» »

Članek o varnih geslih

Članek o varnih geslih

AnotherMe ::

Živjo!

Pred časom je bil na slo-tech-u en dober članek o tem kakšna gesla najpogosteje uporabljamo in kakšna bi naj.

Vmes je bil tudi stavek v smislu, da smo se "uspešno" naučili uporabljati gesla ki si jih težko zapomnimo, jih pa je enostavno uganiti (strojno).

Mogoče kdo lahko to pomaga najti? meni nikakor ne uspe, bi pa rad članek dal poslal kolegici, ki dela seminarsko na temo varnosti na internetu...


Hvala!

RejZoR ::

Dvomim, da je enostavno strojno ali drugače uganiti 16 mestno geslo sestavljeno iz malih in velikih črk ter številk. Govorimo o povsem naključnih postavitvah in ne sklopih besed s pomenom in številk. Brute force pa itaq deluje na vsem, stvar je samo časa, računske moči in tega kako odpustljiv je klient na konstantna napačna gesla.
Angry Sheep Blog @ www.rejzor.com

Matija82 ::

Če te/jo zanima več, hoj na google pa tole -
password site:arstechnica.com

Hudi članki.

garamond ::

AnotherMe je izjavil:

Vmes je bil tudi stavek v smislu, da smo se "uspešno" naučili uporabljati gesla ki si jih težko zapomnimo, jih pa je enostavno uganiti (strojno).
http://xkcd.com/936/

RejZoR ::

Čakaj mal, ne moreš v en koš metat lokalno brute forcanje gesel za kriptirane containerje in ugibanje gesel na spletnih servisih (npr MS Outlook ali pa GMail). Lokalno je samo stvar računske moči in posledično časa. Pri online servisih, če je slednji delno pravilno zastavljen, ti bo bannal IP po npr 20 napačnih poizkusih vnosa napačnega gesla. Kjer pa postaviš pregrado, ki se za vdiralca spremeni iz nekaj dni bruteforcanja na močnem sistemu na par sto let... Da pa bi za vsak ban dobil nov IP in s tem nemoteno nadaljeval bruteforcanje, pa je dokaj malo možen scenarij. Spet, če je sistem pametno zasnovan, bi po 5 banih kateregakoli IP-ja za določen account username (ker se s tem ve kateri račun je bil ciljan) izvedel absolutni block računa in javil lastniku, da je nekdo poizkušal vdreti. Če v igro vržeš še dvonivojsko avtentikacijo pa sploh ni šans...

Zato pravim, da že pseudo random 16 mestno alfanumerično geslo z malimi in velikimi črkami več kot zadošča. Če not vrineš še kakšen dash al pa underscore, pa se vse skupaj za napadalca še dodatno zaplete.
Angry Sheep Blog @ www.rejzor.com

SeMiNeSanja ::

8 random znakov s šumniki je že overkill za vse vrste rainbow tabel, sploh ni potrebe jet do 16 mest. Ne vem, če kdo (razen NSA?) generira tabele za polni nabor znakov. 'Hackerji' ponavadi uporabljajo a-z, A-Z,0-9 plus znake, ki se nahajajo na US tipkovnici ([ !"#$%&'()*+,-./:;) potem pa se zadeva počasi konča, saj vsak dodatni znak še toliko bolj 'napihne' tabelo, ki že tako hitro doseže nekaj 100GB. Naših šumnikov je 10 znakov, kar tabelo bistveno poveča (podaljša se tudi čas za generacijo).

Velikosti standardnih tabel na netu, ki si jih lahko vsakdo potegne dol, se da videti na http://project-rainbowcrack.com/table.h...
Malenkost bolj kompleksna mixedalpha tabela, ki ne vsebuje niti enega šumnika, za dolžine gesel do 9 znakov že dosega 800GB!

Kdor sam generira tovrstne tabele, se ponavadi bolj usmerja v kakovosten dictionary, saj še vedno mnogi uporabniki vendarle uporabljajo povsem običajne besede v svojih geslih. Z nekaj scraping-a po SLO spletnih straneh zelo hitro izdelaš obsežen dictionary, ki bo vseboval tudi besede s šumniki. Ko potem generiraš tabele iz tega slovarja, se generira tudi ključe za vse mogoče kombinacije teh besed.

Pred časom sem se tako iz firbca lotil enega od leakanih password file-ov in je bilo prav zanimivo videti, da ljudje uporabljajo tudi krajevna imena za svoja gesla. Portorož, Ljubljana, Jesenice,... vse sorte mi je ven metalo.

Nauk zgodbe: geslo ne rabi biti neznansko dolgo - BISTVENO bolj pomembno je, da ne uporabljaš besed, ki jih lahko najdeš v slovarjih (niti v SSKJ!), imena oseb in krajevna imena so ravno tako absolutni tabu - pod pogojem da uporabiš vsaj en šumnik.

Moja osebna preferenca je uporaba prvih črk iz kakšnega stavka, npr. "Moj avto ima 4 letne gume in še eno za rezervo" ==> mAi4lG+š1zR

Pogosto pa uporabljam tudi čisto preprosta gesla za "enkratno uporabo" na kakšnih čudnih straneh, kjer se moraš vpisati, da bi videl določeno vsebino. Na takih straneh ni razloga, da bi uporabljal neka posebna gesla. Na hitro nekaj skombiniraš iz URL-ja strani in tisto geslo po registraciji preprosto pozabiš. Če bi kdajkoli ponovno potreboval dostop do tiste strani, pa uporabiš funkcijo za obnovitev pozabljenega gesla.

RejZoR ::

Uporabo šumnikov lahko kar odmisliš pri spletnih servisih, kjer je že uporaba underscora včasih cel hudič.
Angry Sheep Blog @ www.rejzor.com

SeMiNeSanja ::

RejZoR je izjavil:

Uporabo šumnikov lahko kar odmisliš pri spletnih servisih, kjer je že uporaba underscora včasih cel hudič.

Žal res ne gre povsod. Sem imel tudi že probleme z @ znakom....
Ampak kjer sistem 'požre' šumnike, so zelo dobra izbira.

cegu ::

Jaz se pa ne hecam s posebnimi znaki, nekak se gre za tri storitve, nemogoce se pa to zapomniti za kaj vec.

Moje geslo je ena dolga fraza z nesmiselnim koncem:
PRIMER:
ZmajTolovajJeZlorabilZogicoNogico

Absolutno varna zadeva, pa vsak ki jo je prebral si jo bo zapomnil prvic.

garamond ::

RejZoR je izjavil:

Čakaj mal, ne moreš v en koš metat lokalno brute forcanje gesel za kriptirane containerje in ugibanje gesel na spletnih servisih (npr MS Outlook ali pa GMail). Lokalno je samo stvar računske moči in posledično časa. Pri online servisih, če je slednji delno pravilno zastavljen, ti bo bannal IP po npr 20 napačnih poizkusih vnosa napačnega gesla. Kjer pa postaviš pregrado, ki se za vdiralca spremeni iz nekaj dni bruteforcanja na močnem sistemu na par sto let... Da pa bi za vsak ban dobil nov IP in s tem nemoteno nadaljeval bruteforcanje, pa je dokaj malo možen scenarij. Spet, če je sistem pametno zasnovan, bi po 5 banih kateregakoli IP-ja za določen account username (ker se s tem ve kateri račun je bil ciljan) izvedel absolutni block računa in javil lastniku, da je nekdo poizkušal vdreti. Če v igro vržeš še dvonivojsko avtentikacijo pa sploh ni šans...

Zato pravim, da že pseudo random 16 mestno alfanumerično geslo z malimi in velikimi črkami več kot zadošča. Če not vrineš še kakšen dash al pa underscore, pa se vse skupaj za napadalca še dodatno zaplete.
Če je tole odgovor na xkcd strip: njegova vsebina se ne nanaša na lokalne datoteke, temveč na napad na strežnik s šibko varnostjo (piše nekje z drobnimi črkami).

dronyx ::

AnotherMe je izjavil:

Vmes je bil tudi stavek v smislu, da smo se "uspešno" naučili uporabljati gesla ki si jih težko zapomnimo, jih pa je enostavno uganiti (strojno).

Gesla na internetu so en navaden črn humor! Za IE, Chrome in Firefoxa obstajajo enostavni programčki (prosto dostopni seveda), ki ti izlistajo vsa gesla, s katerimi si se prijavil v brskalniku, pa ne glede na to, kako kompleksna so. Kdorkoli zažene tak programček na računalniku, kjer ljudje uporabljajo internet za svoje Gmail, Facbook in podobne račune lahko pride tako do uporabniških imen, kot tudi gesel. Da kvalitetno počistiš za sabo vse to nesnago je pa tudi kar nekaj dela.

Kolikokrat pridejo na PC razni "računalniški stručkoti", ki pridejo reševat težave, hkrati pa še mimogrede čekirajo službene in privat maile in seveda nehote...Sem videl tudi že primere, ko so ljudje vse te podatke nehote "zapekli" kar v "image" računalnika in to potem distribuirali na več deset ali sto PC.

Zgodovina sprememb…

  • spremenil: dronyx ()

dottor ::

Jaz na določenih straneh, kjer mi je "zaščita" bolj pomembna uporabim daljši stavek, katerega namesto s presledkom pišem z piko, številke in kombinacija velikih in malih črk, če se mi da pa še kak "nestandarden" znak.
Xeon X5650@3.8GHz |Asus P6T|
2x4GB+4x2GB|ASUS R9 280X@1100MHz|
WD Green 240GB SSD + 4x1TB Hitachi

cegu ::

dronyx je izjavil:

Gesla na internetu so en navaden črn humor! Za IE, Chrome in Firefoxa obstajajo enostavni programčki (prosto dostopni seveda), ki ti izlistajo vsa gesla, s katerimi si se prijavil v brskalniku, pa ne glede na to, kako kompleksna so.


Vir prosim. Bi rad poskusil na svojem.

dronyx ::

cegu je izjavil:

Vir prosim. Bi rad poskusil na svojem.

Kaj naj bi poskusil? Programčke imaš javno dostopne na internetu in si jih vsak lahko prenese in preizkusi, kaj dejansko pomeni shranjevanje gesel v brskalniku. To je pač dejstvo, ki ga moraš pri uporabi brskalnikov in tvojih uporabniških računov upoštevati.

Matija82 ::

cegu je izjavil:

dronyx je izjavil:

Gesla na internetu so en navaden črn humor! Za IE, Chrome in Firefoxa obstajajo enostavni programčki (prosto dostopni seveda), ki ti izlistajo vsa gesla, s katerimi si se prijavil v brskalniku, pa ne glede na to, kako kompleksna so.


Vir prosim. Bi rad poskusil na svojem.


http://www.nirsoft.net/utils/passwordfo...

dronyx ::

Nočem smetit teme, me pa zanima, kako v poslovnih okoljih rešujete vprašanje varnosti raznih spletnih aplikacij, ki tečejo v brskalnikih? Brez kakšnih dodatnih nameščenih orodji si lahko vsak uporabnik, kljub temu da je samo user na Windows, namesti Chrome, Firefox...in tam zaganja spletne aplikacije (to je sicer nasploh razširjen pojav...če ne dela v enem brskalnikom pa poskusimo z drugim). Prav tako so nastavitve brskalnika običajno vezane na pofil uporabnika, kar pomeni, da si tudi to lahko vsak uporabnik sam poljubno spreminja (samodokončanje, shranjevanje gesel itd). Tako imaš lahko neko spletno aplikacijo, prideš do uporabnika, ugotoviš da moraš spremeniti kakšne nastavitve, se prijaviš v program kot admin, potem pa uporbnik zažene 200 kb velik programček, ki mu izlista tako uporabniško ime, kot geslo...

Zgodovina sprememb…

  • spremenil: dronyx ()

jype ::

dronyx> Tako imaš lahko neko spletno aplikacijo, prideš do uporabnika, ugotoviš da moraš spremeniti kakšne nastavitve, se prijaviš v program kot admin, potem pa uporbnik zažene 200 kb velik programček, ki mu izlista tako uporabniško ime, kot geslo...

Kaj pa če ma kar keylogger?

Mimogrede, noben program ti ne pomaga do gesel, ki so ustrezno zaščitena.

Zgodovina sprememb…

  • spremenilo: jype ()

tomaz88 ::

par skritih kamer, ki snemajo zaslon/tipkovnico/misko

dronyx ::

jype je izjavil:

Mimogrede, noben program ti ne pomaga do gesel, ki so ustrezno zaščitena.

Očitno gesla, ki jih shranjujeo spletni brskalniki niso ustrezno zaščitena, če jih program izlista v trenutku! Tu ne govorimo o "brute force" napadu, ki bi trajal na PC računalniku dneve. Keyloggerje neki programi za nadzor znajo detektirajo in je admin obveščen, če pa kdo napiše svoj programček, kar ne zahteva nekega znanja pa vprašanje, če ga detektirajo. Resda je vdiranje v IT sisteme kaznivo, samo to mora nekdo odkriti, poleg tega je to slaba tolažba, če ti ukradejo ali spremenijo podatke. Je pa dejstvo, da je danes čuda nekih aplikacij spletnih (tudi za nadzor in konfiguracijo itd.), tako da se temu enostavno ne moreš izogniti. Jaz poskušam prakticirati, da take (občutljive) spletne programe uporabljam zgolj na svojem računalniku, kjer poskrbim za to, da se kdo drug ne more prijavti oziroma bom vedel, če se je uspel, ampak...

Zgodovina sprememb…

  • spremenil: dronyx ()

poweroff ::

sudo poweroff

dronyx ::

poweroff je izjavil:

https://pravokator.si/index.php/2012/07...

Strateško zračno poveljstvo v Omahi pa je geslo na ključavnicah nastavilo na “00000000”, saj so se bali morebitnih zamud pri iskanju pravega gesla v primeru vojne. Do zlorab na srečo ni prišlo, a primer jasno kaže kako nesmiselna je uporaba neustreznih gesel.


Ha, ha, to je čista klasika. Podoben primer so elektronske ključavnice, kjer imaš številčnico in vsak si spomni svoje 4 mestno kodo, ki odpira vrata. Potem pa poskusiš z 0000 ali 1111 in se ti vrata takoj odpro. Pri avtentikacije je po moje zelo pomembno, da sistem na nek način blokira dostop po parih neustreznih poskusih, saj to napade s poskušanjem bistveno oteži ter seveda da so nastavljena pravila glede zahtevnosti gesla (minimalna dolžina, preverjanje, da ne gre samo za besedo iz slovarja itd.)

jype ::

dronyx> Očitno gesla, ki jih shranjujeo spletni brskalniki niso ustrezno zaščitena, če jih program izlista v trenutku!

Poizkusi enkrat pravilno nastaviti shranjevanje gesel v Firefoxu in potem poženi program.

dronyx> Keyloggerje neki programi za nadzor znajo detektirajo

Jaz lahko napišem svojega, pa ga nihče ne bo detektiral.

dronyx> Je pa dejstvo, da je danes čuda nekih aplikacij spletnih (tudi za nadzor in konfiguracijo itd.), tako da se temu enostavno ne moreš izogniti.

Seveda se lahko. Če so reči občutljive, potem komot narediš cel kup reči za resno varnost, tako na strežniku kot na odjemalcu. Če imaš recimo web app za izstrelitev jedrskih konic, potem bi človek pričakoval pametno kartico z vgrajenim čitalcem mrežnice, na kateri je shranjen certifikat za dostop do strežnika.

Zgodovina sprememb…

  • spremenilo: jype ()

dronyx ::

>Poizkusi enkrat pravilno nastaviti shranjevanje gesel v Firefoxu in potem poženi program.

Kaj pa je po tvoje pravilno nastaviti shranjevanje gesel? Misliš nastavljen "master password"? Za to geslo ne obstajajo programi, ki ga znajo dešifrirat? Če uporabljajo tako močno šifriranje, zakaj za vraga niso že v osnovi vsa shranjena gesla tako močno šifrirana, da se jih ne da tako enostavno pridobiti? Ali mora biti res vsak navaden uporabnik računalnika strokovnjak za šifriranje podatkov? Ne se hecat!

Namreč shranjevanje gesel v brskalniku ni samo problem v tem, da pride nekdo na tvoj računalnik in pade direktno v Gmail ali facebook. Bistveno hujši problem je v tem, da z zgoraj omenjenimi programi pride do gesla, ki ga lahko zlorabi čez leto ali več, če ga nisi medtem spremenil. Pa ne samo to. Večina uporabnikov uporablja enaka ali zelo podobna gesla za razne uporabniške račune! S takim geslom se lahko potem prijavijo v cel kup tvojih računov...Še dobro, da večina o tem nima pojma.

Zgodovina sprememb…

  • spremenil: dronyx ()

jype ::

dronyx> Za to geslo ne obstajajo programi, ki ga znajo dešifrirat?

Ne.

dronyx> zakaj za vraga niso že v osnovi vsa shranjena gesla tako močno šifrirana, da se jih ne da tako enostavno pridobiti?

Tebi res ni nič jasno, ane? Če zna firefox brez ključa dešifrirat shranjena gesla, potem jih zna tudi kdorkoli drug.

dronyx> Ali mora biti res vsak navaden uporabnik računalnika strokovnjak za šifriranje podatkov?

Samo v primeru, da želi ohraniti svojo zasebnost.

Zgodovina sprememb…

  • spremenilo: jype ()

dronyx ::

>Tebi res ni nič jasno, ane? Če zna firefox brez ključa dešifrirat shranjena gesla, potem jih zna tudi kdorkoli drug.

Ja potem pa naj vsa ta zapomnena gesla brskalniki shranijo lepo v navadno tekstovno datoteko na namizju. Čemu potem cirkus? Bodo uporabniki vsaj vedeli, kako varna je ta "password shramba"!

>Samo v primeru, da želi ohraniti svojo zasebnost.

S tem se pač ne strinjam, ampak ne mislim polemizirat.

Zgodovina sprememb…

  • spremenil: dronyx ()

jype ::

dronyx> Ja potem pa naj vsa ta zapomnena gesla brskalniki shranijo lepo v navadno tekstovno datoteko na namizju. Čemu potem cirkus? Bodo uporabniki vsaj vedeli, kako varna je ta "password shramba"!

Pri resnih operacijskih sistemih so šifrirane vse uporabniške datoteke, vključno s tekstovnimi datotekami na namizju.

dronyx> S tem se pač ne strinjam, ampak ne mislim polemizirat.

Če bi rad vozil avto, moraš poznat CPP. Če bi se rad potapljal, moraš razumeti dekompresijske tablice. Če bi rad poskrbel za tajnost svojih zasebnih vsebin, moraš razumeti, kako se jih zaščiti.

dronyx ::

>Če bi rad vozil avto, moraš poznat CPP.

Ja, samo za vožnjo avta mi ni potrebno poznati, kako tehnično zares deluje airbag. Vem da se bo ob trku sprožil, če ne bo trka pa se ne bo sprožil. Me pa kot šoferja res ne zanima, kakšna tehnika je v ozadju. Enako velja za šifriranje. Po tvoji logiki varno računalnika ne more uporabljati praktično nihče na svetu, ker te lahko nadzirajo nenazadnje na daljavo z Regin, Stuxnet, Flame..., za kar potrebujejo včasih eksperti leta, da razumejo, kako to deluje v vseh podrobnostih!

Zgodovina sprememb…

  • spremenil: dronyx ()

jype ::

dronyx> Ja, samo za vožnjo avta mi ni potrebno poznati, kako tehnično zares deluje airbag.

Ja, saj za pravilno uporabo orodij za šifriranje ti tudi ni treba poznati eliptičnih krivulj, samo navodila moraš prebrat.

dronyx> Me pa kot šoferja res ne zanima, kakšna tehnika je v ozadju. Enako velja za šifriranje. Po tvoji logiki varno računalnika ne more porabljati praktično nihče na svetu, ker te lahko nadzirajo nenazadnje na daljavo z Regin, Stuxnet, Flame..., za kar potrebujejo včasih eksperti leta, da razumejo, kako to deluje v vseh podrobnostih!

Ti samo privzeto namesti en Ubuntu in imej kvalitetno geslo za prijavo v računalnik, pa boš že v top 1%, s katerimi se nikomur ne splača ukvarjat.

Zgodovina sprememb…

  • spremenilo: jype ()

tomaz88 ::

>Jaz lahko napišem svojega, pa ga nihče ne bo detektiral.
ali pa uporabiš hw keyloger ali pa anteno v sosednji sobi :)

videc ::

dronyx je izjavil:

Nočem smetit teme, me pa zanima, kako v poslovnih okoljih rešujete vprašanje varnosti raznih spletnih aplikacij, ki tečejo v brskalnikih? Brez kakšnih dodatnih nameščenih orodji si lahko vsak uporabnik, kljub temu da je samo user na Windows, namesti Chrome, Firefox...in tam zaganja spletne aplikacije (to je sicer nasploh razširjen pojav...če ne dela v enem brskalnikom pa poskusimo z drugim). Prav tako so nastavitve brskalnika običajno vezane na pofil uporabnika, kar pomeni, da si tudi to lahko vsak uporabnik sam poljubno spreminja (samodokončanje, shranjevanje gesel itd). Tako imaš lahko neko spletno aplikacijo, prideš do uporabnika, ugotoviš da moraš spremeniti kakšne nastavitve, se prijaviš v program kot admin, potem pa uporbnik zažene 200 kb velik programček, ki mu izlista tako uporabniško ime, kot geslo...
Napiše se varnostna pravila, ki jih potrdi vodstvo podjetja. Pravila vsebujejo od tega, katere apliakcije so dovoljene, do uporabe in politike gesel, shranjevanja itd. Uporabniki so seznanjeni s pravili in to politiko poslovanja, se od zaposlitvi morajo z njo strinjati. Potem se redno preverja, kako se teh pravil držijo. Če se ne, se pač ukrepa. Če kdo namešča apliakcije, ki niso dovoljene sledijo sankcije.
Dostikrat se potem uporabniki samocenzurirajo. Se pa, verjetno, še dostikrat kje zgodi, da imajo geslo nalepljeno pod tipkovnico. :D

dronyx ::

>Potem se redno preverja, kako se teh pravil držijo.

Ja, to je bistveno, da imajo ta pravila sploh smisel, sicer nihče tega niti ne bere, kaj šele da bi se držal. Moraš pa imeti potem organizacijo tako postavljeno, da je nekdo za tak nadzor pristojen oziroma ima pooblastila za nadzor in tudi ukrepanje (ponavadi nekomu dajo da taka pravila napiše oziroma še pogosteje od nekje skopira in priredi, za nadzor pa ni pristojen nihče). V primeru hujše kršitve pravil informacijske varnosti mora slediti tudi disciplinski postopek, ker ti dejansko s tem lahko ogrožaš firmo.

Zgodovina sprememb…

  • spremenil: dronyx ()

SeMiNeSanja ::

To je že res, samo imamo pri tem problem, ki se mu reče 'Informacijski pooblaščenec'. Ta te bo namreč po prstih kresnil, če se boš preveč vtikal v to, kako nek uporabnik baranta s svojimi gesli, kje jih ima shranjena, ali jih je šifriral,.... - ker ti preprosto prepoveduje, da mu 'brskaš' po računalniku.

Tako si na koncu lahko zelo hitro spet tam, kjer si bil - na predpisih na papirju, ki jih nihče ne nadzira (vsaj del njih).

Tam, kjer so podjetja dovolj velika in se za tako problematiko nameni tudi nekaj denarja, se uvajajo tzv. 'Identity management' rešitve, ki upravljanje z gesli premaknejo na nek centralni strežnik, uporabnik pa potem uporablja samo še eno samo geslo oz. identiteto.
Seveda to potem spet lahko za seboj potegne godrnjanje IP-ja, saj tak centraliziran pristop omogoča sledljivost, kdaj je kateri uporabnik pristopal nekemu sistemu....

Na koncu smo tam, da kot admin imaš najmanj tri 'osebe', ki ti grenijo življenje: hackerje, IP in na koncu še uporabnik...

jype ::

Admin je res bogi, ja, še zakonodaje ne sme kršiti.

SeMiNeSanja> Seveda to potem spet lahko za seboj potegne godrnjanje IP-ja, saj tak centraliziran pristop omogoča sledljivost, kdaj je kateri uporabnik pristopal nekemu sistemu....

Zakaj naj bi pa to bil problem za IP?

SeMiNeSanja ::

jype je izjavil:

Admin je res bogi, ja, še zakonodaje ne sme kršiti.

SeMiNeSanja> Seveda to potem spet lahko za seboj potegne godrnjanje IP-ja, saj tak centraliziran pristop omogoča sledljivost, kdaj je kateri uporabnik pristopal nekemu sistemu....

Zakaj naj bi pa to bil problem za IP?

Ni problem, če imaš vso papirologijo in dokaze, kdo je kdaj imel vpogled v dnevnike, zakaj, ali je uporabnik s tem seznanjen,..... 'godrnjanje' pač..., ker imaš 'še eno zbirko osebnik podatkov', pri čemer bi IP najraje videl, da nebi imel nobene. godrnjanje....

Zgodovina sprememb…

jype ::

SeMiNeSanja> pri čemer bi IP najraje videl, da nebi imel nobene.

Če je audit log pravilno izveden, potem ni zbirka osebnih podatkov.

dronyx ::

@SeMiNeSanja: Se povsem strinjam. Zadeve lahko postanejo zelo zoprne, kar se tiče varstva osebnih podatkov oziroma pravice do zasebnosti nasploh. Tisti, ki ima pooblastila za nadzor mora seveda zakonodajo dobro poznat in mora imeti tudi razčiščene pojme, do kje sme.

Po moje ne more biti noben problem, če recimo delaš popis na računalniku nameščene programske opreme in uporabnika opozoriš, če si sam namesti recimo Chrome. Ne moreš pa jasno z nekim papirjem prepovedati gledanje pornografskih strani ali uporabe facebooka, potem pa to nadzirati v zgodovini brskalnika ali na kakšnem centralnem strežniku, prek katerega dostopajo zaposleni do interneta. Za take reči si moraš potem umisliti dodatne naprave, ki omogočajo omejitev dostopa do posameznih spletnih strani oziroma skupine strani (content filtering) itd.

"Identity management" mislim da ni enako kot "Single sign on", kar omogoča eno prijavo v različne informacijske sisteme. Identity managment imajo ponavadi vpeljan velike firme z večjim številom zaposlenih, kjer se njihove pravice v najrazličnejših informacijskih sistemih upravljajo na enem mestu in ta sistem je ponavadi direktno povezan s kadrovsko evidenco. Tak sistem ima vgrajene potem integracije z različnimi drugimi IT rešitvami, tako da ko zaposlijo novega delavca se mu v skladu z nastavitvami "profila delovnega mesta" avtomatično generira poštni račun, domenska prijava in vsi ostali uporabniški računi ter dodeli vloge v aplikacijah. To ti prihrani veliko "ročnega" dela, ima pa smisel jasno ko je govora več sto ali več 1000 zaposlenih.

Zgodovina sprememb…

  • spremenil: dronyx ()

videc ::

dronyx je izjavil:

Po moje ne more biti noben problem, če recimo delaš popis na računalniku nameščene programske opreme in uporabnika opozoriš, če si sam namesti recimo Chrome. ne moreš pa z nekim papirjem prepovedati gledanje pornografskih strani ali uporabe facebooka, potem pa to nadzirati v zgodovini brskalnika ali na kakšnem centralnem strežniku, prek katerega dostopajo do interneta. Za take reči si moraš potem umisliti dodatne naprave, ki omogočajo omejitev dostopa do posameznih spletnih strani oziroma skupne strani (content filtering) itd.
To se rešuje z npr. s proxy-jem, ki je del varnostne politike podjetja.

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> pri čemer bi IP najraje videl, da nebi imel nobene.

Če je audit log pravilno izveden, potem ni zbirka osebnih podatkov.

Vsak audit log, ki se ga ne da povezati z neko konkretno osebo je brezvezno tratenje diskovnega prostora. Ali ta povezava obstaja v konkretni audit datoteki ali ne, pri tem ne igra bistvene vloge, ker na koncu bo (vsaj top level) admin za analizo tako ali tako uporabil orodje, ki mu bo povezalo 'identiteto' z zbranimi podatki.

V bistvu mora admin živeti s tem, kar so mu dovolili nabaviti in namestiti. Kako taka rešitev potem izvaja audit loge, pa večinoma ni v njegovih rokah, lahko kvečjemu predlaga uporabo druge, bolj IP-konformne rešitve - če naleti na odprta ušesa.

Saj vem, da boš spet plediral na OpenSource rešitve in 'sam svoj mojster', da si lahko zadevo popraviš, da bo 'konformna'. Samo kaj, ko si s tem nakoplješ probleme pri vsaki naslednji nadgradnji takega sistema, ko boš moral vse popravke delati na novo (ali pa ostati na stari verziji). Problem tudi ni samo v tem, kaj in kako boš zapisal v audit log - ta del je preprost - spremeniti boš moral tudi tisti del, ki dela analizo audit logov, kar pa lahko postane precej trši oreh.

Mr.B ::

Torej ste po nekaj iteracijah ugotovili, da realni brute force na web aplikacijo nima smisla, in da obstajajo bol sofisticirane metode...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

tomaz88 ::

to upam, da je vsem jasno (ok, pustimo kake trivialne primere, ko ima geslo 2 znaka)

SeMiNeSanja ::

@dronyx: točno tako, kot si zapisal, Identity Management rešitve so za 'velike'. Je pa njihov razvoj v zadnjih letih kar precej napredoval in vključuje tudi že upravljanje account-ov 'v oblakih'.

Single SignOn je za moje pojme zgolj ena od funkcionalnosti, ki jih mora Identity Management rešitev podpirati (poleg tistih, ki si jih naštel), je pa res, da je ključna za tematiko, o kateri se tu pogovarjamo.

Zgodovina sprememb…

dronyx ::

jype je izjavil:

Če je audit log pravilno izveden, potem ni zbirka osebnih podatkov.

Kako pa je to pravilno izveden? Kakor jaz vem je tudi IP naslov računalnika osebni podatek, ker se ga da povezati s konkretno osebo (tudi če IP naslove dinamično dodeljuješ prek DHCP).

jype ::

dronyx> Kako pa je to pravilno izveden?

Tako, da beleži tudi brskanje po audit logu.

dronyx> Kakor jaz vem je tudi IP naslov računalnika osebni podatek

OK, tule imaš en osebni podatek: 74.125.232.24

dronyx ::

>Tako, da beleži tudi brskanje po audit logu.

Saj to je osnova vsakega "audit loga" oziroma revizijske sledi, da so zabeleženi tudi vsi vpogledi v revizijsko sled in da ni možno zapisov popravljati.

>OK, tule imaš en osebni podatek: 74.125.232.24

Tule mnenje IP zakaj je IP osebni podatek.

Zgodovina sprememb…

  • spremenil: dronyx ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

shranjevanje gesel v windows

Oddelek: Informacijska varnost
193021 (2140) Saul Goodman
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648528 (34947) Pero_SLO
»

Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )

Oddelek: Novice / Zasebnost
5829421 (26040) antonija
»

Razbijanje gesel z GPU je realnost (strani: 1 2 3 )

Oddelek: Novice / Varnost
10230587 (25018) MrStein
»

Analiza slovenskih gesel

Oddelek: Novice / Zasebnost
3912174 (10112) BlueRunner

Več podobnih tem