené v krabičce od hesla napsaného na papírku?

Je skutečně náhodné a jeho tvorba není závislá na prakticky neověřitelném slibu třetí strany, že je jejich generátor náhodných čísel skutečně náhodný. Systém kostek vyhazuje z problému několik potenciálních problémů a zbývá jen důvěra v kvalitu kostek, která může reálně ubrat několik bitů entropie, pokud budou nekvalitní.

Důvěra v kvalitu kostek a důvěra v generátor náhodných čísel jsou ekvivalentní. Navíc můžete zkombinovat víc výstupů z různých generátorů náhodných čísel. Pokud nedůvěřujete cizím generátorům náhodných čísel, můžete házet libovolnými hracími kostkami.

To jo, ale kostky nejsou taková neznámá černá skříňka jako generátory skutečných náhodných čásel, které tak i často vypadají. Některé takové externí generátory jsou taky prokazatelně náhodnější než jiné, ikdyž všechny tvrdí dokonalou náhodnost. Kostky jsou pochopitelnější a ověřitelnější. Při vytváření klíče kostkami bez appky odpadá dlouhý řetěz slepé důvěry od ovladače, přes OS, procesor, absenci spywaru až po samotný generátor hesel. Zbyde jen důvera v kostky, algoritmus tvorby klíče a mé schopnosti to správně spočítat, což je v podstatě nejideálnější stav, ke kterému se lze reálně dopracovat.

Kombinaci více generátorů náhodných čísel bych nedělal, je to docela hazard a výsledky jsou neprůkazné. Některé postupy mohou chyby i násobit.

Řekl bych, že „kostky jsou pochopitelnější a ověřitelnější“ je jenom projev toho, že z nějakého důvodu víc věříte fyzickému světu než virtuálnímu. Ve skutečnosti, kdybyste chtěl ty kostky ověřit, budete tápat úplně stejně, jako u těch generátorů.

> Kombinaci více generátorů náhodných čísel bych nedělal, je to docela hazard a výsledky jsou neprůkazné. Některé postupy mohou chyby i násobit.

Některé postupy, jako třeba XOR, dokáží zajistit náhodnost, i když jsou všechny zdroje kromě jednoho špatné.

A k čemu je mi takové "skutečně náhodné" (ať už to má znamenat cokoliv) heslo, když se ho může snadno zmocnit každý kdo zjistí, kam jsem si strčil tu krabičku? A ještě hůře - když mi může ty kostky přeházet a tím znemožnit přihlášení?

Nejde mi o postup vygenerování, ale o způsob uchování. To si můžu vycvakat klávesy z klávesnice a losovat je z pytlíku a vzniklé heslo si napsat na papírek, který strčím do peněženky...

Stejný pocit jako u Cryptosteel - člověk bude potřebovat obnovit a zjistí „děti si s tím hrály a pomíchaly to“ :-)

1. Vygenerovat heslo.
2. Zakápnout vteřiňákem.
3. ???
;-)

1. Nahromadění
2. ?
3. Zisk
;-)

Dohromady dostanete entropii více jak 196 bitů.

No on ve videu píše 128b-196b. A to je málo. Díky narozeninovému paradoxu se to dá s padesátiprocentní úspěšností lousknout už po 64b-98b pokusech. Minimální síla se dnes uvádí 112b (224b) a standardem je 128b (256b). Proto máme AES256, SHA3-256 atd.

Určitě je to lepší řešení než jiné generátory hesel (ve skutečnosti je to velmi pěkný nápad), ale asi bych tomu neříkal jedno heslo na celý život nebo na dekádu. To by muselo být větší (což ale není takový problém).

Heslo na úrovni dnešní krypto by mělo mít alespoň 18 znaků (malá velká abeceda + číslice). 258b (ln(18^(26*2+­10))/ln(2)). Přidáním jednoho písmenka navíc je to 62x silnější. Chce to ale dobrý generátor (a paměť).

24. 8. 2020, 12:22 editováno autorem komentáře

máte to špatně spočítané, má být ln((26*2+10)^­18)/ln(2)=107

navíc nevím, kde ve videu přišel na 128, správně i s orientacemi kostek to je 196, bez orientací (když by se to někomu zdálo složité) 148

Máte pravdu, tak dlouho jsem bojoval s bc a neexistencí factorialu, že jsem to otočil. Je to 43 znaků (l((26*2+10)^­43)/l(2)). Mě se to zdálo divné, ale kontroloval jsem to s projektem s jinou abecedou. I mistr tesař se utne.

Jak přišel na 128 netuším. Co mě ale dráždí víc, je fakt, proč je to 196b a ne 256+. Kdyby to měl jako 6x6 (36 kostek) tak mu vychází luxusních 301b entropie (l(fac(36)*24­^36/4)/l(2)).

No to záleží na tom, na co chcete útočit (nebo před jakým typem útoku se chránit). Pokud budete útočit na jeden konkrétní účet, tak ano, musíte projít všechny kombinace (tj 50% je (2^n)/2). (Kolize druhého řádu.)

Pokud ale máte zašifrovaná data z nějaké služby a máte tam všechny účty světa, a chcete z toho dostat alespoň něco, tak se to mění na 2^(n/2). (Kolize prvního řádu.)

Ale jako uživatel bych si moc nevybíral. Není důvod nepoužít kryptograficky silné heslo.

Tak to je asi o definicích. Protože obvykle se šifrovací schema považuje za prolomené ve chvíli, kdy je nalezena libovolná kolize prvního řádu. Tj to heslo Alice nebo Boba ani nemusíte znát, ale víte že je stejné (nebo vede na stejný otisk). Třeba to víte díky slabému klíči (nebo v tomto případě heslu).

A z toho se odvozuje kryptografická síla. Pokud vím, tak brute force metodou se už hodně dávno (v devadesátkách) podařilo cracknout 96b. V roce 2013 byla minimální krypto síla nastavena na 112b. Co se podařilo brute force od té doby nevím, ale dneska je standardní krypto síla 128b. Tj 256b.

Tj v zásadě cokoliv pod 128b (256b) můžete v klidu odmítnout. A já nevím co se louská dneska (jestli je to 105b nebo tak něco) a celkem mě to nezajímá.

A já chápu, že intuitivně požadujeme nejlépe kolizi druhého řádu a to ještě navíc na konkrétní klíč. Ale takto se krypto nestaví (nebo takto mě to nikdo neučil). Krypto se staví na zabránění i hypotetickým kolizí prvního řádu a to nejen na základně oslabení funkce (tam je to končená), ale i díky slabé síle.

Proto mě to tak dráždí. Jasně, tohle kostičkové řešení je nesrovnatelně lepší než jakékoliv lidské heslo, o tom žádná, ale mohli to posunout do oblasti nad 256b (což by šlo velmi snadno).

Kolik je to kombinací?
6 stěn
každou stěnu mohui otočit 4x - kdyby na každé steně byly 4 písmena, každé orientované jinak, podle otočení, budu mít 6*4 písmen = 24

Počet kostiček je 25. Tedy 24^25 = 3,200965864×10³⁴

Převedeno na počet bitů = log(3,2009658­64×10³⁴)÷log(2) = 114,624062518

Jak tam docílí ty další bity?

Ještě záleží na pořadí kostek takže je to potřeba vynásobit 25!

To je určitě nesmysl.

Kdybych do každé kostky zakódoval 32 stavů (jen 24), tak 32 stavů je 5 bitů. A kostek je 25, takže 25*5 = 125 bitů

Když k tomu přidám 4x otočení krabice, to jsou 2 bity, mám 127 bitů.

Jsem si totiž téměř jist, že to pořadí je už dáno v těch kombinacích stěn a natočení. Protože já nemohu měnit obsah stěn, ty jsou tam předem dané. takže jedno konkrétní pořadí dává podmnožinu ostatních kombinací, a další pořadí zase podmnožinu ostatních kombinací, nemůžu to takhle vynásobit.

Má to popsané na stránce dole.
https://dicekeys.com/

každá kostka má asi jen jedno písmeno na všech stěnách, teda kombinací 25!

k tomu může být číslo 1-6 , tedy krát 6^25

k tomu 4 orientace, tedy krát 4^25

a ještě se oddělá závislost na natočení krabice, prý aby se to nemuselo fotit pořád v jedné poloze, tedy děleno 4

Ten výpočet tam je blbě.

Já nevím, tak to srovnejte třeba s bitcoin trezorem. Ten má 24 slov a každé slovo je z množiny 2048 (11bitů). Dohromady mám 264 bitů

Tady mám 25 slov z množiny 24 (min 4.5849bit). Protože mám 6 stěn a každou stěnu mohu otočit 4x

Pokud přidám otočení krabice, mám další dva bity

24. 8. 2020, 15:29 editováno autorem komentáře

ne, výpočet tam je dobře, vy to nějak motáte

každá kostka skutečně může ukazovat číslo 1-6 a jednu ze 4 orientací, to je těch vašich 24^25

otočení krabice se ubírá, protože chtějí, aby bylo jedno, jak je natočená - to je to dělení 4

ale každá kostka má také navíc jedno písmeno, každé jiné (ze všech stran ovšem stejné), podle vás na pořadí nezáleží, teda jako by ty kostky byly bez písmen, jen s čísly a různě otočené

jestli přidám písmena, tak kombinací je tolik, kolik máte vy, krát 25!, protože tolik různých permutací 25 písmen za sebou dokážu vytvořit a přitom čísla a orientace nechám stejné

závěr - vysledek je dobře

V čem je to lepší než si vygenerovat svoje dlouhé heslo (klidně házením kostek nebo jakkoli) a vytisknout si ho jako QRkód?

Dá se to prodávat…

Nekdy si pripadam jako fachidiot.
Koncept hesla je nejvetsi opruz co na uzivatelych vyzadujeme a tvarime se pritom dulezite.

A jaké jsou alternativy? (samozřejmě se bavím o jednom master hesle ke správci hesel/šifrovanému disku, případně k odemčení obrazovky, ne o mém hesle k diskuzi na Rootu, které je v tom password manageru, já ho ani nikdy neviděl a mělo by být nahrazeno asymetrickou kryptografií jako u SSH)

Dotaz laika, naprostého diletanta: Mohla by jako heslo sloužit třeba fotka nebo třeba písnička? Myslím to tak, že by datový popis , datová struktura nějaké fotografie nebo nějaké zvukové nahrávky (ne nutně nějaké velké) mohly být použity jako heslo? Asi nesmyslný dotaz, že? A už jen doplňovací- jsem na Linuxu-existuje nějaký password manažér normálně uživatelný jak v Linuxu, tak ve windech? Díky a omlouvám se :-) !

Na ten dotaz doplňovací :) - je jich vícero. Za sebe můžu doporučit třeba https://keepassxc.org/

Na jednom moc zajímavém semináři o bezpečnosti se jeden docela známý hacker rozzesmál nad složitostí vytváření hesel, protože se stále bojuje mezi "jednoduché na zapamatování, aby si to člověk nemusel psát" X "těžké na prolomení".

On dal návod, který mne povbavil:
délka hesla je vlastně hlavním bezpečnostním opatřením. Když ho postavíme na nějaké známé frázi (např. z písničky) , ale tu frázi pozměníme, dostaneme velmi bezpečné heslo. Např.
"kockalezedirou­pesstrechoune­budeliprsetumok­nem"
- neobsahuje kapitálky
-neobsahuje zvláštní znaky
- neobsahuje čísla
ale
- je zapamatovatelné
- je tak dlouhé, že je téměř neprolomitelné
- není sociálním inženýringem zjistitelné (není to písnička od mé oblíbené skupiny apod)
- není prorazitelné slovníkovým útokem

Tohle se sice celkem často tvrdí, ale neřekl bych, že je to tak úplně pravda. Pokud to budu lámat po písmenech, tak opravdu není šance. Ale co když zkusím vzít jako základní kameny běžná slova ze slovníku? Pak už těch možností k vyzkoušení nebude až tak astronomicky moc. Můžete to sice opepřit "překlepy", ale ty zase může testovat i útočník (jako to dělá třeba John the Ripper). Tady navíc vycházíte ze známé dlouhé fráze, kterou pouze mírně obměníte.

A v neposlední řadě je tu i otázka praktičnosti takové fráze. Pokud je to fráze, kterou budete používat jen ve výjimečných situacích, tak to není problém, ale pokud by to měla být třeba fráze k něčemu jako password store, budete ji muset psát denně nebo dokonce několikrát denně a to nebude nic příjemného.

- _urcite_ nebrat existujici pisnicku
- cela slova jsou IMO plytvani

Radeji nejakou dementni frazi, co si snadno zapamatuju. A treba prvni pismena.

"Nejhorsi na slabych heslech je to, ze jsou slaba. Entropie, entropie; pokazde si f*ndu myje." -> Nnshjt,zjs.E,e;psf*m.

Porad nic moc (zrovna to rozlozeni prvnich pismen neni zadny zazrak, mozna to bude lepsi trebas u tretich?).

Jen poznámka z praxe. Rozmyslete si, odkud budete na daný systém přistupovat. Dávat do hesla speciální znaky se může vymstít, pokud se potřebujete přihlásit na nějakém nestandardním terminálu (konkrétně třeba vmware). Plete se CZ / ENG klávesnice apod. Úplné žůžo je přistupovat na vmware terminál ze vzdálené plochy z českých widlí z rdesktopu z linuxu s EN klávesnicí.

Takže nakonec je lepší zvolit abecedu jen malá písmena a projistotu se vyhnout i z/y, protože kde kdo rád nastavuje qwertz českou klávesnici.

A udělat to heslo prostě delší. Delší heslo se opisuje překvapivě snadněji, než řešit vše uvedené výše (v některých kombinacích terminálů hvězdičku prostě nenapíšete).

Uprimne receno... nejsem rasista, ale master heslo bych nezadaval nekam, kde nekdo nastavil QWERTZ klavesnici.

25. 8. 2020, 10:16 editováno autorem komentáře

To je v zásadě přístup podle xkcd 936. Lepší než používat nějakou známou písničku s drobnou obměnou je provést náhodný výběr slovníkových slov, třeba 4096 nejpoužívanějších slov. Každé slovo tak dá dvanáct bitů entropie, tedy zhruba jako ve dvou zcela náhodných alfanumerických znacích (6 bitů na znak při 64 možných znacích). Pokud těch slov vylosujete pět za sebe, může vám vyjít naprosto nesmyslná věta typu Correct horse battery staple, kterou si ale snadno zapamatujete a bude mít sílu srovnatelnou s desetiznakovým silným heslem.

Problém je, že to je dlouhé heslo, které rozhodně není dobré například na odemykání obrazovky počítače. Ale třeba na odemykání správce hesel vhodné je.

Problém tohohle přístupu je, že to řeší čistě jen útok hrubou silou. Ale třeba proti nedokonalému odpozorování hesla už to odolné není – útočník bude pravděpodobně schopen chybějící/nejasné části doplnit.

Na druhou stranu, nějaké master heslo ke správci hesel obvykle pořád ještě potřebujeme, a pořád lepší takovéhle heslo, než slovníkové heslo.

Pár takových hesel jsem si vygeneroval už kdysi na základce.
Sestavil jsem relativně náhodná slova do vět tak, že se to nějak rýmovalo, a zároveň se to dalo přečíst, i když to nedávalo žádný smysl.
Přesně jak je v XKCD, udělal jsem si tehdy 4, a dodnes si je pamatuji. Jsou dlouhá, takže se hodí právě jako heslo ke keepassu, a víceméně nezapomenutelná.

Má to ale háček. Takováhle říkanka se tak dobře vyslovuje, jak prochází přes řečová centra v mozku, že má člověk tendenci jej vyslovit. A to stačí udělat jednou. Navíc jak je snadno zapamatovatelné a nesmyslné, zaujme to případného posluchače, ale to je stejně irelevantní - jakmile je takové heslo vysloveno nahlas, je po něm.
Navíc si myslím, že tím, že se nad heslem zamyslím a tím ho v duchu vyslovím, bude relativně snadno zjistitelné nějakým skenováním chodu mozku. Pokud ze mě tedy někdo bude chtít heslo dostat, stačí mě narvat pod nějaký šikovný přístroj a o tom hesle se mimochodem zmínit nebo ho jinak připomenout. Mně se pak v duchu automaticky prožene "Nepleť mouchy s hermelínem, přejedeš katedrálu s mlýnem", přičemž si myslím, že se to jako lehké nervové vzruchy dostane až ke svalům (mám ten pocit), a je vymalováno. Nebo stačí nějaký pozměněný stav mysli, třeba drogy, aby to člověk i zamumlal. To se u nevyslovitelného hesla nestane.

> Navíc si myslím, že tím, že se nad heslem zamyslím a tím ho v duchu vyslovím, bude relativně snadno zjistitelné nějakým skenováním chodu mozku...

A není klasická pendreková kryptoanalýza trochu reálnější? :D I od agentury, co má přístup k mimozemským technologiím, hrozí spíš waterboarding někde ve sklepě.

To samozřejmě je, ale po waterboardingu člověk alespoň ví, že to heslo už sdělil, takže jej nebude dále používat. Předpokládám, že pendreková kryptoanalýza prolomí každé zapamatovatelné heslo.
Takhle se to ale s trochou fantazie dá udělat skrytě, i když je to pořád technicky daleko složitější než keyloger.

Jenom bych připomněl, že „sestavil jsme relativně náhodná slova“ dost snižuje entropii, protože lidský mozek ta slova ani náhodou neumí vybrat náhodně. „Rýmuje se“ také snižuje entropii, „dalo se to přečíst“ rovněž. Takže entropie takového hesla je mnohem nižší, než by odpovídalo „počtu slov ve slovníku na počet slov v hesle“.

Ne že by takové heslo bylo vyloženě slabé, dneska nejspíš pořád ještě útoku hrubou silou odolá, ale k síle hesla z opravdu náhodně vybraných slov má dost daleko.

Ano, toho jsem si vědom, zapomněl jsem to tam zmínit. Pro dobře vybaveného útočníka (třeba spolužáka, který si pamatoval těch pár stovek slov, co jsem nejčastěji používal) by bylo daleko snažší takové heslo prolomit.
Větší riziko ale vidím v tom, jak s tím člověk pak pracuje.

délka hesla je vlastně hlavním bezpečnostním opatřením
Není. Bezpečnostním opatřením není délka hesla, ale jeho entropie. Tím zbytek vašeho komentáře padá.