Vlákno názorů k článku
Světový den hesel připomíná, jak důležité je správně pracovat s hesly od Adam Přibyl - Hlavne ta generovana hesla jsou naprosto kontraproduktivni. Uz...

Hlavne ta generovana hesla jsou naprosto kontraproduktivni. Uz o tom bylo napsano dost. Jsou dobra pro jednorazova prihlaseni do ruznych pochybnych sluzeb nebo for, ale tam kde heslo pouzivate casto... no a dvoufaktorova autentizace, to je dalsi buzzword, kterym se chrani hlavne provozovatele sluzeb, zaroven jim to dava moznost shromazdovat dalsi udaj o uzivateli, uzivateli to komfort rozhodne neprinese. Smysl to ma u rekneme kritickych sluzeb, ale jinak je to jen demonstrace neschopnosti zabezpecit stavajici kanal. Za chvili budeme mit trojfaktorovou autentizaci, kde se bude identifikovat oblicejem, otiskem prstu a vzorkem slin.

Dvoufaktorová autorizace nesouvisí s osobními údaji ani s biometrií. Třeba já se hlásím do řady služeb pomocí tokenu, buď zabudovanému v mobilu nebo v USB. Ani jedno nevyzrazuje žádné moje osobní údaje.

Dvoufaktorová autorizace má velký dopad na zlepšení bezpečnosti, protože únik hesla uživatele tolik nebolí. Když vložím ze schránky omylem heslo sem do diskuse místo do přihlašovacího formuláře vedle, tak se nestane nic. Nikdo ho nemůže použít k přihlášení ke službě.

Nesouhlasim - instalaci tokenove aplikace treti strany na svuj mobil davame dane strane naprosto neidentifikovatelne mnozsti udaju o nas a nasem zarizeni - pokud jsi tedy mel na mysli veci jako treba MS authenticator Predanim napr. telefonniho cisla sice asi neni osobni udaj, ale jeho poskytnuti ma byt dobrovolne, nikoli nutnou podminkou k pristupu k nejake sluzbe, nemluve o nutnosti opisovat krypticke kody napr. ze SMS. Vysledkem bude, stejne jako u prekomplikovanych politik pro hesla, ze to lidi budou sulit. Biometrii jsem uvedl pouze jako extremni pripad budoucich pozadavku na vicefaktorovou autorizaci. Ono to tak v podstate je uz dnes - otiskem prstu se prihlasujeme do mobilu, i do nekterych bankovnich aplikaci...

Jenže to pleteš několik věcí dohromady. Otiskem se na mobilu autentizuješ jen tomu telefonu, nikam neputuje a rozhodně se jím nepřihlašuješ do služby.

Tokenem jsem myslel FIDO2 token nebo třeba OTP. Ani v jednom případě nepředáváš žádné informace o sobě ani žádném svém jiném údaji. Tedy platí, že dvoufaktor rozhodně nemusí být spojený s nějakými osobními informacemi.

Opakuji ze biometrii jsem uvedel jen jako moznost dalsiho pozadavku v autentizaci, kdyz uz ma "kazdy" u sebe zarizeni, ktere je umoznuje sejmout (dnes jsou soucasti i oficialnich dokumentu (biometricke pasy apod.)) nevidim duvod, proc by je dana sluzba nemohla vyzadovat ke zpracovani primo, protoze neveri danemu zarizeni... hlas uz dnes take zadne zarizeni nezpracovava lokalne, resp. max. predzpracovava, ale vyhodnoceni je jinde.

Tak pouzij nejakou OSS alternativu ke google Authenticatoru. Mas 2FA jak za praku a zadne z realnych i fiktivnich problemu, co zminujes. Dokonce nepotrebujes ani smartphone.

Pre OTP nemusis pouzivat aplikaciu od korporatu. Mozes pouzit napriklad https://freeotp.github.io/

V mobilu mám open-source aplikaci andOTP, která nikam nic neposílá. Z šestimístného kódu nemá daná služba šanci jakkoliv zjistit cokoliv o zařízení, na kterém byl ten kód vygenerovaný.
Pak mám hardwarový FIDO klíč, který ani žádnou speciální aplikaci nevyžaduje. Prostě ho přiložím/zmáčknu, když si to prohlížeč při přihlašování vyžádá.
Popravdě nevím, jak by to mělo narušovat moje soukromí. Oba ty faktory jsou anonymní.

Muzes mi prosim sdelit co myslis tim "mnozstvim udaju" v pripade ze na mobilu pustim apku, vygeneruji OTP a to prepisu do "inputu" na zarizeni kde se prihlasuji ? V tomto pripade opravdu nic neposkytujes. Ty mas asi na mysli prihlasovani nekterych instituci kde pustis appku v mobilu a tam odkliknes ze se chces prihlasit a ta apka cosi "posle" instituci, tady mas pravdu ze nemas uplne pod kontrolou co ta apka posila. Jinak receno neni 2FA jako 2FA ;-). Napriklad nektery 2FA reseni jsou zalozeny na fyzickem tokenu ( mobil s tim nema nic spolecneho ) ktery generuje OTP. Napriklad takovy Google Authenticator je sice apka do mobilu ktera ovsem jenom generuje OTP ktery se zadavaj "rucne".

Bohužel banky/ spořitelny se rozhodly vynalézat znovu kolo a ještě to přitom svádí nepoužitelnost na EU. Asi jim nikdo neřekl, že by Google Authenticator taky fungoval a nemusely by se tam zadávat přihlašovací údaje k bance, ale to by nemohly vnutit svojí custom appku všem lidem... :-)
Takže teď mám heslo k OTP v aplikaci v telefonu, kde jsem rozhodně nechtěl nikdy zadávat přihlašovací údaje k bance a potom teda ještě to původní heslo k bance. No prostě totálně na hlavu.

Jinak rozumně implementované 2FA je super, ale to by člověk asi čekal moc od instituce, kde zrovna 2FA je asi nejpodstatnější.

Pokud jste přihlašovací údaje k bance zadával do mobilu, naletěl jste nějakému podvodníkovi. Doporučuju kontaktovat banku s tím, že váš účet byl napaden – banka vám poradí, jak postupovat.

Princip zabezpečení internetového bankovnictví pomocí mobilu spočívá v tom, že na mobilu nikdy přihlašovací údaje k IB nezadáváte. Takže kdybyste měl napadený počítač nebo mobil (ne obojí), tak útočník nebude mít dostatek údajů, které by mohl použít pro přihlášení.

Děkuji za starost, ale opravdu to mám správně podle oficiálního návodu a všechno, viz video: https://www.ostsaechsische-sparkasse-dresden.de/de/home/service/online-mobile-banking/pushtan.html?n=true&stref=productbox

Předpokládám, že to u České spořitelny bude podobně, protože jsou obě v Erste Group.

Psal jsem na spořitelnu, že je to fakt debilní nápad, ale nedostal jsem odpověď, tak nevím, co si mám myslet. Asi půjdu výhledově jinam...

6. 5. 2021, 18:41 editováno autorem komentáře

Súhlasím, a osobne 2FA nepoužívam a nechcem používať. Pretože nijak mi to nepridáva k bezpečnosti účtu ale len to pridáva trápenie, otravuje ako používateľa.

> Pretože nijak mi to nepridáva k bezpečnosti účtu
Co prosim? To bych asi potreboval vysvetlit.

Asi tak že 2FA žiadajú už aj tam, kde účet by netrebalo vlastne vôbec, ale je tam lebo "je to in"... keby si vedel koľko účtov s heslom "Heslo123456" mám... a nie, fakt to nepridáva bezpečnosti, keď vlastne zverejným heslo k mailu, ku ktorému je to registrované a 2FA je "pošleme Vám na mail 4 miestne číslo".

6. 5. 2021, 13:01 editováno autorem komentáře

To je ale úplně jiné tvrzení, než ten nesmysl, kterým jsi začal.

Hlavne ta generovana hesla jsou naprosto kontraproduktivni. Uz o tom bylo napsano dost. Jsou dobra pro jednorazova prihlaseni do ruznych pochybnych sluzeb nebo for, ale tam kde heslo pouzivate casto...
V čem jsou kontraproduktivní? Kde o tom něco bylo napsáno? Mému správci hesel je teda úplně jedno, jestli někam vyplňuje generované heslo nebo heslo ručně vytvořené. Výhoda generovaného hesla je ovšem v tom, že je vygenerované hned, bez námahy a nemusím přemýšlet, jestli tam nezadávám nějaký vzor a jestli tedy heslo bude mít opravdu entropii odpovídající jeho délce.

kterym se chrani hlavne provozovatele sluzeb
Jo jo, znát náhodně vygenerovaný klíč, to je sen každého provozovatele.

uzivateli to komfort rozhodne neprinese
Smyslem dvoufaktorové autentizace ovšem není přinášet komfort. Smyslem je zvýšit bezpečnost.

> "Smyslem dvoufaktorové autentizace ovšem není přinášet komfort. Smyslem je zvýšit bezpečnost."

ono ve finále, je to úplně jedno. Pokud by se už stalo, že se někdo stane cílem útoku, tak je jedno, jedli bude mít normální heslo nebo 2FA. Navýšení bezpečnosti je nula nula prd.

To záleží na mnoha okolnostech a k tomu, jak přesně bude ten útok vypadat. Pokud to bude klasický vzdálený útok přes internet, kterých je drtivá většina, tak rozhodně 2FA pomůže. Útočník se nedokáže dostat k mému tokenu a tajemství v něm.

I kdyby druhé tajemství bylo v mobilu, pořád je pak třeba napadnout dvě různá zařízení. Občas se to někomu povede (obvykle zmanipuluje uživatele k instalaci podvodné aplikace do mobilu), ale rozhodně to útok významně komplikuje. Poučený uživatel má velkou šanci se ubránit.

Tak pro mne je zase kontraproduktivni drzet vsechno v jednom spravci hesel. Svim zpusobem je to jen jina obdoba mit na vsechno jedno heslo. Jestli nekdo prolomi tveho spravce budes na tom podstatne hur protoze ani nebudes tusit jake heslo kde mas.

Pfffff.... troška nezmyselné... za 1. akým spôsobom by niekto prelomil spravce hesel? Ak myslíš vir priamo v tvojom zariadení, aký je rozdiel medzi tým či to prečíta zo správcu alebo bude keyloggerom čo prečíta zmáčknuté klávesy? za 2. máš osobitne pre každý účet aj iný mail, aby ti nevedeli vyresetovať pre všetky účty heslo len tým že získajú prístup k tvojmu mailu? za 3. akým spôsobom si pamätáš všetkých niekoľko desiatok či stoviek hesiel? Asi máš v tom pattern, alebo sú tie hesla absurdne jednoduché, alebo je máš niekde napísané na papiery? Ak je máš na papiery, tak vlastne v porovnaní so správcom aký je rozdiel, teda okrem toho že si trápený ručným prepisovaním a tým že papier je viac na očiach ľudom naokolo, a menej bezpečné riešenie, kedy pri požiary napríklad stratíš prístup do všetkých účtov, lebo papier s heslami zhorí? Navyše ten papier ani nie je v trezore kde potrebuješ nejaké heslo? No to určite bezpečnejšie nie je. A popravde ak zadávaš heslo na klávesnici tak máš iné hrozby - niekto odkuká, alebo využije aj útok https://www.firstpost.com/tech/news-analysis/hackers-can-use-smartphone-microphones-to-track-your-passwords-research-7191701.html

To se může stát. Existuje nějaká statistika, jak často dochází k prolomení správců hesel? Tedy aspoň ty zjištěné případy...

Ne, v žádném případě to není obdoba toho mít na vše jedno heslo. Když máte na vše jedno heslo, může znát to heslo každý, u koho máte účet. Když používáte správce hesel, to heslo znáte jenom vy.

Je pozoruhodné, kolik lidí vůbec nechápe, že u bezpečnosti je důležité riziko. A tváří se, že riziko prolomení správce hesel je stejné, jako riziko, že všude používané heslo unikne od někoho z tisíců lidí, kteří k němu mají teoreticky přístup, nebo prostě unikne z nějaké databáze.

Generovana hesla nejsou kontratproduktivni. Je to naprosty zaklad (dokud visime na pouzivani hesel).

A pri tom sú heslá zaručene najbezpečnejšia vec pre authentifikáciu, pretože to nemá hmotnú podobu (ktorú by šlo ukradnúť). Odtlačok prsta, však sa každý deň chytáme tisícky predmetov z ktorých nie je problém ho odobrať a vytvoriť dostatočne kvalitný umelý prst aby oklamal systém,... alebo príde za tebou niekto s pílkou a odpíli ti ho... to isté rozpoznanie tváre, či iné faktory... jednoznačne heslo je najbezpečnejšie, resp. akýkoľvek "token", ako aj FIDO klúče pre 2FA. A súhlasím že password manager a generovanie hesla sú najlepšie čo môže byť.

>odpíli ti ho.
> umelý prst

Moderné čítačky vedia ropzlíšiť živé mŕtve tkanivo a teda j a plasový prst

Ještě jim vysvětlit, že můj prst je můj prst a nikoliv kus umělé hmoty. ;oD
Osobně mívám opačný problém: čtečka otisků mne prostě "nebere".

https://vysetrenie.zoznam.sk/cl/1000663/1357232/Obrovsky-uspech-vedy--Vedci-v-laboratoriu-vypestovali-ludske-ucho

asi toľko... kto hovorí o mŕtvom,... myslíš že sa nedá vytvoriť aj živé?

Navyše odpílený prst neumrie okamžite, takže i tak môže na nejakú krátku dobu umožniť authentifikáciu.

6. 5. 2021, 14:01 editováno autorem komentáře

Generovane heslo je nezapamatovatelne, takze ho ukladate do nejakeho uloziste. Napadeni daneho uloziste je katastrofa a protoze ho dnes kazdy vlaci vsude online je to katastrofa dvojnasobna. MMMCH mate generovane heslo i k te klicence na hesla?

Samozrejme, ze generovane heslo je nezapomatovatelne. Protoze zapamatovatelne heslo je spatne heslo. (OK, prehanim - presnejsi by bylo rict, ze zapamatovatelnych hesel, co nejsou spatna, muze mit clovek par. Zejmena pro BFU je ten pocet extremne omezeny.)

Už jsem četl hlášku (parafrázováno): "Prosím, s ohledem na bezpečnost si zvolte heslo, které není možné si snadno zapamatovat. Je nebezpečné heslo někam opisovat, prosím, zapamatujte si jej."

6. 5. 2021, 12:33 editováno autorem komentáře

Napadení úložiště hesel je teoretická záležitost. Phishing, kdy osobně heslo zadáte do špatné stránky, protože si nevšimnete, že je adresa špatná, je reálná záležitost, děje se dnes a denně.

Pro přístup ke klíčence na hesla používám otisk prstu (na mobilu) a Windows Hello na desktopu. Záložní heslo ke klíčence zatím generované nemám, protože na jednom počítači zatím nemám zprovozněn jiný přístup ke klíčence, než heslo. Až to vyřeším, heslo změním na generované. Ale pamatovat si jedno silné heslo není problém.

Má to jednu chybku: pokud vám ve firemní síti zablokují clipboard (aby se náhodou něco nepřeneslo někam...), tak se ta hesla velmi špatně opisují - zvláště ve chvíli, kdy vidíte jen hvězdičky, puntíky, případně vůbec nic. Potom "zlaté 123456TAJNEheslo"!
(Poznámka: instalovat si neschválené správce hesel je, pochopitelně, také zakázáno...)

Pokud potřebujete bezpečná zapamatovatelná hesla, doporučuji toto: https://www.rempe.us/diceware/#czech hodí se to i v případě, že se potřebujete přihlašovat někde, kde se heslo z password manageru zkopírovat nedá (ať už je to zakázaná schránka, nebo třeba když se hlásíte přímo na konzolu).

Jedinou nevýhodou je, že spousta systémů nevyžaduje délku, ale "komplexnost" vynucovanou tím, že potřebujete velká/malá písmena, číslo a speciální znak.

Poprosil bych Vás o nějaké odkazy na téma:
> generovana hesla jsou naprosto kontraproduktivni

a také:
> dvoufaktorova autentizace chrani hlavne provozovatele sluzeb, zaroven jim to dava moznost shromazdovat dalsi udaj o uzivateli

Děkuji

Omlouvam se a opravuji svou vetu na: za leta cteni ruznych clanku, ktere si neukladam pro pozdejsi argumentaci na rootu, jsem nabyl dojmu ze generovana hesla jsou kontraproduktivni, nebot konci napsana na papircich nebo v jinych ulozistich., mimo hlavu, kam doposud hesla patrila. Take jsem nabyl dojmu ze heslo:
"Poprosil bych Vás o nějaké odkazy na téma:" je bezpecnejsi nez "he&RN9$Zb0P1". Jedina vyhoda toho druheho je, ze ho z vas nevymlati.

Druhy faktor dava moznost sledovat dalsi udaje o uzivateli. Google to dela uz dnes, kdyz shromazduje udaje o tom z jakeho zarizeni se obykle prihlasujete. Tady organizace dostane udaj jako telefonni cislo, system ktery pouzivate apod. Netvrdim ze to tak je u vsech 2FA opet opakuji "dava to moznost". To ze to chrani hlavne provozovatele chapu tak, ze tim provozovatel sluzby prenesl odpovednost za "zvysenou" bezpecnost na uzivatele, takze pokud se neco stane, muze za to uzivatel^2, u sluzby je to totiz stale stejne derave PHP session ID.

Takže dojmologie po nabytí dojmu ;-)

Nevim jestli je to dojmologie ale v praxi to tak funguje. Byl jsem na poste/czechpoint neco vyrizovat a urcite tam maji nejakou "password policy" menit hesla a bla bla, vysledek byl takovy ze zenska s usmevem na rtech zvedla klavesnici a precetla heslo na papirku co pod ni mela ulozene ;-). Generovana hesla jsou fakt zverstvo, navic je fakt prokazane ze heslo "bory sumi po skalinach" je urcite lepsi nezli "K#399$X3_a" prave z tech duvodu popsanych vyse.

Hesla patří do správce hesel, ne do hlavy. Generovaná hesla správci hesel nevadí – právě naopak, rozumný správce hesel umí hesla generovat.

Druhy faktor dava moznost sledovat dalsi udaje o uzivateli.
Druhý faktor je obvykle klíč, který máte uložený v nějakém zařízení a na základě kterého se vygeneruje jednorázové heslo. Sledování uživatelů je jen váš výmysl.

Google to dela uz dnes, kdyz shromazduje udaje o tom z jakeho zarizeni se obykle prihlasujete.
To ovšem nijak nesouvisí s 2FA.

Tady organizace dostane udaj jako telefonni cislo, system ktery pouzivate apod.
Jaká organizace? Proč by dostávala telefonní číslo nebo systém?

Netvrdim ze to tak je u vsech 2FA opet opakuji "dava to moznost".
Ale tímhle způsobem „dává možnost“ naprosto cokoli.

To ze to chrani hlavne provozovatele chapu tak, ze tim provozovatel sluzby prenesl odpovednost za "zvysenou" bezpecnost na uzivatele, takze pokud se neco stane, muze za to uzivatel^2, u sluzby je to totiz stale stejne derave PHP session ID.
Největší riziko je na straně uživatele. To největší riziko je, že použije stejné heslo někde jinde. Další riziko je, že heslo omylem zadá do špatné stránky, dále že heslo odchytí nějaký vir.

2FA není o posílání sms přes telefon, např. nové PSD2 SCA už ani sms nepovažuje při ověření platby za vhodné.

Problém hesel je, že se přenáší po síti, že je spravuje druhá strana, od které unikají jak na běžícím pásu. Nelze tedy cyklovat jednotky hesel mezi více službami, to je reálný problém. Stejně tak nelze hesla měnit mezi službami podle nějakého vzorce, lidé prostě nejsou tak nápaditý, aby již tyhle vzorce nebyly dávno součástí slovníkových útoků. Řešením je tedy mít ke každé službě naprosto jiné heslo a tady nastává problém jak si je zapamovat a vytvořit. Do popřetí přichází generovaná hesla a pamatování si je přes správce hesel.

Výhoda je, že hesla mám plně pod kontrolovou, únik od služby ohrozí pouze danou službu a ne ostatní. Mohu používat jednotky pro mě dobře zapamatovatelných hesel, které vždy zůstanou jen na mých zařízení (nemusím používat cloudového právce hesel).

2FA (ideálně v provedení OTP) je obrana proti zneužití hesla, považuji to za dočasný mechanismus a do budoucna to nejspíš nahradí právě sám mobilní telefon nebo podobné osobní zařízení. Důležité je, že třetí strana, která se nějak dostane k heslům (např. únikem, sledováním síťového provozu) není schopná hesla přímo zneužít. Použití na 2FA něčeho jako FIDO2 nechává opět veškeré údaje u mě na mých zařízeních a snižuje to závislost na třetí straně. 2FA chrání samouzřejmě provozovatel a s tím i zneužití mého účtu, je to zeď, která znesnadňuje zneužití. Není to obrana proti tomu, když mi někdo ukradne telefon, odemče ho a zneužije.