Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od misch - s povinnou kombinací znaků jsou čistě alibismus bank....

s povinnou kombinací znaků jsou čistě alibismus bank. Někdo zjevně nedokáže pochopit, že si člověk vlastnoručně zvolené heslo např. "banka: kobyla ma MALY b0k." může zapamatovat a udržet v tajnosti. Uměle zvolené heslo typu "xf6%Zrp58,x" jen vypadá komplikovaně, ale jeho praktická použitelnost je nulová a stejně ho budu muset mít někde poznamenané.

Nenávidím služby které mě nutí volit heslo podle JEJICH představ o bezpečnosti, nedejbože když je tam navíc omezení i na maximální délku hesla :(.

No, a teď si vemte, co se stalo v jedné z našich big four bance.

Koupili si od nás SW s full service, tak jsem jim ho naklusal nainstalovat. Přijdu do kanclu, tam mě prstem ukážou na počítač, a že tam to mám dát. Já je požádám o přihlášení na administrátorský účet, oni že to neznají, že mají správu počítačů outsoursovanou, ať si zavolám na číslo xxxxxxxxx. Tak tam volám: Haló, tady já, potřebuju administrátorské jméno a heslo. To já vám neřeknu, my heslo odvozujeme se sériového čísla počítače takto: a následoval popis postupu. Já v tom okamžiku měl administrátorský přístup ke všem počítačům v oné bance!

Hlavně že pak honěj chuděry na přepážce, jestli nemají heslo někde na papírku.

Plně souhlasím. V předchozím zaměstnání nám nastavili pravidla pro přístup do sítě tak, že heslo muselo být minimálně 9 znaků dlouhé a musela se tam vyskytovat minimálně jedna číslice a jeden nealfanumerický znak. Navíc se heslo muselo každý měsíc měnit. To vám po pár měsících dojdou nápady na snadno zapamatovatelné heslo a stejně si ho budete muset někam poznamenat. Není větší zábava než vzpomínat na heslo po 14 denní dovolené, když jste ho musel dva dny před dovolenou změnit.

pak ti zavedou minimalni pocet znaku ve kterych se musi heslo lisit od predchoziho a bude to k prdu...

A jak poznali, že má na monitoru napsáno heslo? To se jich na jejich heslo ptali? Co když na monitoru byl lísteček "Do 16:00 zavolat Petrovi"?

Něco podobného nám zavedli taky. Řešením je číslování hesla - heslo je stejné, liší se jen jednou číslicí, kterou točím od nuly do devítky. A protože si systém pamatuje jen sedm posledních hesel, už to takhle "bezpečně" provozuji pět let.

leden2013
unor2013
brezen2013
...
plus, samozřejmě, nějaká (konstantní) omáčka... vystačí to navěky a na rozpomenutí stačí pohled do kalendáře :)

„Tak on je jeste celkem zasadni rozdil mezi admin pristupem k desktopu a pristupem do aplikace.“

Například ten, že admin může aplikaci backdoornout, aby mu heslo řekla? :)

No tak ji dám třeba na začátek.

?

Co, kam a co z toho?

No tu číslici. A to pak hash oříznutý o poslední znak nezjistí.

Aha, nějak jsem četl, že mu jde jen o oříznutí posledního znaku.

Ne nutně - jedno možné schéma by bylo uchovávat hashe všech podposloupností hesla o jeden znak kratších. Nové heslo se pak nesmí shodovat v žádném z těchto hashů (což může zakázat i některá další hesla, záleží jak to implementujete, ale to by nemuselo tak vadit).

Je pěkné, když poznáte, co kdo neví, z toho, že něco nepochopíte. Jinak jak funguje hash vím, zřejmě vy nevíte, co je podposloupnost.

Ano, je to přesně tak - umělá hesla jsou dobrá maximálně tak pro první přihlášení, nebo v extra kontrolovaném prostředí...

Jen jedna poznámka k maximální délce hesla. Někdy je vhodné ji zvolit, ale musí se vědět, co se dělá. Opět udělám malou "reklamu" appce od RB, která používá číselný PIN. Abychom jej v aplikaci dokázali perfektně zabezpečit, používáme schéma založené na Vernamově šifře. K tomu je nutné předem vygenerovat permutační matice a k nim inverzní permutační matice. A při tom právě z technických důvodů omezujeme délku hesla. Je to popsané zde:

http://www.slideshare.net/PetrDvok/note-on-the-mobile-security-or-how-a-brave-permutation-saved-a

No, tak těch číslic bude více. A způsoby řešení jsou i jiné. Před časem naši bezpečáci vymysleli naprosto uhozenou kontrolu "bezpečných" hesel. Když zjistili, že to vedlo k "heslu dne" napsanému na tabuli nad recepcí, tak zase ve svém nadšení rychle polevili.

Tak on je jeste celkem zasadni rozdil mezi admin pristupem k desktopu a pristupem do aplikace. Ale samo, podobnych situaci sem zazil ... (napr dostat se v nekterych firmach fyzicky k serverum, je otazka dostatecneho sebevedomi pri vstupu ...)

Tohle jsem vůbec nepochopil a myslím že nevíte, jak funguje hash.

No vidite, pribuzna delala v bance a chodili jim pravidelne kontrolovat, jestli nemaji heslo napsane pod klavesnici/na monitoru ... a pokud se pamatuju, menit ho museli co 14 dnu + si to pamatovalo 2 roky zpet.

Pokud se u nekoho to heslo naslo napsane, dostal na hodinu padaka.

Tím by ale pravidla splnili, tak o co jde :)