» »

NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani

NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani

Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.

Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem primeru se gesla ne krajšajo (truncation). Prav tako je priporočeno, da se sprejemajo vsi znaki ASCII ali celo vsi znaki Unicode.

Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.

34 komentarjev

filip007 ::

No potem bodo končno Unicode, čas je že bil.
Trevor Philips Industries

Zgodovina sprememb…

  • spremenil: filip007 ()

srus ::

No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.

Poleg 2FA preko SMS. :P

dr.Akula ::

srus je izjavil:

No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.

Poleg 2FA preko SMS. :P

Si mi obudil spomine :D
ni podatka

Nebomgabiksa ::

srus je izjavil:

No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS. :P

SS7, 2FA preko SMS ni ravno neka varnost...

twom ::

Nebomgabiksa je izjavil:

SS7, 2FA preko SMS ni ravno neka varnost...
Klice in sms-e se da preusmerit na drugo številko.

Exploit starega protokola v telefoniji je relativno enostaven (in demonstriran)

DamijanD ::

zakaj pa misliš, da ima smajli tam pri omembi SMSa ?

TESKAn ::

Največjo 'hec' - teh SMSov pri SKB nismo imeli, zdej so nam jih pa sforsirali...no, vsaj skopira jih samodejno...jeben downgrade...
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

eVro ::

dr.Akula je izjavil:

Si mi obudil spomine :D


Še vedno je tako z geslom in še vedno so na SMS, nesposobneži nesposobni.

Šestmestni PIN ni ta velik problem, saj od uporabnikovega gesla tako ali drugače nikoli nisi mogel prav dosti pričakovati. Ampak SMS kot drugi faktor avtentikacije?!? Vodja NKBM ITja bi moral dobiti prepoved dela v branži, ne pa službe pri OTP (sklepam, ker gonijo naprej isto sranje).

Zgodovina sprememb…

  • spremenil: eVro ()

TESKAn ::

Sej OTP je NKBM.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

eVro ::

TESKAn je izjavil:

Sej OTP je NKBM.


Čisto nič novega nisi povedal.

bm1973 ::

V moji trenutni službi imamo 3FA.

1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.

Hvala bogu za KeePass in Password storage v browserjih...

Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...

Zgodovina sprememb…

  • spremenilo: bm1973 ()

Nebomgabiksa ::

SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta1842

:D

eVro ::

bm1973 je izjavil:

V moji trenutni službi imamo 3FA.

1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.

Hvala bogu za KeePass in Password storage v browserjih...

Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...


Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.

TESKAn ::

eVro je izjavil:

TESKAn je izjavil:

Sej OTP je NKBM.


Čisto nič novega nisi povedal.

Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd.
Ja, 'najboljša spletna banka' je zame kar downgrade.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

feryz ::

Nebomgabiksa je izjavil:

SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta1842:D

Geslo je neveljavno. Sem ti ga popravil.
SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta_1842

eVro ::

TESKAn je izjavil:

Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd.
Ja, 'najboljša spletna banka' je zame kar downgrade.


Se strinjam. Rešitev? Težiti OTP ITju do nezavesti, pa še malo čez! So plačani za to, da tebi stvari delajo.

Zgodovina sprememb…

  • spremenil: eVro ()

bm1973 ::

eVro je izjavil:

bm1973 je izjavil:

V moji trenutni službi imamo 3FA.

1. Username/password
2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon
3. Še 1x vtipkat samo password.

Hvala bogu za KeePass in Password storage v browserjih...

Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...


Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.

Not my problem...

So pač 3 annoying koraki, ki jih reši store password :D.

stara mama ::

Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.

No lepo.
Me zanima, kdaj nas bodo naši ki tako lepo zavzeto sledijo smernicam nehali posiljevati s temi 11 mestimi gesli, znaki, številkami ter posebnimi znaki, ter obvezno menjavo gesla - seveda ponavadi ravno ko odideš na dopust.
Pol pa še traja kak dan, da se sinhronizira na vse možne storitve, tist dan tud veš da bojo težave z exchangeom.
Ekologija™ in Trajnost™

bajker ::

srus je izjavil:

No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.

Poleg 2FA preko SMS. :P

Ja, ko je OTP pripojil SKB, so tudi mene prisili na "najnovejše varnostne standarde", ki si jih opisal.
Katastofa.
Sem jim pisal 6.9.24 glede tega in opisal točno slabo varnost, o katerih si pisal.
Do sedaj ni bilo odgovora, dam jim dva meseca, sicer menjam banko.

bajker ::

BTW, a lahko kdo priporoči kako (našo) banko, ki varnost jemlje resno?

Zgodovina sprememb…

  • spremenilo: bajker ()

predi ::

Kakšen mesec nazaj sem v Celju porabil 15 minut, da sem si zrihtal account za njihovo Centralko (parkirnina), ker mi je zavračalo vsa gesla, ki jih je ustvaril moj password manager. Potrebno je bilo zmanjšat entropijo generatorja, da je končno nekaj šlo čez. Potem pa mi je še add block preprečil odprtje linka za potrjevanje te registracije preko e-maila. Super izkušnja.

Utk ::

Nimajo tam easyparka?

predi ::

Na avtomatu je pisalo, da je plačilo možno samo s kovanci (ki jih nisem imel) ter s Centralko.

V glavnem, bistveno je to, da so njihovi "varnostni mehanizmi" omejevali moje zaradi bedarij povezanih s tem kar piše v članku.

energetik ::

Končno. Vprašanje je zdaj samo, kdo in kdaj bo to implementiral.
Največja bedarija je omejevanje dolžin in zahteva za posebne znake, kar onemogoča uporabo preprostih passphrasov (vsak pozna "correct horse battery staple").

Prav tako je povsem enako varno je tudi geslo iz samih malih črk, lahko celo iz samih številk ali celo samo iz 0 in 1, seveda ustreznih dolžin.

Nebomgabiksa je izjavil:

SajDolgoGesloNiNujnoTežkoZaZapomnitRojenimLeta1842

:D
Je dolgo, ni pa tako varno, saj ni random.

Sicer pa: :))

vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

jan_g ::

Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.

energetik ::

jan_g je izjavil:

Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.
Jasno se uporabi password manager, ampak vsak si lahko zapomni gesla, daljša od 12 znakov, če se ne pogojuje raznih glupih omejitev.
Ta so vsa daljša od 15 znakov, zagotovljeno imajo entropijo ~40bitov, zapomni si jih vsak v 1 minuti:

fit current round
shelter float deal
arise away unit
they officer hook
...
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

jan_g ::

energetik je izjavil:

jan_g je izjavil:

Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.
Jasno se uporabi password manager, ampak vsak si lahko zapomni gesla, daljša od 12 znakov, če se ne pogojuje raznih glupih omejitev.
Ta so vsa daljša od 15 znakov, zagotovljeno imajo entropijo ~40bitov, zapomni si jih vsak v 1 minuti:

fit current round
shelter float deal
arise away unit
they officer hook
...


Ja, jasno, ampak ko imaš več raznoraznih aplikacij in dashboardov, pozabiš tudi taka, ali jih vsaj pomešaš. Nekateri uporabniki so šli v drugo skrajnost: gesla si sploh nikoli ne zapomnijo, temveč vsakič, ko morajo dostopati do sistema, uporabijo funkcijo "Forgot password".

nokken ::

TESKAn je izjavil:

Največjo 'hec' - teh SMSov pri SKB nismo imeli, zdej so nam jih pa sforsirali...no, vsaj skopira jih samodejno...jeben downgrade...

Ja ti sms-i so res upgrade kar se tice varnosti od prejsnega SKB na sedanji OTP. Vzamem tvoj telefon, kliknem OTP banko, izvedem placilo in za "varnost" dobim sms na ta telefon, ki se samodejno vpise v polje. Tistega genija, ki si je pri OTP/NKBM (pri SKB sigurno ne, ker prej tega niso imeli) spomnil, bi bilo prav fino predlagati za kaksno nagrado s podrocja informacijske varnosti :))

1fris ::

bm1973 je izjavil:



Hvala bogu za KeePass in Password storage v browserjih...

Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...


KeePass zmaga ! :)

Oberyn ::

TESKAn je izjavil:

Sej OTP je NKBM.

What ???
Dajmo rečt bobu bob. OTP je največja madžarska banka in je prevzela (kupila) obe omenjeni slovenski banki. Obe slovenski banki sta torej kot podjetji propadli in prenehali poslovati.
Iz wikipedie:

OTP Bank Group is the largest commercial bank of Hungary and one of the largest independent financial service providers in Central and Eastern Europe, with banking services for private individuals and corporate clients. The OTP Group comprises subsidiaries in the field of insurance, real estate, factoring, leasing and asset management, investment and pension funds. Besides Hungary, OTP Group operates in 11 countries of the region via its subsidiaries: in Albania (Banka OTP Albania SHA), in Bulgaria (DSK Bank), in Croatia (OTP banka d.d.), in Romania (OTP Bank Romania), in Serbia (OTP Banka Srbija), in Slovenia (Nova KBM d.d. and SKB d.d.), in Ukraine (OTP Bank JSC), in Moldova (OTP Bank S.A.), in Montenegro (Crnogorska komercijalna banka), in Russia (OAO OTP Bank), and in Uzbekistan (JSCMB Ipoteka Bank).[3]
As of 2018, OTP Group had more than 36,000 employees, 13 million clients, and over 1,500 branches.[4] OTP is the largest commercial bank in Hungary with over 25% market share.

TESKAn ::

No, če gledam s stališča 'končnega uporabnika', je OTP NKBM z zeleno preobleko - imamo nkbm aplikacije, nkbm SI56 številko računa itd.

Ja, vem da so v ozadju madžari. Ampak s stališča SKB komitenta je ta 'združitev' kot da bi šel na nkbm.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Ales ::

Oberyn je izjavil:

TESKAn je izjavil:

Sej OTP je NKBM.

What ???
Dajmo rečt bobu bob. OTP je največja madžarska banka in je prevzela (kupila) obe omenjeni slovenski banki. ...

Point je verjetno, da je nova OTP banka prevzela informacijske sisteme NKB in vanje združila komitente bivše SKB. Vsaj tako se zdi.

In zdi se, da je to po marsičem korak nazaj...

Matko ::

Oberyn je izjavil:

TESKAn je izjavil:

Sej OTP je NKBM.

What ???
Dajmo rečt bobu bob. OTP je največja madžarska banka in je prevzela (kupila) obe omenjeni slovenski banki. Obe slovenski banki sta torej kot podjetji propadli in prenehali poslovati.
Iz wikipedie:

OTP Bank Group is the largest commercial bank of Hungary and one of the largest independent financial service providers in Central and Eastern Europe, with banking services for private individuals and corporate clients. The OTP Group comprises subsidiaries in the field of insurance, real estate, factoring, leasing and asset management, investment and pension funds. Besides Hungary, OTP Group operates in 11 countries of the region via its subsidiaries: in Albania (Banka OTP Albania SHA), in Bulgaria (DSK Bank), in Croatia (OTP banka d.d.), in Romania (OTP Bank Romania), in Serbia (OTP Banka Srbija), in Slovenia (Nova KBM d.d. and SKB d.d.), in Ukraine (OTP Bank JSC), in Moldova (OTP Bank S.A.), in Montenegro (Crnogorska komercijalna banka), in Russia (OAO OTP Bank), and in Uzbekistan (JSCMB Ipoteka Bank).[3]
As of 2018, OTP Group had more than 36,000 employees, 13 million clients, and over 1,500 branches.[4] OTP is the largest commercial bank in Hungary with over 25% market share.


Pusti Wiki ePP.
Poglej v Ajpes


vsebina vpisa
Vpiše se pripojitev po Pogodbi o pripojitvi, v notarskem zapisu notarja Mira Košaka, opr. št. SV 504/2024 z dne 18.03.2024, na podlagi katere se k družbi kot prevzemni družbi pripoji prevzeta družba SKB BANKA D.D. LJUBLJANA, s skrajšano firmo SKB d.d., s poslovnim naslovom Ajdovščina 4, 1000 Ljubljana, matična št. 5026237000, ki zaradi izvedbe pripojitve preneha.


Točno ti je napisal:
Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd.
Ja, 'najboljša spletna banka' je zame kar downgrade.

Zgodovina sprememb…

  • spremenil: Matko ()

Matko ::


Dolgo ime PRS
OTP banka d.d.

Pretekla imena:
NOVA KREDITNA BANKA MARIBOR d.d.


Datum zadnje spremembe poslovnega subjekta
23. 08. 2024
Zadnja sprememba poslovnega subjekta
Sprememba firme (imena) in/ali skrajšane firme in sprememba sedeža in/ali naslova


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NIST: Posebni znaki in obvezno menjanje gesel nepotrebni in prepovedani

Oddelek: Novice / Varnost
344380 (2549) Matko
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648159 (34578) Pero_SLO
»

Spletno bančništvo in varčevalni računi.

Oddelek: Omrežja in internet
173659 (3209) branc
»

Apple mora zaradi nakupov virtualnih dobrin v igrah vrniti vsaj 32 milijonov dolarjev

Oddelek: Novice / Tožbe
2010947 (7555) BigWhale
»

Odkrivanje gesel ali je to možno

Oddelek: Programska oprema
145359 (4960) willson

Več podobnih tem