Vlákno názorů k článku Bezpečnostní střípky: odborníci říkají: „věnujte pozornost bezpečnému používání hesel“ od j - Kdyz to je tezky, jak chce nekdo zajistovat...

  • Článek je starý, nové názory již nelze přidávat.
  • 18. 6. 2012 22:46

    j (neregistrovaný)

    Kdyz to je tezky, jak chce nekdo zajistovat bezpecnost firmy, kde nejnebezpecnejsim elementem je jeji nejvyssi vedeni.

    Priklad - hesla, redidelsky heslo ve stylu "adam1" - jiny si samozreme nepamatuje, a pouzivat nebude, protoze tohle prece pouziva vsude a odjakziva ...
    Pristup vsech vsude - opet, v okamziku kdy to tak chce sefstvo ...
    Byvali zamestnanci - kdyz IT ani nevi ze je nekdo uz byvaly ... jak mu ma odebrat prava

    a dalo by se pokracovat do aleluja ...

    ale co, aspon se maj ITci jak bavit browsanim v cizich, podobne zabezpecenych sitich ... ;D

  • 19. 6. 2012 13:34

    chaos42

    Ono s těmi hesly je to možná trochu jinak.

    Založit bezpečnost vzdálené autentizace jenom na heslech je alibismus výrobců a dodavatelů aplikací. V dávných dobách to možná nějak fungovalo, těch přístupů měl uživatel maximálně jeden - dva přístupy, to už byl pan někdo.

    Ale dnes? Běžně lidi mají přístup klidně do 10 systémů různých aplikací (admini minimálně o řád víc) a chcete-li pro lidi aspoň trochu rozumnou bezpečnost (min8 znaků), pak vám vyjde u 10ti systémů 80znaková unikátní housenka. Nutit normální lidi k tomu, aby si udržovali svá hesla jedinečná, neuhádnutelná, dlouhá a s kašpárky je masochismus. A to vás pak ještě navštíví pan auditor a vysvětlí vám, že tu housenku máte měnit, nejlépe jednou za 3 měsíce, jinak že jste ohrožením národní bezpečnosti.

    Opravdu si myslíte, že ten zakopaný pes je v tom borcovi, co má dělat každé 3 měsíce reparát na nové 80tiznakové heslo?

  • 20. 6. 2012 17:56

    j (neregistrovaný)

    Ja ale po nikom nechci aby si menil heslo 4x za mesic ....

    (pro info podotykam, ze pribuzna delala v bance, kde prave tohle delat museli, heslo muselo byt dlouhe, nesmelo byt X let zpatky stejne ... a navic jim jeste kontrolovali, ze si ho nikam nepisou)

    Me osobne by (trebas) ke stesti stacilo, kdyby si lidi nastavili jedno rozumny heslo. Pocitam ze pokud si pustim bruteforce, tak ze 100 uzru budu mit 99 hesel do minuty. V normalni firme totiz je autentizace centralizovana (AD, LDAP, ...) takze vazne nepotrebuju, aby meli 30 hesel.

  • 20. 6. 2012 23:31

    chaos42

    Zdravím,
    můj komentář se netýkal IT znalých lidí včetně Vás - tato 10tiprocentní množina z celé populace má to štěstí, že umí některá rizika hesel omezit. Ten komentář byl myšlen na těch zbylých 90%, co se IT nevěnují, ale musí s ním nějak žít. Do toho řadím i toho pana ředitele.

    Správně zmiňujete, že v jedné firmě lze zpravidla nastolit pořádek a většinou nějaký jednoheslový single sign on lze zprovoznit. Jenže ty lidi kromě práce v té jedné firmě mají účet i do soukromého emailu, nakupují v e-shopech, navštěvují diskuzní fóra, facebooky, čtou předplacené noviny apod. To je bohužel dnešní realita a tady panu řediteli s jednofiremním SSO nepomůžeme.

    Jedno heslo ve firmě - to si ještě s trochou snahy do hlavy dokázat dostane, ale už nemá šanci, pokud má fungovat i mimo firmu. A to potom na něj ještě sešlou trest v podobě datové schránky, tam už jde úplně sranda stranou - operace pana ředitele s datovou schránkou mají právní důsledky, takže v klidu může přijít o firmu nebo o střechu nad hlavou.

    A když se vrátíme k té jedné firmě - v nadnárodních společnostech jen se single sign většinou nevystačíte. Obvykle totiž musíte pracovat s kontraktory, zákazníky, dodavateli a vendory. Pokud používáte jejich služby, servis, dodávky, pak stejně musíte používat hodně účtů do systémů mimo vaši organizaci, a pochybuji, že tam dosáhne firemní SSO. Taktéž nadnárodní firmy rádí polikají menší firmy, takže probíhají různé migrace a přebírání, zmigrovat pohlcenou firmu do SSO mateřské firmy vůbec není sranda.

    Krom toho, firmy nebo státní organizace si taktéž občas chtějí nebo dokonce mus9 uchovat nezávislost (silové rezorty a pod.)- prostě nechtějí být napojeni na Big Brothera, který jim řídí a centrálně uchovává účty. Chtějí si to řídit sami, chtějí mít zabezpečení pod svou kontrolou.

    Takže to jedno heslo na vzdálenou autentizaci dnes už opravdu není moc použitelná technologie.