GitHub opustil potvrzování akcí pomocí hesel, nabádá ke dvoufaktoru

Pokud myslíte to, abych konkrétně vám teď unesl účet, pak jste nepochopil bezpečnost. V bezpečnosti jde o riziko, bezpečnější znamená méně rizika. Představte si to třeba jako bezpečnostní pásy nebo airbag v autě – to, že jste je za celý život nepotřeboval, neznamená, že není rozumné je v autě mít a používat.

No a pokud jste se chtěl zeptat obecně, jaká rizika eliminuje 2FA, pak je to třeba riziko toho, že máte slabé heslo; že používáte stejné heslo i jinde; že něco vaše heslo odposlechne; že heslo zadáte někam, kam byste neměl. Pokud byste snad chtěl argumentovat tím, že používáte správce hesel a tudíž vám nic z toho nehrozí, pak to za prvé není pravda (správce hesel některá rizika sníží na nulu, ale některá stále zůstanou, i když menší), a za druhé – a to je to hlavní – když už máte správce hesel, není přece problém používat i tu 2FA. A můžete to mít hezky rozdělené, u nedůležitých účtů můžete mít 2. faktor přímo v tom správci hesel, u důležitých účtů můžete ten druhý faktor mít jinde.

Jaký druhý faktor můžu mít uložený ve správci hesel? Do teď jsem měl pocit, že druhý faktor k heslu by mělo být třeba něco typu "mám". Jaký smysluplný druhý faktor můžu mít ve správci hesel aby to efektivně nebylo dlouhé heslo jen řízlé na dvě části?

Ano, pokud si do stejné databáze keepassxc uložíte heslo i secret pro TOTP, pak se o dvoufaktorové autentizaci opravdu moc mluvit nedá, i když to server samozřejmě poznat nemůže, takže vám to projde. Ale to už je na vás, stejně jako můžete sabotovat první faktor tím, že zvolíte absurdně snadno uhodnutelné heslo.

Jako druhý faktor se na webu nejčastěji používají TOTP, dnes se pomalu přechází na U2F. Klíč od TOTP můžete mít uložený ve správci hesel, a rozumný správce hesel vám z něj to jednorázové heslo vypočítá.

Rozdíl oproti rozpůlenému heslu je ten, že TOTP se mění každých 30 sekund. Takže i kdybyste ty údaje teoreticky zadal na kompromitovaném počítači, útočník nezíská trvalý přístup. (Samozřejmě počítám s tím, že v tomto případě hesla odněkud opisujete. Pokud na kompromitovaném počítači spustíte správce hesel a zadáte hlavní heslo, nezachrání vás nic.)

Fakticky to není dvoufaktorová autentizace, protože obě hesla jsou na stejném místě. Ale proti reálným útokům je to dostatečně silná ochrana. A klíč k TOTP pro důležité účty můžete mít pořád uložený někde jinde. Beru to tak, že autentizace jen jménem a heslem dnes už prakticky není žádná autentizace, takže je to nějaký nultý faktor nebo půl faktoru. A to TOTP k tomu přidává ten jeden faktor, aby to bylo alespoň nějak zabezpečené.

Na ukradení spousty účtu ale stačí dočasný přístup, ne? Leda že by změna přihlašovacích údajů vyžadovala ještě nějaký další nezávislý faktor. A to je zase další komplikace.

A opisovat hesla ze správce? Můj dojem je, že použití správce hesel vede k heslům, které se bez něj takřka nedají používat. V defaultním nastavení mi správci generují takřka neopsatelná hesla.

...takže se nakonec shodneme, že zabezpečení účtů na internetu je vždy nějakým způsobem kompromisní. Absolutní bezpečnosti není možno dosáhnout, takže se hledá ekvilibrium, kdy už je to dost zabezpečené, a přitom to není moc velký oser používat.

Jediné, a čem se neshodneme, je ta míra toho, kde to ekvilibrium je. Pro tebe (vás) je nejschůdnější "2FA" realizované tím, že oba faktory nakonec vyplní jediný správce hesel. Někdo jiný by řekl, že to je moc slabé a nebezpečné a ohrožuješ(te) tím nejen sebe, ale i ostatní uživatele služby, a požadoval by nějaké neprůstřelnější zabezpečení. Pro mě je zas těžko použitelný i ten správce hesel (už jsme tu dříve o tom diskutovali), tak bych chtěl (na mnohých službách) prostě jen heslo, a u bankovnictví zas poctivé 2FA.

Mimochodem, stran zabezpečení (obecně, platí i pro dveřní zámky) je jede aspekt, o kterém se málo mluví: když se zabezpečovací nástroj otočí proti vám. Zabouchnete si klíče, smažete si správce hesel. Zatím v mém osobním případě vede na počet i závažnost případů to, že jsem se sám vyDoSoval svým zabezpečením, než že bych byl obětí útočníka, proti němuž jsem byl zabezpečený málo. To je pro mě argument, proč se nezabezpečovat přehnaně.

Lenze ak sa ti uz niekto dostane do pocitaca, kde je ten spravca hesiel naisntalovany a ulozeny, tak je to horsi problem ako len to, ze sa ti dostane k TOTP.

Prakticky vidi vsteko co robis a tiez to moze modifikovat. Aj keby mas vtedy autentifikaciu pomocou sitnice oka a krvy jednorozca, tak ti to uz nepomoze.

oss: to je právě jedna z nevýhod správců hesel. Představ si situaci, kdy máš mobil s Androidem, přes který si chceš kupovat jízdenky na vlak. Je to starší mobil s už nepodporovanou verzí Androidu, která je potenciálně děravá, ale na takovouhle úlohu (a třeba offline mapy) by měl stačit.

Pokud používáš jen hesla, pamatuješ si prostě heslo k účtu přes nějž jízdenky kupuješ, a kdyby ti útočník mobil ovládl, dostane se jen k tomu. Přes takové kompromitované zařízení tě prostě bude "rozebírat" postupně. Přičemž poměr cost/benefit útočníkovi nestojí kolikrát ani za to.

Pokud používáš správce hesel, máš pravděpodobně všude nezapamatovatelná, ba neopsatelná hesla, včetně toho účtu na jízdenky. Nezbývá ti tudíž, než toho správce hesel nainstalovat a synchronizovat i do toho mobilu. Když ho útočník ovládne, odposlechne hlavní heslo, má tě na lopatkách, má přístup ke všem účtům co máš.

Preto nepouzivam online spravca hesiel ani takeho, ktory nieco sam vyplna. Taktiez nikde nemam zapemtame prihlasovacie udaje.

Ano spravca hesiel ide pouzit rovnako zle ako textovy dokument na ploche.

Ale vo vseobecnosti zvysuje bezpecnost. A ide ho pouzit este bezpecnejsie, len to chce rozum.

Napriklad budete si pametat svoje tajne heslo 1. V spravcovi budete mat k strankam vygenerovane rozne unikatne a naozaj nahodne hesla. Skoprujete zo spravca heslo a rucne tam dopisete tu cast, ktoru si pametate (tajne heslo 1).

Alebo sprca hesiel pouzivat iba na stranky, kde sa bojite kompromitacie. A na dolezite si ich budete pametat...

oss: Nebo lze správce hesel použít ještě daleko bezpečněji, než popisujete vy, jen to chce rozum. Stačí ve správci hesel povolit automatické vyplňování – a hned jste chráněn proti phishingu, před kterým vás ruční vyplňování nechrání. Mimochodem, phishing považuji u znalého člověka za největší nebezpečí. Dotyčný neinstaluje na počítač kde co, takže pravděpodobnost, že bude mít na počítači keylogger, je docela nízká. Používá unikátní hesla, takže únik dat z databáze ho neohrozí. Ale phishing je pro něj stále reálnou hrozbou, protože lidský mozek není uzpůsobený tomu, aby při každém zadávání hesla pečlivě kontroloval webovou adresu, kam heslo zadává.

Další kritický aspekt zabezpečení jsou falešná pozitiva. Stačí aby nějaký alarm párkrát spustil naprázdno a všichni se na něj vykašlou. A ze stejného důvodu stačí aby správce hesel tu a tam selhal při automatickém doplňování a přestává chránit před podvrženýma stránkama.

Špatně. Centralizace je prostě chyba. Žádné zabezpečení není 100%, ale prolomení centrálního úložiště způsobí 100% škody. Tohle prostě není správný způsob řešení.

Mně stačí si pamatovat pár algoritmů a několik náhodných řetězců. Díky tomu mám ke službě vždy velmi silné a se znalostí výše uvedeného pořád odvoditelné heslo. I když někdo zjistí raw heslo k jedné službě, bude mu trvat dlouho, než z něj dostane ten algoritmus. A kdyby ho dostal, pořád je schopen mi zcizit jen část portfolia, protože jiný typ služeb má jiný algoritmus. V čem je to slabší než 2FA a správci hesel, to věru netuším.

To, že něco netušíte, opravdu není nejlepší kvalifikace. Asi byste nechtěl, abyste přišel do nemocnice a tam vám řekli: „Tady pan doktor věru netuší, kde byste mohl mít slepé střevo, takže vám ho zítra bude operovat právě on.“

Pro vaši informaci, cokoli, kam píšete ručně heslo, je mnohem slabší, než správce hesel. I kdybyste to heslo měl dlouhé třeba kilometr. Protože správce hesel nevyplní heslo omylem do webu, který sice vypadá správně, ale má trochu jinou adresu. Vy tam to heslo vyplníte, protože si toho rozdílu nevšimnete.

No a ta vaše „bezpečnost“ založená na utajování algoritmu, to je tak profláklý a starý případ špatného zabezpečení, že má dokonce své vlastní jméno: Security through obscurity.

No jo, ale vy zase spoléháte na to, že váš správce hesel nemá někde na darknetu exploit, nebo že se zrovna teď neobchoduje uniklá celá databáze z cloudu. Tak nevím, jestli ta moje "obskurita" není vlastně lepší. Už proto, že na mě musí jít útočník "jeden na jednoho".

Jenže vy už centralizujete, ať chcete nebo ne. Hesla proudí vašim počítačem. Pokud jej útočník úspěšně napadne, hesla získá v každém případě. Pokud je máte v hlavě, prostě si útočník počká, až je zase zadáte.

Častý omyl je, že přítomnost správce hesel nějak ovlivňuje bezpečnost uživatelova počítače. Nemá na ni vůbec žádný vliv, nekompromitovaný počítač je v každém případě nutností.

Co ovšem uložení hesel mění zásadně, je síla samotných hesel. Váš algoritmus je rozhodně slabší než moje náhodně vygenerovaná hesla. Můžete jich z různých služeb ukrást stovku, ale žádné další z nich nevykoukáte. Nemusí mě trápit, jak s mými hesly zacházejí ostatní. Každý web má unikátní heslo a jeho únik mě jinde neohrožuje.

Navíc vás hesla v hlavě nechrání před phishingem. Klidně heslo naklepete dřív nebo později do překlepové domény. Správce hesel to neudělá. Navíc u služeb, kde je to možné, používám U2F, které je proti phishingu zcela odolné. Únik hesla pak není bezpečnostní katastrofou.

Vlámat se do konkrétního počítače je ovšem úloha vyžadující zásadní zájem pro tento čin. Prolomit konkrétní produkt nebo jeho cloudové úložiště je pro útočníka samo o sobě výrazně lukrativnější.

Ad překlepové domény - to jsem naposledy viděl někdy před deseti lety. V tomto směru víc frčí podvržené maily s odkazem.

lidé jsou předvídatelní, naše geniální algoritmy padají s obrovskám množstvím uniklých hesel a jejich hromadným zpracováním, dají se z toho vytěžit i hodně zamotané algoritmy.

I ten algoritmus je centralizace, stejně tak je centralizace jeden člověk, jeden počítat (stačí zákeřný monitorovací proces na něm a zjistí veškerá hesla), když už něco kritizuješ, měl bys používat stejný metr i na ostatní služby.

Správce hesel nechrání přímo tebe, tvůj počítač a tvoje systémy, ale chrání od hromadného zneužívání služeb při úniku nějakého hesla, stejně tak přidává značnou entropii k heslům (pokud hesla generuješ), takže efektivně brání slovníkovým útokům. Dnes se dostávám do situace, kdy bezpečná hesla si není snadné zapamatovat, zejména v tom množství.

Správce hesele je podobná centralizace jako SSO (přihlašování přes facebook, mojeid, státní identita či portály uvnitř firem atd.). Dnes se ukazuje, že je relativně bezpečné právě centralizovat systém s tejemstvím a udržovat nad ním silný dohled, to se samozřejmě může v budoucnu změnit, ale dnes to poskytuje solidní úroveň zabezpečení proti ostatním metodám.

Taky nemam duveru ve spravce hesel. Je to jenom takova obezlicka ze mate pocit silnych hesel a zaroven pohodli. Ale staci jeden prunik do spravce a vsechno je nanic.

Správce hesel ak nie je nijak prepojený cez cloud/Internet ale je len a len čisto na Vašom PC, tak nemôže byť nebezpečnejší, než keby nebol. Pretože ak sa niekto dostane do Vášho správcu hesiel, tak to znamená že už i tak má prístup k Vašemu systému, ktorý teda už není Váš a teda je absolútne jedno či to unesnie z password manageru, alebo si počká kým sa prihlásite a keyloggerom, alebo proste ani nebude získavať prihlasovacie údaje ale rovno jak ste prihlásený na "nie už Vašom PC" tak na pozadí vykoná operácie nad "nie už Vašimi účtami". Takže v prípade správcu hesiel neexistuje o nič vyššie riziko, než keby si to heslo zadával s papierika či kľudne aj zo svojej mozgovej pamäte.

17. 8. 2021, 22:37 editováno autorem komentáře

Ve správci hesel máte náhodně generovaná hesla. Takže to není jen pocit silných hesel (pokud si tedy generátor nenastavíte tak, že má generovat pětiznaková hesla jen z malých písmen).

To „stačí jeden průnik“ je nepochopení bezpečnosti. Je to stejné, jako kdybych tvrdil, že stačí vložit vám do mozku jeden čip, a vaše hesla, která máte jen v hlavě, jsou veřejná. Což je pravda – akorát to naráží na takový drobný problém, jak je pravděpodobné, že se takový čip podaří v blízké době vyvinout a implantovat vám ho.

Vy pořád vycházíte z toho, že správce hesel je neprůstřelný a necloudový a operační systém je neděravý. Ale on může mít díru, backdoor, často jde kvůli pohodlnosti uživatele o cloudovou službu, což výrazně zvyšuje teoretický zájem o útok na správce jako produkt, než v případě jednoho počítače jednoho pana X.

Humanoid č. 1264054 - poruchový: Z ničeho takového nevycházím. Vycházím jenom z toho, co už jsem psal – že je podstatně jednodušší zabezpečit a auditovat jeden správce hesel než tisíce webů. Cloudový správce hesel ničemu nevadí, pokud jsou hesla šifrována a dešifrována na klientovi. Což je samozřejmě zase něco, v čem mohou být zadní vrátka. Ale já si prostě operační systém, prohlížeč, rozšíření do prohlížeče a správce hesel vybírám tak, abych mohl věřit tomu, že jsou bezpečné.

Výborně. A já nevěřím tomu, že je něco tak bezpečné, aby mě to uspokojilo.
Realita bohužel moc často ukazuje opak. Nakonec je to teda věc víry :-)

A já nevěřím tomu, že je něco tak bezpečné, aby mě to uspokojilo.
Takže používáte něco ještě daleko méně bezpečného. Mně to tedy logické nepřipadá, ale když to tak chcete…

Správce hesel nepoužívám z důvodu bezpečnosti a z důvodu možnosti ztráty hesel. Co mám v hlavě, pokud nebudu mít nehodu s mozkem, nezapomenu. Navíc hesla mohu používat na více svých zařízeních. Moje hesla jsou hodně dlouhá, u jedné banky mám problém, že tak dlouhá hesla nepovoluje, což nechápu.

Správce hesel může být lokální, pak ale musí být na všech mých zařízeních (počítače, tablet, mobil atd.) a musím ho nějak stále synchronizovat, nebo mohu využít cloud, ale pak buď dávám svá hesla někomu cizímu, kterému důvěřuji a přes něj je používám/synchro­nizuji, nebo si to mohu řešit sám přes svůj lokální cloud, ale to vyžaduje infrastrukturu a znalosti. Navíc správci hesel je potřeba důvěřovat.

Mám několik způsobů, jak ty hesla dát dohromady. Pro nedůležité weby mám slabší hesla, na důležité naopak velmi silná, která nikde neukládám. Hesla také čas od času měním u těch důležitých webů.

Co je pro koho lepší si každý musí rozhodnout sám. Vždy záleží, jak s tím člověk nakládá. Oboje má své klady i zápory. Pro mě převažují klady pro dostatečně komplikovaná hesla v hlavě.

Vy si dokážete zapamatovat desítky hesel počítačem náhodně generovaných? Pochybuju. Spíš jste si sám vymyslel pár hesel – takže to, že jsou „dostatečně komplikovaná“ si jenom myslíte.

Je zábavné, jak vždycky někdo napíše, že se bojí úniku hesel ze správce hesel, a pak začne popisovat, jak riskuje únik hesla při každém jeho zadávání – protože vůbec nepočítá s phishingem. Správce hesel je dnes zkrátka ten nejbezpečnější způsob zacházení s hesly.

Mimochodem, pro synchronizaci přes cloud opravdu není potřeba, aby provozovatel cloudu měl k heslům přístup – šifrování už bylo dávno vynalezeno.