"A jelszó szabályok (házirendek) baromságok"

Titkosítás, biztonság, privát szféra

Jeff Atwood, a Stack Overflow oldal alapítója úgy gondolja, hogy a jelszó szabályok baromságok. Itt fejti ki részletesen...

( haspokember | 2017. 03. 16., cs – 10:22 )

Es megoldaskent a sajat baromsagat (= jelszo szabalyt) hirdeti.

A problemafelvetes jogos (bar semmi uj nincs ebben), de a megoldashoz nem visz kozelebb.

- A minimum jelszó hossz szerintem oké
- A leggyakoribb jelszavak tiltása, hát.. fene tudja, ezt nem erőltetném, de végülis mindegy
- Unique karakterek minimum száma szerintem felesleges, de normális jelszóhossznál matematikailag nagyon kicsi esélye van, hogy ez problémát okozzon
- Special case passwordok nyugodtan tilthatók (username/email nem lehet jelszó)

Mert ha megtiltod a zembereknek, hogy "password"-ot hasznaljanak jelszonak (mert mondjuk az a leggyakoribb), akkor nem fog mindenki atallni rogton "password123"-ra, vagy mas hasonlo jelszora, ami ezaltal pont ugyanolyan gyakori lesz. Ez nem mas, mint a sz@r pofozgatasa jobbra-balra.

Fundamentalis valtozas kellene, es mar vannak egesz jo megoldasok. Peldaul az oauth2 hasznalata, vagy a 2 faktoros azonositas.

"The most important – and perhaps only – restriction you should put on your users when creating
passwords is to ban the use of common passwords to reduce your organization’s susceptibility to brute
force password attacks.
Microsoft account was among the first large identity providers to ban a list of known bad passwords
(abdcefg, password, monkey, etc.). We have found that banning common passwords is highly effective
at removing weak passwords from the system. Microsoft account currently bans patterns which are
commonly used in attacks, or even close to those patterns."

Ami egyébként logikus, és ugyan valóban szar pofozgatás, viszont itt viszonylag kevés iterációval elérhető lesz, hogy fregmentálódjon a hülyeségek használata. Illetve lásd a kiemelést tőlem, olyan tényekkel, amit ekkora userbázison vett mintára alapoznak, elég nehéz vitatkozni.

És igen, fundamentális változtatások kellenek, az ms paperja is azt mondja, hogy
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges

csak nem működik a two factor mindenhol, és igazából azért érdekes az itteni cikk kapcsán, mert a kolléga pont azt az egyet emelte ki, hogy minek, amiről az ms azt mondta, hogy az jó pattern, ellentétben a legyen kurvahosszú, legyen tele megjegyezhetetlen karakterekkel, és kelljen megváltoztatni minden istenverte reggel ruleokkal, amik a gyakorlatban trágyafos password minőséghez vezetnek.

És azért jó az ms papírja, mert végre valaki olyan írta le azt, ami bárkinek nagyjából nyilvánvaló, aki valaha is elgondolkodott már 2 percnél hosszabban ezen az egészen, amit oda lehet dugni vezető orra alá, hogy nézd, mert sajnos hiába a józan ész, a begyepesedett szokásjogon alapuló hiedelmekkel nehéz vitatkozni egyszeri jómunkásemberként. (vagy akár vezetőként, amikor egy hülye külső auditor előadja, hogy ez így szar)

szerk: egyébként az oauth pontosan hogy is jön ide?

Azert jo az oauth, mert nem kell huszonotezer teljesen jelentektelen szajthoz jelszot megjegyezni (termeszetesen legyen mindegyik extra hosszu, speci karakterekkel stb), mert abbol ugyis az lesz (van), hogy van egy jelszo, amit a harmadosztalyu szajtokhoz* hasznalok, ugyhogy ha valaki megfejti a jelszavamat, akkor egy csomo mas helyre is be tud lepni vele. De a fo veszely az, hogy egyszer nem figyelek oda, es valami fontosabb helyen is a gagyi jelszavamat adom meg.

Mi a francnak jelszo? Legyek belepve a google-hoz, ami legalabb rendes 2 faktoros, es onnantol a tobbi szajt fogadja el, hogy onnan jovok, es vagyok XY.

A disqus kivalo pelda, hogy hogyan (es mikor) kell az oauth-ot hasznalni (https://disqus.com/api/docs/auth/).

* harmadosztalyu: termeszetesen nem a szajt tartalmara vonatkozik ez a jelzo (szia hup :)), hanem az altalam meghatarozott biztonsagi szintre.

ui: mint az sejtheto, a jelszokezeloknek sem vagyok hive, mert az megint csak ugyanannak a labdanak a tovabbrugdosasa.

Tudom, hogy működik az oauth, de ez nem oldja meg a jelszó problémáját, csak áttolja másvalakihez, egy pont kell, ahol tudsz rendesen autholni. Persze, jók ezek, de a téma alapvetően a jelszóploicy.

Ráadásul gusztus dolga, de azért annak is igen komoly rizikója van, hogy majd a google mindenkiről megmondja, hogy ő ki. A fontos szolgáltatásoknál én speciel pont nem szeretném ezt.

( uid_16313 | 2017. 03. 16., cs – 11:47 )

A legnagyobb probléma márpedig az, ha ugyanazt a jelszót a felhasználók több különbözö rendszerhez is felhasználják, kényelmi okokból.

--
robyboy

( denesb | 2017. 03. 16., cs – 13:14 )

És akkor ott van a Paypal ahol **felső** limit van a jelszó hosszúságra, ráadásul valami <20. De hát vegülis csak pénzről van szó, ki nem szarja le.
--
:wq

Cibes java anno nem szerette a "."-ot. Gondolom, mas extra karaktert sem. Csak ez sajnos sehol nem volt kiirva...
Boldogan megvaltoztattam a jelszot, majd egy ido utan mentem be a bankba, ahol mondtak, hogy "." nem lehet a jelszoban....

--
http://www.micros~1
Rekurzió: lásd rekurzió.

marmint a "legenda" is pont egy ugyanolyan majmos teszt?

recursion
See recursion

A csimpanzos tesztnel is csak hivatkoznak egy masik szerzore, aki hivatkozik egy masik szerzore, pont olyan mint a kiserlet.

Egyebkent embereken kiprobaltak, van youtube-os video rola, nem tudom mennyire megjatszott:
https://www.youtube.com/watch?v=MEhSk71gUCQ

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Jó kis kompatibilitási problémákat tud okozni egy tetszőleges hosszú jelszó, nem feltétlenül csak az adatbázisban vannak fix méretű mezők.

Én is szoktam a maximális hosszt limitálni, csak figyelek rá hogy több biten, amennyit a hash el tud tárolni. 512-bites hashnél pl. ez olyan ~85 karakter. Ha valahol SHA-1-et használnak akkor a ~25 karakteres limitnek akár lehet is értelme.

Egy karakter ~6bit, a szűkös karakterkészletet figyelembe véve. Ha figyelembe akarjuk venni a mintázatokat, akkor persze jóval kevesebb, de mondjuk egy 127 karakteres limit szerintem egészséges, az szépen elfér egy előjeles byteon, ha esetleg kellene.

Az ideális hash függvény esetében egy adott hash megtalálásához várhatóan annyi esetet kell kipróbálni, ahány lehetséges kimenete van a függvénynek. Vagyis ha olyan hosszú jelszót választasz, ami ennél több értékes bitet tartalmaz, akkor várhatóan létezik egy rövidebb jelszó is, ami ugyan ezt a hasht eredményezi. Ebből a szempontból tehát nincs értelme több értékes bitet tartalmazó (=hosszabb) jelszót választani, mint ahány bites a hash függvény kimenete.

Ha nem ad hozzá az elérhető biztonsághoz, akkor feleslegesen csak ne szívasson engem vele a felhasználó. :-D

Egyébként nyilván lehet nagyon silány minőségű jelszót választani. A lentebbi olvasható egész szavas jelszóban egy szó nagyjából 12 bitet jelent, ugyanakkor ~6 karaktert foglal, ebben az esetben még akár valamivel 255 karakter feletti jelszavaknak is lehet értelme.

Mondjuk ennyi erővel ezentúl használjunk <textarea>t jelszó mezőnek. Sőt, lehessen inkább egyből 3MB .txt fájlt feltölteni. De aztán gépelje is be a user windows loginkor az egészet! ;-)

Kivéve ha mégis. Mert például LDAP, vagy AD is van mögötte. De pusztán a HTTP esetében is előfordulhat például basic auth ami beleszalad az apache 8KB-os fejléc limitjébe.

A helyzet az, hogy vagy megadom, hogy X és Y közötti jelszóhossz az elfogadott, adott karakterkészlettel*, és akkor ebben a tartományban garantáltan működik minden, vagy nem adok meg maximumot és azzal terhelem a supportot, hogy mi baja a usernek aki 6*10^23 hosszú jelszót választott. Ráadásul egyáltalán nem egyszerű kideríteni, hogy mi a gond, mert ugye jelszót a support nem kér be.

*Természetesen minél több jelszó használható, annál jobb, de nem kell túlzásba vinni. Van ahol érdemes például a @ és % jelet is tiltani a jelszóban, mert meghálálja magát support költségben, ha a user:password@server formátumú erőforrás azonosítókat nem kell URL-escapelni.

Igazad van a hash fuggvenyeket illetoen, viszont arra is felhivom a figyelmedet, hogy itt olyan tokeneket kodolsz el vele, amit felhasznalok gepelnek be. Tehat, lehet, hogy a "En elmentem a vasarba fel penzzel" es a "sN1h0f3`3" ugyanazt a hash-t eredmenyezi, megis, a felhasznalo valoszinuleg jobban szeretne az elozot hasznalni, es ezt neked respektalnod kell.
--
Blog | @hron84
Üzemeltető macik

Ami egy jó nagy baromság.

Egy ember aktív szókészlete kb. 3-5000 szó. Átlagosan 4000 szó alkotja a szövegek jó 95%-át. 4k^4 = 2,56 * 10^14. 62^8 = 2,18 * 10^14. Tehát nagyságrendileg kb. ugyanott vagy.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Miért hülyeség?

ASCII karakter készlet nagysága a véletlen jelszóban, felhasználva a kis- és nagybetű plusz speciális jeleket = kb. 73

log 73 (4000 ^ 4) =~ 7.7
log 73 (4000 ^ 5) =~ 9.7

Vagyis 5 szó használata egy kb. 10 karakteres erős jelszónak felel meg. Szerintem nagyon jó.

Kis javítás: úgy nézem hogy 95 fajta karaktert fel lehet használni az ASCII táblából (most tekintsünk el a unicode-tól), és ezért így módosul a számítás:

log 95 (4000 ^ 4) =~ 7.3
log 95 (4000 ^ 5) =~ 9.1

Tehát 4 szónál 7 karakteres, és 5 szónál 9 karakteres erős jelszónak feleltethetjük meg.

Az átlagos magyar szókincshez forrás: https://www.viharparduc.hu/ez-meg-az/szokincs.html#

Vagyis 3-5 ezer, illetve 5-10 ezer, tehát a 4000 feljebb megfelel szemléltetéshez, de ha 7500-al nézzük, akkor:

log 95 (7500 ^ 4) =~ 7.8
log 95 (7500 ^ 5) =~ 9.8

Vagyis kb. 1 karakter hosszt ugrunk.

Csakhogy a támadó elvileg nem tudja, hogy itt néhány szóról van szó, neki ugyanúgy ki kell pörgetnie a jelszót, nem hagyhatja ki a nagybetűt, számot, spec. karaktert mert az is lehet benne.
És így nézve jelszóként az "anyadnak4palackot" ugyanolyan jó, mint a "Sf8!jkwDsFTQ5*4Vv", és még memorizálni és begépelni is könnyebb. Csak nem engedi a password policy...

Egyszer régen (saccra 93, 94 lehetett), dolgoztam valahol, és ha nem tévedek, novell alapú hálózat volt.
Egyszer, csak úgy, kipróbálási célból, valami vers első 6-8 sorát adtam meg jelszónak. Elfogadta. Tetszett.
Egész addig nem volt gond, amíg egyszer valami szünet után, ahogy visszatértem a géphez, ott volt valaki, akinek valami információ kellett.
Eltartott elég sokáig, amíg begépeltem, és hát elég furán nézett az ember :-)

( uid_19334 | 2017. 03. 16., cs – 16:53 )

Haljon nagyon durva kínhalált aki kitalálta hogy legyen 8 karater, kisnagy betű, szám.
Nincs ilyen jelszóm, amit tudnék.

Épp ma gondolkodtam hogy írok ki erről (mármint hogy milyen nemben haljon meg) szavazást (újfent) csak hogy kipuffoghassam magam, de ezek szerint nem kell.

Amúgy a g/fb nem igényel semmi speciálisat, ha jól emlékszem.

Oldscool, de en mortal kombat kombokra eskuszom:)
ikjl (fel, le, balra, jobbra), asdf (nagy utes, nagy rugas, kis utes, kisrugas)

Ha valahova szam is kell, akkor !4!!!!4!negy :)

Van vagy 8 eve, hogy utoljara jatszottam vele, ha nem tobb...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( saxus | 2017. 03. 16., cs – 17:44 )

Igazából a jelszót, mint olyat kellene már elfelejteni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Bánom is én, de ez a mindenhova külön jelszó meg regisztráció meg babámfasza ez egy baromság. Egyszer már bejelentkezek a számítógépre, az OS tudja, hogy ki vagyok. Történjen chipkártyával, speciális USB kulccsal, telefonnal, biometrikus akármivel, bánom is én, de utána miért kell *mindenhova* tök külön bejelentkezés? (Ok, pénzügyekhez legyen még egy plusz faktor, csá).

Egyébként hozzáteszem, az OE-n Tóth Ákos egykori - sajnos meghalt - infobiztonság tanár mondta, hogy ha rajta múlna "kettő" internet lenne: egyik a mostani és egy másik, ahol titkosítva menne a kommunikáció és valamilyen hitelt érdemlően azonosítva vagy és mondjuk webshopolni, bankolni, stb. csak úgy lehetne. (pl. chipkártya, miegyéb.).

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

> Egyszer már bejelentkezek a számítógépre, az OS tudja, hogy ki vagyok [...] de utána miért kell *mindenhova* tök külön bejelentkezés?plusz faktor, csá).

Cégen belül ott az SSO és passz, nincs gond.
De nehogymár a lokális OS jelentkeztessen be a kismacska bt. webshopjába, ahol csellentyűcskét akarok venni.
Mi közük egymáshoz?

BTW ha lenne "Egy Nagy Közponit Autentikátor" (bár igazából van, úgy hívják, hogy Google/Facebook), akkor is nagy hörgés lenne (jogosan), hogy mi köze a Guglinak és a FB-nak ahhoz, hogy én hová regisztráltam és ott mit csináltam?

Szerintem nagyon helyes, hogy minden egyes vacak site-ra saját regisztráció kell. Ezt hívják biztonságnak.

A kérdés csak az, hogy megbízhatsz-e az OS-ben _és_ a böngészőben.
Mert minden user/pass keresztül megy rajta, szóval ha nem tekinted megbízhatónak akkor a csellentyűcske webshop külön jelszava is korrupttá válik belépéskor, sőt, regisztrációkor. Ha pedig megbízhatónak tekinted, akkor akár a webshop beléptetést is rábízhatod.

Nyilvánvaló, persze, de... Hogyan vinnék el az egyiket? Emi eszembe jut most:
- megadod egy phishing site-on - ezt az OS/browser automata beléptetője nem tenné meg,
- public OS/browser sebezhetőség által - így vihetik a többit is,
- célzott támadással,
- kiverik belőled.

Ezek egyike se olyan, aminél húde meg tudnád védeni a többi account-ot.

Az autentikátor ebben a hipotetikus(?) esetben az os és/vagy a browser. Ha ezeket felnyomják, akkor a rajtuk átmenő jelszavadat le tudják hallgatni akkor is, ha nem tárolod hanem fejből gépeled. Ez ellen csak a 2FA ad valamilyen védelmet, de ha egyszer ezen a megtört gépen beléptél, akkor 2FA ide vagy oda, hozzáférnek ahhoz amihez nem szeretnéd hogy hozzáférjenek.

Értelek, egyről beszélünk, csak kicsit árnyalni akartam a képet. Arra akartam utalni, hogy ha az autentikátor külön álló szerv az OS-től és böngészőtől függetlenül, az sem egész jó megoldás, mert azt is felnyomhatják, tehát megint csak egyben szerzik meg az összes belépést.

Nincs mese, az OS-nek megbízhatónak kell lennie, különben nincs miről beszélni.

Melyik az?
Mindegyikhez jönnek ki rendszeresen a biztonsági javítások, ezek egy része pedig valós támadások elemzése alapján derül ki. De mondok mást, pwn2own: up2date rendszereket törnek rommá böngészőn keresztül.

Ettől függetlenül kénytelenek vagyunk a létező mainstream OS-eket használni, mert ugye nincs más. De hogy ezek megbízhatóak lennének? Hát, ez szerintem nem igaz.

"Cégen belül ott az SSO és passz, nincs gond."

Hát ez az. Szép meg jó meg kényelmes meg minden, de miért tartunk a kőkorszakban még mindig a webes authnál?

Másrészt az átlaguser jelszókezelési szokásait figyelembe véve még mindig sok-sok-sok nagyságrenddel biztonságosabb lenne az Egy Nagy Központi Authentikátor Bt, ami csak annyit kérdez, hogy valóban hozzáférhet-e Pistuka & Máriska co. Zrt. a nevedhez, email címedhez, opcionálisan címhez (pl. webshop), stb, mint az, hogy mindenhova regisztrálgasson ész nélkül az user. Kezdve azzal, hogy nem kell jelszót kiadnia a kezéből, mert számomra Pistuka & Máriska co. Zrt. IT security printerops devlopája által fejlesztett webshop sem feltétlen számít sokkal megbízhatóbbnak.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Pedig az egyetlen olyan dolog, amit ha nem mondasz el (plusz nem látják, nem videózzák le ahogy beírod, nem veszik le a billentyűzetről az ujjlenyomataid alapján, stb.), akkor se fognak megtudni ha kinyírnak. Chip, ujjlenyomat, retina működik utána is.
--
"Sose a gép a hülye."

( dyra | 2017. 03. 19., v – 07:03 )

Egy bizonyos szintig van értelme mert a dolgozókban megvan a hajlandóság, hogy ezt komolyan vegyék. Vannak helyek ahol viszont kis túlzással már a takarítóknak is saját hozzáférésük van és ők teljesen magasról leszarják a szabályokat és nem is tudják nem is akarják megtanulni (egy bizonyos korosztály fölött is nehezen veszik). Kis cetlire felírják az aktuális jelszót amit ráragasztanak a bill aljára, mindenki ismeri a másik jelszavát ami ráadásnak nevetségesen egyszerű szokott lenni még akkor is ha kis és nagy betű és spec karakter van benne.

--
honlapom http://dyra.eu/

Nekem 98-ban egy új munkahelyen azt mondták, hogy a Windows jelszavakat 3 hónaponta kell cserélni, mert a belső hálózaton közlekedő titkosított jelszót* kb. 6 hónap alatt brute force-olva fel tudják törni.
Nem tudom, milyen limitációk voltak, milyen hosszú és hogyan titkosított cucc mászkált a hálózaton, de azóta elég sok idő eltelt. Feltételezem, hogy a brute force gyorsabb lett.
Szóval ha csak jelszó van, akkor azért időnként változtatni nem tűnik butaságnak.
Személy szerint nem csak jelszót használnék. Smartcard belépést vagy jelszó + valami második faktor

* vagy hash-t, nem tudom, hogy működik windows esetében amikor a munkaállomáson belépek és a domain kontroller tudja, hogy mi a jelszavam

Jogos. Ezért írtam, hogy nem ismerem a technikai részleteit, hogyan titkosít a Windows a belső hálón.

Akkor mit mondasz? A mostani titkosítást (aes256?) nem lehet értelmes időn belül megtörni, tehát az a 98-as tanács idejétmúlt és igazából csak emiatt a lehetőség miatt felesleges cserélni a jelszót?

Alapvetően egy titkosítás mindig akkor jó, ha sem jelen rendelkezésre álló eszközökkel, sem a jövőben várható fejlődést figyelembe véve az adat elévülési idején belül nem törhető.
Anno a caesar kódolás is nagyon jó volt, lévén az emberek 95%-a amúgy is analfabéta volt, a maradéknak meg rá kellett jönni az elvére. Anno jó volt az md5-ös, aztán jött az erősebb hardver, ami rövid időn belül tudja kompromittálni. Az aes jelenleg elég jónak mondható, de a jövőbe nehéz látni, hogy hova fejlődnek a processzorok teljesítményben és sebességben, illetve a kvantumgépek ha megjelennek, ami már egy pár éve téma a tudományban, az összes mai titkosítást lehet kihajítani.
Bizonyos szempontból az md5 is jónak mondható, ha pl. van egy 5 percig érvényes valamid, legyen token, az md5 fejtése legyen 1 óra, akkor az még mindig elfogadhatónak mondható, hiszen egy 55 perccel ezelőtti tokennel nem sokra megy már. Szóval, felhasználás kérdése. Természetesen egy új rendszert nem erre kell építeni, de ha egy régi rendszer működik még így, az még az elmegy kategória.
Ha mondjuk egy webshopod van, és a usereknek fél óránként jelszót kell cserélni, mert 1 óra az md5hash törése, az annyira nem optimális állapot a user részéről. :)
--
"Sose a gép a hülye."

Alapvetoen nem butasag, persze, csak nyűgös, főleg, hogy van, amikor a LastPass nem tud segíteni (a Win jelszó tipikusan ilyen), és teljesen a felhasználóra van bízva a jelszó megjegyzése. És még nekem is bajom van azzal, ha állandóan új jelszót kell megjegyezzek, ott hekkelem meg a dolgot, ahol tudom. Egyszerűen azért, mert akármilyen biztonsági megfontolás is indikálja ezt, azon, hogy elfelejtem a jelszót, nem segít semmi.
--
Blog | @hron84
Üzemeltető macik

( nagylzs v | 2017. 04. 10., h – 20:52 )

Hát azért azt így konkrétan nem írja hogy a jelszó policy az baromság. Csak azt állítja, hogy a jelszó erősségét a bitek számával és az entrópiával kellene mérni. Ez nem teszi az összes jelszó policy-t baromsággá. Pl. a cseréld le a jelszavad rendszeresen, az mindig hasznos. Akkor is, ha nagyon bonyolult és nagyon hosszú jelszavad van.

"cseréld le a jelszavad rendszeresen, az mindig hasznos."

Amig ezt te dontod el magadnak, addig igen. Amikor rad van kenyszeritve, es a helpdesk minden otodik ticketje az ho elejen, hogy "I changed my password but I forgot it", akkor mar nem hasznos, hanem idiotizmus.
--
Blog | @hron84
Üzemeltető macik