Hlavní navigace

Názor k článku Lámání hesel v praxi (1.) od NetSpec - Snad to, že pokud je zařízení vybaveno modulem...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 7. 2005 21:55

    NetSpec (neregistrovaný)
    Snad to, že pokud je zařízení vybaveno modulem pro bezpečné ukládání hesel a "autentizační předek" je s ním spojen bezpečným kanálem, tak asi nejdokonalejší metodou ochrany hesel jsou time-outy (např. po 3 neúspěšných pokusech minutu pauza na další pokus), nebo omezený počet zadání, po němž následuje zablokování (akce správce, nebo vložení speciálního dlouhého hesla, které je skutečně v trezoru atd).

    V případě, že k uloženým heslům nelze obecně zabránit přístup (např. data na disku pécéčka lze po jeho vypnutí i s diskem vložit do jiného počítače a tam přečíst celý disk), pak je nutné je uchovávat jako haš hodnotu hesla s náhodnou solí. Běžné v Unix. Uchovává se výsledná hodnota + sůl. Sůl se přidává k heslu před počátkem hašování. Protože sůl je náhodná, nelze použít slovníkové útoky. Při dnešní slabotě hašovacích funkcí raději volte dlouhé haše, jako SHA-512 apod.

    Mělo by se též vysvětlit, proč vlastně se požaduje občasná výměna hesel, která většinu uživatelů, včetně mne (ačkoliv vím proč), akorát štve, pro osvětu. Možná to bude v dalším díle.

    Krom tokenů, v nichž jsou hesla jednoduše uložena, stojí za zmínku ještě tokeny - synchronizované pseudonáhodné generátory hesel, které ho každou minutu mění (tzv. kalkulačky, ovšem mají jen displejík, žádná tlačítka). Pro přístup do firemního informačního systému bych volil něco takového. Rozhraní na počítač je "člověkem přes oko do prstů", kompatibilní s každým pécé i lecjakým handheldem, nebo i tenkým klientem na mobilním telefonu atd. Ideální je kombinovat část hesla pevně zvoleného uživatele a takovýhle token. I když ho ztratíte, tak přiměřené heslo uživatele brání nálezci ho rychle uhodnout - mezitím se dá ztráta nahlásit.

    Důležité je rozdělit si informace na ty, které skutečně potřebujete chránit, a které zase tolik ne.

    Biometrii bych dával akorát na atomové kufříky aj. vojenské/policejní aplikace.

    Jinak je to chvályhodný přehled - aspoň dá nějakou výstrahu těm, kteří spoléhají na heslo "Maruska".
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).