Včera se tu objevila zpráva o tom, jak uživatelé „lehkovážně“ volí podobu hesel. Zamýšleli jste se však někdy nad tím, kolik hesel vlastně v denním životě používáte? Já ano a byl jsem ohromen. A taky vím, že hesla jsou otravná, ale zároveň vím co se stane, pokud jej někdo prolomí.
Jmenuji se Marek a jsem zaměstnanec. Popíšu vám své dopoledne. Ráno vstanu a procházím kolem telefonu se záznamníkem. Mám tam prý nějakou zprávu. Zadávám první PIN pro vstup do schránky. Pak popadnu telefon. Chce po mně druhé PIN a mám tam vzkaz ve schránce. Pro vstup do ní chce třetí PIN. Protože žiju v poměrně exponované oblasti, mám i alarm. Protože ho na noc zapínám, je zapotřebí je ráno deaktivovat. Zadávám čtvrté PIN. Pročítám noviny, snídám a odcházím do práce. Pro otevření dveří domu potřebuji páté PIN. Přijíždím do práce, zdraví mne vrátný. U dveří firmy potřebuji šesté PIN. Sedám k počítači a zadávám vstupní heslo do sítě, tedy sedmý údaj. Pak zapínám informační systém, což chce osmé heslo. Ještě se mrknu na webmail a tam zadám deváté heslo.
Při cestě na oběd opět zadávám PIN (odcházím ven, teď to PIN nepočítám) a mířím k bankomatu, který po mě chce ještě desáté PIN. Když se vracím z oběda, sedám k počítači a protože musím ještě zkontrolovat nějakou práci ze včerejška, musím se přihlásit k webové prezentaci, samozřejmě s jedenáctým heslem. Protože jsem vybral nějaké peníze z účtu, chci vidět stav. Buď můžu přes internet banku a dvanácté heslo nebo přes mobil banku a tam mám samozřejmě třinácté heslo…
A to nemluvíme o heslech aktivačních a různých potvrzovacích a dalších, které používáme pro přístup na různé stránky a do různých komunit. Takže celkem chápu, že mají lidé tendenci volit hesla buď všechna stejná (pokud to jde) nebo jednoduše zapamatovatelná.
Chcete-li uživatele ve vaší firmě naučit alespoň to, aby při odchodu od počítače svůj počítač uvedli do stavu, kdy s ním nikdo nebude moci pracovat bez znalosti hesla, vyzkoušejte následující trik našeho bývalého generálního ředitele. Zaručeně funguje.
Ve chvíli, kdy zjistil, že někdo nechal počítač v použitelném stavu, spustil e-mail a napsal sám sobě velmi sprostý email. Na jeho adresu pak přišel od postiženého email, na který mu samozřejmě odpověděl. Můžete si být jistí, že postižený si příště opravdu dá pozor, aby se to již neopakovalo. To zděšení postiženého bylo nepopsatelné. Jenže jak dokáže, že ten email nepsal on? Přišel přece z jeho počítače a z jeho emailu. Takže se nijak neobhájí.
Bývá totiž velký problém v tom, abyste lidem vysvětlili, že heslo je stejně důležité jako např. klíče od bytu. Heslo jako takové totiž strašlivě degradovalo a lidé jej vnímají jako nějaké zlo, které prostě musí být. A podle toho s ním i nakládají. V naší firmě jsou pravidla docela přísná (co 60 dní se heslo mění, musí mít alespoň 7 znaků, nesmí být slovníkové a spousta dalších omezení). Kupodivu si naši uživatelé hesla na monitor nepíší (ani na spodek klávesnice). Zavedli jsme institut trezoru, kam má každý možnost své heslo uložit a kdykoliv se na něj podívat (samozřejmě přes jednu osobu, která má k trezoru přístup). Nahlížení do hesel se sleduje. Navíc je to krabička poslední záchrany, pokud něco selže a není možno daný problém řešit jinak než nahlédnutím do obálky s hesly daného uživatele. Je o tom vyhotovován i zápis. Stejně to ovšem nezabrání tomu, aby lidé svá hesla „šérovali“. Ale je to na jejich zodpovědnost. Ve chvíli, kdy se něco stane, jde to na jejich vrub.
A když se to pěkně spojí, můžete se dostat i do systému NBÚ na Slovensku, jako se to povedlo slovenským hackerů. Jenže oni nemuseli nikam pronikat, protože heslo prostě uhodli. O to víc to zaráží u úřadu, který má nad bezpečností bdít a jít příkladem.
Univerzální rada asi neexistuje, ale jisté je, že nikdy nenajdeme optimální model. Snad až při skenování duhovky…
mrknete na www.savernova.com a tam "Get your free card" delaji karticky pomoci kterych si jednoduse generujete silna hesla, kazda karticka je unikatni a vy si jenom musite pamatovat "cteci metodu" pomoci ktere z karticky heslo dostanete... pro zmenu hesla staci prejit na novy radek karticky nebo si stahnout novou karticku a pomoci stale stejne "cteci metody" vygenerovat nove heslo...
Souhlas. Clovek musi znat spoustu hesel a PINu. V clanku jeste chybi firemni platebni karta, firemni mobilni telefon a firemni stolni IP telefon (u nas k nemu mame asi 3 PINy - aby se clovek nalogoval - neznam nikoho, kdo se na noc odloguje; vstup do schranky a webove rozhrani). Pri tom poctu uz mam silna hesla jenom na opravdu dulezitych vecech (banka, email, domenove heslo v praci), ostatni jsou budto recyklovana hesla drive jmenovaneho nebo neco jednodussiho a moc se nemeni.
Nastesti na Linuxuve servery se loguju pres klic. O tom si v MS prostredi muzu nechat zdat (cygwin to trosku resi, ale je to spis truc akce).
Mimochodem, nevite, jak technicky funguje overovani pres otisk prstu? Pocita se nejaky hash toho otisku, ktery potom funguje jako heslo (jak se zajisti, aby to spocitalo pokazde to stejne?), nebo se porovnava s databazi?
Biometrie je podle mě na nic. Proč by se třeba i obraz sítnice nedal zkopírovat? Ale jak si pak změním heslo, operací oka? U otisku prstu můžu měnit 10x nebo dokonce 20x? :-)) Navíc pak budete muset například věřit bývalému zaměstnavateli, že si vaše biometrické údaje nedrží v šuplíku... Sekání prstů/vydloubávání očí apod. = způsob krádeže hesla, taky pěkná záležitost :-)
[2]: Obávám se, že tato metoda má pár nevýhod. Za prvé, i když budu důvěřovat příslušné společnosti, že vygenerované kartičky jsou náhodné a jejich kopie nejsou nikde uchovávány, stačí sniffer někde na cestě a cracker má vaši kartičku.
A pokud neaplikujete nějakou opravdu nestandardní metodu pro získání hesel z kartičky, bude mít příslušný útočník relativně snadný úkol.
No a když kartičku ztratíte, máte smůlu.
[5] spis jde o ten princip, ktery je IMHO docela dobry a prakticky. Tu karticku si myslim dokaze skoro kazdy, napriklad pomoci tabulkoveho procesoru, udelat, a hlavni je volba zpusobu cteni hodnot a jejich aplikace. Na co vam bude znalost me karticky, kdyz treba na "uhadnuti" hesla v bankomatu mate (co ja vim) tri pokusy a informaci mate jen o tom, ze se nekde na karticce nachazi.
Sice funkce nahodnych cisel v tabulkacich neni nic moc, ale pro bezne pouziti a pro tak kratke sekvence znaku to snad nebude vetsi problem.
Podle me je to praktictejsi nez nektere programy na uschovu hesel - ty jsou sice teoreticky zajisteny silnou sifrou, ale zase je to omezene na zapnuty pocitac (ten si k bankomatu malokdo potahne a vytahovat u bankomatu notebook si rika o zatknuti :-), ktery samotny az tak dobre byt zabezpeceny nemusi.
videl jsem nekde jeste jednodussi variantu.
vygenerovat nejaky nahodny maglajs kazdymu userovi zvlast
treba:
$k0*4_fG!
to at si treba nalepi na monitor, to je vcelku jedno
no a rict mu at si vybere jakykoliv jeden znak (nebo vic) a za nej dosadi treba jmeno jeho manzelky/kocky/psa.
takze bude mit slozite heslo a jedine co si bude muset pamatovat je zastupny znak a co tam ma dosadit :)
takze to pak bude vypadat treba takto:
$k0eliska4_fG!
Sam to tedy nepouzivam, ale docela to funguje u "starsich uzivatelek".
[6]: Obyčejný generátor hesel v pohodě stačí k vygenerování něčeho podobného. A ano, princip je to zajímavý, snad i praktický, ale má i svoje nevýhody, které jsem zmínil, a na které je třeba si dát pozor.
Přinejmenším bych upřednostnil generování takových tabulek na počítači, který je pod mou kontrolou.
Maje nejoblíbenější metoda je virtuální peněženka (KWallet), která uchovává moje hesla, je šifrovaná a pro přístup k ní musím zadat heslo. Takže já zůstávám na asi sedmi heslech, která si musím pamatovat (heslo ke KWallet, k šifrovanému disku v práci, doma, a na serveru, PIN od mobilu, bankomatu a mobilnímu bankingu), zbylá hesla si pamatuje KWallet.
[8] urcite, toto posilani PDFek kdovi odkud kdovi kudy je docela divoke, ale napad dobry. Sam jsem nosil neco podobneho, akorat tech hesel tam bylo vic a musel jsem si pouze zapamatovat poradi prvniho (ve skutecnosi to nebyla takto napadna karticka, ktera tak trosku nabada k odcizeni, ale pravdive se tvarici seznam nejakych patentu, do kterych jsem primo pri psani vkladal dalsi alfanumericke znaky podle jednoducheho a snadno zapamatovatelneho postupu). Uschova jedne karticky pro pripad ztraty te "aktivni" asi neni problem.
Nove heslo kazdych 60 dni, k nemu jeste dalsi dva povinne hovadske udaje bez kterych heslo nezmenite, kontrola, zda nove heslo neni podobne staremu ... a papirky s hesly rostou jako houby po desti.
Clovek si dokaze vymyslet bezpecne heslo, ktere dokaze rekonstruovat a tudiz nezapomene ... ale ne kazdych 60 dnu. To mozna zvladaji lide s fotografickou pameti, nebo absolventi lekarske fakulty, ale pro normalniho cloveka to znamena: "napis si to na papir vole, jinak to zase zapomenes a budes zase, jak debil, litat po firme a obtezovat adminy, aby to resili".
Dobry zpusobe generovani hesel je:
- Znam nejakou vetu, basnicku, test pisnicky ... treba "Zavolejte portyra, v mem bydetu je zaba" (citat z cerveneho trpaslika, ja bych to pouzit nemohl, vsichni vedi, ze tu vetu sbiram v ruznych jazycich:-))"
- mirne ji modifikuju: "rufe mir den porter an, in meinem bidet ist ein frosch"
- neco "logicky" nahradim, staci kdyz to dava smysl me: "rufe skylab tyden porter an, out meinem bidet ist 1 frosch"
- z kazdeho slova vyberu nejake(a) pismeno(a), treba posledni: "ebnrn,tmtt1h"
- nesmyslne vypadajici bezpecne heslo je na svete ...
[12] Tohle uz nam doporucoval na VS ucitel na site a bezpecnost, vzit oblibenou ci dobre zapamatovatelnou veticku, stanovit si nejake pismeno v poradi a mame pekne heslo co nic nerika, do toho flaknout jeste nejake cislo a spec znak nebo nejake velke pismeno aby bylo heslo dle slozitosti (3 ze 4markantu)
Pro důležité systémy používám generátor hesel a musím říci, že to co zatím vygeneroval se dalo dobře zapamatovat. Ikdyž to byla kombinace velkých a malých písmen a číslic. Osobně jsem se setkal v jedné firmě, kde jsem instaloval nějaký SW s veselým přístupem. Ten SW byl opravdový hnus a vyžadoval restart počítače asi 3x za sebou. Když jsem potřetí po uživateli chtěl zadat heslo, tak už to nevydržel a sdělil mi heslo a ať si dělám co chci a šel na svačinu. To heslo bylo jeho křestní jméno. Když jsem pak nakráčel do další kanceláře, tak jsem po prvním restartu zadal jméno a heslo. Dotyčný na mě koukal jako na zjevení, a tak jsem mu prozradil, že uživatelské jméno (bylo to příjmení) a heslo má napsáno na dveřích kanceláře. Takové bylo implicitní nastavení všech účtů v organizaci. Je fakt, že v té době (rok 1999) nebyly klientské počítače připojeny na internet a veškerá komunikace se světem přes e-mail probíhala v zajímavém off-line režimu. Jednou denně se jejich server odpojil (fyzicky) od sítě intranetové a připojil k mail serveru, stáhla se došlá pošta, odeslala pošta za předchozí den a server se zase odpojil od internetu a připojil do intranetu. Přesto mě takový přístup k heslům hodně překvapil.
[5]: pokud se bavime o ciste pouzivani teto karticky tak je uplne jedno jestli je nekde ulozena nebo ne nebo jestli nekdo usniffoval cele pdf pri jeho downloadu... za prve nema jistotu jestli tu karticku pouzijete, za druhe nevi ke kterym strankam ji pouzivate a za dalsi by musel nejdrive zjistit kdoze tu karticku stahnul (vy)... samozrejme ze pokud by se karticka zobrazovala pri kazdem prihlasovani a utocnik jeji obsah ziskal bylo by to riziko...
riziko ze ji ztratite je skutecne, ale od toho jsou v tom pdf 2 aby jste si mohli jednu nekam schovat
Ja to mam taky napsane anebo zvolene stejne hesla. Jestli si nekdo mysli, ze jsem schopny si zapamatovat 10 hesel typu g34d11$%fre, ktere se navic meni kazdy
mesic, tak proste nejsem... Nejake vety jak se
psalo vyse to neresi. Navic, jeste ruzni chytri
admini vymysleli, ze to heslo nesmi byt kratsi nez 8 (OK) ale navic i delsi nez treba 10 znaku, to uz se
fakt tezko vymysli neco zapamatovatelneho...
Je to chyba adminu a ne uzivatelu, IMHO.
[1] Otisk prstu to moc nejisti. Sice se porad mythbusters na discovery neda povazovat za vedecky, ale jejich pokus se mi moc libil:) Koupili pomerne drahy zamek na dvere se cteckou otisku prstu a zkouseli jej otevrit. Jeden clovek zadal sve otisky do zamku a ostatni se tam snazili dostat bez jeho prime spoluprace. Otisk ziskali z obalu na CD. Poprasili jej nejakym sajrajtem, naskenovali, upravili a vytiskli. A svete div se - zamek za stovky dolaru se otevrel. Nejsem sice odpurce biometrie, ale zatim duveruji spis silnemu heslu(a ulozeni, ktere je minimalne stejne silne, jako heslo:)
[19] j takhle funguje nejaka ta ovladaci apllikace (win) co je dodavana k ibm/lenovo notebookum. muzes dokonce definovat vice prstu na jeden account - to kdybyses s tim spravnym prstem nekde rejpal a prisel jsi o nej. Jeste to snad umelo (co jsem naposled videl), i moznost/nutnost zadat vice prstu nez te to prihlasi.
no a na linuxu - jak si to udelas takovy to mas, akorat se mi prostor kolem ctecky prstu dost zahriva, kdyz zapomenu vypnout "cteni" :)
Ja si zase volim hesla která vím, že nikomu nepovím... například : "Riditel,jevulaSerunanej.Unor" ... je pekne heslo, dobře se pamatuje a nemusim si ho psat... a navíc ho nikomu neřeknu ani kdyby mě o to prosil :D
Jenom je dobré si ověřit jestli nejsou hesla uchovávaná v plain text podobě ... to pak stačí druhá varianta.. částečná ze slovního hesla:
"Rid,jvSernanej.Unor"
:)
Řešení na desktopu je "klíčenka", např. již zmíněný Kwallet. Akorát by mohla být inteligentnější a umožňovat např. dogenerovat do aktuálního vstupu nové heslo a hned si ho uložit.
Na webu je to openID. I když tam bych uvítal změnu či řekněme rozšíření, které umožňuje login zadávat jako emailovou adresu a ne url. Server by se ověřoval oproti doméně a jménu uživatele.
Roztomilé :-) Ale mnemotechnickým pomůckám jsem nikdy nepřišel na chuť. Přišlo mi jednodušší si hesla pamatovat tak, jak je generuje pwgen.
A to obvykle používám více než 10 znaková a mám jich asi 20 často používaných a nejméně jednou tolik "které znám pasivně" = napsané, mrknu na něj, pak ho dva dny používám aniž bych se musel ujišťovat a potom ho půl roku nepotřebuju.
Hesla měním kdykoliv mám dojem, že by nemuselo být důvěryhodné. Občas i bez příčiny, ale měnit hesla za každou cenu každé dva měsíce je hovadina. Akorát bych v tom měl zmatek.
[3] počítá se hash podle tkzv. markantů otisku, takže se nejedná o celý otisk ale jenom o vybrané části. Tento se ukládá a je porovnán s vypočteným hashem při autentizaci. Shoda je zabezpečena právě tím algoritmem, který výbýrá markanty. 100%ntní to ovšem není, ne každý je schopen poskytnout zpracovatelný otisk a taky záleží na aktuálním stavu media (prstu).
Profesionální ajťák pracující pro korporát (narozen 1974). V soukromí však rád prosazuji svobodný software. Snažím se mít přehled o technologiích a trendech. Zastávám názor, že pokud chci něco kritizovat, musím s tím mít nějakou zkušenost. Jsem hrdý manžel, otec dvou dcer a opečovávatel kočky plemene Britská modrá krátkosrstá. Mám rád hudbu, knihy a kulturu obecně. V některých věcech však jdu proti proudu – používám Linux (konkrétně ZorinOS), svobodný software (LibreOffice, GIMP, Inkscape či Joomlu!) a jezdím v hybridním japonském autě.
Přečteno 38 913×
Přečteno 36 056×
Přečteno 31 666×
Přečteno 24 289×
Přečteno 23 539×