» »

Varna gesla, ki to niso: ji32k7au4a83

1
2
»

SeMiNeSanja ::

MrStein je izjavil:

SeMiNeSanja je izjavil:


Poleg tega ti ni treba uporabljati Cloud baziranih password managerjev. Pri lokalnih pa mogoče ravno zaradi 'panike pred hudobnim proizvajalcem' uporabiš nekega od OpenSource password managerjev. Ti vsekakor spadajo v kategorijo proizvodov, kjer je nadzor na višji stopnji in ne bo nihče prav zlahka vanj vgradil gnilo jajce.

khm... OpenSSL... khm

Se strinjam... pomanjkljivosti sistema pregledovanja odprte kode se je treba zavedati (in jo ne glorificirati tako kot Jype&Co).
OpenSSL je pač bil en tak primer, ki bi moral biti za marsikogar (Jype&Co?) budnica, da naj se že zbudijo iz svojih mokrih sanj o neprestanem nadzoru perfektno napisane odprte kode.

A kljub temu, določene rešitve že po svoji naravi uživajo bistveno višjo pozornost. Če se ji doda še Bounty program, pa zadeve postajajo že precej bolj atraktivne, da tudi kdaj kakšen amaterski 'hacker' zapravi urico z brskanjem po izvorni kodi take rešitve.

OpenSSL je dejansko bil presenečenje celo za skeptike, ker ga uporabljajo malodane vsi resni ponudniki varnostnih rešitev - pa še ti niso preverili, kaj pravzaprav vgrajujejo v svoje rešitve. Mislim, da bi se s tem moralo končati avtomatično sklepanje, da je nekaj "bolj varno", samo zato, ker je nekdo v licenčne pogoje napisal, da je stvar "Open". Žal nam kompanija okoli Jype dokazuje ravno nasprotno. Kot da so rezistentni, da bi se iz takih primerov kaj naučili. Plašnice gor in gremo dalje. Če pa kdo kaj pisne, se ga pa združno lotimo, proglasimo za bedaka in utišamo.
J* ga, takle mamo.

Ja, določena mera skepse je vedno potrebna.

SeMiNeSanja ::

Invictus je izjavil:

Večina problemov z gesli nastopi, ker firma (njeni podizvajalci) niso sposobni implementirati Single-Sign-On.

SSO je lahko kar precejšen zalogaj že znotraj podjetja, na lastni infrastrukturi, kaj šele, da bi vključeval še Cloud in splet.
Ponekod nimajo ne AD, LDAP ali Radius ali karkoli drugega, na čemur bi sploh lahko začel graditi. To pa zadeve nikakor ne poenostavlja - sploh če stranka ne vidi potrebe, da bi investirala v kaj takega kot SSO.

c3p0 ::

thetech je izjavil:


Dejstvo je, da je geslo na papirju še najbolj varna opcija.


Najbolj varna opcija je geslo + 2FA in known devices.

Invictus ::

SeMiNeSanja je izjavil:

Invictus je izjavil:

Večina problemov z gesli nastopi, ker firma (njeni podizvajalci) niso sposobni implementirati Single-Sign-On.

SSO je lahko kar precejšen zalogaj že znotraj podjetja, na lastni infrastrukturi, kaj šele, da bi vključeval še Cloud in splet.
Ponekod nimajo ne AD, LDAP ali Radius ali karkoli drugega, na čemur bi sploh lahko začel graditi. To pa zadeve nikakor ne poenostavlja - sploh če stranka ne vidi potrebe, da bi investirala v kaj takega kot SSO.

Precejšen zalogaj je predvsem zaradi tega, ker nimajo osnov urjenih, in ker je večina ostalih izvajalcev nesposobna...

Praktično vsak middleware danes podpira nek AD, tako da je razlog nesposobnosti večinoma pri uporabnikih in/ali izvajalcih.

Pač nikomur se ne da ukvarjati s pravicami uporabnikov, dokler ne pride do štale...

Ponavadi z reazlogov... SE NE DA... kar ponavadi pomeni... NE ZNAMO...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

Mr.B ::

No,
Koliko sodelujočih v tej temi, ki uporablja Chrom, ima up to date verzijo. Potem pa govorite o varnosti. Ne rabim vedeti tvojega uporabniškega imena + gesla + MFA tokna.
Voljeno telo ogledalo volilnega telesa.

imagodei ::

GrX je izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Se pa strinjam, da so težave pri passwordih drugje kot običajno mislijo ljudje. Oddaljeni brute force na (ustrezno skonfiguriran) računalnik ali spletno storitev ni nek problem, ker ti po nekaj napačnih poskusih ali zablokirajo prijavo, ali pa na nek način otežijo poskušanje (recimo 30 sekundni delayi med poskusi, 10 minut onemogočena prijava...) Če napadalec nima dostopa npr. do hash fajla, so ocene o tem, koliko hitro lahko hekerji dandanes z ultrahitrimi računalniki in ultrahitrimi GPU-ji pogruntajo geslo, za več magnitud preveč optimistične.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...
- Hoc est qui sumus -

SeMiNeSanja ::

Mr.B je izjavil:

No,
Koliko sodelujočih v tej temi, ki uporablja Chrom, ima up to date verzijo. Potem pa govorite o varnosti. Ne rabim vedeti tvojega uporabniškega imena + gesla + MFA tokna.

Jaz prvenstveno uporabljam večno buggy Firefox Nightly.....
Včasih prav najeda, ko ti po 3x na dan teži z novo posodobitvijo.

imagodei ::

thetech je izjavil:

Pa dajte že mir z nekimi profesionalci in administratorji. Niso vsi uporabniki spleta podjetniki, še manj pa administratorji.

Ja sam tle si na strani slo-tech, ne na slo-hec. Je pa pač pričakovano, da bodo ob novici, ki se tiče varnosti, v temo postali tudi "administratorji".
- Hoc est qui sumus -

SeMiNeSanja ::

imagodei je izjavil:

GrX je izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Se pa strinjam, da so težave pri passwordih drugje kot običajno mislijo ljudje. Oddaljeni brute force na (ustrezno skonfiguriran) računalnik ali spletno storitev ni nek problem, ker ti po nekaj napačnih poskusih ali zablokirajo prijavo, ali pa na nek način otežijo poskušanje (recimo 30 sekundni delayi med poskusi, 10 minut onemogočena prijava...) Če napadalec nima dostopa npr. do hash fajla, so ocene o tem, koliko hitro lahko hekerji dandanes z ultrahitrimi računalniki in ultrahitrimi GPU-ji pogruntajo geslo, za več magnitud preveč optimistične.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...

Se je pa treba zavedati, da je kvazi neuspešen bruteforce na neko spletišče lahko povsem nekaj drugega: DOS 'napad'.

Recimo, da Janezu najeda, ker Mojca neprestano visi na Facebook.
Ker ji drugače ne more preprečiti, se gre igrati z njeno prijavo. Poskusi 10 napačnih gesel....oz. kolikor jih je treba,da pride do account lockout-a in se hihita, ko Mojca peni na drugem koncu sobe.

Če je v tem primeru stvar še do neke mere zabavna, pa ima tak zaklep accounta lahko tudi veliko hujše razsežnosti.
Recimo, da ima podjetje izpostavljen RDP proti internetu (že samo po sebi fail), pa da nekdo zgolj pusti skripto, katera 'preveri' vsa 'javno znana' uporabniška imena (vir LinkedIn, spletna stran podjetja,..), v kombinaciji z njimi pa 'standardna gesla'.
Verjetnost, da napadalec na tak način 'vstopi' v podjetje je razmeroma majhna, vendar obstaja. Veliko večja pa je verjetnost, da bo za seboj pustil pravo opustošenje zaklenjenih accountov, ki bo adminu dalo kar nekaj ur dela, predenje ga razčisti.
Naslednji dan pa jovo na novo...dokler se ne naučijo, da se RDP ne pušča direktno dostopenega preko interneta.

GrX ::

imagodei je izjavil:

GrX je izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...


Random gesla si res ne boš zapomnil, lahko pa si nekaj kar se tiče tvojega življenja. Denimo prva ženska: !19?Maya(_)Novak!90?, prvi avto: #YugoKoral(_)!93!# Precej hitro in enostavno in ja na ta način si jih jaz osebno zapomnim...

Zgodovina sprememb…

  • spremenilo: GrX ()

Matthai ::

thetech je izjavil:

SeMiNeSanja je izjavil:

thetech je izjavil:

Preberi članek še enkrat,mogoče boš potem razumel o čem je govora.. No, upam..

Moj odgovor se ni nanašal na članek, temveč na tvojo trditev, da je geslo na papirju še najbolj varno.....

No, jaz pa sem se nanašal na članek.. Svoja gesla za bančne storitve pač ne bom pošiljal v password managerje. Ti pa kar...

Ker ne razumeš kako ti password managerji delujejo. In jjim posledično ne zaupaš.

Jaz imam več 100 gesel in PIN-ov, vsako drugačno, in vseh ne morem vedeti na pamet.

Plus, če se mi kaj zgodi, lahko ta gesla uporabi eden izmed bližnjih/kolegov.
All those moments will be lost in time, like tears in rain...
Time to die.

thetech ::

Matthai je izjavil:

thetech je izjavil:

SeMiNeSanja je izjavil:

thetech je izjavil:

Preberi članek še enkrat,mogoče boš potem razumel o čem je govora.. No, upam..

Moj odgovor se ni nanašal na članek, temveč na tvojo trditev, da je geslo na papirju še najbolj varno.....

No, jaz pa sem se nanašal na članek.. Svoja gesla za bančne storitve pač ne bom pošiljal v password managerje. Ti pa kar...

Ker ne razumeš kako ti password managerji delujejo. In jjim posledično ne zaupaš.

Jaz imam več 100 gesel in PIN-ov, vsako drugačno, in vseh ne morem vedeti na pamet.

Plus, če se mi kaj zgodi, lahko ta gesla uporabi eden izmed bližnjih/kolegov.


Kot sem že napisal večino gesel imam v password managerju, ne pa tudi pomembna gesla. Teh je recimo 10. Ja mogoče sem starokopiten, nič ne rečem.

imagodei ::

GrX je izjavil:

imagodei je izjavil:

GrX je izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...


Random gesla si res ne boš zapomnil, lahko pa si nekaj kar se tiče tvojega življenja. Denimo prva ženska: !19?Maya(_)Novak!90?, prvi avto: #YugoKoral(_)!93!# Precej hitro in enostavno in ja na ta način si jih jaz osebno zapomnim...

Prvič, govorim o random geslih, že od prvega posta dalje. Tle gor je bilo precej govora o pismenosti ... Očitno, če ne uporabljaš random gesel in se jih lahko zapomniš, to ni bilo namenjeno tebi.

Drugič, še vedno si moraš zapomnit, kateri spešl znak uporabljaš - razen če imaš isti template za vse. Ako imaš, well done. Če uporabljaš različne posebne znake, za 5 strani, se ti hitro naredi, da 3x narobe vtipkaš. Ni tragedija, je pa zoprno. In če se ti to pogosto dogaja, zna bit, da boš geslo zapisal.

Jaz samo pravim, da če zapišeš geslo, ki si ga ne moreš zapomnit, je bolje, da ga zapišeš v password manager, ki je open source in stalno preverjan. Ali pa si izbereš rešitev kot je https://www.passwordcard.org/en
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

SeMiNeSanja ::

Šmenta, ker se ne spomnim več, kje sem zadnjič bral en članek, ki je govoril o kompleksnosti gesel.

Ali ni bilo ravna na S-T nekaj govora (in dokazovanja) o tem, da je geslo "V Ponedeljek peljem Mojco že 3. na Morje" ali "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan" bolj varno oz. težje za razbiti, kakor pa geslo "Zg4AQG9CxG"? Če ni bilo na S-t, pa sem ta članek bral nekje drugje....

Nihče na svetu ne bo delal tabele za 30+ znakov (tudi NSA ne), slovenskih besed v dictionary-ju rusa, kitajca ali korejca tudi ni ravno za pričakovati.
Poanta članka pa je bila, da tudi ČE imaš najbolj popolni slovenski (ali drugi)dictionary, da bo tako geslo še vedno za nevem koliko razredov bolj varno od enakega števila random znakov, kot imaš besed - besed v nekem jeziku je namreč bistveno več, kot je možnih znakov v kateremkoli naboru...

Istočasno pa je tako geslo otročje lahko za zapomniti - celo nekomu starejšemu, ki ga že precej matra skleroza.
Edina težava, na katero lahko naletiš je kakšen butast sistem, ki ti zavrne geslo, ker je predolgo.... shit happens.

Zgodovina sprememb…

imagodei ::

Ja, občasni problem teh dolgih fraz (Passphrase) je ta, da jih je včasih blazno zoprno tipkat. Recimo, če ima podjetje pravilnik, da se računalnik zaklene po 5 minutah neaktivnosti. Uporabniku se strga, če bi moral "V Ponedeljek peljem Mojco že 3. na Morje" pisat 5x na uro, ker zraven ureja še ene papirje. Že krajša gesla so problem, večina ljudi ne zna natipkat 20 znakov ne da bi se pri tem 2x zmotila... Res je, če se prijaviš na eBay in opraviš nakup, je tako geslo čist kul. Če si pa nekje na javnem računalniku, pa vsake pol ure preveriš, a je kdo kaj novega napisal na slo-tech, boš pa hitro dobil živčni zlom, če boš vsakokrat moral najprej napisat "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan".

Vsaka oblika gesel ima svoje prednosti in slabosti. Večinoma pa lih neke hude groze ni, če ima navadni uporabnik svoje domače omrežje strokovno skonfigurirano in neko semi-težko geslo na računalniku, skupno rabo nastavljeno samo v domačem omrežju in zavarovano z geslom... Pa če mal pomisli, ko klika po spletnih straneh in linkih v pošti. Script-kiddiji iščejo lahke tarče, je dovolj takih, ki uporabljajo Windows XP, nimajo gesla, na routerju WEP in default geslo za administratorja. Drugo je, če se kdo nalašč nate spravi. V tem primeru pa tudi ni izključeno, da ti bo vlomil domov, medtem ko boš v službi, pa pogledal gesla, ki jih imaš zapisana pod tipkovnico.

Je pač treba mal s pametjo. Geslo za Paypal bo nemara bolj komplicirano kot geslo za Slo-tech. :) Ali pa, kjer to omogočajo, uporabljaš MFA.
- Hoc est qui sumus -

SeMiNeSanja ::

Kako že rečejo pravniki.... zadeva mora biti 'SORAZMERNA'.

Nekako pač moraš vedeti, kako pravilno kategorizirati sistem, v katerega se prijavljaš. Ali zanj potrebuješ geslo, ki ga niti NSA ne bo zlomila, ali je dovolj dobro geslo, ki je celo enako uporabniškemu imenu in ga lahko vsakdo ugane (ne da bi promoviral tako prakso, toda ponekod dejansko popolnoma brez potrebe zahtevajo neko registracijo).

Drugače pa moj Windows Login z pomočjo AuthPoint MFA preživi tudi geslo v smislu "V Ponedeljek peljem Mojco že 3. na Morje", ker na 'varnem' omrežju opravim prijavo z drugim faktorjem, gesla pa mi sploh ni treba vnašati. Potem se ne sekiraš kaj dosti, če se ti računalnik zaklene po treh minutah neuporabe (dejansko se mi...).
Postane pa lahko sitno, če preko AD/LDAP in Radius tako dolgo geslo uporabljaš na nekih sistemih, ki ne podpirajo SSO in/ali MFA... saj se tam ne boš mogel izogniti tipkanju 1/2m gesla....

Ampak ja... stvari je treba uravnotežiti. Pretiravanje, da potem ljudje iščejo druge bližnice je vsekakor kontraproduktivno.

MrStein ::

c3p0 je izjavil:

thetech je izjavil:


Dejstvo je, da je geslo na papirju še najbolj varna opcija.


Najbolj varna opcija je geslo + 2FA in known devices.

X.509 master race!!!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Oberyn ::

SeMiNeSanja je izjavil:

Šmenta, ker se ne spomnim več, kje sem zadnjič bral en članek, ki je govoril o kompleksnosti gesel.
Ali ni bilo ravna na S-T nekaj govora (in dokazovanja) o tem, da je geslo "V Ponedeljek peljem Mojco že 3. na Morje" ali "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan" bolj varno oz. težje za razbiti, kakor pa geslo "Zg4AQG9CxG"? Če ni bilo na S-t, pa sem ta članek bral nekje drugje....

Jaz se tudi spomnim ene take teme, tu na st je bila. Kolikor sem si zapomnil, gesla v obliki smiselnih stavkov niso varna. Dictionary napadi so izjemno sofisticirani, niti slovenščina te ne reši pred njimi. Bolje se obnesejo nesmiselna zaporedja besed, kar si je še vedno lažje zapomniti kot naključne nize. Vendar mora biti zaporedje zelo skrbno izbrano. Zanimiva rešitev je Diceware Passphrase. Potrebujemo samo igralno kocko in njihov predpripravljen seznam besed.

Kaboom ::

https://bitwarden.com/

100% Open Source + sam lahko hostas svoj cloud :)
Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.

SeMiNeSanja ::

Oberyn je izjavil:

SeMiNeSanja je izjavil:

Šmenta, ker se ne spomnim več, kje sem zadnjič bral en članek, ki je govoril o kompleksnosti gesel.
Ali ni bilo ravna na S-T nekaj govora (in dokazovanja) o tem, da je geslo "V Ponedeljek peljem Mojco že 3. na Morje" ali "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan" bolj varno oz. težje za razbiti, kakor pa geslo "Zg4AQG9CxG"? Če ni bilo na S-t, pa sem ta članek bral nekje drugje....

Jaz se tudi spomnim ene take teme, tu na st je bila. Kolikor sem si zapomnil, gesla v obliki smiselnih stavkov niso varna. Dictionary napadi so izjemno sofisticirani, niti slovenščina te ne reši pred njimi. Bolje se obnesejo nesmiselna zaporedja besed, kar si je še vedno lažje zapomniti kot naključne nize. Vendar mora biti zaporedje zelo skrbno izbrano. Zanimiva rešitev je Diceware Passphrase. Potrebujemo samo igralno kocko in njihov predpripravljen seznam besed.

V bistvu si narobe razumel. Stvar je ravno obratna.
Besed je neskončno več, kakor je znakov.
Čim znak nadomestiš z besedo (da ima geslo namesto 10 znakov 10 besed), si samo geslo naredil bistveno močnejše - četudi bi imel vse uporabljene besede v svojem slovarju - pogoj je seveda, da je ta po obsegu večji, kot je število razpoložljivih znakov - kar pa je že takointako osnovna značilnost vsakega slovarja.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost
5910768 (4577) MrStein
»

Razkritih 80 milijonov gesel

Oddelek: Novice / Varnost
319707 (3593) slothec
»

Keylogger

Oddelek: Informacijska varnost
121024 (728) MrStein
»

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

Oddelek: Novice / Varnost
346420 (3099) njyngs
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
94513 (3323) Phantomeye

Več podobnih tem