Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.
Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem primeru se gesla ne krajšajo (truncation). Prav tako je priporočeno, da se sprejemajo vsi znaki ASCII ali celo vsi znaki Unicode.
Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.
Novice » Varnost » NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani
filip007 ::
No potem bodo končno Unicode, čas je že bil.
Trevor Philips Industries
Zgodovina sprememb…
- spremenil: filip007 ()
srus ::
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS.
Poleg 2FA preko SMS.
dr.Akula ::
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS.
Si mi obudil spomine
ni podatka
Nebomgabiksa ::
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS.
SS7, 2FA preko SMS ni ravno neka varnost...
twom ::
Nebomgabiksa je izjavil:
SS7, 2FA preko SMS ni ravno neka varnost...Klice in sms-e se da preusmerit na drugo številko.
Exploit starega protokola v telefoniji je relativno enostaven (in demonstriran)
TESKAn ::
Največjo 'hec' - teh SMSov pri SKB nismo imeli, zdej so nam jih pa sforsirali...no, vsaj skopira jih samodejno...jeben downgrade...
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
ki jo je prav v ta namen nosil s seboj.
eVro ::
Si mi obudil spomine
Še vedno je tako z geslom in še vedno so na SMS, nesposobneži nesposobni.
Šestmestni PIN ni ta velik problem, saj od uporabnikovega gesla tako ali drugače nikoli nisi mogel prav dosti pričakovati. Ampak SMS kot drugi faktor avtentikacije?!? Vodja NKBM ITja bi moral dobiti prepoved dela v branži, ne pa službe pri OTP (sklepam, ker gonijo naprej isto sranje).
Zgodovina sprememb…
- spremenil: eVro ()
TESKAn ::
Sej OTP je NKBM.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
ki jo je prav v ta namen nosil s seboj.
bm1973 ::
V moji trenutni službi imamo 3FA.
1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
Zgodovina sprememb…
- spremenilo: bm1973 ()
eVro ::
V moji trenutni službi imamo 3FA.
1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.
TESKAn ::
Sej OTP je NKBM.
Čisto nič novega nisi povedal.
Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd.
Ja, 'najboljša spletna banka' je zame kar downgrade.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
ki jo je prav v ta namen nosil s seboj.
feryz ::
Nebomgabiksa je izjavil:
SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta1842
Geslo je neveljavno. Sem ti ga popravil.
SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta_1842
eVro ::
Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd.
Ja, 'najboljša spletna banka' je zame kar downgrade.
Se strinjam. Rešitev? Težiti OTP ITju do nezavesti, pa še malo čez! So plačani za to, da tebi stvari delajo.
Zgodovina sprememb…
- spremenil: eVro ()
bm1973 ::
V moji trenutni službi imamo 3FA.
1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.
Not my problem...
So pač 3 annoying koraki, ki jih reši store password .
stara mama ::
Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.
No lepo.
Me zanima, kdaj nas bodo naši ki tako lepo zavzeto sledijo smernicam nehali posiljevati s temi 11 mestimi gesli, znaki, številkami ter posebnimi znaki, ter obvezno menjavo gesla - seveda ponavadi ravno ko odideš na dopust.
Pol pa še traja kak dan, da se sinhronizira na vse možne storitve, tist dan tud veš da bojo težave z exchangeom.
Ekologija™ in Trajnost™
bajker ::
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS.
Ja, ko je OTP pripojil SKB, so tudi mene prisili na "najnovejše varnostne standarde", ki si jih opisal.
Katastofa.
Sem jim pisal 6.9.24 glede tega in opisal točno slabo varnost, o katerih si pisal.
Do sedaj ni bilo odgovora, dam jim dva meseca, sicer menjam banko.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 46830 (33249) | Pero_SLO |
» | Spletno bančništvo in varčevalni računi.Oddelek: Omrežja in internet | 3574 (3124) | branc |
» | Apple mora zaradi nakupov virtualnih dobrin v igrah vrniti vsaj 32 milijonov dolarjevOddelek: Novice / Tožbe | 10810 (7418) | BigWhale |
» | Odkrivanje gesel ali je to možnoOddelek: Programska oprema | 5298 (4899) | willson |