Vlákno názorů k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od Buldr - Hesla odpovídající bezpečnostním standardům s pravidelnou změnou ovšem...

Hesla odpovídající bezpečnostním standardům s pravidelnou změnou ovšem zaměstnanci berou jako obtěžování a na tom bezpečnost také skončí, protože rychle se objeví papírek u monitoru, telefonu, nebo NTB s heslem pro přihlášení do systému (ADDS) a klíčenky. Tedy celá bezpečnost bude ta tam. Stejně tak nemůže mít Josef Novák heslo pepa007.

Naštěstí existují tokeny (Yubikey NFC) která se dá kombinovat s heslem a výsledkem je maximální bezpečnost a minimální zátěž na uživatele. Ještě se to dá prokombinovat s TPM a klíčenkou a Pepa si klidně může používat heslo pepa007, protože bez tokenu je k ničemu.

Navíc na token se dá navázat i docházkový systém, otevírání dveří … a nikomu nevadí, když bude mít na XY unikátních hesel jako např.: \dj1w/Z~@8bY}­Fm*cYkG7hZT*au­5.^.F ...

Stejný boj jsem vedl s rodiči v důchodu, jedinou možností bylo pořídit jim na stolní počítač biometriku a oddělené klíčenky, jinak by si používali dál ty parodie na hesla. Nakonec to vyřešila čtečka Kensington zapíchnutá do USB na čelním panelu skříně, Windows Hello a KPM. Sdílený s telefonem a ani si nevšimli, že místo pepa1950 mají najednou složité heslo. Jediné čemu nezabráním je fakt, že jsou .... a klidně pošlou mailem heslo někomu jinému. Prý chce taky vidět fotky z dovolené. Ve své režii dokážu ošetřit, ale oni kamkoliv jinam bez šance.

A ted se zamysli, s cim vsim ti ten tvuj token fungovat vubec nebude. 2/3 dodavatelu naprosto cehokoli si na me chodeji stezovat, kdyz po nich chci, prihlasovani vuci ldapu. Kdybych po nich chtel HW token, tak se mnoztvi dodavatelu smrskne na krasnou 0.

Takze priznavate, ze mate dodavatele ze stoleti pary neschopnych inovaci :-) Standardizovana reseni, kterak tyhle veci integrovat existujo a jsou dokonce opensourcovana.

Mně úplně ke spokojenosti stačí ISV certifikace, což mají všechna provozovaná zařízení a tím je vyřešena základní funkce a přirozeně i plnou integraci pod Windows Server ADDS s centrální správou, včetně TPM.

Prostá elegance centrální správy řeší situace, kdy se Yubikey (NFC) prostě rozbije. Nejběžnější příčinou fyzické výměny tokenu zůstává rozdrcení a děje se to proto, že klíče i s token ležící na vaně kufru přizdí 20-30 kg kufr či brašna s nářadím. Rezervní klíče jsou dávno v systému a přirazení konkrétní osobě zabere pár vteřin. Mnohem déle trvá slovní hromobití spojené s fyzickým předáním.

Tím chci říci, že všechny telefony Samsung, notebooky HP Elitebook, Panasonic Toughbook, stolní počítače HP Elitedesk, Jablotron, NFC čtečky ovládající zámky … s tím zkrátka fungují. Jistě, první kdo přijde do práce musí použít fyzický klíč, zbytek už se courá jen prostým přiložením Yubikey k čtečce a rovnou se tím řeší i docházkový systém. Mimochodem největší hloupost je docházkový systém založený na biometrice, protože ruce řemeslníků vypadají různě a čtečky s tím mají zatraceně velký problém, proto je NFC token lepším řešením, které vylučuje problémy se stavem jejich rukou. Modernější a pohodlnější verze SmartCard. Otisk prstů je zkrátka u řemeslníků dost nespolehlivé řešení.

Jasně, jsou dodavatelé, kteří 2FA nepodporují, ale pořád jsou tu klíčenky, kde ty hesla uložena jsou a nemusí si je pamatovat, protože se vše děje automaticky. Pravdou je, že u většiny dodavatelů se to řeší telefonem a mailem, protože se osobně znáte a jste neustále v kontaktu (Socomec, Hager, Schneider ...) a domlouváte s konkrétními lidmi. To platí i o velkoobchodních partnerech, které dodávají svorkovnice, svorky, vodiče, kde je to zase osobní přístup a třetím typem dodavatelů jsou velkoobchody, kam si osobně zajedou (zapomněli, urgentně potřebují) a hezky si to vyzvednou na místě. No vlastně za ty roky už je to také skoro osobní, protože ten okruh je vlastně neměnný.

Určitě vymyslíš dalších 100+1 důvodů, proč je to úplně k ničemu a proč to nemůže nikdy fungovat. SC jsem na firmě používal 10 let, poslední 3 roky jsem přešel na Yubikey NFC a když se čtečka strčí nízko, tak nemusí ani tahat klíče z kapsy montérek. Nikoho to neotravuje a bezpečnost i automatizace je podstatně někde jinde, než kdyby měli spoléhat jen na hesla. A to jsme malá firma, spíš rodina, kde nás není ani 25 a jde to. Vlastně ono to není vůbec drahé, protože zdravá firma si ty pořizovací náklady hravě zaplatí.

P.S.: S iPhone a Yubikey bývalo dost problémů, to už by mělo být vyřešení, ale i tak jsou firemní telefony Samsung (dlouhodobě), protože ve správě a podpoře jsou nejdál. Teď sice kupuji HP, ale úplně stejně spolehlivě funguje Dell.

1. 12. 2023, 16:35 editováno autorem komentáře