Vlákno názorů k článku
NIST ruší některá pravidla pro hesla, která jsou kontraproduktivní
od RRŠ - Maximální délka nesmí být omezena na méně než...
-
Nejenže to je při zakládání uživatelů ve Windows otravné. Ale konkrétnost otázek vede nutně k zamyšlení, co s těmi odpověďmi Microsoft dělá.
Tedy, ne že bych někdy vyplnil cokoli smysluplného. Stejně tak jsem tímto způsobem heslo nikdy neobnovoval, vždy byly jiné cesty (třeba záložní admin specifický pro ten počítač uložený v mé evidenci).
-
Nehledal bych v tom špatný úmysl. Pokud bych musel něco takového přidat, tak tam taky asi dám co nejkonkrétnější otázky, prostě proto, aby to aspoň plnilo účel. "Co bylo vaše první auto" si lidi vzpomenou i za deset let. Ale kdo si vzpomene, co před deseti lety vyplnil na otázku "V jakém městě jste někdy bydleli?"
-
Jenze co bylo tvoje prvni auto vi 150 lidi kolem tebe, a kdokoli to snadno prostym dotazem zjisti. Presne proto je to naprosty nesmysl.
Pokud me kdy neco do podobnych vopicaren tlacilo, tak sem proste vygeneroval random string a ulozil si ho do keepassu k heslu. Ale nikdy vzivote sem to na nic nevyuzil.
Problem je to predevsim proto, ze typicky tim udajem ke kterymu to patri je neco zcela verejne znameho = treba email. Kdyz mam tvuj email, je dost pravdepodobny, ze tu odpoved mi das i sam, aniz bys tusil vocogo. Nahodim debatu o coklech, a ty mi prasknes zes mel bernardyna Bohouse ... a je vymalovano.
-
Je jedno, jak konkrétní daná otázka je. Protože na ni nemáte odpovídat. Takže i když je otázka například "Jaké je příjmení vaší matky za svobodna?", tak odpověď by měla být něco jako "Hned45dopronadodv".
Bez ohledu na to, jaká otázka je, může útočník obvykle zjistit odpověď jinde. Vy opravdu nebudete jediný člověk na světě, který dokáže zjistit jak se za svobodna jmenovala vaše matka. Text otázky vám má jen napovědět jaký kód jste zadal. Viz loci metoda. Bohužel to ale uživatelům nikdo neříká a tak je běžné, že na to někteří odpovídají pravdivě.
-
Problem s tymto pristupom je ze na druhej strane toho celeho je casto iny clovek.
Takze sa mi napriklad stalo ze agent call centra povedal nieco v zmysle "Potrebujem este na overenie ze ste to vy odpoved na otazku 'Aky je vas oblubeny sportovy team?', ale ukazuje sa mi to tu nejako divne".
A ja na to (tusiac ze hovori o nahodnom hesle co som tam zadal) ze "Myslite tu kopu nahodnych znakov?"
"Ano presne! Super, mozeme pokracovat." A proste ma povazoval za overeneho bez toho ze by som mu tu seriu znakov povedal. A myslim, ze slusny social engineering pokus by ani nepotreboval agenta ktory mu doslova povie ze sa jedna o nahodne znaky. Proste by skusil nieco ako "joooj ja uz si to nespominam, to som len nahodne pomackal klavesy vtedy.." atd..
Ano je to zle navrhnuty system, ale taka je proste realita.
Ja osobne odvtedy na tieto otazky bud zo zasady neodpovedam ak sa da, alebo tam davam nieco co ma v danom kontexte zmysel. Oblubeny sportovy team == Hunter Twofers, meno matky za slobodna == Hunterdvojova, atd.. Samozrejme unikatne pre kazdy stranku a ulozene v spravcovi hesiel a do znacnej miery nahodne.
-
Filip JirsákStříbrný podporovatelVždycky, když mne někde nutí ty bezpečnostní otázky vyplnit a představím si, jak pak to náhodně vygenerované heslo diktuju někomu v call centru, říkám si „dobře vám tak, nemáte takové hlouposti dělat“. Ale pokud se pracovník callcentra nechá uchlácholit tvrzením „myslíte tu kopu náhodných znaků“, pak je to ještě horší zabezpečení, než to vypadá.
Ale je fakt, že už se s kontrolními otázkami setkávám opravdu jen výjimečně.
-
Ono bohuzial mam pocit, ze tieto bezpecnostne otazky sice miznu, ale zvycajne su nahradene otazkami typu "ake je vase telefonne cislo, adresa, atd.." teda tiez veci ktore sa daju zistit podobne lahko ako to meno matky za slobodna. A v tomto pripade tam jeden casto krat ani nemoze zadat nieco vymyslene, lebo tie udaje pouzivaju na zasielanie komunikacie.
Cize za mna radsej tie bezpecnostne otazky. Idealne samozrejme nieco ine ako napriklad konkretny kod urceny pre overenie po telefone, ale to nevidam casto.
30. 9. 2024, 16:27 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Pokud se pak to telefonní číslo nebo e-mail použije pro ověření, že můžete číst zprávy tam zaslané, je to v pořádku. Je úplně jedno, že se ty údaje dají snadno zjistit. Zaslání SMS na telefonní číslo není úplně neprůstřelné, podobně poslání nešifrovaného e-mailu, ale pro spoustu případů to stačí.
-
Asi som sa nevyjadril uplne jasne. Overenim pomocou telefonneho cisla alebo emailu nemyslim 2FA vo forme zaslaneho kodu - to je ako pises vo vela pripadoch dostatocne bezpecne. Ja som konkretne pisal o situacii kedy si ta overuju podla toho ze sa spytaju aku mas adresu a kontroluju ze to sedi so zaznamom v ich DB.
Cize namiesto "aky je tvoj oblubeny team" sa ta pytaju "aka je tvoja emailova adresa?", co je ako overenie podla mna este horsie.
-
Filip JirsákStříbrný podporovatel
Pokud na ten telefon nebo adresu posílají nějakou komunikaci, nechápu, proč by to pak nepoužili pro ověření. Ale pokud to opravdu ověřují tak, že chtějí jenom znát to číslo nebo adresu, je to zlé.
-
Filip JirsákStříbrný podporovatel
To je právě důvod, proč se tyhle bezpečnostní otázky obvykle řeší přes živé operátory. Protože ti vidí správnou odpověď a musí posoudit, jak moc jste se trefil.
-
Nesmí být používáno odpovědí na zvolené otázky, například jméno domácího mazlíčka
Většinou není problém místo reálné odpovědi vygenerovat dlouhý náhodný řetězec a ten si pak uložit v password manageru. Případně, pokud nepoužíváte password manager, můžete použít třeba libovolnou transpoziční šifru na skutečnou odpověď, takže místo Punťa uložíte např. Pnauť.
-
Filip JirsákStříbrný podporovatel
Jenže většina lidí to neví a UI je navádí k tomu vyplnit tam správný údaj.
