Vlákno názorů k článku „Jak ukládáme hesla, vám z důvodu bezpečnosti neprozradíme“ od Tomik - Zcela se ztotožnuji s názorem, že "z důvodu...
-
Tomik (neregistrovaný)
Zcela se ztotožnuji s názorem, že "z důvodu bezpečnosti neprozrazujeme, jakým způsobem jsou uložena hesla, nebo cokoli jiného".
Proč ?
Protože na bezpečnost systémů je třeba nahlížet jako na celek, ze kterého není moudré vyzobávat jednotlivé položky.
Je to stejná logika jako u konfigurace firewallu - "tedy tato informace není potřebná, čili neprojde" versus "tohle je nebezpečné, to musíme zakázat" - správně je první varianta.
A argument aby měli novináři nad čím onanovat není důvod pro porušení jedné z vrstev bezpečnosti - tedy neposkytovat informace tam kde to není potřeba.
Sociální inženýrství je jednou z největších, ne-li největší hrozbou počítačové bezpečnosti.
-
Tomik (neregistrovaný)
Pokud kdokoli veřejně deklaruje, jaké používá zabezpečení, je blázen. Sociální inženýrství pak zákonitě navazuje...
Dnes se budu veřejně chlubit, jaké zabezpečení používám a zítra se objeví "security issue" v mnou používaných komponentách zabezpečení. Bezva!
Závěr: Nakecejte zájemcům o takové informace cokoli, jen ne pravdu!
-
Nakecejte zájemcům o takové informace cokoli, jen ne pravdu!
Lhát svým zákazníkům a uživatelům není zrovna nejlepší strategie a provozovatelům webů bych ji rozhodně nedoporučoval.Se sociálním inženýrstvím to má opravdu pramálo společného. Navíc nesbírám informace o celkovém zabezpečení, ale jen o ukládání hesel a zveřejnit informaci o tom, jak provozovatel hesla uživatelů ukládá ničemu neuškodí, zvlášť pokud je ukládá doporučeným způsobem. Pokud by se v hashovací funkci objevil nějaký problém, a že se občas nějaký objeví, tak samotná informace o použití dané funkce je útočníkovi k ničemu. Musel by nejdřív sehnat ta zahashovaná hesla. A kdyby je sehnal, tak ve většině případů stejně pouhým pohledem pozná, o jakou funkci se jedná.
Pokud používáte doporučené funkce pro hashování hesel, nemusíte se bát to zveřejnit. Firmy jako Facebook, Slevomat, Mall.cz, Apiary, Dropbox a další to udělaly dobrovolně, aniž by se jich někdo vůbec ptal. Pokud doporučené funkce nepoužíváte, tak to také budeme rádi vědět, ale ještě lepší bude, když to co nejdříve předěláte a dáte nám vědět třeba až potom.
-
Lhát svým zákazníkům a uživatelům není zrovna nejlepší strategie a provozovatelům webů bych ji rozhodně nedoporučoval.
Ukládat údaje zákazníků a uživatelů tak, že se k nim dostane někdo cizí, také není nejlepší strategie a provozovatelům webů bych ji nedoporučoval. Což ale neznamená, že se to neděje.Navíc problém nemusí být jenom v záměrném lhaní, ale v tom, že si dotyčný provozovatel neuvědomí nějaké souvislosti – ty samé, které pak zneužije útočník. Přečteme si tady na Lupě, jak má nějaký web dobře zabezpečená hesla, a pak budeme stejně jako provozovatel webu překvapeni, že hesla unikla ze záloh.
Se sociálním inženýrstvím to má společného dost. Argument sbíráním informací „jen o ukládání hesel“ je nesmyslný, to je princip sociálního inženýrství, vylákat „jen“ takové informace, u kterých dotyčný nepojme podezření, že by říkal něco nebezpečného. A sociální inženýrství to je – provozovatel může pod tlakem zveřejnit i informace, které mohou útočníkovi pomoci (i když hesla ukládá podle vás správně), může pod tlakem prozradit, že údaje neukládá úplně správně, a nebo se bude prostě jenom snažit vám vyhovět a rychle to „opravit“ – a svůj dříve bezpečný systém ukládající třeba nešifrovaná hesla „opraví“ na systém sice ukládající hesla hashovaná ale obsahující nějakou banální díru.
Ten váš „doporučený“ způsob ukládání hesel je akorát potěmkinovská vesnice. Provozovatel má ukládat všechny údaje tak, aby se k nim nedostal nikdo nepovolaný. Hashování hesel je jenom pojistka pro případ, že údaje uniknou – mírně se tím zmenší obrovský průšvih. Jenže to, že uživatel zadává heslo do obyčejné webové stránky často plné různých cizích skriptů, že se to heslo s každým přihlášením posílá provozovateli, že je uživatel dál identifikován jenom cookie, to všechno jsou průšvihy horší než ukládání hesel v otevřeném tvaru.
Tlačit na provozovatele webu, aby hesla hashovali, je dneska o několik let pozdě. Pokud chcete udělat něco pro to, aby se reálně zvýšila bezpečnost uživatelů (s dnes dostupnými prostředky), tlačte na to, ať umožňují přihlášení přes OpenID, Facebook, Google, nebo třeba Twitter nebo GitHub, kde to dává smysl. Žádné heslo je milionkrát lepší než hashované heslo. Pokud chcete opravdu zvýšit bezpečnost uživatelů, naučte je pro důležité služby používat dvoufaktorovou autentizaci. Pokud chcete opravdu zvýšit bezpečnost uživatelů, naučte je používat správce hesel a generovaná hesla.
Mediální tlak na „používání doporučených funkcí pro hashování hesel“ není nic jiného, než bublina namířená na lidi, kteří toho o bezpečnosti mnoho nevědí – ale aspoň si mohou společně zanadávat, jak to někdo dělá špatně. Takový styl Novinky.cz. Protože pokud má někdo systém děravý jak řešeto, a na základě mediálního tlaku to „zachrání“ použitím „doporučených funkcí pro hashování hesel“, bude mít dál systém děravý jak řešeto a nic se nezmění. Někdo jiný naopak může mít systém velmi dobře zabezpečený, „doporučené funkce“ nepoužívá a dobře ví proč – ale rozumbradové v diskusích, kteří vědí akorát že „používání doporučených hashovacích funkcí je dobré“ se mohou poplácávat po ramenech, jak to tomu Googlu natřeli. To chcete podporovat?
