Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vít Šesták - > úplně ignorujete lidi. Aby problém vyřešili správci...

> úplně ignorujete lidi. Aby problém vyřešili správci hesel, musel byste ke změně zvyků přesvědčit několik miliard lidí.

Nemyslím si, že bych ignoroval lidi. Lidi postupně svoje návyky mění a mají tendenci si zjednodušovat život. Děje se to postupně a nemusí to být na první pohled patrné, ale děje se to. Například:

* Ústup papírových diářů ve prospěch elektronických.
* Podobně i jízdních řádů.
* Ústup řetězových e-mailů ve prospěch Facebooku. (Super věc, že se člověk může lépe od těchto kravin izolovat.)
* Nástup smartphonů a jejich využívání ke všemu možnému. (PM)
* Nástup eshopů.
* Nástup platebních karet, později nástup bezkontaktního placení, placení telefonem, placení hodinkama.
* Ústup dobírky a nástup platby předem: https://www.novinky.cz/finance/clanek/dobirka-uz-neni-nejoblibenejsim-zpusobem-platby-za-zbozi-40031751
* Vyšší důvěra v cloudové služby. (PM)
* Dnes si lidé online účet nezřídka zakládají i kvůli operačnímu systému a prohlížeči. (PM)
* Synchronizuje se dnes kdeco. (PM)
* Lidi dnes tolik nependlují mezi různými cizími zařízeními, školními počítači a internetovými kavárnami, a spíše používají pár zařízení (telefon, přenosný počítač, pracovní počítač, …) (PM)

Ne všechno z toho přímo souvisí s password managery, některé věci jsem uváděl jen pro doložení faktu, že lidé jsou schopni akceptovat změny, zvlášť když to přinese pohodlí. Ale nemálo z toho seznamu (vizte značku „PM“) vliv má. Někde to ještě potrvá, ale šanci tu vidím.

Podstatným důvodem hrajícím do karet nástupu password managerů možná nebude bezpečnost, ale právě pohodlí. Při registraci je jednodušší ťuknout do tlačítka, které nabízí vygenerování hesla. Zvlášť když se pěkně nabídne. Při přihlášení je taky jednodušší heslo nepsat. S password managerem ostatně nemusíte typicky psát ani uživatelské jméno/e-mail, on vám to vyplní. Myslíte, že uživatelé budou ignorovat pohodlnější variantu, kterou jim budou prohlížeče a OS strkat čím dát tím víc pod nos?

> Aby to vyřešily prohlížeče, musíte přesvědčit několik stovek lidí, kteří mají reálně vliv na webové standardy a jejich implementaci.

To rozhodně nestačí. Těmi standardy se musí i někdo řídit. A to nejen prohlížeče, ale i autoři webů. I kdybyste jim sebral password fieldy, mají dnes kupu možností si je vytvořit pomocí HTML+CSS nebo HTML+JS (což by mimochodem poněkud zkomplikovalo password managery). A vzhledem k technické složitosti pro existující weby je prakticky jisté, že by to někdo udělal a nabídl knihovnu…

> Nemůže to fungovat tak, že kdokoli bude po uživateli chtít, aby si zadal nové heslo. Ne, jediná možnost, kdy to bude fungovat, je ta, že někdo uživateli to heslo vytvoří.

Tomu se už přiblužujeme… TODO

> No a když už takové API bude existovat, kdo říká, že přes něj musí putovat heslo, které uživatel zadal na klávesnici?

Pak máte stateless správce hesel, se všemi nevýhodami, které jsem zmiňoval.

> Nebo-li vaše řešení se správci hesel nebude fungovat, pokud uživatel z nějakého důvodu správce hesel nechce používat

Každé řešení může selhat na uživateli. Ve chvíli, kdy mizejí důvody, proč správce hesel nepoužívat, toto nevidím jako zásadní problém.

> Dneska si to heslo uživatele jako provozovatel webu prostě přečtete ze své databáze.

To předpokládá, že provozovatel ukládá hesla v plaintextu. Neříkám, že se tak nikdy neděje, ale po někom takovém těžko očekávat, že přejde na nový způsob přihlašování a že to implementuje správně. Ono to není až tak jednoduché udělat správně.

A pokud jde o správce, kteří to udělají úmyslně, tady si taky nepomůžete. Jak jsem psal výše, s možností vyrobit si něco jako password field vlastními silami těžko zabráníte tomu, aby získal heslo v plaintextu.

U provozovatelů, kteří hashují hesla správně a nemají zlé úmysly hesla na vydolovat, si nepomůžete. Naopak, přinesete nová rizika související třeba s komplikovanou změnou způsobu hashování. Vámi navrhované řešení je ve skutečnosti technicky složité, vezmeme-li v úvahu stávající databáze hashů hesel, jejich solí, změny v hashovacích funkcích a jejich parametrech. Tato složitost vede k riziku chyb.

> Já nechci správce hesel nahrazovat, v mém řešení fungují stejně dobře, jako dnes.

Vizte výše, vaše řešení přináší spíše komplikace než zvýšení bezpečnosti. Pravda, s password managerem by mohlo být bezpečnější, ale to už můžeme rovnou použít samotný password manager a nebudeme muset řešit různé side channely…

> Moje řešení je podstatně bezpečnější, než používání správců hesel bez samostatného API pro komunikaci mezi webem a správcem hesel.

O tom jste mě zrovna nepřesvědčil, vizte výše.

> A zpětná kompatibilita je přesně to, co v tomto případě chceme porušit

Máte řádově složitější problém než zaříznutí staré verze TLS nebo použití TLS pro formuláře. Autoři webů mají spoustu možností, jak to obejít, pokud jim neseberete CSS a JS. Co si myslíte, že se stane?

a) Všichni autoři webů se začnou přizpůsobovat, řešit side channely apod. Začnou také řešit hashe hesel stávajících uživatelů, které z různých důvodů nejsou kompatibilní s novým schématem. Prostě udělají fúru práce, jen aby bezpečnost přihlašování na svém webu… v mnoha případech vlastně prakticky nezvýšili, protože již hashují a solí správně.
b) Začne se to obcházet vlastní implementací password fieldů, což ztíží práci password managerů.