» »

Varna gesla po vladno

Varna gesla po vladno

MrStein ::

Je že kdo implementiral varnost gesel "po zakonodaji"?

Torej:
Uredba o informacijski varnosti v državni upravi

54. člen
(varnost gesel)

(1) Ne sme se uporabljati gesel, ki:
- so krajša od osmih znakov,
- so na seznamu neprimernih gesel,
- so besede iz slovarja,
- vsebujejo ponavljajoče znake ali znake v zaporedju ali
- vsebujejo besede, ki jih je mogoče povezati z uporabo ali uporabnikom, kot na primer ime storitve, uporabniško ime ali izpeljanke iz njih.


Ker po teh pravilih je dovoljeno prvo geslo, ne pa drugo (ker "vsebujejo ponavljajoče znake") ali tretje (ker "vsebujejo besede, ki jih je mogoče povezati z uporabo ali uporabnikom, kot na primer ime storitve"):
fgTD%h893zyhv5j$/U-_p0
fgTD%h893zyhv5j$/U-_p0zzzz
fgTD%h893zyhv5j$/U-_p0edavki
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Zgrešil si poanto.
Prav lepo so opisali vse opcije gesel, za katere se lahko predvideva, da bi se jih našlo v dobrem 'slovarju' v kombinaciji z generatorjem. Ne vem, kako bi ti to lepše definiral brez nekega dolgovezenja.

Vsi trije primeri so povsem neproblematični.
Bolj me moti, da definicija lahko nepoznavalcu ustvari vtis, da je geslo "Danes je pa vroče kot v peklu opoldne!" slabo oz. nedopustno geslo.

Zgodovina sprememb…

Vazelin ::

- vsebujejo ponavljajoče znake ali znake v zaporedju ali

Mi lahko pove zakaj je geslo
23131313154 bolj varno od
2223334444

Miha 333 ::

Vazelin je izjavil:

- vsebujejo ponavljajoče znake ali znake v zaporedju ali

Mi lahko pove zakaj je geslo
23131313154 bolj varno od
2223334444

Ker je za 1 znak daljše.

Drugače pa je v teoriji to vse fino, v praksi pa je treba izbrati med:

- enostavnimi gesli, ki si jih bodo ljudje zapomnili ali
- varnimi gesli, ki si jih ljudje ne bodo mogli zapomniti in bodo zapisana na koledarjih, stenah, monitorjih.

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

starfotr ::

Problem je neuporaba pass managerjev in generatorja primernih gesel.

Geslo na koledarju ni dobra praksa.

SeMiNeSanja ::

starfotr je izjavil:

Problem je neuporaba pass managerjev in generatorja primernih gesel.

Geslo na koledarju ni dobra praksa.

Ja in ne.....

Čim je v uporabi večstopenjska avtentikacija si lahko tudi dovoliš 'objavo' gesla.

En tak primer iz prakse:

WatchGuard požarna pregrada logira prometne podatke v tzv. Dimension strežnik.
Zaradi GDPR ta omogoča anonimizacijo. Posledično je tudi vpogled in analitika nekoliko omejena, če ti pooblaščenec ne 'odklene' dostopa do polnih podatkov s svojim geslom.

Problem: ko boš potreboval dostop bo pooblaščenec na sestanku / dopustu / bolniški /... in ne bo mogel priteči do tvojega računalnika, da bi ti vtipkal svoje geslo za deanonimizacijo.

Kako rešiti zagato? Jaz rešujem s pomočjo AuthPoint MFA - administratorji vedo geslo od poobaščenca - nimajo pa token (2. faktor), da bi lahko odklenili dostop do podatkov.
Tako admin pošlje sms ali mail pooblaščencu, da napove / obrazloži potrebo po dostopu do deanonimiziranih podatkov. Nato vpiše geslo za deanonimizacijo, sistem pa pošlje pooblaščencu push notifikacijo, katero rabi zgolj potrditi ali zavrniti.
V klikor bi se nekdo 'na slepo' poskušal prijaviti v account, pa skupaj z push notifikacijo prejem tudi IP naslov računalnika, s katerega je bil sprožen poskus prijave....

Na podoben nčin bi v bistvu lahko tudi nekomu omogočil admin ali root dostop do nekega sistema - on bi sicer vedel geslo, nebi pa imel dodatnega faktorja, da bi se lahko tudi dejansko prijavil s tem geslom.

carota ::

Geslo se lahko random generira, napiše na listek in ga da v predal pod mizo, ki je pod ključem. Zunanji heker ne more videti v predal, da bi fizično prišel do njega je vmes tehnično varovanje (kamere, alarmi, kontrola dostopa, ...). Annoying je tako geslo vpisovati vsakič ko se oddaljiš od mize, ali v primeru državne uprave - po vsakem cigaretu in kavici. :)

SeMiNeSanja ::

carota je izjavil:

Geslo se lahko random generira, napiše na listek in ga da v predal pod mizo, ki je pod ključem. Zunanji heker ne more videti v predal, da bi fizično prišel do njega je vmes tehnično varovanje (kamere, alarmi, kontrola dostopa, ...). Annoying je tako geslo vpisovati vsakič ko se oddaljiš od mize, ali v primeru državne uprave - po vsakem cigaretu in kavici. :)

To ni rešitev.

Npr. si predstavljaj kakšno firbčno baburo na FURS-u, ki bi rada vedela, koliko je imela Helena Blagne prihodkov v lanskem letu....

Ker ve, da ima kolegica 'kompleksno' geslo v predalu, počaka da gre na WC, vzame mobitel....za hip odškrtne predal, slika geslo...in voila!

Kdo bo potem naj*, ko se bo pregledovalo, kdo je nepooblaščeno brskal po podatkih prihodkov naše "C prominence"? Tista z geslom v predalu!

MrStein ::

SeMiNeSanja je izjavil:

Zgrešil si poanto.
Prav lepo so opisali vse opcije gesel, za katere se lahko predvideva, da bi se jih našlo v dobrem 'slovarju' v kombinaciji z generatorjem. Ne vem, kako bi ti to lepše definiral brez nekega dolgovezenja.

Saj to je problem. Ne moreš v zakon napisati eno, in rečti da si mislil drugo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Uredba ni zakon......

MrStein ::

potato, potejto
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

St235 ::

Pa napisi ti kako bi po tvoje morala zgledat ureditev, brez da napises roman. Pa bomo hitro videli ali je zgornja definicija tako zgresena.

MrStein ::

Najprej naj nekdo napiše "kaj se je v resnici mislilo".

(lahko samo del, da ne bo predolgo - recimo za polovico ali tretjino "pravil")
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

Kaj ti ni jasno? Opisana pravila so splošno veljavne dobre prakse pri geslih.

Kljub temu se splošne prakse v zadnjih letih tudi rahlo spreminjajo. Navaden, lahko za zapomniti si stavek z nekaj besedami je BISTVENO boljše geslo kot še tako kompleksno 10-mestno 'skrpucalo', ki si ga nihče ne more zapomniti. Problem je včasih bil, da se niti ni dalo vnašati gesel, daljših od 8 znakov! Mislim, da sem na tak štos naletel celo pri Samsung gear WPA geslu, da enostavno zadeva ni hotela požreti aktualnega gesla na dostopni točki. Absurd!

Druga sprememba splošnih praks, ki se zadnje čase vse bolj uveljavlja: ne menjavati gesel vsake tri mesece, ali bog ne daj vsak mesec.

Ostalo pa se predvsem tiče možnosti razmeroma hitrega razbijanja hashov gesel s pomočjo generatorjev slovarjev.

V mnogih primerih je že koristno, da se držiš splošno veljavnih dobrih praks. Imaš pa tudi primere, ko ti še tako dobro geslo prav nič ne pomaga. En tak primer je odklenjen računalnik + Rubberducky z Mimikatz gor. Tri sekunde in imaš uporabnikovo Windows geslo 'varno shranjeno' na USB ključku. Poleg njegovega pa še gesla vseh ostalih uporabnikov, ki so se na tem računalniku prijavljali v omrežje. Še par dodatnih sekund, pa ti druga orodja 'izpraskajo' še gesla mail accountov iz Outlooka, pobere shranjena gesla iz spletnih brskalnikov,...

Zato se vse bolj glasno govori o 2FA oz. MFA. Saj ne da bi 2FA bil 'nezlomljiv' - določene implementacije so dobesedno bedne, kar se tiče varnosti. Gre se predvsem za to, da se potencialnemu škodoželjnežu oteži delo, ki je v določenih primerih dobesedno otročje enostavno, zlasti kadar škodoželjnežu omogočiš prost dostop do odklenjenega računalnika.

starfotr ::

In kako bi pass managerji škodovali?

Ti imaš lahko pass manager, v katerem se lahko deli pass tudi ostalim osebam. Torej, lahko, da nihče ne ve gesla. Ta je bizarna, da admin ima pa gesla od vseh. To je skregano z vsako logiko, tudi če je 2FA.

c3p0 ::

> Problem je včasih bil, da se niti ni dalo vnašati gesel, daljših od 8 znakov!

Ali pa ti sistem pusti vnesti daljše geslo, a ga truncata pred hashingom.

SeMiNeSanja ::

c3p0 je izjavil:

> Problem je včasih bil, da se niti ni dalo vnašati gesel, daljših od 8 znakov!

Ali pa ti sistem pusti vnesti daljše geslo, a ga truncata pred hashingom.

Auč!:(

Dpool ::

c3p0 je izjavil:

> Problem je včasih bil, da se niti ni dalo vnašati gesel, daljših od 8 znakov!

Ali pa ti sistem pusti vnesti daljše geslo, a ga truncata pred hashingom.


Slednje je seveda se vedno prisotno, vendar ni javno oznanjeno pri straneh oz. ponudnikih, ki to pocno. Gre se predvsem za performance, zato to pocno, da ne bi slucajno login trajal vec kot 1 sekundo.

SeMiNeSanja ::

Dpool je izjavil:

c3p0 je izjavil:

> Problem je včasih bil, da se niti ni dalo vnašati gesel, daljših od 8 znakov!

Ali pa ti sistem pusti vnesti daljše geslo, a ga truncata pred hashingom.


Slednje je seveda se vedno prisotno, vendar ni javno oznanjeno pri straneh oz. ponudnikih, ki to pocno. Gre se predvsem za performance, zato to pocno, da ne bi slucajno login trajal vec kot 1 sekundo.

?!?
koliko dlje traja hashanje 100 char stringa kot 10 char stringa? Pa ne me hecat!

Dpool ::

Na hitro sem zgooglal:
https://security.stackexchange.com/ques...

Se strinjam, da je moj sarkazem ne tako ociten. Hotel sem namigniti na legacy sisteme, ki so se vedno zal v produkcijah in je to razlog, zakaj se truncate-a passworde v ozadju.

Zgodovina sprememb…

  • spremenil: Dpool ()

SeMiNeSanja ::

Dpool je izjavil:

Na hitro sem zgooglal:
https://security.stackexchange.com/ques...

Se strinjam, da je moj sarkazem ne tako ociten. Hotel sem namigniti na legacy sisteme, ki so se vedno zal v produkcijah in je to razlog, zakaj se truncate-a passworde v ozadju.

Ok... že malo boljša razlaga.... Sicer obstajajo tudi za to rešitve, ampak ok....

Ampak ne razloži pa, zakaj nek Samsung Gear, ki niti približno ni 'legacy' ni omogočal vnosa poljubno dolgega WPA gesla za dostop do WiFi. Zaradi butaste ure sem moral kreirat poseben SSID s krajšim geslom. (Mogoče da je kakšen novejši firmware to popravil - ampak vseeno katastrofa!)

No, pa da ne omenim, koliko časa sem tuhtal, zakaj se hudič noče povezat - šele čisto na koncu je padla možnost, da mu je mogoče pa le password 'malo predolg'. Nekako potem, ko že skoraj obupaš, ker ti kaj takega tudi slučajno ne pade na pamet, da bi neka sodobna naprava imela tako omejitev.

Zgodovina sprememb…

MrStein ::

A Samsung ne podpira WPS?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

A Samsung ne podpira WPS?

Samo bejž mi z WPS!

Dpool ::

SeMiNeSanja je izjavil:

Dpool je izjavil:

Na hitro sem zgooglal:
https://security.stackexchange.com/ques...

Se strinjam, da je moj sarkazem ne tako ociten. Hotel sem namigniti na legacy sisteme, ki so se vedno zal v produkcijah in je to razlog, zakaj se truncate-a passworde v ozadju.

Ok... že malo boljša razlaga.... Sicer obstajajo tudi za to rešitve, ampak ok....

Ampak ne razloži pa, zakaj nek Samsung Gear, ki niti približno ni 'legacy' ni omogočal vnosa poljubno dolgega WPA gesla za dostop do WiFi. Zaradi butaste ure sem moral kreirat poseben SSID s krajšim geslom. (Mogoče da je kakšen novejši firmware to popravil - ampak vseeno katastrofa!)


Meni Galaxy Watch sprejme tudi daljse geslo, bi pa bilo zanimivo potem testirat, koliko znakov je limit, ker tega pa nisem storil. Imam pa 17 mestno geslo ta IoT segment (nekako sem se odlocil pametno uro tudi sem dodelit, ker imam izolirano od ostalih) WiFi geslo.

MrStein ::

SeMiNeSanja je izjavil:

MrStein je izjavil:

A Samsung ne podpira WPS?

Samo bejž mi z WPS!

Maš prav, sistem, ki bi ti omogočil bolj varno geslo, lažjo uporabo... je kaj so si mislili!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

SeMiNeSanja je izjavil:

MrStein je izjavil:

A Samsung ne podpira WPS?

Samo bejž mi z WPS!

Maš prav, sistem, ki bi ti omogočil bolj varno geslo, lažjo uporabo... je kaj so si mislili!

WPS & "bolj VARNO geslo"? Kje si to pobral?

Vpišeš WPS hack v Google, pa ti izpljune 122.000 VIDEO zadetkov....
Ga ni mulca, ki po teh navodilih nebi znal zgago delat....

Bistvo pa je, da pri WPS gre stvar po sistemu "povej mi PIN, pa ti povem geslo".
In dejansko dobiš geslo...celo kompleksno geslo accesspoint pošlje po zraku in to če se ne motim, celo vidljivo za vsakogar.

Trejdaš 4-mestni pin za kompleksno geslo.... ja, to ti pa je 'varnost'.

Se nikoli nisi vprašal, zakaj vraga NOBEN RESEN Accesspoint ne podpira WPS?

MrStein ::

Glej, pošljem ti na dom ruterček z WPS, pa mi vdri. Sploh nisem bral nakladanja.
Nagrada: 500 EUR
Na roke.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Miha 333 ::

Nekateri proizvajalci so s FW updateom otežili WPS exploit, npr. da so vstavili časovno zakasnitev pri odgovoru pri preverjanju dela PIN-a, tako je brute force močno otežen.

starfotr ::

MrStein je izjavil:

Glej, pošljem ti na dom ruterček z WPS, pa mi vdri. Sploh nisem bral nakladanja.
Nagrada: 500 EUR
Na roke.


Ko bi pa bilo treba pljunit 500tko, bi pa stisnil prpo.

Že na kilometer se ve, da WPS je kriminal, da ga sodobne naprave sploh še podpirajo. To bi moralo izginiti iz rabe, kot so izginile diskete.

SeMiNeSanja ::

Miha 333 je izjavil:

Nekateri proizvajalci so s FW updateom otežili WPS exploit, npr. da so vstavili časovno zakasnitev pri odgovoru pri preverjanju dela PIN-a, tako je brute force močno otežen.

Načeloma res............. AMPAK.........

Pogruntali so algoritem, kateri iz MAC-a accesspointa generira inicialni WPS PIN.
MAC pa vsak accesspoint nonstop tuli v eter.

Ko tako z generatorjem prideš do pina oz. njegovega približka, tega samo še 'nafutraš' v Reaver ali podobno orodje in presneto hitro prideš do gesla.

Po domače povedano: Če je AP na default pin-u, niti ne rabiš bruteforce-a oz. vsa silna zaščita pred bruteforce-om ne pomaga prav veliko.

Skratka.... če si pameten, ne boš mahal z 500-taki okol in onemogočil WPS.

Presneto podobna zgodba kot z UPNP... kao 'olajša življenje', naredi pa lahko celo štalo in začuda ni podprt na nobeni 'profi' zadevi. Le zakaj, le zakaj?

Miha 333 ::

SeMiNeSanja je izjavil:


Presneto podobna zgodba kot z UPNP... kao 'olajša življenje', naredi pa lahko celo štalo in začuda ni podprt na nobeni 'profi' zadevi. Le zakaj, le zakaj?

Se ve zakaj. Ker velika večina domačih in tudi poslovnih uporabnikov noče imet opravka z nastavljanjem, gesli itd., ampak želijo, da ko zadevo prinesejo iz trgovine, jo prižgejo in dela. Ko jim razložiš zakaj ne gre tako enostavno, se čudijo, kako da ob vsem silnem napredku to še ni tako.

MrStein ::

Torej... noben ne sprejme izziva? Se mi je zdelo.

AP bom dal na javno mesto. Prvi, ki se poveže dobi petstotaka. Samo tu objavi neki detajl, recimo IP naslov AP-ja.
Info o lokaciji sledi.

(pa vdor mora biti seveda preko WPS, ponovljiv)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Pa ne vem zakaj omenjate PIN, jaz govorim o varnem sistemu, WPS PBC.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

starfotr je izjavil:


Ko bi pa bilo treba pljunit 500tko, bi pa stisnil prpo.

Pa so res stisnili prpo. No, se vsaj lahko vrnemo na temo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

predi ::

Jaz v teh pravilih ne vidim ničesar, kar bi terjalo specifično implementacijo v informacijskem sistemu. Teh pravil se morajo držati uporabniki sistema, ne sistem sam. Če to ni očitno iz citiranega odstavka, poglej naslednjega in nato tudi sledeče odstavke.

(2) Uporabniki ne smejo uporabljati istih gesel za službeno in zasebno uporabo.

Skratka, največ boš naredil, če ta pravila izpostaviš na vidnem mestu, tam kjer uporabniki nastavljajo gesla, več kot preverjanja dolžine in pogojev, ki jih lahko preveriš s pomočjo hasha gesla pa jaz na tvojem mestu ne bi zagotavljal, ker je tam preveč prostora za napake v implementaciji. V glavnem, KISS.

Phantomeye ::

Zgleda, da bom tokrat prvi:



Sicer pa NAJSLABŠE, kar lahko narediš pa je, da uporabnika prisliš v intervalno menjavo gesel.

Potem se zgodi, da si začnejo ljudje pisat listke z gesli in jih dajat v predal ali na monitor.

Ker točno to počnejo 55 letni uradniki v javni upravi pa še kje drugod.

Zanimiv članek na to temo:

https://www.ftc.gov/news-events/blogs/t...

Zgodovina sprememb…

AndrejO ::

Vazelin je izjavil:

- vsebujejo ponavljajoče znake ali znake v zaporedju ali

Mi lahko pove zakaj je geslo
23131313154 bolj varno od
2223334444

Saj ni "bolj varno", karkoli naj bi že definicija pomenila.

Bolj varen je sistem, ki prepoveduje vnos gesla, ki je podobno drugemu, ker s tem uporabnikom omejuje možnost, da si izberejo geslo za katerega je bolj verjetno, da se pojavi v slovarčku.

Povedano po domače, tudi če zmanjšaš teoretično entropijo sistema, boš z nekaj premišljenimi omejitvami praktično otežil ugibanje gesel.

predi je izjavil:

Jaz v teh pravilih ne vidim ničesar, kar bi terjalo specifično implementacijo v informacijskem sistemu. Teh pravil se morajo držati uporabniki sistema, ne sistem sam. Če to ni očitno iz citiranega odstavka, poglej naslednjega in nato tudi sledeče odstavke.

"Specifična implementacija" je to, da sistem uporabnike prisili v izpolnjevanje predpisane varnostne politike. To, da se uporabnike poprosi, da dajo častno pionirsko, da se bodo držali varnostne politike, pri revizijah običajno ne zdrži.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SMS Žeton NKBM in "Varno" geslo

Oddelek: Loža		497037 (5144) SeMiNeSanja
»

WPS brez WPSja

Oddelek: Omrežja in internet		173576 (3139) Lonsarg
»

Router Security

Oddelek: Pomoč in nasveti		368437 (7843) Route66
»

Anketa: Uporaba brezžičnih omrežij

Oddelek: Loža		385158 (4423) Yacked2
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost		8017778 (14456) BaToCarx

Več podobnih tem