To je reseni dobre pro jednotlivce/malou skupinu lidi. S kolegy treba pouzivame keypass. Ale nedovedu si predstavit, ze by to melo pouzivat par stovek/tisic lidi. Jde totiz predevsim o sdileni hesel (v nasem pripade pristup k dns, ruznym supportum, ...). Vetsina sluzeb neumoznuje vice pristupu k jednomu uctu, a ani to by nebylo uplne reseni (pak je treba prozmenu resit deaktivace kdyz zamestnanec odejde atd.)
Defakto, z hlediska bezpecnosti je kupodivu skoro nejlepsi papir v supliku.
Nelíbí se mi, když autor prezentuje svoje názory jako obecně platná fakta. Biometrická řešení v žádném případě nejsou nesnazším řešením problému (a DD také sám píše, proč ne - protože nejsou ani rozšířená, ani vzájemně kompatibilní, přidal bych, že nejsou dostatečně levná). A hlavně ten problém vlastně nijak neřeší - zatím neznáme biometrii, která by v reálném světe byla schopná fungovat na principu hashe, všechno to běží na bázi porovnávání vzorků. Takže to údajné "řešení" v podstatě jenom převádí problém ukradení hesla z uživatelského počítače na problém ukradení vzorku ze serveru, což se sice může zdát jako zlepšení, ale jen do okamžiku, než si uvědomíme, že ten vzorek je na všech serverech stejný a že ho prakticky nejde změnit. Plus připomínám, že mnoho těch vzorků po sobě necháváme všude, kam přijdeme, a je velmi obtížné tomu zabránit.
V zásadě máte pravdu - ten, kdo konkrétní účet spravuje, si z hesla vypočítá tzv. hash (jednosměrnou transformaci, kdy ze stejného hesla je vždy stejný "kontrolní součet", ale z oné hodnoty se nelze dostat k původnímu heslu).
Vtip je v tom, že onen správce účtu nikomu neříká, jakou transformací ta hesla prohání. Když se pak chcete přihlásit, zadáte své heslo v normální textové podobě, on ho prožene transformací, kterou používá a výsledný "kontrolní součet" porovná s tím, co má u vás uloženo v databázi. Pokud nesouhlasí, heslo správné nebylo. Pokud souhlasí, s největší pravděpodobností jste zadal správné heslo. Je to proto, že vždy existují hodnoty, které po prohnání transformací budou mít stejný "kontrolní součet" - to z principu fungování. Nemůžete libovolně dlouhé heslo beztrátově transformovat na např.128 či 256 bitů. Ostatně na tom je založena řada útoků, že se hledají tzv. kolize, resp. způsob, jak je cíleně najít.
No a protože vy nikdy nevíte, jakou transformaci správce účtu používá, nemůžete mu poslat rovnou ten "kontrolní součet". Navíc i kdybyste to věděl, tak si moc nepomůžete, protože kdyby Vám ten kontrolní součet někdo zjistil, přihlásí se úplně stejně jako s odkoukaným heslem :-)
Když už, tak je to o tom, že jako *konkrétní algoritmus* hashe se většinou použije nějaký z obecně známých a dostupných, nejběžněji samozřejmě MD5 či SHAx (např. MySQL ve funkci PASSWORD používá dvojité SHA1) apod. Myslím, že tímhle zatěžovat původního tazatele by absolutně nemělo smysl.
Zvlášť když na volbě toho kterého algoritmu pro ukládání hesel na serveu z hlediska klienta, který se následně přihlašuje, se nic moc nemění.
Tak zcela upřímně si dokážu představit intranetovou aplikaci. Zvenku přístupná díky VPN, uvnitř přístupná kdykoliv - máte-li přístup na sdílený disk s oním kouzelným XLS, máte zcela jistě i přístup do intranetu.
Lze řešit logování přístupů, různě chráněné oblasti a to až na úrovni řádku, tzn. není to o tom, že kdo může ke všemocnému XLS, má přístup ke všem heslům apod.
Vývoj takové "aplikace" je naprosto jednoduchý. Samozřejmě, pro stovky/tisíce uživatelů s různými přístupovými právy a různými možnostmi editace náročnost roste, ale taková firma zase nemá problém si to zaplatit.
Byl jsem v korporaci, právě proto vím, že požadavky jsou úplně jiné než "jeden excel, kam můžou všichni".
Pokud je v té korporaci osvícený IT ředitel, tak kolečko, které jste popsal a které by v malé firmě včetně implementace zabralo jedno odpoledne, pokud by se tam dělalo víc fíčur, tak týden, by zde trvalo rok, ale bylo by to vyřešeno standardním způsobem.
Existující aplikace s cloudem je na pytel, mít firemní hesla v cloudu si dovolí jen málokterý ranař.
Pokud vám dodavatel právě poslal přístupy mailem, tak buď je přepošlete tomu, kdo má do správy hesel oprávnění na přidávání položek a pokud jste to pro vaše oddělení zrovna vy, tak to tam prostě přidáte. Nebo co tam čekáte za zádrhel?
Pokud by to stále ještě někomu nebylo jasné, ať mi pošle privátní zprávu, za 50.000Kč mu poskytnu tajnou databázi všech PINů, používaných klienty České spořitelny u svých platebních karet. Garantuji, že v ČR neexistuje karta od ČS s PINem, který by v databázi nebyl.
Ano, pro ty méně důvtipné, databáze bude obsahovat posloupnost všech čísel od 0000 do 9999.
A teď si představte, že s touto "databází" budete chtít udělat bruteforce útok na první kartu ČS, kterou dostanete do ruky. Máte šanci cca 1:3333 že vám to vyjde - většinou máte 3 pokusy, než vám bankomat kartu sežere, a 10000 kombinací k dispozici.
U biometrie máte těch počet možností o mnoho vyšší a počet pokusů samozřejmě záleží na implementaci té které metody, ale víc než 8 jsem jich ještě neviděl. Už je to jasné, proč je taková DB bez identifikace celkem dost na nic?
Taková firma má desítky dodavatelů, každý se stará o něco (například jedna firma na adwords, jiná na twitter, ještě jiná na facebook), tyto firmy se mění, s dodavateli komunikují řady zaměstnanců, ti se taky mění...
Většinou je potřeba nějaké centrální místo, kde jsou všechna hesla pohromadě a každý k nim má přístup. Co může být efektivnějšího a korporátně pochopitelnějšího, než obyčejný Excel soubor na sdíleném disku? Není potřeba žádné zaškolení, žádné instalace (v korporaci záližitost měsíců), je možné ihned s hesly pracovat.
Na tom sdíleném disku jsou i mnohem důvěrnější informace, než hloupá hesla, takže o nic nejde.
Mohl bych jmenovat řadu českých korporací, kde to mají úplně stejně. I nějaká banka by se našla :)
Byl jste někdy v korporaci?
Na to se musí udělat business case, obhájit před vedením přínosy, zadání, výběrko, otestovat, převzít... ne tudy cesta nevede.
Použít nějakou existující webovou aplikaci? Dal byste všechna hesla někam do cloudu? ... tak tudy to taky nepůjde
A navíc, dodavatel právě poslal přístupy emailem a já zítra mizím na dovču, ale ty přístupy příští týden potřebuje támhle kolega a támhle kolegyně... co s tím?
Jako firemní řešení pro korporace bych rád zmínil www.vaultier.org
- serverová instalace
- instalovatelné do vlastní infrastruktury
- šifrované osobním klíčem
- detailní user management
jojo, směrnice jsou na všechno, pomalu i na to jak spláchnout na záchodě... jenže směrnice jsou teorie a praxe je trochu někde jinde. Takže i když budeš mít geniálně nastavená pravidla, stejně se najde nějakej kkt (obvykle z toho marketingu) který o nich neví nebo je zcela záměrně ignoruje. Nezašifrovaná citlivá data posílaná na vypáleném CD poštou jako obyčejná zásilka? no problem, přece nebudu ukecávat IT ať to zašifrují a nahrají na zabezpečené ftp, že.....
Možná to v českých korporacích funguje jinak, netuším. Tam, co jsem byl, se samozřejmě taky směrnice sem tam vědomě porušovaly, ale vždy bylo evidentní, kdo tu kterou směrnici porušil.
A zhusta to bylo o tom, že ano, ukecávat IT na zašifrování, vytvářet požadavek, 3x jim to dávat, než se jim to bude líbít apod. byl opruz, ale než riskovat ztrátu místa a případně další problémy, tak se většinou ten opruz podstupoval (tzn. směrnice dodržovaly). Opět, neříkám, že vždy, ale zejména ty, kde o něco skutečně šlo, tak ano.
Nevím, z jaké korporace jsou vaše zkušenosti, ty moje pochází z jedné se 100k zaměstnanci. Obecně mi prostředí korporací nevyhovuje a nemám ho moc rád, ale co musím uznat, že tyhle věci tam fungovaly.
V každé korporaci je milion směrnic na každý prd, proto taková byrokracie a proto taková zkostnatělost. Právě proto mi přijde zvláštní, že by v korporacích obecně (výjimky bych bral) byla správa citlivých údajů řešena takovým způsobem, že nejen že by na to neexistovala směrnice, ale že by tohle rozhodoval marketing či PR a IT oddělení, natož ředitele, to ani nenapadlo. Uff.
malokdo si uvedomuje, ze napr. podanim zadosti o pas dava do ruky statu informaci, na zaklade ktere ho ten stat muze odsoudit na 25 let do krimu
oddeleni justice od exekutivy tak nejak neni
I kdyz samozrejme je mnoho pripadu kdy dotycny sedel 25 let za neco co neudelal I bez biometriky
o bruteforce tu nikdo nemluvi...
jde o to, ze klic trousite s sebou
u otisku s kazdym predmetem ktereho se dotknete
sitinici vam oskenuju I na dalku a bez vasi spolupraci (budou -li vase oci otevrene a rekneme nez bryli)
hlas je jeste jednodussi
gait (krok) take
casem se dostaneme az na DNA ale I tu vam vezmu po vas v restauraci nebo nekde ve vasem byte/kanclu
multifactor nepovazuji za prilisnou komplikaci
uz dlouho plati ze socialni inzenyrstvi je casto nejlepsi hackerska metoda, biometriky to vlastne zjednodusuji :D
Biometrická ochrana má jeden háček - nelze změnit "heslo". Když někdo sežene detailní sken vaší sítnice, pak už je to jen o technologii. Již dnes existují databanky otisků prstů, které si mezi sebou černý trh prodává. A to je použitelnost mizivá. Představte si, že by se skutečně místo PINu ke kartám apod. používal otisk prstů. Jakmile bude ochrana prolomena (=nalezena metoda, kterou se čtecí zařízení nechá oklamat) tak bude útočníkovi stačit ukrást vám kartu, najít na ní rozumný otisk prstu, na černém trhu najít jeho kvalitní kopii a pak už jde vybrat kartu.
Právě otisky prstů je něco, na čem je vidět vývoj technologie a její prolamování. První verze šlo ošálit fotkou, další odlitkem z gumy, další čtečky už měřily teplotu, takže odlitek bylo třeba ohřát. Pak to začalo měřit vodivost, takže odlitek se musel udělat z materiálu podobné vodivosti jako lidská kůže. Nyní jsem zahlédl informace o čtečkách, které měří, zda prstem protéká krev. Jestli už i to se daří falšovat nevím. A celý ten boj je ale pro lidi, jejichž otisky prstů byly "odcizeny", prohraný. Protože nový otisk si nepořídí. Narozdíl od hesla nejde vygenerovat nový.
Obávám se, že nemáte až tak úplně pravdu.
Představte si tutéž situaci, jen místo "otisk prstu" použijte "klíč".
Existují prodejny klíčů, takže není problém si nakoupit miliony různých klíčů. Zámků je všude spousty a na rozdíl od té biometrie máte neomezeně pokusů na to, abyste se pokusil spárovat ten konkrétní zámek s některým klíčem z vaší zásoby.
Jsou kvůli tomu klíče nepoužitelné? V žádném případě - nejslabší bod vaší metody je totiž ten, abyste ke konkrétnímu zámku, který potřebujete překonat, našel ten jediný pravý klíč, který k němu patří. To, že máte různých klíčů milion, dva či třeba padesát, je vám relativně k ničemu, pokud nemáte možnost zjistit, který z nich to je.
V reálném životě je metoda stylem "pokus-omyl" u klíčů poměrně zdlouhavá, ale v zásadě časově neomezená. Přesto se prakticky nepočítá a na zámky se útočí něčím zcela jiným než hledáním správného klíče v databázi.
U biometrických skenů je metoda "pokus-omyl" velice rychlá, ale v praxi - právě proto - omezena na určitý počet pokusů, které můžete provést v nějakém konkrétním časovém horizontu. Nebo se dokonce biometrické ověření pro daný účet zablokuje úplně.
Z tohoto pohledu je samotná - a naprosto pravdivá - skutečnost, že nemůžete změnit "prst" nebo "sítnici", irelevantní, protože vy ji ani měnit nepotřebujete.
Slabina, kterou jste popsal, bude skutečnou slabinou až v situaci, kdy bude na černém trhu databáze, kde ty otisky prstů či obrázky sítnice budou spárovány s konkrétní lidskou identitou. A nevěřím, že něco takového někdy přijde. Jsem přesvěden o tom, že pokud někdo bude chtít *právě moje* otisky získat, že je nakonec získá - bude mne sledovat, podstrčí mi předmět, kde je zanechám, sejmou si je z věcí, které jsem osahal apod., tzn. cíleně získat určitě půjde, ale nevěřím tomu, že jako si dnes koupím databázi e-mailů či funkčních platebních karet, že by někdo měl skutečně rozsáhlou databázi biometrických údajů párovaných na konkrétního člověka.
Biometrické ochrany mají jiný skutečný háček - nikdy si nemůžete být jist, že biometrické ověření bude vždy k dispozici a proto musí existovat nějaká záložní varianta - napřípad pro situaci, kdy vám všechny prsty rozleptá kyselina. Třeba heslo, čip, smartcard apod. A na tu záložní variantu se dá útočit jako na nejslabší článek.
Proč přesně by ta černá databáze musela obsahovat identitu? Karel napsal: "tak bude útočníkovi stačit ukrást vám kartu, najít na ní rozumný otisk prstu, na černém trhu najít jeho kvalitní kopii a pak už jde vybrat kartu"
Jinak řečeno, budete mít na jedné straně otisk prstu z karty, který sice nebude použitelný pro biometrický senzor, ale pořád bude dostatečně dobrý na to, aby se dal projet onou databází kvaltiních otisků a otestovat na shodu. Kde v tom vystupuje identita dotyčného?
Nebo jinak, nehledáte fungující klíč ke konkrétnímu zámku, ale fungující klíč ke klíči, který sice nefunguje, ale tomu fungujícímu se dost(atečně) podobá.
Protože pokud nebudete mít identitu, tak s milionovou databází otisků v praxi nebudete schopen ty svoje miliony otisků projet, abyste ten "první dostatečně dobrý" našel.
První důvod, proč potřebujete identitu, je to, že je nereálné vyrábět si pro každý vzorek v černé databázi maketu a tu pak zkoušet. To není něco jako rainbow tables, na které stačí velký disk a pak se používají jen elektronicky, tzn. prakticky ihned a zadarmo. Abyste oblafl biometrii, musíte mít něco fyzického, co na senzor musíte použít. Ať už to je nějaký gumový prst nebo fotka sítnice apod. Čili důvod jedna - obrovská logistická, časová a většinou i finační náročnost dělat si vzorky od všech položek v DB.
Druhý důvod je ten, že identitu potřebujete i na to, abyste nemusel dělat nereálnou "brute force" metodu zkoušení všech vzorků. Samozřejmě můžete namítnout, že někomu se může vyplatit mít zásobu desítek tisíc až milionů umělých prstů a je to jen o tom zkoušet, který z nich projde.
Jenže jak jsem psal, každá jen trochu rozumná implementace vás nechá vyzkoušet pár vzorků, než se dočasně či trvale zadisabluje - právě proto, aby nějaký chytrák nezkoušel vše, co jde.
Tudíž teoreticky ano, identitu nepotřebujete. V praxi neexistuje biometrická implementace, která by neměla omezený počet pokusů a kde by zároveň nebyla jiná, méně náročná cesta, jak systém prolomit.
Uvědomte si, že ta černá databáze biometrických dat není to samé, jako databáze hesel, kterou si koupíte někde v undergroundu. U hesel máte obrovskou šanci (a statistiky to potvrzují), že spousta uživatelů má stejné heslo, takže stačí jednoduchý elektronický bruteforce. U biometrie platí, že pravděpodobnost shody vzorků dvou lidí je minimálně jedna ku desítkám tisíc (v praxi spíš víc a to mnohem). Tzn. ve vaší databázi s miliónem položek bude při poměru 1:20000 jen padesát lidí, jejichž vzorky mohou být zaměnitelné, v praxi spíš ještě míň. Takže efektivita bruteforce je prakticky na nule.
Mohu vám garantovat, že pokud by někdo našel/ukradl vaší platební kartu a věděl, že ji máte chráněnou otiskem, výrazně levnější je pro něj ten váš otisk získat, než se snažit na to jít přes anonymní databázi spousty otisků.
Já jsem reagoval na post od Karla, 14:12, kde jasně psal:
Již dnes existují databanky otisků prstů, které si mezi sebou černý trh prodává.
Opakuji - vzhledem k tomu, že databanky jsou bez vazby na identifikaci konkrétního člověka, pak jakákoliv práce s takovou databankou je pokus-omyl a tudíž bruteforce.
Záměrně jsem psal "první příspěvek na toto téma", aby bylo zřejmé, o co jde, leč vidím, že marně.
Problém s uchováváním hesel bezpochyby je. Střelců kteří jsou ochotni odesílat všechna hesla kamsi do cloudu je bohužel víc než dost. Sdílení všeho a všude je dneska strašně cool a trendy.
Synchronizací všeho z prohlížeče (včetně hesel) to začíná a "zveřejněním" hesel jejich zapsáním do některé položky v kontaktu uživatele to končí ;o(.
vaše heslo = sha1("vaše heslo"', salt) = 3e83b6d863049a459b3bbbd3f833fb336682ec2c
V databáze nie je vaše heslo, ale len hash "3e83b6d863049a459b3bbbd3f833fb336682ec2c", ktorý sa pri prihlasovaní porovnáva.
Ak niekto získa údaje z databázy, tak vaše heslo nebude vedieť. Mohol by ale použiť nejaký slovník na generovanie a porovnanie, ale to by musel poznať aj tzv. salt.
A nakoľko môže získať aj hash a poznať aj salt, preto treba mať dostatočne kvalitné heslo.
A nezabúdať sa prihlasovať cez https :)
Přesněji je to tak, že ona "transformace" je obvykle známa, dokonce bývá standardizována (např. RFC 1321: The MD5 Message-Digest Algorithm, RFC 4634 - US Secure Hash Algorithms atd).
Vtip je v síle příslušné matematické funkce (tj, jestli je dostatečně jednosměrná, odolná vůči kolizím atd.).
Vánoční vysvětlení stylem pro základní školu, na příkladu barviček :-):
* uživatel si zvolí (namíchá, ...) tajnou barvu (=heslo),
* určené množství v neprůhledné lahvičce předá administrátorovi,
* ten do ní přimíchá *svoji* tajnou barvu (=jednosměrná funkce),
* předpoklad: původní barvy nelze separovat (aspoň ne snadno),
* vzniklou směs (=hash) není nutno utajovat,
* směs uložíme,
* alternativně si pořídíme sešit, který nadepíšeme /etc/passwd,
* v něm povedeme seznam uživatelů, u každého pak mázneme štětcem namočeným do "jeho" směsi.
Ověření správnosti hesla se dělá stejným postupem:
* uživatel dodá svoji barvy,
* administrátor přimíchá zase svoji,
* porovná se, jestli vzniklá směs má stejnou barvu jako ta uložená,
* souhlasí = na vstupu byly správné barvy, uživatel je autentizován.
Informace v keypassu nemůžete sdílet s ostatními. Koukněte na www.vaultier.org. Krásně poslouží jak malému týmu, tak i korporaci.