So záujmom som si prečítal svatasov blog o heslách. Už dlhšie to nosím v hlave, takže mi nahral na smeč. Čím? Tým že blog len recykloval všetky dávno zažité klišé ktoré ITčkári (áno aj ja) šíria a terorizujú užívateľov.
Len pre úplnosť zopakujem. Ako bezpečné heslo sa považuje dostatočne dlhé, ťažko zapamatateľné a často meniace sa heslo. Nuž dobre, ale zabúda sa na jedno. Chceme to od obyčajných ľudí. Vždy keď toto niekomu hovorím tak čítam v jeho očiach asi toto:
Čím dlhšie nad tým rozmýšľam, tým viac tým svojim užívateľom dávam za pravdu. Áno my sme tí IT čo majú niečo vymyslieť, niečo efektívne, niečo praktické a v reále použiteľné. Nehádzať na užítateľov nezmyselnú zodpovednosť. Nedávať užívateľovi dve protichodné požiadavky.
Aj keby sme užívateľa donútili, aby kvoli nám (trochu pokory by v IT neuškodilo) tieto 2 požiadavky splnili, tak vážne si myslíte, že niekto kto PC len používa nemá nič iné na práci ako pamatať si každý 3 mesiac iné heslo? A keby len jedno. Podobne „hlúpe“ požiadavky na nich kladie banka, prevádzkovateľ emailu, kódu pre zabezpečovacie zariadenia, atď. Ruku na srdce, tiež dodržiavate to, čo chcete od svojích užívateľov? Ak ste ITčkar potom odhadujem že musíte používať tak 10–20 hesiel a žiadne nesmie byť rovnaké a ani ľahko zapamatateľné. A nikam nepísať! A menit každý 3 mesiac!!!
Ale dobre. Povedzme že ste natoľko poctivý, že to čo kážete aj dodržujete. Tak sa opýtam inak. Dodržujete všetky odporúčania čo sa týka prevádzky vášho auta, telefónu, chladničky, PC, starostlivosti o chrup, cholesterol, bla, bla, bla. Asi už viete kam tým mierim. Ak chcete byť poctivý a všetko dodržiavať neostane vám čas na nič iné. A podľa mňa to ani nemáte čas stihnúť. Ak sa samozrejme nechcete okrádať o spánok. Ale aj na dobu spánku je odporúčanie.
Tak čo s tým? No nič. Zmierme sa s tým, že požiadavky na heslá su nezmyselné a neterorizujme svojich (vystavených nám na nemilosť) užítateľov ich dodržiavaním.
Teraz si položíte otázku:„No keď si taký múdry, tak čo s tým?“. Riešení je samozrejme mnoho. Od logovania prstom, cez nemožnosť odnášať si data z firmy. Až po kryptovanie dodatočným HW. Možností vymyslíte veľa aj vy. Veď ste ITčkári nie?
PS: Ospravedlňujem sa zabudol som link na povodný blog. Tak svatasuv blog je tu..
Podle mě velice dobrý postřeh. Já sám zastávám názor, že uživatel by měl mít heslo aspoň 8 znaků, z nichž je aspoň jeden velké písmeno a aspoň jeden číslice a není to slovo ze slovníku. Takové heslo si je schopen zapamatovat každý člověk, který je dostatečně inteligentní na to, aby zvládl užívat PC na uživatelské úrovni. Změna hesla každé 3 měsíce, 12 znaků, speciální znaky v hesle, na každý účet jíné - to všechno je krásné, bezpečné, ale pro běžného uživatele nemyslitelné.
Abych jen neomílal to co již v článku stojí, tak dobrá obrana proti útočníkovi je umělé zpoždění (klidně několik sekund) při zadání neplatného hesla. Takový 3-5 sekundový delay znemožní brutal force útok a slovníkový útok podstatně zpomalí. Ovšem pokud musí být zašifrovaná hesla přístupná veřejně, tak tohle nepomůže... Bezpečnost v IT není stav, ale nikdy nekončící, stále se vyvíjející proces - pořád je třeba něco někde vylepšovat. (pozn.: to jsem někde slyšel, nikoli vymyslel;-)
zajimave! Mas pravdu, nedodrzuji a to se povazuji za ITckara, slabym heslum se smeji.
Kdyby mely pocitace zabudovane snimace otisku prstu jiz od vzniku, urcite by to dneska bylo pouzitelnejsi vsechno. Kazdy by mel doma snimac, nebo cestou by ho nosil v kapse a mohl se odkudkoliv prihlasit kamkoliv.
To je jak se zalohovanim. Kdo ho nedela a pak prijde o data tak cuci jak puk. Podobne az lidi diky jednoduchym heslum prijdou o penize nebo uvidi svoje soukrome fotky/maily verejne jim to dojde. Reseni? Password managery. Sam pouzivam FPM2.
[3] +1 ;-)
Nejlepší je, když různé online služby vyžadují po uživatelích poměrně silné heslo a hned vzápětí mu umožní (z velké části donutí) udělat díru v podobě nápovědy. Kdo může asi vědět, že moje matka se za svobodna jmenovala Nováková nebo že můj oblíbený herec je Jim Carrey, že ano...
Souhlasím víceméně s freem4nem - určitá přiměřená politika ano, ale dělat bezpečnostní opatření jako pro Pentagon, když prodávám brambory a zelí, to moc spolu nejde dohromady. To je i odpověď na ty uřezané prsty - pokud prodávám brambory, je pravděpodobnost, že mě unese bramborová mafie, dost nízká. ;) Zamyslel bych se i nad tím, že PIN u mobilů a bankovních karet má 4 číslice (a většinou se nemění za celou dobu existence SIM karty / platební karty), bezpečnostní kód bankovních karet má 3 až 4 číslice. Proč asi? Protože si banky uvědomují, že lidi jsou jenom lidi.
Password managery, v některých případech autorizace pomocí SMS, tokenů, otisky prstů, to dává smysl. A souhlasím i s Trskem v tom, že firma může mít přísnou politiku hesel jak chce, pokud dostane každý jouda notebook nabitý nešifrovanými daty, aby mohl předstírat práci i po večerech a o víkendech, každý druhý uživatel si může vyjet veškerá data za půl roku najednou na flešku a odnést, kam se mu zlíbí, to podle mě není úplně řídký případ.
Vzdy jsem mel hesla, ktera nebyla slovnikova, mela minimalne 10 znaku z rozsahu [-_=.,:;'"a-zA-Z0-9], nebo neco okolo 20ti znaku [a-zA-Z], nebyla nikde napsana a NIKDY jsem nepouzival ukladani hesel do firefoxu.
Pak prisla jedna firma s tim, ze se heslo bude kazdou chvili menit ... pote, co jsem heslo asi 3x zapomel, musel jsem sve navyky modifikovat.
A to se problematika hesel jeste zkomplikuje, protoze s vetsi vypocetni silou jsou i dnes hesla povazovna za silna vlastne hesla slaba. Je potreba najit jine reseni.
http://www.darknet.org.uk/2009/11/using-cloud-computing-to-crack-passwords-amazons-ec2/
>>> Nejlepší je, když různé online služby vyžadují po uživatelích poměrně silné heslo a hned vzápětí mu umožní (z velké části donutí) udělat díru v podobě nápovědy. Kdo může asi vědět, že moje matka se za svobodna jmenovala Nováková nebo že můj oblíbený herec je Jim Carrey, že ano...
Nic Vam nebrani, zadat, "nelogickou" odpoved...
>>> Zamyslel bych se i nad tím, že PIN u mobilů a bankovních karet má 4 číslice (a většinou se nemění za celou dobu existence SIM karty / platební karty), bezpečnostní kód bankovních karet má 3 až 4 číslice. Proč asi? Protože si banky uvědomují, že lidi jsou jenom lidi.
PIN na SIM a bankovni kartu muzete zadat spatne jen nekolikrat; mate 3-10 pokusu, pak se karta zablokuje, pripadne znehodnoti. U SIM karty mate jeste moznst odemcit kkartu pomoci PUK, po 10 spatnych pokusech ji totalne zablokujete. Takze PIN je krtaky kod, ale nemuzete hadat dlouho, aby jste prosel vsechny kombinace.
Nevyžaduji použití speciálního symbolu a častou změnu hesla (resp. jednou za rok to stačí, případně změnu poté, co jsem nucen použít cizí počítač).
Ale vyžaduji to alespoň to minimum a sám ho dodržuji. Jinak se dá praktikovat: "Cože? Ty si nedokážeš zapamatovat heslo? Fajn, půjdeme za šéfem, třeba ti kompenzuje plat výměnou za jednodušší.", případně "Fajn, ale až ti takové chování způsobí průser, tak ode mě se dočkáš akorát výsměchu."
Podobný postup aplikuji na následky nedodržení jiných principů - první odvšivení xxx Kč, druhé odvšivení 2*xxx Kč, i-té odvšivení i*(i_{i-1}*xxx) Kč. Na lidi se musí tvrdě, jakmile uvidí ústupek, tak si to vyloží jako slabost a začnou se chovat jako zmrdi.
Samozřejmě představivost se meze nekladou a tak lze použít zábavnější matematické funkce. Taková Ackermannova funkce vás zbaví dementů hodně brzy. :-D
Plus si připočtěte, že ve většině případů jde o zbytečnou buzeraci. Freemailové služby, eshopy, diskuze, lokální sítě.
V okamžiku kdy jde o něco důležitého, ať o peníze, evidenci citlivých dat, atd, tak stejně jenom přihlášení přes jméno a heslo nestačí, a používají se další zabezpečení, od smsek, certifikátů, čteček,osobních karet, zabezpečení vstupu osob,...
[16] > Nic Vam nebrani, zadat, "nelogickou" odpoved.
To samozřejmě dělám, ale v takovém případě to je mrhání prostředky na straně provozovatele i uživatele. Provozovatel ale zřejmě počítá spíš s tím, že tam běžný Franta uživatel zadá "logickou" odpověď.
> PIN na SIM a bankovni kartu muzete zadat spatne jen nekolikrat; mate 3-10 pokusu, pak se karta zablokuje, pripadne znehodnoti. U SIM karty mate jeste moznst odemcit kkartu pomoci PUK, po 10 spatnych pokusech ji totalne zablokujete. Takze PIN je krtaky kod, ale nemuzete hadat dlouho, aby jste prosel vsechny kombinace.
Samozřejmě, toho jsem si vědom. Abych prošel všechny kombinace u PINu, potřebuju 10000 pokusů. Anglická abeceda má 26 písmen, pokud počítám malá i velká písmena a číslice (speciální znaky vynechme), je to 62 znaků. Pokud má heslo 4 znaky, znamená to přes 14 miliónů kombinací. Podobný systém jako u PINů (samozřejmě jemnější, ne úplné zablokování účtu po pár pokusech) lze udělat i u spousty jiných aplikací, takže prolomení hesla hrubou silou je pak už docela problém. Já netvrdím, že hesla mají mít jenom 4 znaky a to ještě naprosto libovolné. Chci jenom říct, že bezpečnostní politika občas hraničí se zbytečnou šikanou uživatelů.
Příspěvek [19] byl můj. Na svoje zbrusu nové OpenSUSE jsem si dosud nepřetáhnul profil, takže se mi nepředvyplnila přezdívka.
Mimochodem, pokud se to 4znakové heslo bude lámat hrubou silou při timeoutu 5 sekund, bude vyzkoušení všech kombinací trvat přes 2 roky. Při délce hesla 5 znaků to znamená dobu delší, než délka života dlouhověkého člověka. A v drtivé většině případů to překročí mnohokrát dobu, kdy má smysl chránit konkrétní data.
[17] Vypada to tak ze si s nimi na "bojovej nohe". Ta poznamka o pokore bola mienena dobre, lebo nieco take sa vzdy vymsti.
[21] Presne tak. Napisal som viacero blogov ktore by sa mohli oznacit za "odborne" a nik ich nekomentoval. Z toho usudzujem ze blog je turecky bazar kde sa chcu ludia hadat a dokazovat svoju erudiciu inym. Preco im v tom nepomoct ;o)
Mnemotechniky používám, ale svoje vlastní, takže si ty hesla dokážu zapamatovat. Není to sice ideální, ale určitě lepší než se na to vykašlat jak radí? autor.
Jinak i ty megadůležitý hesla si zapisuju do password manageru, ale jakmile si je bezpečně zapamatuju tak je smažu. To už není vůbec dobrý, ale když takový heslo zapomenete tak je to průšvih.
Nejhorší nešvar mezi userama je ten, že na všechno používaj stejný heslo. Takže stačí aby se u vás zaregistrovali a už jim můžete čumět do mailu.
aktualni tema, zrovna vcera sem si zablokoval ebanking protoze sem zapomel heslo. stary si pamatuju dobre, ale porad me tam svitilo cervene ze si ho mam zmenit, tak sem si ho zmenil a sem v prdeli :-D sem si ho mel mozna napsat na ten papirek a zamknout ho do supliku. ted tam budu muset jit nabo zavolat a pak hledat nakej dopis kde by melo bejt naky heslo kterym se to pred lety aktivovalo a pres to se tam prej pak da dostat. to uz je nejmin podruhy. ty hesla sou fakt makacka na bednu. :-D
Prijde mi nejlepsi uzivatele jen upozornovat na to, ze heslo maji zastarale a lehce je postrasit, ze to neni bezpecne. Je pak jen na nich, zda si ho zmeni nebo ne. Pokud je budes nutit menit kazdou chvili heslo + pouzivat bezpecne heslo, budou pouzivat hesla typu "hesloHESLO1" apod.
Vo voľnom čase sa venujem staručkému Turbo Pascalu na stránke www.trsek.com. Inak programujem v C/C++, PHP, SQL.
Přečteno 28 499×
Přečteno 24 374×
Přečteno 23 884×
Přečteno 22 803×
Přečteno 22 414×