Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.
Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem primeru se gesla ne krajšajo (truncation). Prav tako je priporočeno, da se sprejemajo vsi znaki ASCII ali celo vsi znaki Unicode.
Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati. Poleg 2FA preko SMS.
Še vedno je tako z geslom in še vedno so na SMS, nesposobneži nesposobni.
Šestmestni PIN ni ta velik problem, saj od uporabnikovega gesla tako ali drugače nikoli nisi mogel prav dosti pričakovati. Ampak SMS kot drugi faktor avtentikacije?!? Vodja NKBM ITja bi moral dobiti prepoved dela v branži, ne pa službe pri OTP (sklepam, ker gonijo naprej isto sranje).
1. Username/password 2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon 3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.
Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd. Ja, 'najboljša spletna banka' je zame kar downgrade.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
Načeloma res, samo oglaševanje je bilo 'skb in kbm se združujeta v otp', ne pa 'skb bomo pripojili kbm, zavrgli vse boljše rešitve ki jih je skb imela in zadevo preimenovali v otp'. Jebiga, na kbm niti ne moreš naredit vzorca za nakazila v tujino (račun je fiksno si56...), ne moreš nastavljat posameznih limitov na kartici (skb si lahko posebej za plačila, posebej POS, posebej splet), ko spremeniš limit traja, da je sprememba izvedena (SKB je bilo takoj), ko sem na skb hotel s kreditno plačat več, kot je bil limit sem kliknil 'poplačaj kartico', nakazal kolikor je bilo treba in se je dalo plačat - nič spreminjanja limita ipd. Ja, 'najboljša spletna banka' je zame kar downgrade.
Se strinjam. Rešitev? Težiti OTP ITju do nezavesti, pa še malo čez! So plačani za to, da tebi stvari delajo.
1. Username/password 2. MS Authenticator, kjer vtipkaš geslo iz zaslona na telefon 3. Še 1x vtipkat samo password.
Hvala bogu za KeePass in Password storage v browserjih...
Da ne govorim, da je geslo taklo dolgo, da brez KeePass ni variante da si ga zapomniš...
Tudi če sta passworda različna to še zdaleč ni 3FA, pač pa bolj slabo narejen 2FA. Ki se pri web aplikaciji (govoriš o shranjevanju gesel v brskalniku) lahko zelo hitro sprevrže v 1FA, če se v aplikacijo prijaviš na napravi, kjer že teče avtentikator (telefonu ali tablici). Poglej malo pri sodelavcih če imate sploh 2FA.
Not my problem...
So pač 3 annoying koraki, ki jih reši store password .
Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.
No lepo. Me zanima, kdaj nas bodo naši ki tako lepo zavzeto sledijo smernicam nehali posiljevati s temi 11 mestimi gesli, znaki, številkami ter posebnimi znaki, ter obvezno menjavo gesla - seveda ponavadi ravno ko odideš na dopust. Pol pa še traja kak dan, da se sinhronizira na vse možne storitve, tist dan tud veš da bojo težave z exchangeom.
No lepo, torej je bil očitno NKBM že nekaj let nazaj pred časom, ko je od mene zahteval, da za dostop do on-line banke izberem točno šestmestno geslo, sestavljeno samo iz številk, ki mi ga v nekaj letih uporabe še ni bilo potrebno zamenjati.
Poleg 2FA preko SMS.
Ja, ko je OTP pripojil SKB, so tudi mene prisili na "najnovejše varnostne standarde", ki si jih opisal. Katastofa. Sem jim pisal 6.9.24 glede tega in opisal točno slabo varnost, o katerih si pisal. Do sedaj ni bilo odgovora, dam jim dva meseca, sicer menjam banko.
Kakšen mesec nazaj sem v Celju porabil 15 minut, da sem si zrihtal account za njihovo Centralko (parkirnina), ker mi je zavračalo vsa gesla, ki jih je ustvaril moj password manager. Potrebno je bilo zmanjšat entropijo generatorja, da je končno nekaj šlo čez. Potem pa mi je še add block preprečil odprtje linka za potrjevanje te registracije preko e-maila. Super izkušnja.
Končno. Vprašanje je zdaj samo, kdo in kdaj bo to implementiral. Največja bedarija je omejevanje dolžin in zahteva za posebne znake, kar onemogoča uporabo preprostih passphrasov (vsak pozna "correct horse battery staple").
Prav tako je povsem enako varno je tudi geslo iz samih malih črk, lahko celo iz samih številk ali celo samo iz 0 in 1, seveda ustreznih dolžin.
Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.
Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.
Jasno se uporabi password manager, ampak vsak si lahko zapomni gesla, daljša od 12 znakov, če se ne pogojuje raznih glupih omejitev. Ta so vsa daljša od 15 znakov, zagotovljeno imajo entropijo ~40bitov, zapomni si jih vsak v 1 minuti:
fit current round shelter float deal arise away unit they officer hook ...
Pred leti sem delal na sistemu, kjer smo implementirali samo eno zahtevo za password: mora biti daljše od 12 znakov. Na koncu ni šlo čez, ker so "uporabniki obstoječega sistema" navajeni na 6-mestna gesla z več omejitvami (en velik, en majhen, en poseben znak). In naj bi imeli težave si zapomniti 12-mestna gesla. Pustimo ob strani, da imam tudi jaz težave si zapomniti gesla, zato si jih ne zapomnim, ampak uporabim temu namenjeno orodje. Kakorkoli, na koncu narediš tako, kot želijo.
Jasno se uporabi password manager, ampak vsak si lahko zapomni gesla, daljša od 12 znakov, če se ne pogojuje raznih glupih omejitev. Ta so vsa daljša od 15 znakov, zagotovljeno imajo entropijo ~40bitov, zapomni si jih vsak v 1 minuti:
fit current round shelter float deal arise away unit they officer hook ...
Ja, jasno, ampak ko imaš več raznoraznih aplikacij in dashboardov, pozabiš tudi taka, ali jih vsaj pomešaš. Nekateri uporabniki so šli v drugo skrajnost: gesla si sploh nikoli ne zapomnijo, temveč vsakič, ko morajo dostopati do sistema, uporabijo funkcijo "Forgot password".
Največjo 'hec' - teh SMSov pri SKB nismo imeli, zdej so nam jih pa sforsirali...no, vsaj skopira jih samodejno...jeben downgrade...
Ja ti sms-i so res upgrade kar se tice varnosti od prejsnega SKB na sedanji OTP. Vzamem tvoj telefon, kliknem OTP banko, izvedem placilo in za "varnost" dobim sms na ta telefon, ki se samodejno vpise v polje. Tistega genija, ki si je pri OTP/NKBM (pri SKB sigurno ne, ker prej tega niso imeli) spomnil, bi bilo prav fino predlagati za kaksno nagrado s podrocja informacijske varnosti
What ??? Dajmo rečt bobu bob. OTP je največja madžarska banka in je prevzela (kupila) obe omenjeni slovenski banki. Obe slovenski banki sta torej kot podjetji propadli in prenehali poslovati. Iz wikipedie:
OTP Bank Group is the largest commercial bank of Hungary and one of the largest independent financial service providers in Central and Eastern Europe, with banking services for private individuals and corporate clients. The OTP Group comprises subsidiaries in the field of insurance, real estate, factoring, leasing and asset management, investment and pension funds. Besides Hungary, OTP Group operates in 11 countries of the region via its subsidiaries: in Albania (Banka OTP Albania SHA), in Bulgaria (DSK Bank), in Croatia (OTP banka d.d.), in Romania (OTP Bank Romania), in Serbia (OTP Banka Srbija), in Slovenia (Nova KBM d.d. and SKB d.d.), in Ukraine (OTP Bank JSC), in Moldova (OTP Bank S.A.), in Montenegro (Crnogorska komercijalna banka), in Russia (OAO OTP Bank), and in Uzbekistan (JSCMB Ipoteka Bank).[3] As of 2018, OTP Group had more than 36,000 employees, 13 million clients, and over 1,500 branches.[4] OTP is the largest commercial bank in Hungary with over 25% market share.
