Password Policy mítoszok és hiedelmek

Címkék

Jeges Ernő (Cydrill) előadása a HWSW free! meetup-sorozat 2021. május 19-i biztonságos szoftverfejlesztés állomásán hangzott el. A jelszavak témája örökzöld. Rengetegen gyűlölik, de kénytelenek használni nap mint nap a különböző rendszerek autentikációjához. Mi, emberek alapból képesek vagyunk elbukni erős jelszavak kialakításakor, ezért egy jó azonosító rendszer rendkívüli fontosságú. A téves értelmezéseket vesszük górcső alá, és megnézzük, mely szabályok segítik hatékonyan a védelmet – és miért.

Hozzászólások

A Win10  a három biztonsági kérdés megadásával, amikor user-t adunk a rendszerhez vagy az elsőt hozzuk létre. Eléggé aggályos a videóban szereplő kritériumokat illetően. :-)

A kis-, nagybetű, szám és spec karakter elutasítását nem értem.

Pedig ott az oka az előadásban. Sokan képtelenek megjegyezni ezért hamar lesz belőle postit vagy jegyzet az asztalon. Akkor inkább a kedvenc vers, regény, akármi első sora/mondata. Kellően hosszú és ha fejből megy akkor hasznosabb mint egy könnyen megtalálható papír.

Két hete vettem át egy ügyfelet. Pár gép, levelezés weboldal. A jelszavak konkrétan a falon voltak feltűzve a szerződések másolataival..... mind generált szám/kisnagybetű/írásjel kombó.

Érdekelne, hogy mi a rizikósabb: jelszavak postiten a falon, vagy jelszavak jelszókezelőben. Első esetben szinte csak célzott támadás esetén tudnak megtörni, mert fizikailag oda kell menni és lefényképezni, stb. Második esetben a jelszókezelő megtörése esetén automatikusan célpont vagy. Különösen igaz ez, ha felhős vagy központosított jelszótárolót használ a felhasználó. (Gyak. a felhasználók 99%a.) Az első esetben néhány tucat embernek van lehetősége a törésre, a második esetben a neten át bárki próbálkozhat. Ezek alapján mennyire biztos az, hogy nem a falon a postit a biztonságosabb megoldás? Van erre valami mérés vagy statisztika, vagy csak a jelszókezelők marketinganyaga?

Én ugyan sok éve kizárólag jelszókezelőt használok, de egyre bizonytalanabb vagyok, hogy olyan jó megoldás e ez...

Csaba

ez sem fekete vagy fehér.

 

Az érvelésed pedig az első esetre nézve eléggé érdekes, és kizárólag egy őrzött katonai létesítményre lehet ezt ráeröltetni.

Egy átlagos irodába  szinte bárki bejárhat, az ügyfelektől kezdve a takarító személyzetig...

 

Az óriási különbésg pedig hogy ha valaki így megszerez egy jelszót az gyakorlatilag észrevétlenül használhatja.

Míg a password managert fel kell törtni - aminek mindenképp nyoma van.

Az már egy másik kérdés, hogy ki kire bízza a jelszavait.

 

Én biztosan azt mondom, hogy még egy felhős jelszókezelős is sokkal jobb mint a post-it és/vagy a gynenge 'default' jelszavak használata.

Az érvelésed pedig az első esetre nézve eléggé érdekes, és kizárólag egy őrzött katonai létesítményre lehet ezt ráeröltetni.

Egy átlagos irodába  szinte bárki bejárhat, az ügyfelektől kezdve a takarító személyzetig...

Igen, ez világos, de meg kellene különböztetni elvileget meg gyakorlatilagot. Igen, én is  olvastam xsany-t, de elgondolkodtam, hogy mennyivel nagyobb veszély, hogy könyvelőbt irodájából kilopja az ügyfél vagy a takarító a falon tárolt jelszót, mint hogy valami zéródéjjel levadásszák a LastPassból a jelszavaikat (persze nem csak az övéket) és egy botnet automatán betámadja őket. Nem vagyok már biztos, hogy az előbbi valószínűbb.

Mint mondtam, az előzőhöz az kell, hogy valaki aktívan célozza könyvelőbétét, a másodikhoz meg elég, ha rossz rendszerben tárolod a jelszavaidat. (Van még olyan felhős jelszótároló, amiről nem derült még ki, holgy legalább egyszer megtörték?)

A gyenge/default jelszavakban egyetértek.

Csaba

A jelszókezelő alkalmazás nélkül én nem tudom elképzelni az online tevékenységeimet.

Véleményem szerint enélkül mindenképp nagyobb veszélynek van kitéve  bármelyik user, mert:

- a jelszavak rövidek lesznek, különben cetliről sem nem tudják begépelni.

- kevés egyedi jelszó, és több sok helyen használt, mert különben nagy és kezelhetetlen lesz a cetlikupac.

- az irodán belül sem szerencsés kiplakátolni minden jelszót, mert legtöbb(?) személyes accounthoz szól.

 

Tehát, szerintem csak az a kérdés hogy ezt egy online szolgáltatásként használom, vagy egy lokális adatbázisban.

Ha neked az online szolgáltatás nem elég megbízható, akkor használj lokális megoldást. (én eképp vélekedek)

De pl a munkáltatómnak elég az általa preferált online megoldás, így a céges jelszavaim mind a felhőben vannak.

Ismerek olyan céget akik saját (on-prem) céges közös jelszükezelőt használnak, meg olyat is ami tiltja ezeket - szóval látom a végleteket is :)

 

Nekem további külön adatbázisaim is vannak, pl:

- a telefonomom, mert van amit onnan is el kell tudjak érni...

- a gyerekeim/családom accountjaihoz, mert ők még nem tudják maguk kezelni...

- az online játékaimhoz, mert az külön gépen van, és más biztonsági szintet képvisel :)

 

Szóval szerintem mindenki megtalálhatja a neki megfelelő jelsó kezelő megoldást  biztonsági és kényelmi szempotok alapján egyaránt....

Én per pillanat felhős megoldást használok, egy saját megoldásról váltottam pár éve, ami az adatbázis fájlt szinkronizálgatta a gépeim között. Most szeretnék valami hasonlóhoz visszatérni, neked melyik megoldás jött be a fenti use case mellett? KeePass?

Csaba

Megtetszett az XC felülete a sima keepasshoz képest, beüzemeltem.
Rákerestem benne a "digi" szóra semmi találat. Kiderült, hogy a kivették azt, hogy a keresett szöveg bárhol lehet, ha könyvtárra akarok keresni, akkor a "g:digi"-t kell beírnom.
Ennyire azért nem precíz kartoték az adatbázisom. Egyelőre marad a fapados.

A monitoron lévő postit esetében talán kisebb a feltételezett esetszám, viszont sokkal nagyobb a sikeres támadás valószínűsége.

Korábbi életem során két olyan esettel találkoztam, amikor majdnem hasonló helyzet állt fenn. Egyik esetben volt egy terminál, amit valaki reggel nyitott egy bejelentkezéssel, aztán használta az, akinek éppen kellett. Előbb-utóbb akadt, aki megtalálta, hogy számára hogyan lehetett jól kihasználni. A másik eset csak annyiban tért el ettől, hogy a terminált nem zárták le, ha épp kimentek a szobából. Mindkét eset eredménye elég szép összegű visszaélés lett. Szóval a néhány tucat lehetőséget a sok millióhoz képest ne becsüld le.

Van amikor a felhasználó magával viszi a külvilágba. Metrón láttam egy csajt, kezében laptop, a laptop hátára meg felragasztva a vpn belépéshez és a belső rendszerük eléréséhez szükséges minden adat (host, user, jelszó stb). Ha akartam volna, lőhettem volna egy képet is róla, szóval igen, megvan a veszély ezen a területen is. 

The worst or stupidest ideas are always the most popular.

Kivalo otletet adtal egy esetleges honeypothoz. Kiteszel tobb ilyet valami forgalmasabb helyre, aztan figyeled, hogy melyikkel probalnak belepni ra. :)

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

mégjobb, ha: nem működik a copypasta a jelszó mezőben

És akkor a jelszókezelővel generált 32(+) karakteres jelszót hogy adom meg kétszer hibátlanul? Vagy huszonötödszörre csak sikerül? (Sajnos az enyém a jelek szerint nem kezeli rendesen a " régi jelszó -- új jelszó -- új jelszó mégegyszer" mezőket.)

kedvenc jelszavaim :D

  • aA123456*

ennek kombinációi pl

  • xX123456*

továbbá

  • install
  • admininstall

és ennek kombináció

  • Install
  • AdminInstall

És hát a klaszikus még mindig rengeteg WIFI-nél dolgozik

  • admin/admin

Csak így természetesen :D

 

Persze manapság amikor már a vasalón keresztül is képesek admin jogot szerezni nem biztos, hogy ez a fő probléma.

honlapom http://dyra.eu/

hint: mi volt az elso kutyad jelszava.

valasz: Killerinstictmetalpunkhair. ;)

Ez így jó lesz? ;)

Magyar takarékbank jelszó policy: előző jelszavad nem lehet

3 havonta új jelszó.

 

Mondom ok: elsojelszo0003

3 hónap múlva: elsojelszo1951

 

Kiírja: az új jelszó nem lehet ugyanaz, mint a régi!!!

Kiderült, hogy csak az első 10 karakter játszik.

Ekkor váltottam bankot. 

OTP-nel ugyanez van, de ott legalabb szolnak, hogy ne is probalj hosszabb jelszot megadni. Viszont van 2fa (sms-ben kod), szoval nem tudom, hogy ez igy mennyire problemas.

Masik: van szerencsem egy kormanyzati rendszerhez, ahol fixen 8 karakter kell legyen a jelszo, se tobb, se kevesebb, es csak betu es szam lehet benne. Ha elfelejted a jelszavad, akkor a felhasznalonev elso 5 karaktere + fix 3 karakter az atmeneti jelszo, amit generalnak neked. Tehat pl. ha a kollega melletted vegighallgatta, hogy most kertel uj jelszot, es te azt valamiert nem valtoztatod meg azonnal, siman be tud lepni a nevedben...

Én a HP nyomtatók admin felületén szívtam meg ezt. Végigkonfiguráltam mindet 16 karakteres jelszavakkal, majd semmi nem működött. Vagy három kört próbálkoztam, felfedtem a jelszót, megnézem mit küld el a form. Majd kiderült, hogy 14 karakterig veszi csak figyelembe, de egy büdös szót nem szólt, csak kuncogott magában a gép, hogy megszívatott.

Az internetes középkorban (vagy ókor?), amikor még feltöltős kártyával meg modemmel lehetett netezni egyszer nagyon megszívtam. Valahogy úgy nézett ki a dolog, hogy a modem feltárcsázott egy telefonszámot, de egy login+jelszó is kellett egy windowsos popupba. Amíg a login+passwd nem stimmelt, addig csak a szolgáltató oldala volt elérhető, ahol aktiválni tudtam a kártyát, meg lehetett változtatni a jelszót, illetve meg tudtam nézni, hogy mennyi kreditem maradt még. Egyszer hetekig nem voltam otthon, és a jelszót valahogy elfelejtette a windows, vagy valamelyik családtagom véletlenül felülírta, ezért nem működött az internet. Megnéztem a szolgáltató oldalát, a login+jelszóval beengedett az oldalukra, láttam, hogy még nem fogyasztottam le teljesen a perceket. Hívás megszakít, újratárcsáz a login+jelszóval, de az internet mégse működött. Órákat csesztem el, még a vonalas szolgáltatót is felhívtam, hogy nincs-e valami gebasz náluk. Aztán valami csoda folytán eszembe jutott, hogy a régebben választott jelszó első betűje nem kicsi, hanem nagybetű. És basszus az volt a probléma. A szemetek a félig jó jelszóval engedték, hogy az accountomat nézegessem, de netet már csak case sensitive jelszóval adtak.

Átérzem a helyzetedet :) én is voltam ilyen projektben, de a szolgáltatói oldalon. A webes szolgáltatás megálmodója azt akarta, hogy a regisztráció SEMMI akadályt ne gördítsen a user elé, minden karaktert fogadjon el, ne fárassza azzal, hogy ez vagy az a karakter nem engedélyezett. Ott is ment a játék, hogy a jelszó legyen kisbetűsítve szerver oldalon és hasonlók. Olyan katyvasz jött össze hogy csak na. Ráadásul némely eszköz az ékezetes karaktereket utf-8 problémásan küldte amiből aztán lettek tĂĽkörfĂşrĂłgĂ©p meg hasonlók.

Gondolom itt is az egyik rendszer jó fej akart lenni és a capslock-ot ki akarta zárni.

Nekem csak 1 szó  a jelszavam, egy vasútállomás neve :)

Gorsafawddacha’idraigodanheddogleddollônpenrhynareurdraethceredigion

https://www.flickr.com/photos/nik81/4064817920

Egy, Egyből Kettő, Kettő meg Egy. Ez minden mérték alapja, minden élet csirája, számok, nevek építőköve.

Szerkesztve: 2021. 06. 15., k – 12:00

Érdemes lenne inkább teljesen lefordítani az angol ppt-t magyarra, ha nem működik reflexszerűen a magyar kifejezések használata angol szöveg prezentálása során. Én biztos belezavarodnék ha nem csinálnám meg előre, anélkül viszont zavarná a nézőket az ilyen megakadások.

Szerkesztve: 2021. 06. 15., k – 09:57

Az elhangzottakkal teljesen egyetértek, ám a gyakorlatban  mégis még mindig az elavult, rossz password policy-k vannak eröltetve...

És az enterspájz környezetek lomhasága miatt ez még vagy 5 évig biztosan így is marad :(