Hesla a zase ta hesla

otisk prstu to jistí. :-} ale tu degradaci hesla na otravnou věc co si uživatelé lepí na monitor(u nás v práci odhaduju tak 60 až 70%, směrnice nesměrnice) má na svědomí asi ms s jeho bezpečnostní politikou. vychovali z lidí magory.

mrknete na www.savernova.com a tam "Get your free card" delaji karticky pomoci kterych si jednoduse generujete silna hesla, kazda karticka je unikatni a vy si jenom musite pamatovat "cteci metodu" pomoci ktere z karticky heslo dostanete... pro zmenu hesla staci prejit na novy radek karticky nebo si stahnout novou karticku a pomoci stale stejne "cteci metody" vygenerovat nove heslo...

Souhlas. Clovek musi znat spoustu hesel a PINu. V clanku jeste chybi firemni platebni karta, firemni mobilni telefon a firemni stolni IP telefon (u nas k nemu mame asi 3 PINy - aby se clovek nalogoval - neznam nikoho, kdo se na noc odloguje; vstup do schranky a webove rozhrani). Pri tom poctu uz mam silna hesla jenom na opravdu dulezitych vecech (banka, email, domenove heslo v praci), ostatni jsou budto recyklovana hesla drive jmenovaneho nebo neco jednodussiho a moc se nemeni.

Nastesti na Linuxuve servery se loguju pres klic. O tom si v MS prostredi muzu nechat zdat (cygwin to trosku resi, ale je to spis truc akce).

Mimochodem, nevite, jak technicky funguje overovani pres otisk prstu? Pocita se nejaky hash toho otisku, ktery potom funguje jako heslo (jak se zajisti, aby to spocitalo pokazde to stejne?), nebo se porovnava s databazi?

Biometrie je podle mě na nic. Proč by se třeba i obraz sítnice nedal zkopírovat? Ale jak si pak změním heslo, operací oka? U otisku prstu můžu měnit 10x nebo dokonce 20x? :-)) Navíc pak budete muset například věřit bývalému zaměstnavateli, že si vaše biometrické údaje nedrží v šuplíku... Sekání prstů/vydloubávání očí apod. = způsob krádeže hesla, taky pěkná záležitost :-)

[2]: Obávám se, že tato metoda má pár nevýhod. Za prvé, i když budu důvěřovat příslušné společnosti, že vygenerované kartičky jsou náhodné a jejich kopie nejsou nikde uchovávány, stačí sniffer někde na cestě a cracker má vaši kartičku.

A pokud neaplikujete nějakou opravdu nestandardní metodu pro získání hesel z kartičky, bude mít příslušný útočník relativně snadný úkol.

No a když kartičku ztratíte, máte smůlu.

[5] spis jde o ten princip, ktery je IMHO docela dobry a prakticky. Tu karticku si myslim dokaze skoro kazdy, napriklad pomoci tabulkoveho procesoru, udelat, a hlavni je volba zpusobu cteni hodnot a jejich aplikace. Na co vam bude znalost me karticky, kdyz treba na "uhadnuti" hesla v bankomatu mate (co ja vim) tri pokusy a informaci mate jen o tom, ze se nekde na karticce nachazi.

Sice funkce nahodnych cisel v tabulkacich neni nic moc, ale pro bezne pouziti a pro tak kratke sekvence znaku to snad nebude vetsi problem.

Podle me je to praktictejsi nez nektere programy na uschovu hesel - ty jsou sice teoreticky zajisteny silnou sifrou, ale zase je to omezene na zapnuty pocitac (ten si k bankomatu malokdo potahne a vytahovat u bankomatu notebook si rika o zatknuti :-), ktery samotny az tak dobre byt zabezpeceny nemusi.

videl jsem nekde jeste jednodussi variantu.
vygenerovat nejaky nahodny maglajs kazdymu userovi zvlast
treba:
$k0*4_fG!
to at si treba nalepi na monitor, to je vcelku jedno
no a rict mu at si vybere jakykoliv jeden znak (nebo vic) a za nej dosadi treba jmeno jeho manzelky/kocky/psa.
takze bude mit slozite heslo a jedine co si bude muset pamatovat je zastupny znak a co tam ma dosadit :)
takze to pak bude vypadat treba takto:
$k0eliska4_fG!
Sam to tedy nepouzivam, ale docela to funguje u "starsich uzivatelek".

[6]: Obyčejný generátor hesel v pohodě stačí k vygenerování něčeho podobného. A ano, princip je to zajímavý, snad i praktický, ale má i svoje nevýhody, které jsem zmínil, a na které je třeba si dát pozor.

Přinejmenším bych upřednostnil generování takových tabulek na počítači, který je pod mou kontrolou.

Maje nejoblíbenější metoda je virtuální peněženka (KWallet), která uchovává moje hesla, je šifrovaná a pro přístup k ní musím zadat heslo. Takže já zůstávám na asi sedmi heslech, která si musím pamatovat (heslo ke KWallet, k šifrovanému disku v práci, doma, a na serveru, PIN od mobilu, bankomatu a mobilnímu bankingu), zbylá hesla si pamatuje KWallet.

[8] urcite, toto posilani PDFek kdovi odkud kdovi kudy je docela divoke, ale napad dobry. Sam jsem nosil neco podobneho, akorat tech hesel tam bylo vic a musel jsem si pouze zapamatovat poradi prvniho (ve skutecnosi to nebyla takto napadna karticka, ktera tak trosku nabada k odcizeni, ale pravdive se tvarici seznam nejakych patentu, do kterych jsem primo pri psani vkladal dalsi alfanumericke znaky podle jednoducheho a snadno zapamatovatelneho postupu). Uschova jedne karticky pro pripad ztraty te "aktivni" asi neni problem.

Nove heslo kazdych 60 dni, k nemu jeste dalsi dva povinne hovadske udaje bez kterych heslo nezmenite, kontrola, zda nove heslo neni podobne staremu ... a papirky s hesly rostou jako houby po desti.

Clovek si dokaze vymyslet bezpecne heslo, ktere dokaze rekonstruovat a tudiz nezapomene ... ale ne kazdych 60 dnu. To mozna zvladaji lide s fotografickou pameti, nebo absolventi lekarske fakulty, ale pro normalniho cloveka to znamena: "napis si to na papir vole, jinak to zase zapomenes a budes zase, jak debil, litat po firme a obtezovat adminy, aby to resili".

Dobry zpusobe generovani hesel je:
- Znam nejakou vetu, basnicku, test pisnicky ... treba "Zavolejte portyra, v mem bydetu je zaba" (citat z cerveneho trpaslika, ja bych to pouzit nemohl, vsichni vedi, ze tu vetu sbiram v ruznych jazycich:-))"
- mirne ji modifikuju: "rufe mir den porter an, in meinem bidet ist ein frosch"
- neco "logicky" nahradim, staci kdyz to dava smysl me: "rufe skylab tyden porter an, out meinem bidet ist 1 frosch"
- z kazdeho slova vyberu nejake(a) pismeno(a), treba posledni: "ebnrn,tmtt1h"
- nesmyslne vypadajici bezpecne heslo je na svete ...

[12] Tohle uz nam doporucoval na VS ucitel na site a bezpecnost, vzit oblibenou ci dobre zapamatovatelnou veticku, stanovit si nejake pismeno v poradi a mame pekne heslo co nic nerika, do toho flaknout jeste nejake cislo a spec znak nebo nejake velke pismeno aby bylo heslo dle slozitosti (3 ze 4markantu)

Pro důležité systémy používám generátor hesel a musím říci, že to co zatím vygeneroval se dalo dobře zapamatovat. Ikdyž to byla kombinace velkých a malých písmen a číslic. Osobně jsem se setkal v jedné firmě, kde jsem instaloval nějaký SW s veselým přístupem. Ten SW byl opravdový hnus a vyžadoval restart počítače asi 3x za sebou. Když jsem potřetí po uživateli chtěl zadat heslo, tak už to nevydržel a sdělil mi heslo a ať si dělám co chci a šel na svačinu. To heslo bylo jeho křestní jméno. Když jsem pak nakráčel do další kanceláře, tak jsem po prvním restartu zadal jméno a heslo. Dotyčný na mě koukal jako na zjevení, a tak jsem mu prozradil, že uživatelské jméno (bylo to příjmení) a heslo má napsáno na dveřích kanceláře. Takové bylo implicitní nastavení všech účtů v organizaci. Je fakt, že v té době (rok 1999) nebyly klientské počítače připojeny na internet a veškerá komunikace se světem přes e-mail probíhala v zajímavém off-line režimu. Jednou denně se jejich server odpojil (fyzicky) od sítě intranetové a připojil k mail serveru, stáhla se došlá pošta, odeslala pošta za předchozí den a server se zase odpojil od internetu a připojil do intranetu. Přesto mě takový přístup k heslům hodně překvapil.

[5]: pokud se bavime o ciste pouzivani teto karticky tak je uplne jedno jestli je nekde ulozena nebo ne nebo jestli nekdo usniffoval cele pdf pri jeho downloadu... za prve nema jistotu jestli tu karticku pouzijete, za druhe nevi ke kterym strankam ji pouzivate a za dalsi by musel nejdrive zjistit kdoze tu karticku stahnul (vy)... samozrejme ze pokud by se karticka zobrazovala pri kazdem prihlasovani a utocnik jeji obsah ziskal bylo by to riziko...
riziko ze ji ztratite je skutecne, ale od toho jsou v tom pdf 2 aby jste si mohli jednu nekam schovat

Ja to mam taky napsane anebo zvolene stejne hesla. Jestli si nekdo mysli, ze jsem schopny si zapamatovat 10 hesel typu g34d11$%fre, ktere se navic meni kazdy
mesic, tak proste nejsem... Nejake vety jak se
psalo vyse to neresi. Navic, jeste ruzni chytri
admini vymysleli, ze to heslo nesmi byt kratsi nez 8 (OK) ale navic i delsi nez treba 10 znaku, to uz se
fakt tezko vymysli neco zapamatovatel­neho...

Je to chyba adminu a ne uzivatelu, IMHO.

[1] Otisk prstu to moc nejisti. Sice se porad mythbusters na discovery neda povazovat za vedecky, ale jejich pokus se mi moc libil:) Koupili pomerne drahy zamek na dvere se cteckou otisku prstu a zkouseli jej otevrit. Jeden clovek zadal sve otisky do zamku a ostatni se tam snazili dostat bez jeho prime spoluprace. Otisk ziskali z obalu na CD. Poprasili jej nejakym sajrajtem, naskenovali, upravili a vytiskli. A svete div se - zamek za stovky dolaru se otevrel. Nejsem sice odpurce biometrie, ale zatim duveruji spis silnemu heslu(a ulozeni, ktere je minimalne stejne silne, jako heslo:)

pokud máte někdo snímač prstů na notebooku vřele doporučuji prográmky typu: převod otisku do stringu. Některé problémy s hesly (jen v pc) odpadnou

[18] To jako, ze bych mel systemove heslo na ukazovacku, heslo do mailu na prostrednicku,...?

[19] j takhle funguje nejaka ta ovladaci apllikace (win) co je dodavana k ibm/lenovo notebookum. muzes dokonce definovat vice prstu na jeden account - to kdybyses s tim spravnym prstem nekde rejpal a prisel jsi o nej. Jeste to snad umelo (co jsem naposled videl), i moznost/nutnost zadat vice prstu nez te to prihlasi.
no a na linuxu - jak si to udelas takovy to mas, akorat se mi prostor kolem ctecky prstu dost zahriva, kdyz zapomenu vypnout "cteni" :)

Ja si zase volim hesla která vím, že nikomu nepovím... například : "Riditel,jevu­laSerunanej.U­nor" ... je pekne heslo, dobře se pamatuje a nemusim si ho psat... a navíc ho nikomu neřeknu ani kdyby mě o to prosil :D

Jenom je dobré si ověřit jestli nejsou hesla uchovávaná v plain text podobě ... to pak stačí druhá varianta.. částečná ze slovního hesla:

"Rid,jvSernanej­.Unor"
:)

Řešení na desktopu je "klíčenka", např. již zmíněný Kwallet. Akorát by mohla být inteligentnější a umožňovat např. dogenerovat do aktuálního vstupu nové heslo a hned si ho uložit.

Na webu je to openID. I když tam bych uvítal změnu či řekněme rozšíření, které umožňuje login zadávat jako emailovou adresu a ne url. Server by se ověřoval oproti doméně a jménu uživatele.

Roztomilé :-) Ale mnemotechnickým pomůckám jsem nikdy nepřišel na chuť. Přišlo mi jednodušší si hesla pamatovat tak, jak je generuje pwgen.

A to obvykle používám více než 10 znaková a mám jich asi 20 často používaných a nejméně jednou tolik "které znám pasivně" = napsané, mrknu na něj, pak ho dva dny používám aniž bych se musel ujišťovat a potom ho půl roku nepotřebuju.

Hesla měním kdykoliv mám dojem, že by nemuselo být důvěryhodné. Občas i bez příčiny, ale měnit hesla za každou cenu každé dva měsíce je hovadina. Akorát bych v tom měl zmatek.

spousta hesel mi vadi jen u tech hesel ktery pouzivam malo casto...ty hodne pouzivane si pamatuju ale nektery pouzivany jednou za 3 mesice uz zapomneu snadneji :(

[3] počítá se hash podle tkzv. markantů otisku, takže se nejedná o celý otisk ale jenom o vybrané části. Tento se ukládá a je porovnán s vypočteným hashem při autentizaci. Shoda je zabezpečena právě tím algoritmem, který výbýrá markanty. 100%ntní to ovšem není, ne každý je schopen poskytnout zpracovatelný otisk a taky záleží na aktuálním stavu media (prstu).