Nejde o tahání o slovíčka, jediné, o co mi šlo, bylo upozornit na to, že zabezpečit password manager biometrikou bez existence speciálního hardware (TPM) nelze. Na mýtus, že snad biometrikou lze něco šifrovat, totiž občas narážím a bezpečnosti taková fáma moc neprospěje.
V tom, že neexistuje attack vector, při kterém by čtečka otisků prstů v password manageru pomohla. Pokud ti někdo notebook ukradne, heslo si vydumpuje i bez tvého otisku.
Jediné, kde by se dalo uvažovat o jakž-takž zabezpečení, by bylo zamykání obrazovky na otisk. Ale jen za předpokladu, že data pod tím jsou na disku šifrována *heslem*.
Dobře, definuji pointu explicitně: z otisku prstu nebo skenu rohovky nelze vytvořit šifrovací klíč; lze pouze porovnat, jestli se daný otisk rovná nějakému dříve uloženému. Proto „šifrování“ na základě otisku prstu nemůže na běžném počítači nikdy fungovat.
A to podstatné. Ak by mi niekto ukradol NTB, spôsobí mi to samo o sebe niekoľkonásobne väčšiu škodu ako prelomenie účtu k nejakej tupej webovej službe. Navyše ak by som mal NTB s citlivými údajmi, použijem kryprovaný disk a silné heslo. Ale kľudne sa možeme ďalej ťahať za slovíčka a onanovať nad mierou zabezpečenia hesiel a o tom, či sa dá biometrický odtlačok prstu oklamať alebo nie. Ach jo…
Mimochodom, téma článku je únik hesiel k webovej službe a možnosť ohrozenia z toho vyplývajúca. Napríklad pre iné služby využívajúce rovnaké heslo. WTF?
Ophir, si mimo. NMotebook nevlastním a môj PC je v lepšie zabezpečených priestoroch ako trezor tvojej banky. No a samozrejme si zabudol, že systém je kryptovaný a vyžaduje sa master password. To je ale len taký detail, milý Ophir. ALe chápem, ty budeš argumentovať, že mi za chodu zmrazíš dusákom RAM a v inom kompre si z nej vysosneš heslo… Trhni si ;-)
Pobavils. Až ti někdo ten notebook ukradne, tak si vytiskne otisk prstu na tiskárně (po celém notebooku je jich plno), fotku si stáhne z Fejsbůůůku a strčí před kameru a celá tvoje biometrika je v peeerdeli. No, ale hlavně že z toho máš dobrej pocit a vypadá to jako machrovina :-)))
A ako to súvisí s uvedeným? Aj takto lacný čip spraví dobrú prácu ak máš zadať heslo na verejnosti alebo pri okne. K heslu na facebook si predsa nebudem kupovať DNA scanner. Na uchovanie takýchto hesiel mi vpohode vystačí čítačka odtlačkov v kombinácii so snímačom tváre a master passwordom. Kde je problém? Podotýkam, že sa bavíme o zachovaní pohodlia pri veľkom objeme nepodstatných webových služieb – a ide mi hlavne o zabránenie zeužitia v prípade ak mám všade heslo rovnaké a v niektorej službe je zle zabezpečené. Nebavíme sa o informačných systémoch v merítku národnej bezpečnosti kategórie prísne tajné. nejde o uloženie kľúčov k zbraňovým systémom hromadného ničenia.
Ako? Normálne a spoľahlivo pre daný účel. TPM môže pomôsť v špecifických prípadch, no ak sa bavíme o ochrane hesiel odosielaných na web, tam rozhodne nepomôže.
Heslá pre každú služby generujem a spolieham sa na password manager zabezpečený jedným silným heslom a biometrikou. Jednotlivé heslá si ani nepamätám, takže by ich zo mňa nedostali ani mučením :-) Na druhej strane to nie sú žiadne kritické dáta, len bežné weby a služby bez osobných údajov.
Módne služby ako Dropbox nepoužívam, stačí mi vlastný server a VPN. Ak by to použil niekto na firemné dokumenty, dám mu rákoskou pred nastúpeným družstvom. ;-)
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
