Názory k článku Postřehy z bezpečnosti: konec světového dne hesel

Kolem hesel je toho vice a u nas se to bohuzel prilis neakcentuje. Pritom NIST SP 800-63B mimo jine v sekci 5.1.1.2 uvadi, ze by se nemely vynucovat periodicke zmeny hesel a jsou tam i dalsi veci, co (ne)delat. Obdobne se vyjadruje britsky NCSC.

Bohuzel spousta radoby-bezpecaku se tim neridi a vymysli ruzne obskurdni politiky. A vladne tomu NUKIB, ktery to cpe i do legislativy, vcetne te nove kolem NIS2. Meli sanci udelat moderni predpis, ale dopadlo to jako vzdycky. Smutne je, ze se na NIST SP 800-63B primo odvolavaji, ale zda se ze jeho textu zcela neporozumeli.

Ehm ... cokoli co vyplodi NUKIB je zarny priklad toho, jak veci zasadne a nikdy nedelat.

Pricemz je uzasny, ze se snazej ...at do soukromych firem, ale sami nezvladaji ani zaklady (RSD treba ani nezalohuje, napriklad).

Zrovna NÚKIB na tom není ohledně pravidel k heslům až tak špatně. Je tam: pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.

(viz 82/2018 §19 odst 5 f))

Přičemž to platí pouze pokud používáte heslo. NÚKIB vás nijak nenutí hesla používat!

Což není proti tomu, co hlásá zmiňovaný NIST.

Neříkám, že je to dokonalé, ale špatně to není.

Používat hesla vás nutí spousta systémů, protože prostě jinou možnost než přihlášení heslem nemají.

Vynucování povinné periodické změny hesla je proti tomu, co tvrdí NIST a co tvrdí bezpečností experti. Vynucování pravidelné změny je špatně a vede to ke slabším heslům.

Vede to třeba k heslům ve kterých se pravidelně točí nějaký jeden znak či něco podobného. A ten systém obvykle prokoukne i průměrně inteligentní šimpanz, takže je to ve výsledku pořád jen jedno heslo.

Pardon, ale už jak je to formulované je to úlet. Pracuju někde pět let a budu mít pět hesel. Fakt dík. Což by nebyl problém kdybych neměl účty na desítkách dalších míst. V praxi to skončí přidáváním nějaké krátké sekvence na konec hesla a pokud bude systém dostatečně chytrý a pozná to, máte na papírkový problém zaděláno jedna radost.

Jen 5 hesel? Já za poloviční dobu projel celý řádek klávesnice a už jsem zase v půlce :D

18 mesicu je porad periodicka zmena. NIST rika, ze by se tyhle veci delat proste nemely, nikde tam nemate ani carku o tom, ze 18 mesicu je OK. To je lokalni vymysl NUKIBu.

Proble. je, ze s odkazem na tu vyhlasku spousta bezpecaku tu periodu jeste zkrati a defacto pouzije stejnou argumentaci jako NUKIB. V podstate tim vsichni obchazi to, ze bezpecnostni incidenty se nikomu moc monitorovat nechce a pouziva se to jako alibisticka ochrana proti pripadnemu uniku hesla. Obycejna ceska lenost. A i tohle je v rozporu s tim, co rika NIST.

Porad neni nic lepsiho nez dobre heslo, a prave proto se to musi zrusit a navest ovce, aby se prihlasovaly otiskem prstu, nebo fotkou ksichtu (co lze prekonat az primitivne jednoduse)...

Hlavně otisk jde snadno odebrat i násilím, zatímco heslo vám z hlavy nikdo žádným aparátem nevydoluje (zatím).

No to bych úplně neřekl, pokud se k vám dostane tak myslím že by stačila jehla pod nehet, a zpíval by jste jak prominutý.

To jsou takové hezké teorie. Reálně si nemůžete pamatovat desítky bezpečných hesel, takže varianta „hesla jen v hlavě“ nepřipadá v úvahu.

Jasný tvl tak všude budu mít stejnej otisk prstu co...

Ne. WebAuthn otisk prstu nepoužívá. WebAuthn je založeno na asymetrické kryptografii, otisk prstu je nanejvýš způsob, jakým je privátní klíč chráněn v nějakém konkrétním zařízení.

S otiskem prstu se dá zkontrolovat teplota a tep.

Na vyzrazení hesla stačí sérum pravdy a nebo hypnoza.

No a nebo moc koukám na kriminální pořady XD.

K vyzrazeni hesla staci hasak nebo kladivo…

To jde ovsem aplikovat na libovolnou autentifikacni metodu :-)

Tolka hrubost!

Zahradnicke noznicky su cistejsie.

Jenze to problem neni, problem je to, ze narozdil od hesla muze kdokoli ziskat otisk aniz by to majitel vedel. (pro ksicht plati pochopitelne taktez).

muze kdokoli ziskat otisk aniz by to majitel vedel
Nemůže. Web nemůže získat otisk dokonce ani tak, aby to majitel věděl. Prohlížeče nemají žádné API pro získání otisku prstu.

S Windows Hello mám "hezkou" zkušenost. Ve firmě dostal zaměstnanec nový notebook se čtečkou otisků. Před zaměstnancem ho měl v ruce admin, který provedl úvodní nastavení (přihlásil se svým jménem a heslem). Pak šel notebook zaměstnanci, který se napřed přihlásil jménem a heslem a pak si nastavil přihlašování otiskem. Po asi půl roce volá, že mu zmizely ikony a vůbec plocha "je nějaká divná". Po bližším zkoumání se zjistilo, že jeho otisk ho přihlásil na účet admina!

Pouzivani mrkvosoftiho autenticatoru, windows hello nebo googli sluzby nezni jako vyhoda oproti heslum na papirku. Naopak to zni jako krok zpet a zbytecna zavislost na treti strane.
Cimz chci rict ze at jsou vyhody jake jsou, zpusob prezentovani je pomerne spatny u obou firem. Kdyz k tomu pripoctu, ze sem tam i mainstreamovymi medii jde zprava o tom jak nam velci technogiganti vykradaji nase data, pak se nelze divit ze prumerny uzivatel muze mit nechut k pouzivani neceho takoveho na prihlasovani ke vsem sluzbam.

Průměrný uživatel vyděšený rádoby „ajťáky“ na diskusních fórech může mít takovou nechuť. Uživatel, který si umí dát dohromady dvě a dvě, si uvědomí, že kdyby chtěl Microsoft ve Windows nebo Google v Androidu krást uživatelům hesla, tak k tomu mají prostředky už dnes, a nepotřebují k tomu nějaké další nástroje.

Nic jineho vas nenapada? Predstavte si ze mate nastavene v MS authenticatoru telefon a zadny hovor diky nejakemu vypadku neprichazi… mam zakaznika ktery se s timhle problemem potyka za posledni dobu pravidelne.

Tihle “experti” zijou ve svem uzavrenem krouzku a kontakt se svetem evidentne nemaji. Indicky MS support je kategorie sama o sobe, hlaska o nedostupnosti nejakeho jejich serveru a 3 mesice se nas snazili presvedcit ze staci restartovat server xxx.xxx.micro­soft.com a ze kdyz to udelame tak nam to bude fungovat. Eskalace vyresila uplny kulovy. Ticket o nejakem problemu s jejich authenticator je otevren pres rok a za tu dobu udelali uplny hobno.

WebAuthn je otevřený standard, implementací můžete mít, kolik chcete. Nemusíte používat nic ani od Googlu, ani od Microsoftu, ani od žádné jiné velké firmy.

Kdyz se dotycny subjekt rozhodne, ze nebude WebAuthn pouzivat, tak ho pouzivat proste nebude. Vynuti si pouziti te sve vlastni aplikace. Priklad tu mame uz dnes a ani nemusime behat daleko - staci seznam.cz a jejich MFA ;-) O bankach nemluve. Z ceho dovozujete, ze Google ci Microsoft se podobnou cestou nevyda taky?

Predevsim ten ucet muze ta treti strana kdykoli z libovolneho duvodu zrusit, a tim znemoznit nejen prihlaseni, ale i pristup k datum.

To muze pouzivat leda blazen.

A historicka zkusenost ... M$ umoznoval zadat heslo libovolne dlouhe, ale pouzil z nej prvnich 6 znaku.

Predevsim ten ucet muze ta treti strana kdykoli z libovolneho duvodu zrusit, a tim znemoznit nejen prihlaseni, ale i pristup k datum.
Který účet a která třetí strana? Když se budete přihlašovat třeba do Alzy, máte účet u Alzy a Alza bude mít s vaším účtem spárován veřejný klíč, který používáte pro autentizaci. Kde je tam jaká třetí strana, která by mohla zrušit nějaký účet?

Třetí strana je ten, v jehož cloudu máte uložený odpovídající soukromý klíč.

Řeší WebAuthn nějak třeba situaci, že z Androidu chci přejít k Applu? Za jakých podmínek pustí Google nebo někdo jiný ty privátní klíče, abych si je mohl přenést jinam?

Soukromý klíč máte ovšem uložený na mobilu, ne v žádném cloudu. Synchronizaci tokenu mezi zařízeními passkeys řeší.

Až vám passkey zablokuje přístup třeba k účtu, kde jsou vloženy peníze ke zhodnocení.. tak si teprve rozmyslíte zda to používat...
Stále neni vyřešena chyba před 3 lety, kdy už se pak lidé nedokázali přihlásit...

Chci videt ty tisice nadsenych beznych uzivatelu, kterym to urcite ma zjednodusit zivot a kteri kdyby jen trochu mohli, tak by zahodili vsechny slavne chytre telefony a jine kraviny a kteri proste jen chteji v klidu fungovat ve svem svete a kteri fakt netouzi po tom, ucit se kazdy rok jiny, zarucene ten nejlepsi zpusob prihlasovani se nekam.

Jedna banka tak druha jinak, google tak, facebook jinak, web o autech onak, v praci ctvrtak a na urad paterak. V mobilu forti token, google auth, ms auth a pred sebou zarnou budoucnost, ze jednou se budem hlasit vsude stejne, protoze ted uz mame prece ten nej otevreny standard.

Kulovy. Tohle je uz 20 let furt dokola a nechytilo se poradne nic, jen kazdy tlaci do svych veci to jeho zarucene nejstandardnejsi reseni, ktere budou uzivat do roka vsichni. A pod zaminkou super veci jako dvoufaktor pres sms mami z uzivatelu tel cisla atd.

Toz tak.

Presne tak.

Me osobne ovsem vzdy dojima nejvice nabidka na tema "nemusite si u nas zrizovat dalsi ucet, muzete se prihlasovat ... prostrednicvim, google, fb, ...."

Aby si pak clovek pocetl na nejakem to forku, ze to vecne lidem nefunguje.

Uzasne je to treba u her, hra koupena na steamu, vyzaduje bezici cojavim uplay a ten vyzaduje "propojeny" ucet u provozovatele hry. Tohle nesprovozni ani ITk ktery se tim zivi.

BTW: Zrovna uplay a dvoufaktor znemoznil znamemu si zahrat koupenou hru. Nakonec mu ten dvoufaktor po asi mesici dohadovani se vypnuli.

Používám hesla a služby vyžadující dvufaktor jednoduše opouštím.
Google, Microsoft, většina bank a další sigle sing on.... trhněte si...

Nemohl by by 2FA zavést i Root?

Jinak služby zmíněné v článku se obvykle používají pro jednofaktorovou autentizaci (až na Microsoft Authenticator, ten lze použít i pro 2FA).

Neprimo ho uz dnes k dispozici mate, staci pouzivat mojeid ;-)

Já MojeID používám. Ale ti, kteří kvůli 2FA přestávají služby používat, tu pořád mají na výběr i přihlášení bez 2FA…

A to vadí konkrétně čemu?

Jo, nápad zbavit se hesel je príma. Teda by byl, ale není, ono by to tak jako prvně chtělo vyřešit pár věcí kolem, které rozhodně vyřešeny nejsou.

1.Lost authenticator recovery - Už vidím tu smršť chytráků jak se sesypou že to dávno vyřešené je - opravdu? Pro 99% uživatelů, a ne jen pro pár geeků, co vědí, že si ty klíče v Yubi mají tak jako zálohovat? A i když jsem v druhé části světa? A nejde to pak naopak zneužít k obejití?

2.U SSO služeb zaručené poskytování služeb. To, co v drtivé většině případů je "Váš account byl zrušen, protože naše AI vyhodnotilo, že jste porušil podmínky. Máte právo držet hu** nebo si popovídat s naším chatbotem" je poněkud mnohem horší variantou, než ten papírek.

3.Privacy preserving ověření, např. pseudonymní. Opravdu není dobrý nápad, aby se přes Google nebo M$ účet autentikovalo třeba na https://forum.mamrakovinu.cz/, nebo naopak aby pro fórum https://anonymnialkoholici.cz/ se předával hlavní účet...

Ad 1. V čem se to liší od hesel?

Ad 2 a 3 Tak si vyberte ta řešení, která nemají žádné SSO ani nepoužívají Google nebo Microsoft účet. V článku jich je zmíněno několik.

Ad 1. Třeba v tom, že hesla si na kus papíru umí zazálohovat i důchodce. A ani mu není třeba zdůrazňovat, že to má dělat.
Myslíte, že nejaký laik dokáže zazálohovat systém, do kterého nevidí pořádně ani profesionálové specializovaní na něco trochu jiného?

Na rozdíl od hesel tohle bude neprůhledná skříňka naplněná černou magií. A jak se rozbije, tak přijdou o všechno.

Pokud si někdo bude zálohovat hesla na kus papíru, má špatná hesla – používá slabá hesla a používá je opakovaně.

Na zálohování něčeho není potřeba do systému vidět, pokud ten systém má dobře vyřešený způsob zálohování. Předpokládám, že Google, Apple i Microsoft nabídnou možnost zálohovat si ty klíče do cloudu spolu s ostatním nastavením systému.

Běžným uživatelům to bude bez problémů fungovat a budou to mít zálohované stejně jako hesla z prohlížeče a ostatní nastavení systému – pokud nepřijde nějaký „ajťák“, který jim to rozbije s tím, že přeci nemůžou mít klíče uložené v cloudu u Applu, Googlu nebo Microsoftu.

>Pokud si někdo bude zálohovat hesla na kus papíru, má špatná hesla – používá slabá hesla a používá je opakovaně.

Co to je za blbost? Prohlížeč vygeneruje heslo, např. kUkLDysdH6rB642DDKy­Ryzdpi, to si jej nemůžu napsat na papír? Třeba moji rodiče to tak dělají, jsou permanentně doma na home-office a hesla mají v notesu v šuplíku u počítače. Ke každé službě zvláštní silné vygenerované heslo (oni těch služeb zas tak moc nevyužívaj). Tento systém jim funguje a doufám, že jim nikdo místo toho nenanutí passkeys.

9. 5. 2023, 21:14 editováno autorem komentáře

Na zálohování něčeho není potřeba do systému vidět, pokud ten systém má dobře vyřešený způsob zálohování.
Jak poznám "dobře vyřešený způsob zálohování"? Nedělejme si iluze, že je možné vidět do systému. Vždycky je to založené na důvěře.

1. Pak není nejmenší důvod něco měnit.
2. a 3. Opět jste nepochopil. Já vím, co použít, jde tu o těch 99% běžných užovek, které tenhle nepřipravený *) nesmysl akorát dostane do stavu, který je ještě horší než současný. A problémů s nelokálním Win10 účtem jsem jen ve svém okolí zažil několikráte víc než je zdrávo.

Tipnu si - tohle dopadne asi jako implementace IPv6 ;-)

*) <tin foil>Osobně si nemyslím, že je to nepřipravené, zvláště když někteří nejvýraznější aktéři celé šarády naprosto nepokrytě po jakémkoli dalším zaháčkování šmírování pasou.</tin foil>

Pak není nejmenší důvod něco měnit.
Důvod může být ten, že se to liší v jiných vlastnostech – a v těch je nový systém lepší.

Já vím, co použít, jde tu o těch 99% běžných užovek, které tenhle nepřipravený *) nesmysl akorát dostane do stavu, který je ještě horší než současný.
Vznikl standard, který může implementovat kdokoli. Standard už je implementován v některých prohlížečích a operačních systémech, takže ho může začít používat kdokoli. Google to začal používat u svých služeb místo proprietárního řešení. Postupně to začnou nabízet i další poskytovatelé jako bezpečnější alternativu. Bude trvat několik let, než se to rozšíří tak, že to bude běžné. Běžným uživatelům to výrazně pomůže, protože budou mít něco, co je snazší na použití, než správce hesel, a budou to mít bez práce – nebudou muset žádný správce hesel shánět a instalovat.

Tipnu si - tohle dopadne asi jako implementace IPv6 ;-)
Jako že v některých státech to bude mít přes 50 %? V budoucnosti k tomu asi dojde, ale rozhodně to není na pořadu dne.

Osobně si nemyslím, že je to nepřipravené, zvláště když někteří nejvýraznější aktéři celé šarády naprosto nepokrytě po jakémkoli dalším zaháčkování šmírování pasou.
Jasně, Microsoft potřebuje k potenciálnímu šmírování uživatelů na Windows autentizační aplikaci, protože operační systém nemá žádnou šanci zjistit, jaké stránky uživatel otvírá ve webovém prohlížeči. A Google potřebuje kvůli potenciálnímu šmírování takovou funkci zabudovat do webového prohlížeče a Androidu, protože webový prohlížeč ani operační systém na mobilu vůbec nijak nemohou zjistit, které webové stránky uživatel navštěvuje.

A to není zdaleka vše. Hospodští budou na záchodech ve svých hospodách instalovat měřáky, aby zjistili, kolik toho u nich lidé vypijí a snědí. ISP vám do routeru podstrčí svůj software, aby mohl sledovat, k jakým IP adresám se připojujete. A v bytovém domě bude vlastník domu snímat otisky prstů z tlačítek ve výtahu, aby zjistil, kdo má pronajatý byt ve kterém patře.