Vlákno názorů k článku Lámání hesel v praxi (1.) od hybo - reseni pro heslovani a sifrovani: pro pristup do PC...

reseni pro heslovani a sifrovani:

pro pristup do PC uzivam heslo z 20 znaku (a,A,#) nahodne vygenerovane...je ulozene v tokenu Safenet iKey2032, k nemu se samozrejme dostanu po zadani PINu...v principu mi ale nevadi, kdyz se i do Windows nekdo dostane, protoze samotna data (data, posta, online komunikace, ucetnictvi ...) jsou ulozeny na sifrovanem disku (vse je na nej presmerovano), pro hesla je pouzity 256b hash , samotne online sifrovani je TripleBlowfish 1344b. Pouzite mam 4 hesla o delce 20znaku (a,A,#) nahodne generovane, pristup v tom samem iKey tokenu a pro pristup k nim zase PIN...toto reseni samozrejme znamena mensi rychlost prace s daty (sifrovani snizuje datovej tok), ale zase vim, ze se nemusim bat jak odchytnuti hesla z klavesnice, tak z monitoru, nebo prolomeni samotne ochrany klicu, nebo zasifrovaneho kontejneru)...nejvetsi slabina vsech beznych sifrovani a heslovani pristupu je to, ze jsou sifrovana jen pod systemem, jakmile je chcete nekam archivovat, tak jsou zase otevrena, pokud samozrejme nepouzijete jinou ochranu (proc se mam snazit prolomit ochranu v PC, kdyz si vedle pc vemu zalozni media?)...reseni, pro ktere uzivam produkt Securstar DriveCrypt mi poskytuje krom bezne ochrany i ochranu pri archivaci, pripadne zasilani dat nekam jinam, kdy data jdou jednou cestou a pristup muzu zaslat jinou...samozrejme, reseni ma i nevyhodu a to, ze kdyz prijdu o token a nemam k dispozici hesla, jsou data ztracena...pri snaze zautocit na moje data potrebuje utocnik bud muj token a PIN (token samozrejme ma ochranu na pocet spatnych zadani),coz me stavi do ulohy napadnutelne osoby, nebo ty 4x20 mistny hesla, ktera si ani ja nepamatuji...to uz je ale pak otazka, jaka zalozni a doplnujici reseni uzivam, zalozni token, pripadne puvodni helsa v otevrenem ci jinem formatu ulozena na bezpecnem miste (trezor, banka, duveryhodna osoba) nebo jina reseni...proti pristupu k datum pri pripojeni k systemu jsem chranen firewallem jak na PC, tak routeru, zadne bezne ani systemove sdileni virtualniho disku...v pripade potreby muzu kontejner uz pri vytvareni skryt do WAV souboru s hudbou..v pripade podezreni na zasah do dat, pripadne stahovani je muzu behem par sekund odpojit od systemu...

problem s uzivanim jmen a hesel:
dalsi problem, ktery se casto vyskytne neni ani tak v tom, jake heslo si uzivatel zvolil, ale to, ze jej pouziva pro sriptu k dalsim 20sluzbam....mam osobni zkusenost, kdy kolega uzival jedno heslo pro X sluzeb (z toho nekolik zabezpecovalo bankovni informace pro prijem slusne castky penez) a i do diskuznich a informacnich webu...zhodou okolnosti muj kamarad byl provozovatelem jednoho z nich, napadlo ho zkusit jmeno a heslo do tech dalsich systemu a ono fungovalo...dal mi vedet a ja rychle upozornil kolegu...jelikoz tyhle informace jsou bezne "nekontrolovane", tak stacilo, aby po prihlaseni kamarad zmenil adresni ucet a mohl dosti dlouho dobu prijimat platby, samozrejme idealne na ucet, ktery nevede k nemu, kdyby se zjistilo, ze nam nechodi penize (coz by v te dobe trvalo par mesicu)....

Hej, to je vsechno fajn. Single-password-login atd., vsechno na tokenu. Jenze co kdyz se token rozbije, mate nejakou "key-recovery" strategii, tj. managementu tech tokenu?

Obetovat vykon pri ukladani za sifrovani se take vyplati jen nekdy.

jak jsem psal, moznosti je nekolik a je na kazdem, co zvoli, jestli duplikaci tokenu (treba levnejsi verze), nebo hesla nekde bezpecne ulozena...kazdopadne mi nejsou zname cesty, jak v pripade ztraty klice i hesel prijit k datum, coz na jedne strane jak pisu je neco, co muze uzivatelum dat pocit ztrachu, na srane druhe, jsem si toho vedom a to, co cinim cinim s ohledem na tuto zkutecnost...proto je samozrejme v priapde nasazeni potrebna strategie, manegement, nebo policy, jak tomu rikame je nepodstatne...mit technologicke moznosti neni vse, musime i vedet, jak uzivat je uzivat a delat to pak tak (samotna vedomost jeste nestaci...)