O heslech
Za poslední dva měsíce jsem se dostal do několika diskuzí s uživateli, týkající se hesel. V programech, které využívají, je zapotřebí mít heslo. Určité délky a dle určitých pravidel. Takže jsem se jal vysvětlovat, ale argumenty uživatelů mne však uzemnily a neměl jsem k tomu co dodat.
První problém nastal ve chvíli, kdy se rapidně změnil už tak přísný firemní standard na zadávání hesla. A lidé začali brblat. Heslo totiž musí mít minimální délku 8 znaků, jeden velký, jeden malý a jeden číselný znak. Nesmí obsahovat jméno uživatele, žádné slovníkové heslo (jako slovo heslo či password), nesmí obsahovat slovo odvozené od firemního portfolia (názvy výrobků). Heslo se nesmí čtyiadvacetkrát opakovat a platí 90 dnů. Navíc lze heslo změnit jen jednou denně a při jeho změně se musí změnit minimálně 4 znaky v něm obsažené. Pokud se při zadávání třikrát spletete, je účet zablokován na 5 minut…
Tohle řeknete zaměstnanci a ten začne šílet. Co si teda jako mám dát jako heslo? Začnete popisovat metodu oblíbeného výroku a počátečních písmen slov, náhradu znaků hesla čísly se stejnou visuální podobou (číslo 0 místo O, číslo 1 místo i atd.) a po všem tom vysvětlování vás uživatel uzemní tím, že je to stejně jen hrozba hypotetická. Že i když zvolí heslo slabé, stejně nic moc extra nehrozí. Vysvětlí to na stávajícím scénáři :
Mám firemní notebook, pracuji jako obchodní zástupce a mám na starosti cca 200 zákazníků. Používám firemní e-mail a mám uloženy nějaké dokumenty. A teď pozor – přijdu o notebook. Kdo mi jej mohl sebrat?
U každého scénáře uvedu index reálné hrozby „provalení“ se dat na stupnici 1 – 10, přičemž 10 je nejvíce.
Náhodný zlodějíček
Pokud to bude tento zlodějíček, bude pro něj kradený notebook jistě horké zboží. Spustí počítač a zjistí, že chce po něm heslo. V drtivé většině případů tady i skončí. Možná se pokusí tam zkusmo něco zadat. Pokud ale nebude vědět nic o naší firemní strategii, neodvodí ani uživatelské jméno (které se poctivě každým sezením maže a nezůstává tam zadané). Dalším krokem bude patrně zavření notebooku, trošku protřelejší možná HDD smázne. A pak s ním šup do zastavárny.V zásadě jde o „rychlý prachy“
Reálná hrozba tohoto scénáře je tak 8, tj. v drtivé většině vám počítač ukradne někdo náhodně. Reálná hrozba přečtení dat z HDD s jejich následným zneužitím je na indexu někde kolem 1. Očekávaná odbornost je 1.
Zloděj – protřelý
Tento zloděj bude volit podobné postupy jako náhodný zlodějíček, ale on si vás tipne třeba v restauraci nebo při vystupování z firemního auta. I u něj jde o „rychlý prachy“, ale možná se pokusí se k datům dostat a vytřískat z toho nějakou korunu ať už zpětným zavoláním, že za výkupné vám notebook vrátí nebo skrz to, že najde nějaká data, která by chtěl nějak zneužít.
Reálná hrozba je tak 5, reálná hrozba pro vaše data je asi tak 2, odbornost bych hodnotil mezi 1 – 2.
Krádež na objednávku
A teď je důležité – na čí objednávku. Pokud na objednávku od někoho, kdo chce váš model počítače, tak ten nebude zkoumat data na vašem HDD. jde o prachy, takže disk se bude formátovat. Nahraje se tam i jiný systém. Reálná hrozba krádeže je asi tak 3, reálná hrozba pro data je 1. Odbornost člověka bude tak kolem 3.
Pokud to bude na objednávku konkurence, která chce zjistit něco o vaší firmě, tak ta se bude snažit z disku dostat co nejvíce dat. Žádné formátování a bude nasazeno crackování admin účtu. Vůbec nepůjde o další HW. Reálná hrozba toho, že by se proti vám někdo z konkurence pokoušel udělat je tak 2. Hrozba pro data je asi tak 8. Odbornost člověka bude také na vysoké úrovni indexu 8.
Orgány činné v trestním řízení
Pokud se vám stane, že budete ve spárech policie a jiných státních orgánů, myslím si, že takto ochráněná data tj. heslem a ničím jiným, jsou pro tyto orgány hračkou. Reálná hrozba, že se to stane je 2, reálná hrozba pro vaše data je 10 a odbornost člověka předpokládám také na stupnici 10.
U všech scénářů předpokládám, že data jsou nešifrována. Dalším zamyšlením byla reakce mé sestry, když jsem si domů přinesl Wi-Fi router, který byl přenastavený a stačilo jej už jen připojit k internetu a vnitřní síť rázem fungovala.
Vysvětloval jsem jí, že router je vybaven Web rozhraním, kde se dá nastavit několik věcí, že ji asi nejvíce bude zajímat změna hesla přístupu k síti. Taky jsem začal mluvit něco o MAC filtru na adresy atd. Uzemnila mne tím, že bydlí v baráku se samými důchodci, takže nemá strach, že by někdo lámal její heslo k routeru nebo k síti. A co na to chcete říci? Jistá pravděpodobnost tu je, reálná hrozba je však skoro nulová.
Ptám se – přeháním to? Nebo na to máte podobný názor tj. při rozumné míře zabezpečení hesla je možnost reálné hrozby průniku takřka nulová a míra risku je akceptovatelná?
P.S. : Zjistil jsem, že jsem se trefil do tématu. Podobné najdete i zde.
-
Související články na blogu Tady je Svaťasovo - den za dnem v IT
-
Ani bezpečný, ani nebezpečný 3. 7. 2015 7:48
-
Android kouše do jablka - díl 0 : Jak to všechno začalo 31. 7. 2012 9:03
-
Pozor na ně! 2. 6. 2011 12:18
-
Mámo, táto přesvědč mě, že jezdíme bezpečně 27. 4. 2010 8:47
-
Banánový hack dostává mediální tvář 8. 2. 2010 12:33
-
Jak dostat tatínka do polepšovny 29. 1. 2010 9:21
-
-
Související články na ostatních blozích
-
WordPress zranitelnost v REST API je aktivně exploitována 7. 2. 2017 14:48
-
Top-10 bezpečnostních incidentů v srpnu 2016 2. 9. 2016 14:08
-
Odcizení přihlašovacích údajů k Windows jen pomocí webové stránky 4. 8. 2016 14:29
-
Top 10 bezpečnostních incidentů v červenci 2016 3. 8. 2016 13:41
-
Top-10 bezpečnostních incidentů v červnu 2016 1. 7. 2016 13:59
-
UK: ztracené peníze z Vašeho bankovního účtu? No, je to vaše vina 27. 5. 2016 16:02
-
-
livthomas (neregistrovaný)
Nemyslím si, žeby si to preháňal. Si proste opatrný. Tak ako ja. No keď už niekto ide po firémnych informáciách, tak má po ruke nejakého experta, ktorého by ste silnejším heslom akurát potrápili. Inak nemyslím si, žeby polícia mala nejakých super expertov. I keď je to v podstate jedno, ak sa bavíme o legálnom softvéry a legálnych činnostiach firmy.
S tými Wi-fi sieťami je to už iné. Môže bývať v paneláku plnom dôchodcov, no k nim chodia ich deti a vnúčatá, ktoré to už s technikou trocha vedia. A keby chceli tým dôchodcom zriadiť internet, tak ich môžu pripojiť aj takto načierno. Takisto by sa mohli na lavičkách pred bytovkou začať zhromažďovať ľudia s notebookmi a využívať váš bezplatný AP. :D Sám som sa čudoval, koľko Wi-Fi sietí je nezabezpečených. Keď som bol v zime na lyžovačke v Tatrách a býval som v strýkovom byte, tak pripojiť sa v paneláku na internet nebol žiaden problém. Boli tam asi 4 siete a žiadna nebola zabezpečená. A to nie je v okolí žiadna reštaurácia ani nič podobné s verným AP. Jednoducho typický ľudia, ktorí prídu domov, zapoja wi-fi router, zistia, že to funguje, a o ostatné sa nestarajú.
Jednoducho treba pochopiť mentalitu ostatných ľudí a zmieriť sa s tým, že neprijímajú naše rady. Aspoň máme internet zadarmo. ;)
-
mnicky (neregistrovaný)
Podla mna to s heslami a bezpecnostou netreba prehanat. Optimalne riesenie je take, kde je co najmensi pomer diskomfortu zamestnanca voci bezpecnosti. Kludne podla mna staci aby heslo bolo dostatocne dlhe, nebolo slovnikove a obsahovalo navyse nejake cislo - taketo hesla sa tvoria lahko nahradenim jedneho pismenka dlhsieho znameho slova za ine a pridanim cisla (napr.: strohcek32, jozemko46, mitacik85, intermet77 a pod. :-)
-
mnicky (neregistrovaný)
A este k tej ochrane WiFi. Osobne si myslim, ze jedine realne ucinne zabezpecenie je WPA2 s dostatocne dobrym heslom a pri jej pouziti uz ine ochrany ako napr. filtrovanie MAC adries nema vyznam. Kto vie / resp. nejako sa mu postasti prekonat WPA2, tak pre toho uz obidenie MAC filtra nie je ziaden problem.
-
Miklik (neregistrovaný)
Dle mě je kompromis hesla pro běžného uživatele 6 znaků a dva z malé, velké, číslo. Problém je v tom, že když jim dáte složitější heslo, tak si ho napíšou na lísteček a dají někam na stůl.
Pro větší bezpečnost je pak, dnes, lepší použít jinou metodu než heslo. Otisk, kartu, RSA ID token.
-
Ignotus (neregistrovaný)
Ad wifi - zazil som uz aj takyto scenar (nie na vlastnej kozi): naburanie wifi, rozosielanie spamu, zablokovanie od providera. Prvykrat zadarmo, druhykrat by to uz bolo udajne za poplatok. Takze riziko nie je len v poskytovani bezplatneho pristupu na internet. Nehovoriac o tom, ked niekto cez vase wifi nabura nejaku instituciu.
-
Stevko (neregistrovaný)
Pri krádeži notebooku kvôli dátam ak sú dáta nešifrované, tak zisťovanie hesla nebude nikto robiť - proste ten disk pripojí do iného systému. Takže predpokladám, že na prístup k dátam to heslo skutočne treba. V tom prípade by som povedal, že tie hrozby sú tak zhruba odhadnuté a zložité heslo pomôže.
Pri wi-fi: Ja som doma nechal wi-fi nezabezpečené schválne. Ja tiež niekedy využívam cudzie wi-fi, tak nech môžu ľudia využívať moje. Ale nejak si prestávam byť istý, či je to dobrý nápad. -
corwin78 (neregistrovaný)
Jakékoliv zabezpečení je vždy kompromisem mezi bezpečností a uživatelskou přívětivosti. Pochopitelně také platí, že čím lepší zabezpečení, tím vyšší náklady. Je už pak na zvážení každého, do jaké míry se mu vyšší zabezpečení vyplatí a kdy to nemá smysl. Na druhé straně, to, že jsem paranoidní neznamená, že po mě nejdou ;-)
-
regine (neregistrovaný)
Dělám do IT dost dlouhá. Mé rychlé shrnutí:
- Pokud něco mám v poště na Seznamu, Google, Yahoo... tak heslo je k těmto mailům takovou hračičkou. Copak asi víme o lidech co spravují mailové servery někde z Indie?
- MS Windows (sedmičky jsem s tím ještě neskoušel)- Díky jednomu SW umístěnému na CD/flašce během 10ti minut odhesluji všechny účty (v práci mi za to ještě poděkují a uvaří kafíčko). Průměrně tak u 30 userů za rok.
- Mobilní telefonu - odblokovány za asi 100 Kč.
...
Takže zbývá jedině šifrování. Ale k ho užívá? -
qiRzT (neregistrovaný)
Ad heslo - IMHO jediné důležité parametry jsou délka a neslovníkovost, pro brute force útok má velké písmeno stejnou váhu jako malé, ledy by útočník věděl, že jsou použita jen malá.
Ad wifi - nejde jen o zneužití té konkrétní sítě, ale o možný odposlech. Jedno jsem zkoušel prohledávat dumpy kismetu (získané na různých místech jako zcela vedlejší produkt hledání sítí) a nestačil jsem se divit. -
Filip Jirsák (neregistrovaný)
Můžu se zeptat, k čemu je dobré vynucení změny hesla po určité době? Pokud jsem tak neopatrný, že někdo mnou zadávané heslo „náhodou“ zahlédne, zahlédne ho náhodou znova i po změně. Pokud na mne někdo útočí cíleně, a získá moje heslo jednou, nebude problém získávat o každou jeho změnu. Podle mne je vynucení změny hesla nejjednodušší způsob, jak bezpečnost ve skutečnosti snížit, protože bude mít uživatel heslo někde napsané.
-
Cm (neregistrovaný)
Přesně tak. Toto je nejčastější chyba administrátorů (bezpečáků) amatérů. Myslet si, že čím přísnější politiky na heslo, tím větší bezpečnost. Od určité úrovně to funguje přesně obráceně. Většina lidí rezignuje (či spíše je donucena rezignovat) a heslo nebo jeho variabilní část si píší na papírky/pod klávesnici ... Mluvím o přístupových heslech např. do OS/domény... A běžném vzorku uživatelů. A je to vlastní zkušenost. prostě i zde je třeba selský rozum a elementární psychologie.
-
. (neregistrovaný)
Takové jelito, kteté dělá obchodního zástupce (a jistě je mistrně ovládá práci s počítačem a zjevně je s problematikou IT srozuměn mnohem lépe než kdejaký pochybný ajťák), má zajisté všechna hesla stejná, v lepším případě navíc intranetové/mailové poctivě uložené v prohlížeči nejlépe v nechráněném tvaru (neukládám přece hesla jenom proto, abych je nahradil zadáváním hesla dalšího), o přihlašovací heslo do domény se případně postará operační systém sám, který ho cachuje pro případ, že doména není k dispozici. Data potřebná pro připojení do VPN najdu taktéž poctivě uložené na v počítači. Mám pokračovat? ;)
Samozřejmě tvrzení, že mě nemůže nikdo okrást a jestli tak ho nebude nic z toho počítače zajímat, zůstává neotřeseno, stejně jako neotřese vírou v boha žádným logickým argumentem. Patří to do skupiny dalších tvrzení, že "mám auto plně pod kontrolou při rychlosti 180 km/h", že "nemusím vyhazovat prachy za pojištění, když se mi nemůže nic stát", atd.
Přesvědčení, že "moje wifi nikoho nezajímá" je vůbec vtipné, hloučky na lavičkách už tu byly, sestra ještě může doufat, že tihle wifi turisti jsou povětšinou děti, které to dělají akorát ze srandy... Koneckonců takové chování není žádnou novinkou, že. Kdo by se přece obtěžoval vykrádat zrovna můj byt, kdo by bral zrovna moje auto? ;-)
-
Tomáš (neregistrovaný)
Mám otázku k těm pravidlům na heslo: jak se pozná, že se změnily aspoň 4 znaky? Myslel jsem si, že se ukládá jenom hash, z toho by to asi nešlo poznat.
Jinak k těm heslům: pokud jsou pravidla na hesla moc přísná, uživatelé to nějak obejdou. Pokud sedí v kaneláři, napíšou si je na papírek. Případně si najdou nejjednodušší heslo, které už projde, a to obměňují pořád dokola (variabilní část hesla).
-
Ja. (neregistrovaný)
A čo takto passphrase? Napríklad také heslo "no uz fakt neviem ake heslo sem dat kurnik sopa" - to asi nie je ľahko cracknuteľné heslo, ale nespĺňa vaše štandardy.
Tiež je rozdiel, ako dôležitý je systém, do ktorého to heslo je. Ak na tom stojí firma, budjiž, ale ak má užívateľ vymýšlať 10 hesiel do 10 systémov a všetky podľa rovnakých podmienok a nemôžu byť rovnaké, to už je na psychiatriu. -
houska (neregistrovaný)
ad hesla - podle me je dobrym kompromisem slozite heslo (10 a vice znaku, mala, velka pismena, cislice, spec.znak) ktere se nemeni, pripadne se meni zridka (1x za rok)
ad sifrovani wifi/zmena hesla - urcite! nechchci nekomu delat providera pripadne (pokud pouzivam win sdileni souboru) poskytnout svuj filmovy a warez archiv o fotkach nemluve (.. i kdyz v dobe facebooku)
sifrovani disku - taky dobry napad, v linuxu neni problem a pokud jsou na pocitaci citliva data tak zcela urcite -
Inkvizitor (neregistrovaný)
Souhlasím s těmi, kteří tvrdí, že politika častého měnění hesla je spíš kontraproduktivní. Pokud jde o to, že někdo jiný odkouká heslo při psaní, protiargumentem je papírek. Pokud jde o snahu hrát si na kočku a myš se vzdáleným útočníkem, který se snaží heslo prolomit hrubou silou, není přece problém spustit paralelně několik sekvencí (dejme tomu 2 až 3). Rychlost prolomení se samozřejmě sníží (na polovinu nebo na třetinu), otázka je, co to udělá s bezpečností těch hesel, když musí každý člověk mít za rok 8 různých hesel. Kdyby uživatelé museli mít heslo o jeden znak delší a nemuseli ho měnit několik let, bylo by to z hlediska útoku hrubou silou podle mě bezpečnější.
-
Patrik Chrz (neregistrovaný)
Přidám se k zastáncům volnější "heslové politiky". V mém prvním zaměstnání (pojišťovna) taky byla naprosto nesmyslná heslová politika. Výsledek byl, že polovina uživatelů měla heslo na papírku na monitoru a druhá na papírku v šuplíku. Co taky jiného, když to po vás jednou za měsíc vybaflo "změňte heslo" a to teď hned, okamžitě si něco vymyslete. Navíc vás to nepustilo k přihlášení (tedy k práci) dokud jste něco nevymysleli.
Teď jiné heslo do každého systému (a že jich bylo asi pět), jiná frekvence obnovy, při 3 krát zadaném špatně blokace,... fakt maso.
Ve firmě je podle mě nejúčinnější blokace nějak spojená s HW, tedy že systém ověřuje, že počítač je oprávněn vstupu (tedy IP adresa, MAC adresa, "časové okno"). Pokud chtějí jo zabezpečení tak čipovou kartu + PIN. -
J (neregistrovaný)
[7] Dobrý nápad to není. Nevadilo by, kdyby si někdo "na Vás" jen skočil do mailu či podobně. Problém nastane, pokud začne páchat trestnou činnost. Trestně je např. držení dětské pornografie, crackování cizích mašin... jakmile to proteče přes váš router a začne se tím zabývat policie a následně státní zastupitelství, jste ve velkém průšvihu.
-
NA (neregistrovaný)
Firemní předpis vylučující určité znaky (musíte mít číslo, malé a velké písmeno) nebo délky (nejméně 6 znaků) zjednoduší útočníkům práci.
Změna hesel po nějakém čase je užitečná kvůli externistům, kteří je často dostanou od uživatelů.
Většinou centrálně přidělované heslo=papírek. -
Lubos "herrman" Moscovic (neregistrovaný)
Menenie hesla kazde 3 mesiace je imho zhovadilost na n-tu. Som za to, aby ludia pouzivali silne hesla s adekvatnou dlzkou a kombinaciou znakov idealne podla vzoru "oblubeny vyrok". Tym sa ale ako admin diskvalifikujem na pravo vyzadovat od nich aby take heslo vymyslali kazde 3 mesiace - viacmenej ich donutim urobit nejake zverstvo a-la heslo na papieriku a pod.
Co sa tyka uvadzanych prikladov, tak su trosku derave nakolko tam nepadlo ani slovo o sifrovani dat, takze naco lamat heslo, ked si mozem z daneho ntb harddisk vymontovat, pripojit k lubovolnej inej beziacej masine a veselo citat "doverne" dokumenty.
Ad WiFi, pri jednoduchosti nastavovania WPA2-ky nevidim dovod, preco ju nepouzivat aj ked je to v domacom prostredi kanon na vrabce.OK ale spat k heslam a davam otazku do plena: 90 dni na nove heslo je naozaj otravne malo, na druhej strane ziadne heslo nevydrzi naveky. Kolko je podla vas idealna doba?
-
Inkvizitor (neregistrovaný)
[21] Jak může externista dostat heslo interního uživatele? Není chyba právě tady? Každý uživatel (i dočasný) by měl mít svůj vlastní uživatelský účet (pro externisty klidně může být guest s heslem, které se mění.
[23] Pokud heslo nebude možné držet řádově roky, uživatelé budou rozumnou práci s hesly bojkotovat - viz příspěvek Patrika Chrze. Data taky nebudou na světě navěky, zrovna tak jako uživatelé.
Z matematického hlediska IMO změna hesla nemá moc velkou účinnost, protože nikdy nevíš, kam se dostal útočník v sekvenci pokusů o uhádnutí hesla. Jak jsem psal předtím, stačí pustit několik souběžných sekvencí (například jedna hledá furt dokola slabá hesla, druhá jede silná od "poloviny" do konce, třetí jede od začátku do poloviny). To, že s heslem někam sekvenci "uhneš", ničemu nepomůže. Když například změníš heslo z Karel na Karla a sekvence je u "Janek", najde to heslo jen o chvíli později; pokud ho změníš na Josef, najde ho dřív. Pokud bude sekvence u "Marek", zdánlivě jsi unikl, ale pokud pojede zároveň další sekvence, která bude v tu chvíli u "Borat", dostihne Tě dřív, než sekvence č. 1 dojde ke slovu "Zorka". Pokud budeš mít heslo Karlos, pomůžeš si víc.
Politika ve Svaťasově firmě mi přijde jako extrémní příklad. Pokud bude potřebovat útočník na uhádnutí hesla řekněme 1000000 pokusů (kdyby šel přes klasický bruteforce, bylo by to mnohem větší číslo) a bude za počítačem sedět pořád a každých 5 minut vyzkouší 3 hesla, bude mu to trvat, pokud dobře počítám, cca 3 roky. Za 3 roky při (poměrně dost nízkém) platu 10000 měsíčně vydělám 360000 korun (a to nebudu pracovat 24/7), za 360000 korun v pohodě podplatím zaměstnance, který mi heslo předá a za zlomek této sumy mi uklízečka opíše heslo z papírku, který má zaměstnanec nalepený na monitoru.
Myslím, že jsi trefil hřebíček na hlavičku, když jsi zmínil šifrování dat. Heslo samo o sobě nic neřeší.
-
Lubos "herrman" Moscovic (neregistrovaný)
"Pokud heslo nebude možné držet řádově roky..."
to znie ako triezvy odhad. Ono aj ked sa ja sam zamyslim nad tym ako casto som ochotny bez reptania vymenit jedno "silne" heslo za ine, tak dospejem k udaju "nie viac ako raz za rok".
Vazne by ma zaujimali argumenty ludi zastavajucich tendenciu casteho menenia hesiel (90 dni a podobne zrudnosti). -
trsek (neregistrovaný)
Moj prispevok bol taky dlhy ze som sa rozhodol spravit z neho blog.
http://trsek.blog.root.cz/2009/11/19/znova%C2%A0hesla%C2%A0a%C2%A0maju%C2%A0vyznamAk ma podozrievate ze sa snazim na teme prizivit mate pravdu. ;o)
-
LuKra (neregistrovaný)
Já myslím, že přísná bezpečnostní politika vede k tomu, že si uživatelé poznamenají heslo někam na kousek papíru a třeba si ho přilepí na monitor nebo ho nosí s sebou u ntb. To v tom horší případě ... V tom lepším si heslo pamatují, ale pak stačí třeba nabootovat třeba SLAX a ten mi zpřístupní disky na počítači bez nějakých problémů a bez ohledu na sílu uživatelského hesla. Samozřejmě pak se dají data buď rovnou kopírovat a nebo (v horším případě) instalovat nějaký keylogger a získat tak plnohodnotné heslo a následně tedy i přístup do firemní sítě (na mail atp.). Takže IMHO jediným pořádným řešením je používat šifrovaný oddíl disku nějakým silným šifrováním a tam si ukládat důležité (firemní) dokumenty a nebo naopak na lokální disk neukládat vůbec nic a všechno posílat přes net (což přináší zase jiná rizika) na nějaký zabezpečený firemní server.
ČLÁNKY DO MAILU