Vlákno názorů k článku
GitHub opustil potvrzování akcí pomocí hesel, nabádá ke dvoufaktoru od Libor Peltan - Já tadyten trend zvyšování bezpečnosti nezávisle na vůli...

Pokud myslíte to, abych konkrétně vám teď unesl účet, pak jste nepochopil bezpečnost. V bezpečnosti jde o riziko, bezpečnější znamená méně rizika. Představte si to třeba jako bezpečnostní pásy nebo airbag v autě – to, že jste je za celý život nepotřeboval, neznamená, že není rozumné je v autě mít a používat.

No a pokud jste se chtěl zeptat obecně, jaká rizika eliminuje 2FA, pak je to třeba riziko toho, že máte slabé heslo; že používáte stejné heslo i jinde; že něco vaše heslo odposlechne; že heslo zadáte někam, kam byste neměl. Pokud byste snad chtěl argumentovat tím, že používáte správce hesel a tudíž vám nic z toho nehrozí, pak to za prvé není pravda (správce hesel některá rizika sníží na nulu, ale některá stále zůstanou, i když menší), a za druhé – a to je to hlavní – když už máte správce hesel, není přece problém používat i tu 2FA. A můžete to mít hezky rozdělené, u nedůležitých účtů můžete mít 2. faktor přímo v tom správci hesel, u důležitých účtů můžete ten druhý faktor mít jinde.

Jaký druhý faktor můžu mít uložený ve správci hesel? Do teď jsem měl pocit, že druhý faktor k heslu by mělo být třeba něco typu "mám". Jaký smysluplný druhý faktor můžu mít ve správci hesel aby to efektivně nebylo dlouhé heslo jen řízlé na dvě části?

Ano, pokud si do stejné databáze keepassxc uložíte heslo i secret pro TOTP, pak se o dvoufaktorové autentizaci opravdu moc mluvit nedá, i když to server samozřejmě poznat nemůže, takže vám to projde. Ale to už je na vás, stejně jako můžete sabotovat první faktor tím, že zvolíte absurdně snadno uhodnutelné heslo.

Jako druhý faktor se na webu nejčastěji používají TOTP, dnes se pomalu přechází na U2F. Klíč od TOTP můžete mít uložený ve správci hesel, a rozumný správce hesel vám z něj to jednorázové heslo vypočítá.

Rozdíl oproti rozpůlenému heslu je ten, že TOTP se mění každých 30 sekund. Takže i kdybyste ty údaje teoreticky zadal na kompromitovaném počítači, útočník nezíská trvalý přístup. (Samozřejmě počítám s tím, že v tomto případě hesla odněkud opisujete. Pokud na kompromitovaném počítači spustíte správce hesel a zadáte hlavní heslo, nezachrání vás nic.)

Fakticky to není dvoufaktorová autentizace, protože obě hesla jsou na stejném místě. Ale proti reálným útokům je to dostatečně silná ochrana. A klíč k TOTP pro důležité účty můžete mít pořád uložený někde jinde. Beru to tak, že autentizace jen jménem a heslem dnes už prakticky není žádná autentizace, takže je to nějaký nultý faktor nebo půl faktoru. A to TOTP k tomu přidává ten jeden faktor, aby to bylo alespoň nějak zabezpečené.

Na ukradení spousty účtu ale stačí dočasný přístup, ne? Leda že by změna přihlašovacích údajů vyžadovala ještě nějaký další nezávislý faktor. A to je zase další komplikace.

A opisovat hesla ze správce? Můj dojem je, že použití správce hesel vede k heslům, které se bez něj takřka nedají používat. V defaultním nastavení mi správci generují takřka neopsatelná hesla.

...takže se nakonec shodneme, že zabezpečení účtů na internetu je vždy nějakým způsobem kompromisní. Absolutní bezpečnosti není možno dosáhnout, takže se hledá ekvilibrium, kdy už je to dost zabezpečené, a přitom to není moc velký oser používat.

Jediné, a čem se neshodneme, je ta míra toho, kde to ekvilibrium je. Pro tebe (vás) je nejschůdnější "2FA" realizované tím, že oba faktory nakonec vyplní jediný správce hesel. Někdo jiný by řekl, že to je moc slabé a nebezpečné a ohrožuješ(te) tím nejen sebe, ale i ostatní uživatele služby, a požadoval by nějaké neprůstřelnější zabezpečení. Pro mě je zas těžko použitelný i ten správce hesel (už jsme tu dříve o tom diskutovali), tak bych chtěl (na mnohých službách) prostě jen heslo, a u bankovnictví zas poctivé 2FA.

Mimochodem, stran zabezpečení (obecně, platí i pro dveřní zámky) je jede aspekt, o kterém se málo mluví: když se zabezpečovací nástroj otočí proti vám. Zabouchnete si klíče, smažete si správce hesel. Zatím v mém osobním případě vede na počet i závažnost případů to, že jsem se sám vyDoSoval svým zabezpečením, než že bych byl obětí útočníka, proti němuž jsem byl zabezpečený málo. To je pro mě argument, proč se nezabezpečovat přehnaně.

Lenze ak sa ti uz niekto dostane do pocitaca, kde je ten spravca hesiel naisntalovany a ulozeny, tak je to horsi problem ako len to, ze sa ti dostane k TOTP.

Prakticky vidi vsteko co robis a tiez to moze modifikovat. Aj keby mas vtedy autentifikaciu pomocou sitnice oka a krvy jednorozca, tak ti to uz nepomoze.

oss: to je právě jedna z nevýhod správců hesel. Představ si situaci, kdy máš mobil s Androidem, přes který si chceš kupovat jízdenky na vlak. Je to starší mobil s už nepodporovanou verzí Androidu, která je potenciálně děravá, ale na takovouhle úlohu (a třeba offline mapy) by měl stačit.

Pokud používáš jen hesla, pamatuješ si prostě heslo k účtu přes nějž jízdenky kupuješ, a kdyby ti útočník mobil ovládl, dostane se jen k tomu. Přes takové kompromitované zařízení tě prostě bude "rozebírat" postupně. Přičemž poměr cost/benefit útočníkovi nestojí kolikrát ani za to.

Pokud používáš správce hesel, máš pravděpodobně všude nezapamatovatelná, ba neopsatelná hesla, včetně toho účtu na jízdenky. Nezbývá ti tudíž, než toho správce hesel nainstalovat a synchronizovat i do toho mobilu. Když ho útočník ovládne, odposlechne hlavní heslo, má tě na lopatkách, má přístup ke všem účtům co máš.

Preto nepouzivam online spravca hesiel ani takeho, ktory nieco sam vyplna. Taktiez nikde nemam zapemtame prihlasovacie udaje.

Ano spravca hesiel ide pouzit rovnako zle ako textovy dokument na ploche.

Ale vo vseobecnosti zvysuje bezpecnost. A ide ho pouzit este bezpecnejsie, len to chce rozum.

Napriklad budete si pametat svoje tajne heslo 1. V spravcovi budete mat k strankam vygenerovane rozne unikatne a naozaj nahodne hesla. Skoprujete zo spravca heslo a rucne tam dopisete tu cast, ktoru si pametate (tajne heslo 1).

Alebo sprca hesiel pouzivat iba na stranky, kde sa bojite kompromitacie. A na dolezite si ich budete pametat...

oss: Nebo lze správce hesel použít ještě daleko bezpečněji, než popisujete vy, jen to chce rozum. Stačí ve správci hesel povolit automatické vyplňování – a hned jste chráněn proti phishingu, před kterým vás ruční vyplňování nechrání. Mimochodem, phishing považuji u znalého člověka za největší nebezpečí. Dotyčný neinstaluje na počítač kde co, takže pravděpodobnost, že bude mít na počítači keylogger, je docela nízká. Používá unikátní hesla, takže únik dat z databáze ho neohrozí. Ale phishing je pro něj stále reálnou hrozbou, protože lidský mozek není uzpůsobený tomu, aby při každém zadávání hesla pečlivě kontroloval webovou adresu, kam heslo zadává.

Další kritický aspekt zabezpečení jsou falešná pozitiva. Stačí aby nějaký alarm párkrát spustil naprázdno a všichni se na něj vykašlou. A ze stejného důvodu stačí aby správce hesel tu a tam selhal při automatickém doplňování a přestává chránit před podvrženýma stránkama.