» »

Google bi se znebil gesel. Kaj je alternativa?

Google bi se znebil gesel. Kaj je alternativa?

Uporaba dvostopenjske prijave v Gmailu je po objavi članka Mata Honana o izkušnji vdora poskočilo.

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob monitorju. Druga skrajnost so gesla 123456. Mar ne bi bilo odlično, če bi se lahko namesto z geslom identificirali z nečim, kar imamo vedno ob sebi? Google razmišlja prav o tem.

Da bi se izognili različnim prevaram in napadom, smo namreč izumili že zelo zapletene postopke, kot so pošiljanje žetonov na telefon, čitalci pametnih kartic, generatorji enkratnih gesel ipd. Problem vseh teh naprav je njihova nepraktičnost in zamudnost. Po drugi strani pa se na spletu ne bi ravno identificirali s posnetkom šarenice ali prstnim odtisom (ki sta v tem kontekstu tudi precej problematična). Kakšna je torej vmesna pot, ki jo vidi Google?

V reviji IEEE Security & Privacy Magazine bo konec meseca izšel članek namestnika vodje enote za varnost v Googlu Erica Grosseja in inženirja Mayanka Upadhyaya o alternativnih načinih prijave v spletne strani. Incident za incidentom dokazuje (odličen članek Mata Honana), da gesla pač niso dober način za zagotavljanje istovetnosti na internetu, ker je možnosti za zlorabe preveč.

Idej je več. Ena je kriptografska kartica Yubico, ki se vtakne v USB-vrata in uporabnika avtomatično prijavi v Google. Zamisel je seveda razširljiva. Bistvo je, da imamo nek predmet ali napravo, ki ima ugotovljeno identiteto, ki ji verjamemo (podobno kot avtomobilski ključ). Potem lahko s tem ključem odklenemo vse strani oziroma se prijavimo vanje. Seveda ni nujno, da je to USB-ključ. Lahko je mobilni telefon ali pa v principu celo kaj bolj osebnega in napadalcem nepoznanega, denimo prstan. V prazgodovini so na tak način zaklepali programe pred kopiranjem (dongle); nekatere drage še danes varujejo na ta način.

Googlovca priznavata, da je ideja za zdaj še na akademskem nivoju, čeprav imamo delujoč prototip Yubico. Kako bo na koncu izveden, še ni jasno. Prav tako je za zdaj nemogoče reči, v kolikšni meri se bomo poslovili od gesel. Verjetno se bomo znebili neumnih varnostnih vprašanj za obnovitev v stilu Kako je bilo ime vašemu prvemu psu. V popolnosti se geslom bržkone še vedno ne bo mogoče ogniti, bodo pa manj pomembna in predvsem manj številčna. Vsekakor pa bo treba v sodelovanje prepričati večino ostalih strani in vzpostaviti enoten standardiziran protokol. In seveda rešiti problem izgube čudežnega artefakta ali univerzalnega ključa.

Kaj pa do tedaj? Gesla ne odhajajo nikamor. Vse, kar lahko storite za čim večjo zaščito, je uporaba močnih gesel, ki si jih nikamor ne zapisujete (močna gesla so lahko zelo enostavna za uporabnika in praktično nemogoča za napadalce, npr. Čuj3T12V1T0t3m1Mar1b0ru8S12). In tudi ni nujno, da si tako močno geslo zapomnite za vsako stvar. Obstajajo pripomočki, nekakšna univerzalna gesla, torej ena stopnja pred Googlovo idejo. Za vsako pomembno stvar uporabljajte različna geslo, ki jih redno menjate. Za svoj računalnik s protivirusnimi programi in neobiskovanjem sumljivih povezav redno skrbite, s tujih pa se ne prijavljajte, če ni res nujno. Na straneh, ki to omogočajo, si vključiti dvostopenjsko prijavo (geslo in koda na mobilnem telefonu, kadar ste na novem računalniku). Če k temu dodate še ZKP (zdravo kmečko pamet), je to dovolj.

46 komentarjev

Tr0n ::

Speaking of.

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

Brane22 ::

Kolk komplikacj brezveze.

Kaj je narobe z enkriptanimi "denarnicami" za gesla ?

In zakaj točno naj bi pa verjel Googleovi kartici ?

ripmork ::

Če je nadomestek gesla karkoli v fizični obliki, kar se da izgubiti ali založiti -> no go.

Brane22 ::

A v psihični se ne da ?

Bourne Identity anyone ?

Zgodovina sprememb…

  • spremenilo: Brane22 ()

Pluser ::

Za kaj bol varnega pa nevejo bedaki

ripmork ::

Brane22 je izjavil:

A v psihični se ne da ?

če pozabim geslo, lahko vedno zaprosim za novega, ki mi bo poslan na e-mail.
Če pozabim geslo e-maila, je to težje, še vedno pa so vzvodi.

c00L3r ::

Meni je kar všeč Google-ova 2 stopenjska prijava.

bosmla ::

Zakaj pa ne certifikat oz. spletno digitalno potrdilo npr. SIGEN-CA ? Lahko tudi na USB kljucu...

Brane22 ::

ripmork je izjavil:

Brane22 je izjavil:

A v psihični se ne da ?

če pozabim geslo, lahko vedno zaprosim za novega, ki mi bo poslan na e-mail.


Kar je blazna varnost. Sami "varni" mehanizmi v tej "varni" verigi...

ripmork ::

Lej, med Googlovo kartico in ključem iz 16. stoletja v samem bistvu ni razlike.
Če ga izgubim, sem f*cked.

kot je sedaj, je pa zadeva kvečjemu mild annoyance.
ni pa idealno in je seveda prav, da se naprej išče boljše rešitve.

Zgodovina sprememb…

  • spremenil: ripmork ()

Lonsarg ::

ripmork je izjavil:

Če je nadomestek gesla karkoli v fizični obliki, kar se da izgubiti ali založiti -> no go.


Če gre za prstan(ura, čip v koži, kartica v denarnici,...), v katerem je certifikat, potem izguba ni tak velik problem. Vse kar rabiš storiti ob izgubi je preklicati certifikat in iti iskati novega, viola, spet delajo vse spletne strani.


TO je varnost IN praktičnost v enem in na jok mi gre, da kaj takega tako enostavnega še ni popularizirano. Sramota! Nobene nove tehnologije ni treba odkrivati za kaj takega, samo zmeniti se, kater priključek bo standard(ali bo to bluetooth, NFC, USB,... jaz predlagam NFC sicer)

Kaj je z Googlovo zadevo pa ne vemo točno, če gre za izključno offline zadevo brez vpletanja overiteljev, potem je zadeva kot je RIpmork rekel fuc..d, zaradi možnosti izgub, ampak dvomim da bi bil Google tako neumen, izguba gesel je namreč VELIKO večji problem, kot pa kraje gesel zaenkrat. Tako da imam upanje, da gre dejansko za tako zadevo kot sem prejle napisal.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

CyberPunk ::

Uporaba dvostopenjske prijave odpre drugo fronto in sicer povezavo accounta s tvojim mobilnim telefonom. Ne pride v postev, ce imas politiko stroge locenosti posameznih accountov - kar je seveda kontra temu, za kar si prizadevajo "veliki" (t.j. cim vecjo povezanost tvojih posameznih accountov in razmerij).
Poleg tega lahko tudi telefon izgubis ali ti ga ukradejo.

enadvatri ::

Z gesli je križ ...

Brez pa tudi.

Karlos ::

OMG, kako se zaščitiš proti temu? ;((

A Password Hacker in Action

The following is from a January 2012 live chat between Apple online support and a hacker posing as Brian--a real Apple customer. The hacker's goal: resetting the password and taking over the account.

Apple: Can you answer a question from the account? Name of your best friend?

Hacker: I think that is "Kevin" or "Austin" or "Max."

Apple: None of those answers are correct. Do you think you may have entered last names with the answer?

Hacker: I might have, but I don't think so. I've provided the last 4, is that not enough?

Apple: The last four of the card are incorrect. Do you have another card?

Hacker: Can you check again? I'm looking at my Visa here, the last 4 is "5555."

Apple: Yes, I have checked again. 5555 is not what is on the account. Did you try to reset online and choose email authentication?

Hacker: Yes, but my email has been hacked. I think the hacker added a credit card to the account, as many of my accounts had the same thing happen to them.

Apple: You want to try the first and last name for the best friend question?

Hacker: Be right back. The chicken is burning, sorry. One second.

Apple: OK.

Hacker: Here, I'm back. I think the answer might be Chris? He's a good friend.

Apple: I am sorry, Brian, but that answer is incorrect.

Hacker: Christopher A********h is the full name. Another possibility is Raymond M*******r.

Apple: Both of those are incorrect as well.

Hacker: I'm just gonna list off some friends that might be haha. Brian C**a. Bryan Y***t. Steven M***y.

Apple: How about this. Give me the name of one of your custom mail folders.

Hacker: "Google" "Gmail" "Apple" I think. I'm a programmer at Google.

Apple: OK, "Apple" is correct. Can I have an alternate email address for you?

Hacker: The alternate email I used when I made the account?

Apple: I will need an email address to send you the password reset.

Hacker: Can you send it to "toe@aol.com"?

Apple: The email has been sent.

Hacker: Thanks!
Sai Baba: "Dam vam to, kar hočete, da boste hoteli to, kar vam želim dati."

blblb ::

Last Pass oz. kaksen drug podoben program/vticnik :>

Zapomnis si eno geslo, vsa ostala so shranjena in kriptirana + generator gesel ima

lp, blblb

Rešpetlin ::

Po eni teoriji je "dolgo geslo varno geslo". In kot je že povedano, ni hude potrebe, da bi ga z@k0mPl1c1r4L1. En lušten link, preverite kako varno je vaše geslo: http://howsecureismypassword.net/

Tr0n je izjavil:

Speaking of.

Zgodovina sprememb…

PARTyZAN ::

Lastpass. Vem samo tri gesla, en je od lastpass, ostala dva pa od spletnega bančništva in paypala. Vsaka ostala spletna stran ima generirano geslo, ki ga še sam ne poznam. Forme izpolnjuje plugin za browser in aplikacija za mobilnik.

Luksuz. :)

Lonsarg ::

Lastpass je resitev samo ce si omejen na naprave. Kar ne vem kako zmorete, a mate vedno torbice s sabo al kaj. Jaz vecino mobilnega zivljenja prezivim samo z mobitelom, kar pomeni da ce hocem vecji ekran se sem pa tja posedem nekam. Ne morem zdaj vsakic najprej nalagati enga programa, sploh ce se kdaj ruknem na platformo, ki jo me poznam. No go...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

nurse013 ::

hm, pravijo da je dovolj da si zapomnis samo onega od
http://www.truecrypt.org/

truecrypt
:)
you gotta be kidding me...

Zgodovina sprememb…

  • spremenilo: nurse013 ()

5er--> ::

Rešpetlin je izjavil:

Po eni teoriji je "dolgo geslo varno geslo". In kot je že povedano, ni hude potrebe, da bi ga z@k0mPl1c1r4L1. En lušten link, preverite kako varno je vaše geslo: http://howsecureismypassword.net/

A je res kdo tako naiven, da bi šel vpisat svoje geslo?

ToniT ::

A je res kdo tako naiven, da bi šel vpisat svoje geslo?

Ne boš verjel, koliko takih se najde....

JesusChrist ::

Prst mam vedno s sabo. Zakaj enostavno še ni fingerprint scannerjev namesto gesel?
remember, the clock is ticking. run like no tomorrow.

Zgodovina sprememb…

BaToCarx ::

Kolkrat ste pa pozabili tistih 10,20,30,50 gesel ki jih veste? Parkrat probaš pa si noter.
Keepass je fajn ker si narediš profile gesel, da kaka leva stran ne reče "Password too long!".

Zakaj bi uporabljal USB ključek vs glava ki jo ne morem zgubit? :D

Oberyn ::

Rešpetlin je izjavil:

En lušten link, preverite kako varno je vaše geslo: http://howsecureismypassword.net/

Za mojo standardno obliko gesel javi
It would take a desktop PC about 18 duodecillion years to crack your password

bbf ::

Seveda se da z gesli zavarovat :)
"
How Secure Is My Password?

It would take a desktop PC about
604 quadrillion nonagintillion years
to crack your password

Length: 131 characters
Character Combinations: 224
Calculations Per Second: 4 billion
Possible Combinations: 76 decillion nonagintillion
Length: Long
Your password is over 16 characters long. It should be pretty safe.

Character Variety: Non-Standard Character
Your password contains a non-keyboard character. This should make it more secure.
"

seveda, http://howsecureismypassword.net/ pa si ne beleži, kar folk vtipkava.

gruntfürmich ::

JesusChrist je izjavil:

Prst mam vedno s sabo. Zakaj enostavno še ni fingerprint scannerjev namesto gesel?

točno tko. če bi radi 100% mobilnost in 100% unikatnost je to to.
samo implementacija tega, kako to prevesti v splet (ali par zares varnih baz teh 'gesel' in od njih odobravanje naprej na strani) je še potrebna.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

ales85 ::

Ampak prstni odtis ni varno geslo. Marsikje so že pisali, da je prstni odtis identifikacija, ne pa avtentikacija (vsaj ne varna). Le-te namreč puščamo povsod.

PARTyZAN ::

Azgard: ne vem kaj bi rad povedal. LastPass ima aplikacije za vse razširjene platforme, tudi mobilne. Gesla imaš lahko s sabo tudi on the go.

energetik ::

PARTyZAN je izjavil:

Lastpass. Vem samo tri gesla, en je od lastpass, ostala dva pa od spletnega bančništva in paypala. Vsaka ostala spletna stran ima generirano geslo, ki ga še sam ne poznam. Forme izpolnjuje plugin za browser in aplikacija za mobilnik.

Luksuz. :)
Točno tako imam tudi jaz. Samodejno mi vpiše user in pass, tudi če Lastpass firma crkne, imam na vsaki napravi, na kateri sem se kadarkoli prijavil v Lastpass kriptirano skladišče gesel, torej backup.
Potem pa lepo 20-mestno naključno generirano geslo za vse prijave, razen Paypal.

Je pa res, da če ti sunejo glavno geslo s kakšnim keyloggerjem, si pa naj..

Zgodovina sprememb…

  • spremenilo: energetik ()

VaeVictis ::

Če ti vtipkaš neko geslo ali daš usb ključ v računalnik ali pa prstni odtis na skener se v primeru, da se hočeš prijaviti v določeno spletno stran (storitev) to geslo še vedno pošlje v internet na to spletno stran.

Torej še vedno delujejo vsi MitM, hekanje spletne strani, hekanje https povezave ipd. napadi.

Torej vprašanje je, kako varne so pa te HTTPS povezave, ker načeloma je veriga vedno toliko močna, kolikor je močan najšibkejši člen.

Predvidevam, da je danes najbolj slab člen geslo (kakorkoli je že dolgo) in to hoče Google ojačati.

Osebno tudi ne zaupam Googlu (LastPass, ...), da bi imelo neko podjetje moja gesla oz. orodje za avtentikacijo...

Enako se mi tudi ne zdi prstni odtis ali šarenica dobra rešitev za avtentikacijo (enostavno te barabin lahko prisli, da se verificiraš s tem...).

Najbolj pomembna gesla bi moral vsak človek imeti samo v glavi in morda na kakem kriptografskem programu, ki ga imaš vedno s seboj.

ps: Pa še v glavi bodo slej ko prej ta gesla imela vprašljivo varnost.

energetik ::

VaeVictis je izjavil:

Najbolj pomembna gesla bi moral vsak človek imeti samo v glavi in morda na kakem kriptografskem programu, ki ga imaš vedno s seboj.

ps: Pa še v glavi bodo slej ko prej ta gesla imela vprašljivo varnost.
Hm, dejansko pa so po mojem zelo varna tudi močna gesla, napisana na papirček, ki jih imaš skrita v kakšni omari z oblekami.

VaeVictis ::

energetik je izjavil:

VaeVictis je izjavil:

Najbolj pomembna gesla bi moral vsak človek imeti samo v glavi in morda na kakem kriptografskem programu, ki ga imaš vedno s seboj.

ps: Pa še v glavi bodo slej ko prej ta gesla imela vprašljivo varnost.
Hm, dejansko pa so po mojem zelo varna tudi močna gesla, napisana na papirček, ki jih imaš skrita v kakšni omari z oblekami.


Morda bi bilo bolje, da bi imel samo določen hint za močno geslo skrit v omari z oblekami.

Recimo nekaj kar te asociira na geslo, ki ga veš na pamet tako, da če teoretično pozabiš geslo lahko to geslo vedno pogruntaš (a samo ti) iz tega hinta.

draciel ::

Mah karkoli je v obliki fizični obliki je tako ali tako fail. Lahko se izgubi / ukrade .. itd

Kamran ::

Hoj,

JesusChrist je izjavil:

Prst mam vedno s sabo. Zakaj enostavno še ni fingerprint scannerjev namesto gesel?

Mah potem je že najbolje RFID čipek v desni ročici pa je. :D

Meni je bolj zanimiva finta/pozabljivost/neprevidnost ljudi ta, ko greš recimo v kakšno knjižnico/rač. učilnico na kateri izmed fakultet v LJ in ne glede na to ali je MFF/IE naložen, če greš na GMail in potem uporabiš kurzne tipke (levo, desno, gor in dol) za polje up. imena vidiš, da so mnogi očitno "po nesreči" dali shraniti svoje uporabniško ime ter geslo za e-pošto na računalnik... ;)

Obstajajo tudi različni programčki, da te podatke "pobereš", istočasno pa še pobrišeš shranjeno. Oh ja. :))

PARTyZAN ::

VaeVictis: LastPass ima samo kriptiran container pri njih. Enkripcija in dekripcija se dogaja client-side, tako da oni nimajo dostopa do tvojih gesel.

jeryslo ::

Tako je. In prav zaradi tega je bil lastpass tudi označen za eno izmed bolj varnih storitev kar se tiče upravljanja z gesli.

Brane22 ::

Vsekakor. In ti seveda ročno pregledaš vsak javascript preden ga tvoj browser požene. >:D

PARTyZAN ::

Kaj s tem namiguješ?

kocco ::

Fantički... Za geslo se uporablja stavek, če hočeš bit varen, poln - z vejicami in pikami. Ma
ni šans, da ti ga shekajo, ti prej vdrejo preko ranljivosti.

Pa tu pustimo banke in njihove glupe pine...

Brane22 ::

PARTyZAN je izjavil:

Kaj s tem namiguješ?


Če delaš crypto v browserju, to lahko AFAIK počneš na dva načina - ali rpe ko ustreznega java/javascript programa ali preko kakega plugina.

Nad nobenim v bistvbu nimaš pravega nadzora in oba sta del najbolj izpostavljene komponente- tvojega browserja.

PARTyZAN ::

koccko: sure. Se boš naučil celotno zgodbico, da boš na pamet vedel tvoje različne "stavke" na ne vem ... 50, 100 spletnih straneh?

Brane: Ja. Ampak saj je vseeno na kakšen način pride do breacha. Vse kar rabiš je en delujoč keylogger. Noben ne trdi da je zadeva 100% varna, zato servisu tudi ne zaupam gesel spletnega bančništva. Je pa precej udobna in varnejša rešitev kot uporaba parih recikliranih gesel na večih spletnih straneh.

Aja, kar se pa javascripta tiče, skušam minimizirat možnost napada s pomočjo NoScript addona za Firefox.

Matija82 ::

LastPass - online password manager
KeePass - local password manager

Torej internetna prenosljivost vs. fizična prenosljivost.

Yubico laufa že kar nekaj časa, Google se je šele sedaj "priključil". Sice pa uporaba Yubica za prijavljanje v Google preko 2-step-authen deluje že vsaj dobro leto (tole je sicer standard Yubi, v članku je nano verzija).



Podobna zadeva - http://www.my-scrib.com/

Nimam pa nobene želje deliti biometričnih podatkov v zameno za (kvazi) lagodnost.

PARTyZAN ::

Matija: Ne ni ravno online password manager. Samo container posynca v cloud, da imaš gesla na vseh napravah. Tudi, če servis čez noč izgine lahko še vedno shranjuješ in ven dobivaš gesla iz svojega lokalnega containerja, ki je ravno tako prenosljiv.

SkipEU ::

Glede gesel se pretirava. Imaš 2, 3 gesla za pomembne strani, in generične za forume in ostalo internetno navlako.

enadvatri ::

SkipEU je izjavil:

Glede gesel se pretirava. Imaš 2, 3 gesla za pomembne strani, in generične za forume in ostalo internetno navlako.


Krasno. In potem še to fino razlagaš po forumih ... ;((

Jst ::

Jaz sem si pa napisal en tak lep algoritem, ki ga lahko izvedeš na prtičku, če hočeš RES komplicirati, drugače pa je v glavi čisto enostavno, ko se enkrat navadiš.

Bom dal primer:
1. Glavno geslo. Recimo "mojeGeslo"
2. Polni naslov strani. Recimo "www.slo-tech.com"

Če je dolžina črk spletne strani daljša od tvojega glavnega gesla, prešteješ za koliko. V zgornjem primeru za 16-9=7. Potem pa po vaši lastni metodi skupaj zmiksate. Lahko tako: "wmwowj.esGleos-ltoe0c1h2.3c4o5m6" (prva črka strani + prva črka gesla + druga črka strani + druga črka gesla,.... kar ostane nadomestiš z številkami)

Še en korak dlje: izbereš si še en znak, recimo # ali / ali * ali ! ali " in ga daš "nekam". Lahko na konec ali pa na mesto razlike dolžine, torej v zgornjem primeru na sedmo mesto.

Gesla dejansko NE VEŠ, ga pa znaš TAKOJ generirati.

Tako imaš algoritem, ki ti za vsako spletno stran naredi konkretno geslo, pa še čisto easy je to izvajati, sploh če takšen način uporabljaš že dolgo časa.

edit: po tisti zgornji spletni strani pravi:

It would take a desktop PC about
2 quindecillion years
to crack your password


/edit


---

ps: Prstni odtis je username, ne geslo!!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WebAuthn: bodo gesla na internetu kmalu preteklost? (strani: 1 2 )

Oddelek: Novice / Brskalniki
5420240 (16814) Truga
»

Google bi se znebil gesel. Kaj je alternativa?

Oddelek: Novice / Omrežja / internet
4613691 (11044) Jst
»

Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )

Oddelek: Novice / Zasebnost
5829437 (26056) antonija
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3015063 (13962) poweroff
»

Kako izbrati geslo

Oddelek: Informacijska varnost
203508 (2951) krho

Več podobnih tem