Jelszókról blog

Publikáltam egy hasznos dolgot a jelszókról

PPT a helyes útra jelszóhasználatnál:
https://sites.google.com/site/magyarinformatikus/about-passwords

Remélem valakinek hasznos lesz.

"+" és "-"-os hozzászólások? Minden kommentre próbálok idővel válaszolni!

Kellemes ünnepeket!

Hozzászólások

Subscribe, alkalomadtán [adódni fog... sajnos] linkelni fogom egyeseknek. A plaintextoffenders link külön jó, még nem ismertem :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

+
:)
szerintem én is továbbküldöm majd pár kollégának

Részlegesen "érint" a téma, tehát, amolyan tapasztalatként/motyogásként/whatever:

Elég sok olyan jelszóval találkozok, ami nagyon hasonló, vagy teljesen megegyező a felhasználónévvel. Időnként születési dátummal, vagy a klasszikus nagy kezdőbetű és 1 vagy 01 toldással a végén. Egyáltalán, sok esetben, sok emberrel kell jelszavakról beszélnem, de ezen jelszavak biztonsága 1000-ből 1 emberben merül csak fel. (Sok ügyféllel beszélek nap-mint-nap. Szerintem, havi 1k körüli érték lehet. /nem mind ebben a témában persze/) Kisebbik hányaduk idegen kérésére ki is adja a jelszót. (béna, kínai phishing)

Szinte mindig nagy meglepődést okoz, hogy, mivel könnyen kitalálható volt a pw, ezért éltek vissza a fiókkal/bármivel. (== "miért van sok levél a fiókomban a mailer daemon nevű usertől?" és "miért nem tudok belépni?") Majd beállít/beállításra kér egy teljesen hasonló jelszót. Azt meg sem említem, hogy átlaghasználónak egy min. 6 karakterből álló jelszó kreálása, amiben van min. 1-1-1 kisbetű, nagybetű és szám, fejtörést okoz.

"Azt meg sem említem, hogy átlaghasználónak egy min. 6 karakterből álló jelszó kreálása, amiben van min. 1-1-1 kisbetű, nagybetű és szám, fejtörést okoz."

Azért mert ez az egész túl van magyarázva.
27 dia: https://sites.google.com/site/magyarinformatikus/about-passwords

Tetszik a prezi, egy tartalmi dolog hiányzik: a legjobb password az, ami nincs is. Ld. FIDO alliance, Windows Hello és társaik.
Legfőbb ideje lenne jelszómentes világot biztosítani a Felhasználóknak.

Üdv,
Marci

Nem neztem nagyon utana, de ez a windows hello ilyen biometrikus cucc. Akkor pedig nagyon gyorsan el kell felejteni.

https://www.youtube.com/watch?v=VVxL9ymiyAU

TL;DR

A biometrikus credentiallal az a baj, hogy nem cserelheto. Ha egyszer kompromittalodik, akkor orokre kompromittalodott, nem tudod lecserelni. Vesd ossze ezt egy jelszocserevel.

A prezi a jelszavakrol, azok hasznalatarol szol, es szerintem eleg frankon ossze van rakva. Felesleges ilyen biometrikus bullshitet belekeverni a temaba.

Javaslom megnezni a videot. Szepek a protokollok meg kenyelmesek, amiket kidolgoztak a FIDO fiuk, ezt nem tagadom. A problema a biometrikus azonositassal van.

Az egyaltalan nem baj, ha nem ert velem egyet mindenki. Sot azt kifejezetten szeretem, ha nagy companyk nem osztjak a velemenyemet.

Erveket viszont meg mindig nem hallottam a biometrikus azonositas mellett. Leszamitva azt, hogy "kenyelmes". Egy broken-by-design security auth eseteben ez szerintem keves.

"My 1st ..."

Ha vmilyen okbol nem kezeli a space-eket a tuloldal, akkor igy konnyen lecsokkenhet a jelszo 2 karakteresre a user akarata ellenere.

Kuglifej ezt mondta erre: https://technet.microsoft.com/en-us/library/security/ms00-072.aspx - elég volt "p"-t írni és beengedett, közben meg "password" lett volna a példajelszó.

Nem tudom milyen sűrűn találkoztál a szóköz után lecsípős példával a valóságban, inkább talán a 8 vagy x karakter után levágós a sűrűbb, de az is elenyésző. Habár pár éve még a Budapest bank webes felületén 32 karakter után szó nélkül megtörtént ez.

Update-eltem a PPT-t a lecsípés említésével.

Köszi!

Közel-monopol-helyzetben levő, az ország elég sok pontján összesen százezres nagyságrendű userrel rendelkező rendszer szó nélkül elhasal, ha 63 karakternél hosszabbra akarod állítani a jelszót, szépen kiírja, hogy sikeresen frissült, miközben nem...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Csak egy apró megjegyzés:
A copy-paste jelszóhasználat rendkívül jó támadási felületet biztosít ha nem FIFO vágólap áll mögötte, mert elegendő egy megfelelően preparált weboldal (lásd: clipboardData.getData() ) és már kinn is van az utoljára használt jelszó. Megsózva ezt a "jelszó ne legyen 63 karakternél rövidebb" policy-vel, még nagyon keresgélni sem kell a jelszavakat.
Tovább ízesíti a dolgot ha "nem felejtő" vagy multi-level clipboard manager van a gépen. Megfelelő választása esetén, minden login jelszava kikerülhet egy kódolatlan, alacsony privilégium szinttel védett tárterületre.
Oh, majd elfelejtettem, a jó öreg clipboard a "warm seat" hacking esetén is segíthet a támadónak.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Kivettem a "clipboard" szót a PPT-ből, csak egy helyen hagytam meg, ahol figyelmeztetem az embereket az általad említett két problemre (clipboardról még ma is ellopható & ottfelejthető).

Helyette a "drag & drop"-os megoldást hangsúlyozom, abba még nem sikerült logikailag belekötni. Very good!

Nagyon Köszi!

Közben eszembe jutott még egy, amit láthatóan nem lehet eléggé hangsúlyozni: jelszót nem adunk meg. Senkinek. Még a rendszergazdának se. Különösen neki nem :)

Túl gyakran találkozom a "nekem nincsen titkolni valóm" típusú felhasználóval, többnyire ezt a mondatot szokta azt követni, hogy akkor most változtasson jelszót, mert én meg szeretem a logok alapján egyértelműen őt felelősségre vonni, ne mondhassa, hogy mivel tudom a jelszavát, megszemélyesíthettem...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

azt miért írod, hogy soha ne bízzunk meg hardveres randomgenerátorokban?
Nekem az utolsó információm az, hogy a leggagyibb hardveres randomforrások entrópiája is sokkal jobb, mint bármilyen szoftveres megoldásé.

Ezt írtam:

"Never trust hardware based random generators"

A PPT-ben itt látható egy aláhúzás. Az aláhúzás egy URL-t jelent. Az URL ide visz:

https://en.wikipedia.org/wiki/RdRand#Reception

A wiki linken hivatkozzák, mi történik, ha backdooros a HW generator.

Sokkal olcsóbb átnézni a forráskódot mint elektronmikroszkóppal minden CPU-t, mellesleg utóbbi esetén szét lesz barmolva a HW. Hogyan auditálsz minden CPU-t? Biztos RNG-k nélkül nem lehet titkosítani.

Snowden óta meg tudjuk h.:

" there’s a “v[ery] high probability of backdoors” in some hardware RNGs, and that those generators simply can no longer be trusted to provide “good entropy directly.” "

Ezt oktatni kellene. Nagy köszönet érte! :)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."