Názory k článku
Vládní CERT varuje uživatele v Česku před novou vlnou vyděračských e-mailů
-
Pokud tedy pravidelně měníte hesla, není důvod ke znepokojení
Je. Pokud pravidelně měníte hesla, nejspíš nepoužíváte správce hesel a tudíž nepoužíváte unikátní hesla. A to je důvod ke znepokojení.Pokud používáte správce hesel, nejspíš byste bez upozornění CERTu ani nepoznali, že to v tom předmětu je vaše heslo, spíš byste to považovali za chybu programu, která do předmětu vypsala nějaké smetí.
-
Ono není potřeba mít přímo správce hesel (byť to je dobrá volba!)
Například: "vymysli dočasnou konstantu, přidej měsíc, pak jméno služby" je vcelku blbé a predikovatelné, ale pokud bude následovat "a teď napiš každý třetí znak (od 1., od 2., od 3.)" z toho udělá špatně predikovatelnou bramboračku. (Já rád používám šifrovací tabulku z verneovky.)
A dá se to vymyslet i z paměti.Sice máte každý měsíc (dva...) odvoditelné heslo, ale není to na první pohled zřejmé a pokud to někdo začne lámat, bez znalosti systému ("security through obscurity") poměrně brzy nasadí hrubou sílu, protože slovníkové útoky, rainbow tables a podobné vychytávky to obvykle neprolomí.
(Pochopitelně: pro méně důležité služby, bankovnictví bych asi takhle nechránil.)28. 4. 2020, 11:47 editováno autorem komentáře
-
Jakmile je to dobře zapamatovatelné, je to předvídatelné. Takže používáte komplikovaný systém, který je ovšem podstatně méně bezpečný, než správce hesel. Pokud si nevyberete nějaký obskurní správce hesel, je riziko úniku hesla mizivé. Za to vy s tím vaším systémem riskujete, že heslo zadáte někam, kam nemáte, třeba do phishingové stránky. Nebo někdo z vašeho okolí získá dvě tři vaše hesla a odhalí ten váš systém.
-
Vždycky, když si někdo začne vymýšlet své vlastní bezpečnostní řešení s představou, že to vymyslí mnohem lépe, než jsou běžné standardy, dopadne to špatně.
Pro bankovní účty heslo o délce cca 20 znaků, včetně specielních, to se zatím jen tak neprolomí.
Ne, v tom se velmi mýlíte. Nezáleží na délce hesla, záleží na jeho entropii. Heslo „FilipJirsák#1FilipJirsák#1“ má 26 znaků, malá a velká písmena, číslice a speciální znaky, ale za bezpečné heslo ho doufám nepovažujete. To vaše pravidlo, že stačí jenom dostatečně dlouhé heslo, platí jen v jednom případě – když útočník zkouší všechny možné kombinace. Což dělá buď velmi naivní útočník, nebo útočník, který je přesvědčen, že používáte správce hesel a tudíž máte hesla náhodná.Mimo to je tu ještě 2FA pomocí SMS (na "hloupý" telefon).
Dvoufaktorová autentizace funguje jenom tehdy, když máte dva faktory. Když u dvoufaktorové autentizace na jeden faktor rezignujete, máte zase jen jeden faktor. A zrovna SMS také nejsou moc bezpečné a nejsou považované za dostatečné zabezpečení.Správce hesel má nevýhodu - mít to po ruce u všech počítačů kde budu potencionálně sedět není taky samo sebou
To je jen výmluva. Hesla mezi počítači už dnes umí synchronizovat i prohlížeče. A kdo chce, nemá se správcem hesel na více počítačích žádný problém – správci mají buď podporu synchronizace vestavěnou, nebo je možné synchronizovat datový soubor třeba přes Dropbox. Není problém mít hesla synchronizovaná v počítači i v mobilu.jak jsem psal, to chce extrémní důvěru v daný software
To jste psal, ale není to pravda. Vy to heslo píšete do webového prohlížeče. Takže prohlížeči věříte dostatečně. Prohlížeč má vestavěného správce hesel i se synchronizací mezi počítači.A že už tu nějaké ty úniky zranitelnosti v těch programech byly...
Opravdu víte o nějakém úniku z nějakého kvalitního správce hesel? Tak to se s námi podělte. Ale zajímají mne jen opravdové úniky, ne nalezené zranitelnosti, které oslabovaly bezpečnost, ale nevedly k reálnému úniku. -
Sorry, ale kazdy sw muze jednoho krasneho dne mit diru.
Nebo za nim muze stat nebo se k nemu dostat nektera sluzba (vyzvedna) ci jina skupina.
V dobe, kdy pouzivame derave procesory a zadni dvirka v chipsetu bych se zdrzel takovychto absolutistickych ;-) prohlaseni.
Vzdy je to vetsi riziko - mensi riziko. Jistota neexistuje - a v IT uz vubec. Jedinou jistotu mame, ze umres. (nebojjataky ;-) )
-
Můžu se zeptat, proč SMS jako druhý faktor není bezpečné? Bavíme se o řešení, jak tu bylo prezentováno a jak to používám i já, tedy nikdy si neposílám SMS na stroj, v kterém se přihlašuji.
Neřeším teď šifrování (respektive nešifrování SMS), řeším konkrétní flow pro útok na občana nebo firmu v CZ. Chci zaútočit na firmu v CZ, kde se jednatel firmy přihlašuje pomocí dvoufaktorové autentifikace pomocí tlačítkového mobilu. Má na účtě 7 milionů a já jsem útočník, sedím v Indii a co mám jako tedy konkrétně udělat.
Zatím tedy, dokud mi to někdo nepopíše, tak tvrdím, že z hlediska poměru "cena/výkon" je tento způsob autentifikace nepřekonatelný a levnější by bylo, se nechat v té bance zaměstnat a pokusit se ukradnout ty peníze interní metodou.
Jediné co mne napadá, je nějaká filmová licence typu "bratr pracuje u operátora" nebo "bratr má dodávku a v ní falešnou BTS", což nám to právě dostává do té dobrodružné literatury. -
Inteligence je schopnost rozpoznávat vzory. Takže při generování nepředvídatelných hesel je inteligence na obtíž… Jinak ta vaše rutina na čtyři řádky by ve skutečnosti jen volala jiný kód, který je podstatně složitější, než čtyři řádky, a generuje jen pseudonáhodná čísla. Ono vyrobit v počítači skutečně náhodná čísla není jen tak, potřebujete k tomu hardwarový generátor. V době cloudů a různých jednoúčelových zařízení je s generováním náhodných čísel problém, protože ta zařízení mají po startu málo nasbírané entropie, aby dokázala generovat aspoň trochu rozumná náhodná čísla, a přitom po nich hned chceme, aby komunikovala šifrovaně – k čemuž právě ta náhodná čísla potřebují.
Ono by se zdálo, že generovat náhodná čísla je triviální, ale ve skutečnosti je to věda :-)
-
To ale pořád jsou odvoditelná hesla. Ano, dneska takové heslo nejspíš ještě útoku hrubou silou odolá. Ale co za pár let? Dokážete si takhle zapamatovat desítky hesel? A hlavně – k čemu je to dobré? Zkomplikoval jste si to, máte slabší hesla, a pro důležitá hesla stejně používáte správce hesel. Cesta byla sice delší, ale o to náročnější…
-
Vajsmen: Polemizujete s něčím, co nikdo netvrdil. Samozřejmě, že správce hesel může mít díru, která způsobí únik hesel. Přesto je nesrovnatelně bezpečnější používat správce hesel než používat zapamatovatelná hesla. Celá debata je jenom o tom, že někdo zveličuje rizika správců hesel a ignoruje rizika používání zapamatovatelných hesel.
Mimochodem, největší riziko správce hesel opět není v tom softwaru, ale v uživateli. Je pravděpodobnější, že někdo získá hesla z vašeho správce hesel třeba s pomocí keyloggeru nebo phishingu než že je získá kvůli bezpečnostní díře v samotném správci hesel.
Samozřejmě, že je potřeba také hlídat bezpečnost kódu správců hesel, i bezpečnost jejich architektury a UX. Ale pokud někdo správce hesel nepoužívá, udělá největší skok v zabezpečení tím, že nějaký rozumný správce hesel používat začne.
-
SMS nejsou příliš bezpečné z toho důvodu, že je pro útočníka poměrně levné potvrzovací SMS získat. Ať už přesměrováním na sebe kvůli slabému zabezpečení celého protokolu a infrastruktury (třeba loňský případ z Německa), nebo vystavením duplikátu SIM pro stejné telefonní číslo.
Bezpečnost nemůžete řešit tak, že si zvolíte záměrně co nejslabšího útočníka. Místo náctiletého Inda si v roli útočníka představte třeba nespokojeného zaměstnance. Nepotřebujete žádného bratra u operátora. Úplně bude stačit na nejbližší pobočce operátora sehrát krátkou etudu na téma „šéf má nový mobil, do kterého potřebuje jiný rozměr SIM karty, za dvě hodiny odlétá a ten nový mobil potřebuje s sebou, a osobně přijít nemůže, má teď důležité jednání, ano, PIN znám“ (tady jedna studie z USA). -
V tom případě ale stačí vybrat ve firmě pokladnu při fyzické návštěvě, seznámit se s účetní, předstírat že jsem pracovník kohokoli, kdo bude potřeba.
Pokud jdu na pobočku operátora a dokážu na kradené doklady?? zařídit dual SIM pro firmu, kterou prodejna obsluhovat nemůže, tak tento typ rizika je ve spojením s čímkoli dalším zcela marginální a SMS je naprosto vhodná technologie, samozřejmě s výjimkou situaci, kdy vyvíjím pro Irán SW pro řídíci jednotku dronů.
Tedy pokud se musím bránit proti řetězci nutných událostí, kde je mj. i podvedení operátora, zajištění, že ve vhodný čas bude primární moje SIM a ne ta druhá, tak to je přesně to o čem hovořím, pokud budu takto uvažovat a takto vykrývat všechny rizika, tedy provozní, požár, krádež, povodeň, interní zaměstnanec, tak do půl s tímto přístupem roku zkrachuji. -
Pro bankovní účty heslo o délce cca 20 znaků, včetně specielních, to se zatím jen tak neprolomí. Mimo to je tu ještě 2FA pomocí SMS (na "hloupý" telefon). Správce hesel má nevýhodu - mít to po ruce u všech počítačů kde budu potencionálně sedět není taky samo sebou, a navíc, jak jsem psal, to chce extrémní důvěru v daný software. A že už tu nějaké ty úniky zranitelnosti v těch programech byly...
-
Já jsem vám dal odkaz na konkrétní případy, které se staly loni v Německu, a na studii z USA, která byla publikována letos v lednu. Pokud si myslíte, že s tím můžete polemizovat tím, že si vymyslíte nesmyslné příklady, které pak rozcupujete, je to váš boj.
Jen pro info – kradené doklady jste si vymyslel, „prodejna nemůže obsluhovat firmu“ jste si vymyslel. Aby SMS přišla na vaši SIM zajistíte snadno, stačí aby se před tím SIM přihlásila k síti. Podvedení operátora – ano, na tom jsou veškeré krádeže založené, že někoho podvedete. Kdyby bylo možné krást peníze bez porušení zákona, dělal by to každý a nic jako „vlastnictví“ bychom neznali.
Chtěl jste vědět, proč nešifrované SMS nejsou tak bezpečné, jak se dříve myslelo. Já jsem vám na to odpověděl, i s odkazy na případy, kdy reálně došlo k zneužití nešifrovaných SMS. Klidně si dál strkejte hlavu do písku, já jsem vám na váš dotaz odpověděl. -
Michal Škrha (neregistrovaný)
Správce hesel má nevýhodu - mít to po ruce u všech počítačů kde budu potencionálně sedět není taky samo sebou
V tom bych neviděl problém. Buď je to počítač pod mou správou a mám tam správce hesel se synchronizací, nebo je to počítač mimo mé správy a takovému počítači nedůvěřuji a nezadávám svá hesla.
