bezpecnost

Problemy s hesly

Problemy s hesly

Hesla nedulezita

Nekdy je nutne zvolit si uzivatelske jmeno a heslo. Pokud je to na nejaky web, jehoz provozovatel trpi fixni ideou, ze kazdy prispevatel musi mit registraci a z nejakeho duvodu tam neco nutne potrebuji, je to jednoduche. Snazim se nekomplikovat si zivot hloupymi napady ostatnich, takze se pojmenuji “anonym”, “zapomenuheslo”, nebo “nesnasimregistrace”, heslo si dam ve stylu “12345678” a nad tim, ze bych si ho snad mel pamatovat ani neuvazuji. Na foru polozim dotaz, necham ulozit heslo do pameti browseru a dokud tam zustane, tak dokonce z toho jednoho pocitace muzu i odpovidat. Pokud bych tam zase nekdy neco potreboval, tak si holt zalozim dalsi dubiozni ucet.

Pripadam si hloupe, kdyz procitam nejake forum, znam odpoved na neci dotaz, mohl bych ji tam behem par desitek sekund napsat, ale opruz s registraci mi za to nestoji. Kdyyby jim stacilo nejake nahodne username a heslo, tak by se to jeste dalo, ale to je potvrzeni mailem, mail nesnasimregistrace@mailinator.com je podle nich neplatny, takze si bud vzpomenout heslo na nejaky spamovy ucet, nebo zalozit novy (vas mail proda spammerum i lecktery duveryhodne vypadajici eshop, natozpak nejake forum), pak to chce abych si vymyslel jmeno, prijmeni, adresu, obec Rlyeh pry neexistuje, ulice Pod Bocianom v Hnilciku pry taky ne (nebo se prozmenu clovek nemuze registrovat, kdyz je z ciziny), az se je nakonec povede nakrmit je blbostmi, protoze skutecne osobni udaje nemaji pravo chtit a z bezpecnostnich dovodu by jim je nikdo pricetny nemel dat.

Pak si jeste pockat na mail (a to muze na nekterych webech zabrat treba hodinu a pul) a nakonec si nekteri experti vymysli jeste potvrzeni SMS, nebo chteji cislo platebni karty, nicmene v techto dvou pripadech odchazim zcela spolehlive, protoze ani jedno nemam a mit neplanuju. To prvni z pohodlnosti (kdo se ma o takovy kram porad starat a jeste za to nekomu cpat prachy) a to druhe kvuli bezpecnosti. Platebni karty jsou zcela nezabezpecene. Zak prvni tridy by navrhl lepsi zabezpeceni platebnich karet, nez se pouziva (kdo zna cislo, muze si brat penize). Takze mam jenom chipovou a s tou se (zatim?) na internetu (bezpecne s vyuzitim chipu) platit neda.

Ale co uz. On tem lidem casem nekdo odpovi, nebo polozi dotaz na foru, jehoz provozovatel nedosahuje orgasmu pri pohledu na vyplneny registracni formular.

S eshopy to je prakticky stejne. Vetsina eshopu uz nastesti umoznuje nakup bez registrace. Tam je samozrejme nutne napsat platnou adresu, ale o to dulezitejsi vygenerovat si pro kazdy eshop extra mailovou adresu. Jasne, ze vetsina eshopu vas mail nikomu neproda. Ale staci jeden z dvaceti, triceti a clovek musi pripisovat do ~/.procmailrc dalsi radky, ktere zahazuji vsechny maily, ktere maji v subjectu Casino, Rolex, nebo jinou zhovadilost. Mohl bych jmenovat i konkretni shopy, ale tim, co jsem jim napsal se asi na UOOU chlubit nebudou.

Hesla dulezita

Jenomze pak jsou hesla, ktera si clovek pamatovat proste musi. Tezko si dam do banky “12345678” a zapomenu ho. Jasne, ze mit do banky heslo je naprosta zhovadilost a reseni je hardwarovy autentizacni token. Jenomze to bylo asi moc funkcni a bezpecne a ne insanity contest jako platebni karty, takze to temer vsechny banky zrusily. Na soukromy server si sice karzy veci znaly clovek hodi ssh klic a zakaze login heslem, protoze pokusu o takovy login s nahodnym heslem prichazi z Ciny a Ruska desitky tisic denne. Ale na pracovnich systemech neni na vybranou.

Zacnu tim nejrozumnejsim, co by si mel uvedomit kazdy admin, ktery neco takoveho nastavuje. Prvni krok je prohlednout si XKCD 936.

Narvat tam hrubou silou heslo, ktere ma tolik entropie, ze se neda uhodnout za dobu polocasu rozpadu Bismutu 209 a zaroven je slozene z beznych slov a treba i odkazuje na nejaky pribeh, ktery pokud mozno temer nikdo nezna, aby se lepe pamatovalo. Rekneme, ze jste zazili srazku modreho hovnocucu a hasicskeho vozu na mokre vydlazdene ulici. Heslo “modra hovna v desti frci do cervene na dlazkach” proste nikdo neda, ani kdyby se s vami zucastnil onoho nekulturniho eventu a pritom se vam bude dobre pamatovat,

Prvni mala komplikace nastava, kdyz v hesle nesmi byt mezery. Ale nevadi, proste se vynechaji.

Pak muze byt omezena delka hesla. Ctyricet znaku se da, tricet tak nejak taky, ale pod dvacet se vejit a zaroven mit heslo bezpecne znamena vyssi a vyssi riziko nezapamovatelnosti.

System muze take trvat na tom, ze mu nestaci mala pismenka. Pokud jste si prohledli odkazovany komix, tak vite, proc to je blbost. Ale treba na idnesu to jeste nevedi, jak dokazuje 6. otazka kvizu (zbytek kvizu neni o moc lepsi a mimo jine ukazuje, ze se autori nesetkali s operacnim systemem bez podpory pro masivni sireni viru). Nektere systemy ukoji jedno velke pismeno a to se da v zapamatovatelne forme nejak zvladnout, ale nektere vyzaduji jeste cislici a specialni znak a to aby si uz clovek nekam napsal. Univerzalni koncovka ve stylu “.2T” samozrejme pouzit nejde, protoze jeden system nepovoluje tecku, druhy zase kanal, treti nepovazuje tecku za specialni znak, ctvrty lehne, kdyz dostane vykricnik. Dalsi komplikace je zadat takove heslo z jineho zarizeni. Date tam #, chcete se prihlasit do mailu z kamaradova pocitace s Windows s ceskou klavesnici, nebo z androida s HW klavesnici a zjistite, ze pulku specialnich znaku nenapisete. Diakritiku si muzete take dovolit nacpat leda do hesla, ktere nebudete nikdy potrebovat zadat z ciziho pocitace (porad tu je napriklad nekolik nekompatibilnich kodovani).

Vyssi level opruzu jsou povinne zmeny hesel. Po par hodinach az dnech snahy vyplodim heslo, ktere je bezpecne, nemam ho napsane a mam sanci si ho zapamatovat. Pokud pozaduji specialni znaky, uz si je typicky pisu a pamatuju si jenom zbytek. A pak nejakeho trotla napadne, ze si to heslo mam kazde 3 mesice zmenit. Uz jenom pridat na konec cislo nese riziko, ze si na to nevzpomenu. Level nightmare jsou systemy, ktere si pamatuji stara hesla a odmitaji je. Na jednom takovem jsem nakonec ke kazdemu znaku hesla pricital jednicku (neco jako Cezarova sifra) a pokud bylo potreba heslo zadat, znamenalo to stravit deset minut s tuzkou a papirem (takze jsem ho vetsinou cetl z papiru). System postupne vyladili tak, ze se mi po nekolika desitkach pokusu nepodarilo zkonstruovat jine heslo, ktere by prijal. Moc cislic, malo cislic, malo ruznych specialnich znaku, cast podobna staremu heslu – pokazde neco. Mimochodem to take znamena, ze meli ulozena stara hesla v plaintextu, coz je vrchol bezpecnosti.

Ovsem nejkretenstejsi zpusob spravy hesel, ktery jsem kdy videl byl doslova majstrstyk.

Heslo se muselo menit kazde tri mesice. Nesmelo byt podobne zadnemu heslu buhvikolik hesel dozadu. Muselo obsahovat specialni znaky, cislice, velka a mala pismena. Ale to nestacilo, protoze ke zmene hesla nebylo potreba znat stare heslo, ale PIN (ano – ctyri cislice!) a bezpecnostni otazku (jak jsem jmenuje tvuj pes? “Alik”). To efektivne delalo z bezpecnostni otazky druhe heslo. To bylo prvni heslo, ktere jsem si napsal na papir a schoval do supliku presne tak, jak se to nema delat. Ale pointa jeste prijde. To heslo jednou neslo zmenit. Vubec. Vsechno vypadalo zcela normalne, pokazde jsem prosel asi tremi obrazovkami debilnich dialogu, jenom na konci se neobjevilo pop-up okno s tim, ze heslo bylo zmeneno. A porad fungovalo to stare. A pak uz se s tim starum nedalo prihlasit. Takze bylo potreba dostat se na support. Ale na support se dalo dostat jenom po prihlaseni. A idioti na supportu nedokazali pochopit, ze kdyz jsem prihlasen z kolegova pocitace, ze to jsem ja a ne kolega. Po nekolika hodinach komunikace se supportem mi nakonec resetovali bezpecnostni otazku na velmi bezpecny a zcela neslovnikovy retezec “sky is blue”, ktery tam dustal az do konce. Experimentalne se mi povedlo prijit na to, ze se rozhodli zmenit pravidla pro hesla a bezpecnostni otazky a zakazali v nich znak tecka. A samozrejme nijak neresili, co s existujicimi hesly a otazkami, ve kterych uz tecka byla.

Zaver

Pokud budete nekdy rozhodovat o nastaveni politiky hesel, zapamatujte si prosim, ze heslo: “Jebem taku robotu, vopchaj si cucorieddku do riti!” je bezpecnejsi, nez “#0|\/|3r4][C” a se zapamatovanim jeho presneho zneni nebude mit problem nejmene tretinu byvalych obcanu CSSR. Zatimco to druhe zvladne hadam tak jeden clovek z tisice.

Posted by zelenohlav in Pocitace obecne