Názory k článku
Projekt Turris: nová verze aplikace Sentinel View umožňuje kontrolu hesel

Bohuzel se pri nasazeni neztracel cas s tim tam pridat treba ceske word/password-listy... takze i hloupe "heslo123" skonci hlaskou, ze vse je v poradku... :-(

Třeba takové hloupé heslo na routeru nikdo nepoužívá, respektive ho útočníci nezkoušejí.

Danny to zřejmě myslí tak, že v současném stavu je to jen prohledávač hesel, na která narazil Sentinel. Ovšem užitečnější by bylo, kdyby do té databáze byla přisypána i hesla z dalších zdrojů, jako to dělá HIBP. Pak by to byl univerzálnější hlídač uniklých hesel. Teď to nenajde ani běžná česká slova a člověk by mohl nabýt dojmu, že třeba heslo „Praha“ je bezpečné, protože ho na Sentinel nikdo nezkusil.

Každé heslo je bezpečné, dokud ho někdo nezkusí.

Ty boti většinou běží na již hacknutých routech, ty mají omezené systémové prostředky. Většinou se zkoušejí defaultní údaje admin/admin + TOPXX nejběžnějších hesel.

Pro hacknutí běžného náhodného routeru nikdo nepoužívá wordlist s miliony možností. U cíleného útoku bude situace opačná a ty wordlisty budou vybrány lépe. tam vám ale nemusí pomoci ani lepší heslo.

Do môjho Wordpress blogu sa momentálne dobýjajú nejakí boti. Po pár pokusoch je IP dočasne zablokovaná. Vyskytne sa približne 5 útokov denne. Z rôznych krajín.
Ako username skúšajú: admin, support, kompletné meno domény, meno domény bez krajiny.
Som zvedavý, či uhádnu aspoň username, ktoré by človek z názvu domény zistil okamžite (a okrem toho sa nachádza aj v e-mail adrese na jednej stránke blogu, ktorá je "obfuskovaná" ako: meno(zavináč)do­ména.)
Potom ich čaká "už len" silné heslo a jednorazový kód dvojfaktorovej autentifikácie. :-)

15. 9. 2022, 13:40 editováno autorem komentáře

Petr to vystihnul presne. A i tohle je ten point, proc by bezne dostupne (dohledatelne) wordlisty v takovych nastrojich mely byt zaclenene - u nich kazdy zacne...

Dobrý den,
Je to přesně tak, jak píše Petr Krčmář. Tedy se jedná čistě o hesla, která zachytíme od útočníků. Proto implementace wordlistů nedává a nedávala v kontextu Sentinelu smysl. Výsledkem není informace, že "Heslo je bezpečné", ale že ho útočníci nepoužívají. Taková byla i původní představa.

Osobně vidím docela problém v tom, že zařízení typu routery a podobně mají jeden zabudovaný účet (Admin, root,...), který je dopředu odhadnutelný. Útočníkovi tak stačí pouze hádat heslo. Kdyby musel hádat navíc ještě uživatelské jméno, náročnost by se zvýšila.

To je nesmysl. Uživatelský účet je považován za veřejný údaj, takže se může objevit kdekoli – v logu, v odeslaných e-mailech atd. Z hlediska bezpečnosti se musí počítat s tím, že uživatelské jméno útočník zná. Spíš je to opačně, když má to zařízení jeden zabudovaný účet, neměl by se název účtu vůbec zadávat, mělo by to požadovat jen heslo. Některá zařízení to tak mají.

Když chcete zvýšit náročnost hádání pro útočníka, tak prostě to, co byste zvolil jako jméno, přidejte k heslu.

Dovolim si nesuhlasit. Existuje kopec pripadov, kedy z uniknutej databazy zobral utocnik meno (mrkva.jano@szm.at) s uniknutym heslom (Praha) a skusil, ci to nezafunguje napriklad na mrkva.jano@co­inbase.com. Teda heslo "vedel" (ludia pouzivaju jedno na viacere sluzby) a meno si "domyslel". Ak by nemal "domyslitelne" meno, tak ho nehacknu a neukradnu mu tych 10000 dolarov v ???coinoch...

Meno je podobne dolezite ako heslo. Len sa predpoklada, ze je verejne. Na router ale verejne nie je. Ja tiez nemam na routri root, admin, ani nic podobne. Kludne staci 2 pismenkove, ale nic bezne imho. Zacne to moze pokazit standardne vektory utoku.

PS: Kolkokrat ste omylom napisali heslo do konzoly a buchli enter? Viete, ze takto mohol nejaky server z historie toto heslo uchovat pre "buduce pouzitie"? Prikladov moze byt mnoho.

PS2: https://darknetdiaries.com/ -> maju nielen podkasty, ale aj prepisy. Imho nadherne citanie...

Bullshit.
Problem neni uhodnutelne jmeno ale recyklovane heslo.

Jak píše Ondra, pokud někdo používá stejné heslo na více místech, je problém v tom.

Jméno z hlediska bezpečnosti není důležité vůbec. Předpokládá se, že je veřejné, a vy nevíte, zda na routeru je nebo není veřejné. Nebo jste procházel všechny výstupy, které z toho routeru jdou a mohou jít? Ověřil jste si třeba to, že jméno nebude v nějaké chybové zprávě, když pošlete na router nevalidní požadavek?

Kolkokrat ste omylom napisali heslo do konzoly a buchli enter?
Za posledních třeba 10 let ani jednou. Protože heslo málokdy někam píšu – většinou ho vyplňuje správce hesel.

Je to pořád dokola – někdo dělá zásadní bezpečnostní chybu, že používá jedno heslo na různých místech. A místo aby řešil tenhle velmi vážný problém, začne vymýšlet hacky s unikátními jmény, které nic neřeší.

Stale je to o tom istom. Pravidelne menit hesla. Pouzivat aspon 3 urovne.
1 - simple heslo na nepodstatne jednorazove veci
2 - Silne heslo v style Bols0md0ma pre mail a socialne veci
3 - Silne heslo v style !v4nN3b0ld0m4 pre banking/vpn a tak podobne.

Bohuzial je tam prvok toho menit ich aspon kazdy rok skrz to ze skorej alebo neskorej to heslo bude leaknute. Viz zmeny hesliel na WP weboch v poslednej dobre. Vsetky moje hesla za poslednych 3+ rokov na urovniach 1 a 2 mi vypisuje ze to nie je bezpecne lebo uz je to niekde leaknute a mam vybrat nove.