Názory k článku Hyper-threading je mrtvý, zámečky v prohlížečích nikoho nezajímají
-
Vždycky mě pobaví, když si čtu rady, jak vytvářet bezpečná hesla. Jak používat v hesle mezery, celé věty, jak je mít jedinečná a bez vzoru... což je jako idea krásné, ale poněkud to naráží na realitu. Protože uživatel o parametrech konstrukce hesla nerozhoduje, on se jim pouze přizpůsobuje.
Schválně jsem si spočítal, kolik různých loginů mám, a došel jsem zhruba ke 160. A to ještě pro některé služby vedle vlastního hesla máte nějaký PIN nebo dokonce několik PINů. Zapamatovat si takové množství unikátních přihlašovacích jmen a hesel je zcela mimo možnosti běžného uživatele. Takže zbývá jedině využívat nějaké správce hesel a nebo si všechny údaje zapisovat. První možnost kvůli závislosti na dalším SW nepoužívám, takže je jasné, u čeho jsem skončil.
Požadavky na konstrukci hesla se systém od systému liší, nicméně typicky je mezera zakázána, maximální délka hesla omezena a většina služeb odmítá diakritiku. Když se snažíte omezit počet unikátních hesel na minimum (abyste si je zapamatovali), pak skončíte na průniku povolených znaků a délce, které z dnešního pohledu lze jen těžko označit za bezpečné.
Takže po letech hledání vhodného přístupu jsem skončil u toho, že mám 2 hesla - jedno pro citlivé služby, které pravidelně měním a je bezpečnější, a druhé pro ostatní služby, které měním v 1 - 2 ročním intervalu. Drtivá většina těch citlivých používá dvoufaktorové ověření, takže případný průnik tak jednoduchý nebude, u těch ostatních jsem se zkrátka s rizikem smířil. V prohlížeči na svém počítači mám hesla předvyplněná, jinde se v případě selhání paměti (a výjimek, kterých není málo) můžu podívat do souboru. Jsem jen člověk... -
Je samozřejmě chyba, pokud služba zakazuje použití některých znaků. Nový standard od NIST tohle nedoporučuje, naopak říká, že se má uživatel nechat vymyslet heslo třeba z emoji. Technicky není důvod mu to zakazovat.
Mít dvě hesla je velmi nebezpečné, protože ta hesla prostě unikají. Stačí, aby ta jedna „důležitá“ služba přišla o databázi a máte zásadní problém. Mnohem lepším řešením je správce hesel (dnes je zabudovaný do prohlížečů, například) a mít naprosto unikátní heslo ke každé službě. Já to tak mám mnoho let, žádné heslo neznám, ani jedno se nikdy neopakuje. Kompromitací jsem zažil několik (v těch službách), ale nikdy to nepředstavovalo problém, protože služba heslo resetne a já si to jedno jediné heslo vyměním.
-
To naráží na schopnosti uživatelů. Masy zvládají asi tak čtyřmístný PIN na platební kartě (ani tam si netroufnou jít dál). Užívání správce hesel je utopie. Možná se chytnou prohlížeče s jejich interními úložišti (a synchronizací) - ale tam zůstává diskutabilní bezpečnost.
Jako rozumná kombinace pohodlí se dnes jeví 2FA + zapamatování ověřeného počítače. Uživatel nemusí ověřovat 2FA při každém přihlášení, ale pouze na stroji, kde se přihlašuje poprvé.
Trvání na odlišných heslech ve skutečnosti bezpečnost nezvyšuje tak moc, jak se zdá. Pouze přenáší odpovědnost od poskytovatele na uživatele. Když uživateli někdo prolomí trezor, poskytovatel si umyje ruce. Je to víc alibismus, než skutečná bezpečnost. (Skutečná bezpečnost by byla, kdyby vznikly standardy, jak mají s hesly zacházet poskytovatelé).
-
Používání správce hesel nesnižuje bezpečnost, i když tím spousta lidí argumentuje. Slýchám to i na školeních. Ve skutečnosti nezvyšuje zranitelnost vašeho počítače, jehož kompromitace je katastrofou v každém případě, bez ohledu na kvalitu hesel. Tady je výsledek 1:1.
Ovšem použití správce hesel eliminuje riziko celkové kompromitace na všech službách, které používáte. Pokud tam máte unikátní heslo, je vám jedno, že dané službě uniklo. Prostě si ho tam vyměníte. Tady je výsledek 100:0.
Celkově je tedy zápas 101:1 ve prospěch správce hesel, ať už je v jakékoliv podobě. Per Thorsheim na přednášce říkal, že lidem doporučuje klidně používat na hesla notýsek, pokud nezvládnou obsluhovat správce hesel. Je to pořád bezpečnější stav, než mít na stovce služeb dvě velmi podobná hesla.
-
Nehlásím se z neznámých zařízení, mám dost vlastních. Nemám důvod sedat si někam v kavárně a ťukat tam citlivé údaje. Ale i u neznámého počítače jsem na tom se správcem hesel lépe, protože tam případně zadám jen jedno heslo k jedné službě. Jeho kompromitace mě bude bolet výrazně méně než kdybych vyzradil rovnou všechna svá (čti: jedno univerzální) hesla najednou.
Závislost na software mě netrápí, mám ho pořád u sebe. Nikdy jsem nenarazil na situaci, kdy by to byla překážka. Dnes jste naopak čím dál s dvoufaktorem závislý dokonce na hardware. Musíte mít správný mobil nebo token. Je to daň za dramatické zlepšení bezpečnosti.
-
Zaujimalo by ma, ako to mate osetrene pre pripad utoku, ze niekto sa dostane na jedno z vasich zariadeni? Ak nepouzivam spravcu hesiel, tak ten, kto sa dostane na moj pocitac, si pozrie maximalne to, co mam prave otvorene. Ale so spravcom hesiel moze prakticky neobmedzene otvarat sluzbu za sluzbou, prehliadac vsetko poslusne vyplni. Alebo to ma ten spravca nejako osetrene? (pyta to heslo zakazdym, ked pristupuje k novej sluzbe?_
-
Pokud se někdo dostane na moje zařízení, získá moje hesla, ať je mám ve správci nebo ne. Prostě si nainstaluje keylogger a v klidu si počká, až mu tam ta hesla zadám. Totéž platí pro případ, že by správce hesel chtěl třeba pokaždé otisk prstu na čtečce. Útočník má čas a počká si, až ta hesla správce postupně vydá. V tomhle není vůbec žádný rozdíl, jestli správce používám nebo ne.
-
Ondra Satai NekolaZlatý podporovatel"To je přesně to odtržení od spotřební reality, které se týká určitě 95 % populace, ne-li víc"
Jako vážně? 2019.
Kdy jsi naposledy viděl internetovou kavárnu nebo někoho pod 70, kdo v knihovně nepoužívá vlastní notebook místo místních tenkých terminálů?A i kdyby... pořád by to nedělalo ze správného postupu (password manager) špatný pro lidi, co ty cizí počítače neužívají.
7. 10. 2019, 14:57 editováno autorem komentáře
-
Kdy jsi naposledy viděl internetovou kavárnu nebo někoho pod 70, kdo v knihovně nepoužívá vlastní notebook místo místních tenkých terminálů?
Znám dost lidí, nejen < 70 let. Dokonce znám notáře, který jezdí ke klientům a pracuje na jejich počítačích. Školy (základní, střední). Často různé zasedačky a prezentační počítače. Příkladů je hafo.
-
To klidně může. Dotaz ale zněl, jak to dělám já. A zároveň se tu bavíme o používání správců hesel a ten v tomhle případě rozhodně situaci nezhoršuje, právě naopak. Pokud má takový notář unikátní heslo do nějakého jednoho notářského systému, v případě úniku ohrozí jen tu jednu službu a ne svůj mail, Facebook, LinkedIn, Dropbox, Mega, objednávání obědů, bankovnictví, fakturační systém…
-
Pokud má takový notář unikátní heslo do nějakého jednoho notářského systému, v případě úniku ohrozí jen tu jednu službu a ne svůj mail, Facebook, LinkedIn, Dropbox, Mega, objednávání obědů, bankovnictví, fakturační systém…
Chápu. Já hovořím právě o tom "Pokud má notář ..." - že pro takové lidi nabízí náš obor zoufale málo řešení a málo praktických rad. On i ten notář ví, že by měl mít ke každé službě jiné heslo. Ale ve skutečnosti má jedno, dvě semiuniverzální a bezpečnost jde do háje úplně.
-
Ondra Satai NekolaZlatý podporovatel
"On i ten notář ví, že by měl mít ke každé službě jiné heslo."
Tak ať se podle toho chová. A hlavně ať neposlouchá lidi jako MŠ a nenehá si plést hlavu - prostě to dnes nejde lépe. Za 44 let budeme mít warp a za 150 transportéry, ale teď halt musí po svých.
Nebo ať se pak nediví. Jen chudáci klienti.
-
Ondra Satai NekolaZlatý podporovatel
Pokud mohu za sebe
- FF podporuje všechna má zařízení
- nehlásím se ze žádných cizích zařízení
- nejsem závislý, hesla jde exportovat ven -
Ano. A nejen z FF. https://www.nirsoft.net/password_recovery_tools.html
-
RaviseStříbrný podporovatel
> Podporuje váš správce všechna?
Nemusí, podporuje můj mobil a tam si heslo přečtu.> Nikdy se nehlásíte z cizích zařízení?
Pokud se tomu můžu jen trochu vyhnout, tak ne. Pokud není vyhnutí, nepřihlašuju se tam, kde by mě kompromitace zabolela (banka, hlavní emaily, telegram...)> Pokud hesla sám neznáte, pak jste na tom SW zcela závislý.
Dneska už jsem bohužel na tom mobilu závislý natolik, že mít nebo nemít heslo už nehraje velkou roli, když o mobil přijdu. Samozřejmě hesla nejsou jenom na něm - udržuju synchronní kopie a zálohy (včetně starého dobrého papíru v obálce). -
Ondra Satai NekolaZlatý podporovatel
"Skutečná bezpečnost by byla, kdyby vznikly standardy, jak mají s hesly zacházet poskytovatelé"
OK, tak v tom případě by bylo pro uživatele nejlepší... wait for it... mít stále dlouhá unikátní hesla s velkou entropií.
-
Navíc ty standardy existují, vydává je například zmíněný NIST, který je považován za globální autoritu. V NIST Special Publication 800-63B se například tohle řeší velmi podrobně včetně toho, jaké hašovací funkce mají být použity, jak se má solit a podobně.
Ovšem standardy samy o sobě nic neřeší. Když sem na Roota dám formulář a napíšu k němu, že se nemusíte bát, že děláme všechno správně podle doporučení a standardů, tak mi tam stejně napíšete svoje heslo do banky. Stejně musíte počítat s únikem, používáte desítky či spíše stovky služeb. Standard nezajistí kouzlem bezpečnost všech. Lepší je zařídit si bezpečnost u sebe.
-
Ondra Satai NekolaZlatý podporovatel
Přesně tak.
Uživatel se z toho (v dohledné budoucnosti) vyvléct nemůže - generování většiny hesel a password manager jsou jeho jediná rozumná šance.
-
BobTheBuilderStříbrný podporovatelJeště to můžete značně omezit použitím autentizační autority (třeba MojeID), tím vám odpadá heslo k mraku služeb.
Na řadě e-shopů (nejen čínských) můžete kupovat přes PayPal - takže zase, nemusíte se registrovat, zadávat adresu atd. a zejména evidovat přihlašovací údaje.
Na nějaké weby nevelké důležitosti se dá docela použít třeba přihlášení přes FB nebo Google (to druhé mám třeba na supraphononline.cz).
Tím se to dost zredukuje. Ostatní pořeší třeba ten Firefox se synchronizací.
A pak je tu kategorie, kterou nemám v žádném manageru: banky, e-občanka - tam je záloha obálka s papírem uvnitř. -
Martin X (neregistrovaný)
Zaujimave pasaze z toho dokumentu - vacsina korporatnych informacnych systemov to robi presne naopak:
"Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator
.....
In order to assist the claimant in successfully entering a memorized secret, the verifier SHOULD offer an option to display the secret — rather than a series of dots or asterisks — until it is entered. This allows the claimant to verify their entry if they are in a location where their screen is unlikely to be observed.." -
Tak před dvěma roky u nás oddělení bezpečnosti zveřejnilo na firemním intranetu článek, jak správně vytvářet hesla (celé věty, diakritika, mezery... a že by systém neměl vyžadovat periodicky změnu). Chápal jsem to jako změnu bezpečnostní politiky. Myslíte si, že se něco v reálu změnilo? Ne, například přihlášení do domény vyžaduje nejméně 2 malá písmena, 2 velká, 2 číslice, 2 nealfanumerické znaky a každé tři měsíce vás systém donutí heslo změnit. ;-)
-
dvě hesla bohatě stačí. Jsem na tom podobně jako pisatel výše, mám přes 150 různých účtů. U 99% z nich jsem heslo vytvořil jen jednou, při založení. Hesla mají 32 znaků (pokud to umožňuje jejich systém, malá, velká písmena a speciální znaky). Na Apple používám Keychain, cross OS pak KeyPass. Některé účty nemají heslo změněné i přes 10 let a nikdy jsem neměl žádný problém a mít nebudu ;-). Banky jsou díky nařízení EU jinde, tam to chce i mobil ;-( a další zh*vadilosti... U systémů, kde pravidelně vyžadují změnu hesla používám složeninu tvaru "AktuálníMěsícRok". Jestli někomu pomůže, když mi "ukradne" účet na root.cz, tak ať si to užije... ;-)
Admini, organizace a EU by si měla uvědomit, že je to můj účet a á budu rozhodovat o tom, jak si ho nastavím. Pokud mne rádoby "security" nezajímá, je to moje věc, neměli by mě nutit jejich názory. Znám pár případů, kde klient požadoval min. 12 znaků (jak malá, velká tak speciální znaky) a ve finále, když jsem pak viděl, že jsou hesla uložena v DB v plain textu... :-D
-
Ondra Satai NekolaZlatý podporovatel
"Admini, organizace a ... by si měla uvědomit, že je to můj účet a á budu rozhodovat o tom, jak si ho nastavím. Pokud mne rádoby "security" nezajímá, je to moje věc, neměli by mě nutit jejich názory"
Tvůj účet... na jejich systému.
-
Ondra Satai NekolaZlatý podporovatel
Prostě správce hesel pro drtivou většinu hesel je dnes jediné schůdné řešení.
-
Tohle rikam uz léta (napsal jsem o tom i blog), že všechny ty požadavky na hesla jsou nesmysl a nedodržují je ani ti co tak blahosklone kážou. Nakonec jsem skončil u dvou vecí.
a) všechna hesla ja i cela rodina píšeme do sešitu který je v šupleti, je to na důvere a hlavne když se mi neco stane rodina se dostane k mím účtům. Jenom 2 hesla tam nejsou ;o)
b) vetsina nepotrebných hesel je uložena ve správci hesel firefox, když je potrebuji videt kliknu na ukaž hesloHesla si nepamatuji.
-
@Petr
Je samozřejmě chyba, pokud služba zakazuje použití některých znaků. Nový standard od NIST tohle nedoporučuje, ...A tohle konstatování je velice často asi tak všechno, co s tím lze udělat.
Mezeru v hesle? Nelze!
Diakritiku? Tak jste normální?
Cože, speciální znaky???@Nikola
Takže další sw (se vším, co s tím souvisí).
No hurá. -
Jenže správce hesel v prohlížeči buď neumožňuje nastavit master heslo (Chrome) pro ukládaná hesla, nebo neumožňuje po timeoutu master heslo zapomenout (Firefox po odstranění XUL, kde na to pro starý FF byl plugin/nastavení v about:config, které je teď ignorováno).
Takže bezpečnost se naopak snižuje, pokud nepoužívám nějaký externí token nebo ručně nevlezu hluboko do nastavení a neodhlásím se ručně z bezpečnostního zařízení.
-
Rozhodně je pravda, že tyhle volby by byly fajn. Na druhou stranu platí pořád to, co jsem napsal už výše: kompromitací zařízení se k vašim heslům dostanu, ať už je máte v prohlížeči uložená nebo ne. Můžu si nainstalovat ošklivé rozšíření nebo keylogger nebo můžu dělat cokoliv dalšího. V tomhle není žádný rozdíl a je nutné se tomu bránit – šifrování disku, zamykání plochy a další klasická opatření. Správce hesel ale naprosto kosmicky vylepší kvalitu vašich hesel a jejich unikátnost. Rozhodně to za to stojí.
-
Přesně tak, zařízení by se mělo po určité době zamykat, zamykat by se měl i správce hesel po nějaké době co nebyl použitý. Ideální je pokud ho používá i prohlížeč. A pokud počítač při odchodu ihned zamknu, tak myslím neexistuje šance se k heslům dostat. Navíc můžu mít takovou klíčenku s hesly na šifrovaném oddílu, takže by se to nedalo zužitkovat ani nějakým pokusem o brute force s diskem připojeným do jiného stroje...
-
Hesla s prvním velkým písmenem a číslem na konci ještě jdou, ale jeden článek z minulého týdne mě donutil přemýšlet o trochu jiných "heslech". Zpráva byla o úniku dat. Klasický únik dat a běžný článek. Unikla jména, ID, emaily, hash hesel,... Ale používají SALT, takže se v podstatě nic moc nestalo. Jenže v tabulce uniklých informací mě něco zaujalo. Byl to únik bezpečnostních otázek a jejich (hashovaných) odpovědí. Záleží na konkrétním použití, ale často jde o záložní heslo, se kterým je většinou možné snadno změnit (ehm,.. "obnovit") to původní nebo ho úplně obejít. Hned mi došlo, že je to docela velký potenciální pr*ser o kterém se moc nemluví. Vzhledem k omezenému počtu používaných otázek (většinou jména, města, ulice, školý či datum) a statickému charakteru odpovědí je to zlatý důl. Heslo si můžu změnit kdy chci, ale rodné příjmení matky nebo datum výročí asi těžko.
Shrnuto a podtrženo: Recyklace těchto hesel je v podstatě podmínkou, často je jejich používání vynucené* a počet možných odpovědí je směšně nízký.
* Například Windows 10, kde vždy zadávám odpovědi náhodným a dlouhým hrábnutím do klávesnice. Opakování zadané odpovědi naštěstí nevyžadují.
-
O tom se samozřejmě mluví a je jasné, že odpověď na otázku je vlastně sekundární heslo, které musí být stejně bezpečné jako heslo hlavní. Jak správně říkáte, je to cesta do systému, která bývá podceňovaná. Taky tam vyplňuji velmi dlouhý a náhodný řetězec. Moje máma se mimochodem jmenuje Jarmila :-).
-
Ja takto vo Windowse vyplnil na otázku meno môjho prvého psa (alebo domáce zvieraťa, už neviem jak tá otázka bola formulovaná) odpoveď "adgdashesnhewiobi" inak ale v skutočnosti sa môj prvý pes volal "Riki", ale to už som dávno prešiel na Linux, takže už je mi to jedno. Ubuntu žiadne takéto blbé otázky nepýtal.
-
Ondra Satai NekolaZlatý podporovatel
HT má s lehce odlišnými názvy a více než lehce odlišnými detaily leckdo (minimálně AMD, IBM a Oracle). Část chyb je specifická pro Intel, ale ne všechny.
-
Vždyť to píši. Názvy jsou odlišné a implementace rozdílná - zmiňovaná chyba se týká jen Intelu. Proto se mi nelíbí ta generalizace.
SMT (jako koncept) je rozumná technologie nikterak neohrožující bezpečnost. Potápět ji jen kvůli tomu, že Intel (nejen, ale především) se nechal unést a zdrbal implementaci, mi přijde zcestné.
-
J L (neregistrovaný)
Intel je držitelem téměř všech patentů k HT, tudíž výrobci jiných CPU se museli rozhodnout, zda použít celý nápad HT od Intelu, či platit část patentu na základní věci a dané návazné další věci museli vyvinout po svém. Proto je HT u Intelu a AMD či IBM atd. ve finále jinak řešen. Tudíž máš jiné dopady na výkon a bezpečnost. Hlavně Intel v HT zaspal dobu. ;)
Další věcí je, že HT je mrtvý je zhovadilost. Až nyní se začíná používat ve hrách a grafických programech... Až teď po XX letech. Hlavně HT se dá hlavně zneužít v případě, že se nějakým způsobem útočník dostane do OS, tudíž končíme pořád u OS a uživateli. Hlavně zneužití HT, které platí pro Intel nemusí být pro AMD či IBM a naopak...
-
V plánu je zámeček úplně schovat. Už teď je to vlastně úplně normální věc, že se šifruje a všechno je správně nastavené. U 80 % načtených stránek už teď zámeček vidíme, čili je naopak velmi neobvyklé, že tam není. Brzy přijde doba, kdy se logika otočí: výchozí bude otevření HTTPS na portu 443 a není potřeba to nijak zobrazovat. Teprve pokud budeme chtít HTTP, budeme muset explicitně říct, že chceme http://neverssl.com.
7. 10. 2019 13:02 upraveno moderátorem, důvod: Opraven překlep -
Ne, bavíme se o zobrazení pro uživatele, ne o pochodech uvnitř. Ty zůstanou stejné, platnost certifikátů se bude ověřovat pořád, stejně jako umístění v Certificate Transparency a podobně. Jen uživatel nebude informován o tom, že je všechno v pořádku. Informován budete v budoucnosti jen o problému: certifikát je špatný, šifrování je slabé, šifrování se nepoužívá a podobně. Stejně jako vás mobil velkým nápisem přes půl displeje neinformuje neustále o tom, že 4G funguje krásně, data tečou a šifrování funguje. To je výchozí stav, který se předpokládá.
-
Ech, diky za http://neverssl.com.
Ty hotelove weby, ktere pri prvnim pripojeni unaseji spojeni me neskutecne stvou, a uz mi zacinaly dochazet obvykle weby co nepouzivaji https :) -
Ondřej CaletkaZlatý podporovatelUž dnes nemáte šanci vysvětlit mamince/babičce/synovi/dceři, že adresa
https://www.paypal.com/sjgkevhektke.xyz/stzoehleberrbs.iwzo?uetoekbk#iszo
je správně, zatímco adresa
https://www.paypal.com.sjgkevhektke.xyz/stzoehleberrbs.iwzo?uetoekbk#iszo
je phishing.
ČLÁNKY DO MAILU