Názory k článku
Má dnes ještě cenu skrývat heslo při psaní do přihlašovacího formuláře?
-
nesouhlas (neregistrovaný)
A co treba prihlasovani na konferencich a prednaskach, kde se vse prenasi obraz na dataprojektor. Nikomu nevadi, ze si heslo opise par tisic lidi? To je jen jeden priklad z mnoha. Nehlede na to, ze precist napsane heslo z monitoru je mnohonasobne jednodussi nez odpozorovat heslo psane na klavesnici.
Nekdo se potreboval proslavit, tak zverejnil kontroverzni nazor (cti „kravinu“).
-
Přesně tak, navíc když člověk píše všemi deseti a velmi rychle, navíc heslo, které já mám velmi dlouhé, ale vzhledem k tomu jak často ho píšu ho napíšu tak rychle, že bych to asi ani sám nedokázal přečíst na klávesnici, kdybych se na prsty ještě vůbec u toho díval, chtěl bych vidět jak mi to někdo z podprstů přečte.
Tak možná první dvě písmenka, potom už lítají všechny prsty =)
-
Anonymus Bimbas (neregistrovaný)
Přesně. Běžně používaná hesla člověk píše z motorické procedurální paměti, takže je dokáže napsat i když už začíná zapomínat jejich znění :) Myslím že u pacintů s poruchou běžné paměti (kdy se procedurální paměť často zachovává) se to i experimentálně prokázalo, vedle jiných činností dokázali vyťukat hesla nebo telefoní čísla, (která si jinak nepamatovali).
-
K (neregistrovaný)
Pefektní myšlenka, ovšem ze zkušenosti vzhledem k tomu na kolika serverech jsem třeba registrován, to vůbec není třeba, stává se mi i to, že při pokusu se někde registrovat (což dělám velmi nerad) se mi zobrazí hláška, že uživatel s tímto e-mailem je již registrován, což v kombinaci s absencí možnosti „zaslat heslo e-mailem“ opět dává krásnou příležitost zavpomínat zda nemám nějakou jinou nevytíženou email adresu =)
-
Shadow (neregistrovaný)
Nesuďte tak rychle a jděte si odkazovaný článek přečíst. Řešení, které dotyčný navrhuje, není hloupé – s tím, co jste říkal, počítá.
OT: Mrzí mne, že dneska lidé ty druhé soudí podle stručného odkazu na jejich článek bez toho, aby si ten článek alespoň přečetli. Ale ono je asi jednodušší kritizovat bez znalosti kritizovaného tématu.
-
Shadow (neregistrovaný)
Tohle byla moje první reakce taktéž. Na stranu druhou, zrovna v tomhle _měl_ pravdu. Obvykle se mi přes rameno skutečně nikdo nekouká. A jak občas pracuji s BFU, napsat heslo správně mívají problém, když nevidí, co zadávají. Checkbox „zobrazit heslo“ tedy podle mého není v některých případech úplně od věci (občas mi totiž beztak nezbylo než uživateli poradit, aby napsal heslo do políčka s uživatelským jménem, a pak ho pomocí copy'n'paste přesunul do políčka s heslem – tohle by ten proces usnadnilo).
Neříkám, že bych ho narval všude, nebo že bych ten checkbox nechal defaultně zapnutý (v tom s autorem rozhodně nesouhlasím), ale zase bych jeho myšlenku až tak úplně nezatracoval. Ostatně, třeba Wicd má u zadávání hesla k WiFi sítím checkbox k jeho zobrazení. A zrovna tady je to docela dobrá věc.
-
Uznavam ze druha reakce je na tom podstatne lip :o) Taky to uplne nezatracuji, (popravde kdyz jsem poprve videl v ubuntu „zobrazit heslo“ tak mi to prislo jako docela dobra funkce), ale davat to vsude s nastavenim puvodne odkryteho hesla? Pan Nielsen to opravdu prehani. Taky pracuju s BFU, ale muj pristup je ten, ze na prvnim miste bezpecnost a tolerance neprofesionality uzivatelu na poslednim.
-
Pokud tam píše i toto, tak je to těžce smutný. Takovou blbost mohl vypustit jen … (doplňte si dle svého). Já píšu rychle a nemají šanci to okoukat, ale pokud toho dotyčného znám, on se bude neustále koukat na mé heslo, tak časem ho může opozorovat, z toho mám trochu strach, ale zde je to už o důvěře. Osobně se tomu snažím vyhnout.
Mnohem více by mě potěšilo, kdyby se zaměřili podobní floutkové, jak je zabezpečen přenos hesla po netu. Nechápu, proč není zakázán nešifrovaný přenos třeba v html, osobně bych mnohem raději viděl pouze https. Ale o bezpečnosti vím prd, musím se hodně učit, to uznávám. ;)
-
chvalis (neregistrovaný)
souhlasim s tim ze skryvani hvezdicek ma svoje opodstatneni.. ale zase nemuzu souhlasit s temi dataprojektory.. uz jsem zazil mnohomnoho prihlasovani pri pouziti dataprojektoru.. a kazdy si ten dataprojektor bud pauzne nebo zhasne.. nevidel jsem nikoho kdo by vyplnoval prihlasovaci formular a mel zaplej projektor.. uz jenom treba proto ze se obcas stava.. ze omylem pisete heslo do pole se jmenem ;-)
-
Zajimavej nazor. Ale je to jenom jeden uhel pohledu i to, ne zrovna ten nejlepsi. Jinej by byl, ze v dnesni dobe zlepsujici se kvality snimku (at uz se jedna o jakekoliv kamery) by to mohl byt hodne spatnej napad. Prece jenom kdyz mi nekdo kouka pres rameno kdyz jdu psat heslo tak se otocim a beze slova cumim na nej dokud mu to nedojde ze „wo co go“ (jedinej zpusob jak tento „zvyk“ lidi odnaucit). Stejne svoje heslo pisu tak rychle a takovym zpusobem aby nemel nikdo sanci videt co jsem jak pomackal. Na monitoru by si to mohl ale klidne precist, takze jakakoliv snaha heslo utajit by byla v cudu. Podle me Jakob Nielsen nema ani nejmensi tuseni co je to bezpecnost a zajima ho jenom to, jak userit penize za support. Mluvim ze zkusenosti.
-
Presne tak .. Jakob Neielsen ve svem veku (http://www.useit.com/jakob/) asi pise jednim prstem a ne vzdy se trefi .. tak ho to stve… ;)
-
VLP (neregistrovaný)
Odposlouchavat jde i dratova klavesnice, viz http://lasecwww.epfl.ch/keyboard/. Meli tam i video.
-
bpbp (neregistrovaný)
Podle me Jakob Nielsen nema ani nejmensi tuseni co je to bezpecnost a zajima ho jenom to, jak userit penize za support. Mluvim ze zkusenosti.
Marku, přečtěte si ten článek (a vůbec ten web). Hovoří tam jasně o checkboxu, který zakryje heslo na vyžádání.
Naprostá většina toho co Nielsen tvrdí (včetně tvrzení z toho článku) je opřená o tvrdá data z testování.
A použitelností uživatelského rozhraní se zabývá nějakých 15–20 let. Za tu dobu jich viděl tolik, že bych si o tom, že o bezpečnosti nic neví, fantazie nedělal. -
PSIkappa (neregistrovaný)
Ked uz chce velmi mysliet na uzivatelov a pomoct im v tom, aby videli co pisu na obrazovke, tak nech zvoli pristup aky sa bezne pouziva na mobilnych telefonoch – napises znak, ten sa najskor zobrazi normalne a po par sekundach sa zamaskuje a tak si uzivatel moze priebezne kontrolovat co pise pritom cele heslo nie je naraz vidiet a ked mu nato niekto cumi, tak musi mat dobru pamat, aby si zapamatal cele heslo, alebo moznos zapisovat si znak po znaku.
-
Jury (neregistrovaný)
Jak je vidět z komentářů, málokdo se obtěžuje číst odkazovaný článek.
„Jestliže se vám někdo dívá přes rameno, tak nepotřebuje vidět co píšete na obrazovce, protože vidí klávesy které mačkáte“ – Toto je taky blud, který v originálním článku vůbec není. Autor jen poukazuje na to, že ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.
Ve zprávičce by taky mělo být uvedeno, že autor navrhuje používání checkboxu, kterým si zvolí, jestli chce mít pole maskované.
-
>> ani maskování hesla neposkytuje úplnou ochranu, jelikož opravdu dobrý zločinec by mohl zachytit klávesy psané na klávesnici.
Konečně rozumná řeč. Nemám rád, když se někdo ohání bezpečností a přitom pořádně neřekne, proč říká to, co říká… Skutečně, ochrana hvězdičkama chrání před kým? Před tím, kdo se mi dívá přez rameno a moje heslo pro něj nemá ani takovou cenu, aby se obtěžoval do mého okolí umístit kameru, keylogger, o možnosti odposlouchávání elmag šumu ani nemluvě…
Podle mě jsou hesla už úplně out a divím se, že se vůbec ještě používají. Byl bych mnohem raději, kdybych měl u sebe USB token s ochranou pinem – a tam narvaná všechna „hesla“ a všechny ostatní citlivé údaje. Samozřejmě „hesla“ formou certifikátů. Přihlašoval bych se třeba na root.cz a na displeji tokenu by se objevilo: root.cz, klikl bych na OK a byl přihlášenej. Důležitější certifikáty by byly chráněné heslem. Pohoda.
Jenže to by takovou věc musely všechny OS podporovat out of the box, což je zatím asi nereálné…
-
Lol Phirae (neregistrovaný)Podle mě jsou hesla už úplně out a divím se, že se vůbec ještě používají. Byl bych mnohem raději, kdybych měl u sebe USB token s ochranou pinem – a tam narvaná všechna „hesla“ a všechny ostatní citlivé údaje.
Clovece, a PIN je podle vas asi co, kdyz ne heslo? Ted jste to fakt rozlousknul. :-))))))
-
Lol Phirae (neregistrovaný)
To by me fakt nenapadlo, ze chrani proti zneuziti, diky za informaci. Takze zatimco kdyz nekomu budu cumet pres rameno a odkoukam heslo, tak jsem odkoukal jedno konkretni heslo, tak v pripade, ze nekde ukradnu/najdu token, tak staci bruteforce metodou najit ten PIN a mam vsechno pekne pohromode. No to je genialni myslenka a prudke zlepseni, to jste to fakt vyresili. :-))))))))
-
Lol Phirae (neregistrovaný)
Aha, tak ten PIN bude jeste ctyrmistny, no to bude fakt paradni bezpecnost. :-D
Jinak vam jeste napovim, taky se delaji genialni tokeny, ktere se po peti spatnych zadanich PINu nenavratne zablokuji. Ma to malou nevyhodu – az vam to nejaky vtipalek udela behem vasi prestavky na obed, tak mate vsechna hesla a certifikaty v peeerdeli. A az si to ve stavu opojeni alkoholem udelate sam, tak se druhy den rano urcite taky pochvalite. :P
-
Inu, jsou i takoví lidé, kteří svoje certifikáty mají na jediném místě. Dokonce i takoví, kteří při přestávce na oběd nechávají token na stole. Anebo takoví, kteří si svoje heslo přilepí na monitor. Holt lidé jsou různí.
Já bych chtěl jen jedno: MacOSácký Keychain mít zaheslovaný velmi dlouhým heslem, které bych měl napsané doma na papírku a taky v tokenu. Pokud bych se bál, že mi někdo hackne MacOS pod rukama (takže bych nevěřil hláškám systému o tom, kdo právě chce přistupovat ke Keychainu), ocenil bych, kdyby se mě token zeptal, jestli zrovna teď jsem chtěl keychain otevřít nebo ne. Odpověď ano/ne je jednobitová, takže i Lael pochopí, že na to tlačítko stačí.
-
Lol Phirae (neregistrovaný)
Vite, normalni smart card login v normalnim operacnim systemu se pta aspon na PIN, nez tu kartu nacte a pouzije k overovani. Opravdu se nedivim, ze „zabezpeceni a la Prymek“ nikdo neimplementuje, to by si totiz zakaznici museli vazne poklepat na hlavu, jestli si z nich vyrobce nevystrelil.
-
Zkuste se soustředit:
1. běžně se používá jednofaktorová autentizace heslem, které si uživatel musí pamatovat a je otravné ho zadávat
2. myslím, že tenhle faktor „něco vím“ by se klidně mohl nahradit faktorem „něco mám“. Bezpečnost se moc nezvyšuje, ale zvyšuje se komfort uživatele.
3. jestliže je to něco kompromitováno, v případě tokenu to vím, můžu tedy včas zasáhnout (revokovat certifikát). V případě hesla to nevím, čili útočník si heslo vesele užívá dokud náhodou vše nevyjde najevo.
Ano, jenze klicem od neceho, napr. od toho trezoru, obvykle neodemknete jeste napr. byt, auto, chatu a v bance s nim nevyberete svoje konto. Jestli vam ten rozdil unikl, to je opravdu smutne.
Pokud bych měl černou skříňku, která by
1.obsahovala různé certifikáty
2.uměla pokaždé použít ten správný
3.žádný certifikát by ji nemohl opustit
4.vždy by žádala potvrzení, že nějaký z certifikátů může použít
tak by útočník i v případě, že by cracknul můj počítač, mohl získat jenom JEDEN neoprávněný přístup k nějakému zdroji (ano, přístup, ne klíč). Pokud by totiž požádal blackbox o response na challenge záhy před nebo potom, co bych to chtěl já (to je jediný útok, který by mohl provést, protože jinak bych poznal, že žádost pochází od crackera), tak by se to okamžitě provalilo. Jednoduše bych se pak blackboxu zeptal, který certifikát použil jako poslední a ten bych okamžitě revokoval, odřízl přístup k danému zdroji a zjišťoval, odkud byl zneužit.
Nic víc by útočník nemohl zvládnout. Nemohl by ani ukrást všechny certifikáty, ani by nemohl získat přístup k něčemu tak, abych o tom nevěděl. Přesto bych měl bezheslový přístup ke všem zdrojům – jenom na stisknutí tlačítka.
Už si rozumíme? -
Lol Phirae (neregistrovaný)
Pane Prymku, ne nerozumime. Vy uplne zcestne predpokladate, ze vam bude nekdo vzdalene hackovat pocitac. Predstavte si daleko pravdepodobnejsi situaci, ze ten vas zazracny krap nekde zapomenete zastrceny v USB nebo vam ho nekdo ukradne. To pak bude to vase „zabezpeceni“ zmacknutim cudliku opravdu skvele.
-
Ano, je to o něco bezpečnější než klíč od auta, kanceláře, bytu, …
A o něco bezpečnější než heslo, které ve stejné situaci běžně všichni používáme.
Jen pro rekapitulaci: token by se mohl použít na počítačích v síti k přihlášení K DANÉMU POČÍTAČI bez hesla a NA MÉM počítači k přihlášení k různým zdrojům (pomocí něj bych otevřel klíčenku s ostatními certifikáty).
Čili riskuji jen to, že mi někdo token ukradne a bude se moci přihlásit DOKUD KLÍČ NEREVOKUJI (o to je to bezpečnější než běžný klíč).
Ostatní certifikáty by mohl získat jen v případě, že by mi zároveň ukradl token i počítač, což je riziko, které bych byl ochoten podstoupit.
Ještě si nerozumíme?
-
Přiznám se, že jsem to zatím nezjišťoval – jak teď koukám na net, tak můj oblíbený obchod tokeny neprodává :)
Jestli s tím máte zkušenost, můžete poradit? Pokud by to stálo do tisícovky, tak vůbec neváhám a jdu to koupit.
P.S. pro mě ochrana PINem není nutná, na hesla stejně používám úložiště, takže bych potřeboval tokenem ochránit jenom přístup k němu. Nebezpečí, že mi někdo ukradne i token i notebook, jsem ochoten podstoupit :) Co bych ale chtěl, by bylo, aby token obsahoval tlačítko, kterým by se povolilo jeho použití – v případě, že by někdo hacknul stroj, do kterého token strčím, aby ho nemohl zneužít. Existuje něco takového?
-
Jo a ještě drobnost – tím „out of the box“ jsem myslel, aby se nic nemuselo instalovat, nastavovat apod. Prostě při vytváření uživatele by se OS (v základní instalaci!) zeptal, jestli chci použít heslo nebo token – a když token, tak ať ho vložím. To žádný OS, který znám, asi neumí (nejspíš bych to očekával u MacOSu, ale zatím jsem o tom teda neslyšel).
