Názory k článku Ukradená hesla Dropboxu: Všechno zlé je k něčemu dobré

No, přirozeně úplně k ničemu. Ale je to marný, je to marný, je to marný... :)

Nejde o tahání o slovíčka, jediné, o co mi šlo, bylo upozornit na to, že zabezpečit password manager biometrikou bez existence speciálního hardware (TPM) nelze. Na mýtus, že snad biometrikou lze něco šifrovat, totiž občas narážím a bezpečnosti taková fáma moc neprospěje.

Tak k čemu je tam pak ten otisk prstu?

„Kde je problém?“

V tom, že neexistuje attack vector, při kterém by čtečka otisků prstů v password manageru pomohla. Pokud ti někdo notebook ukradne, heslo si vydumpuje i bez tvého otisku.

Jediné, kde by se dalo uvažovat o jakž-takž zabezpečení, by bylo zamykání obrazovky na otisk. Ale jen za předpokladu, že data pod tím jsou na disku šifrována *heslem*.

Dobře, definuji pointu explicitně: z otisku prstu nebo skenu rohovky nelze vytvořit šifrovací klíč; lze pouze porovnat, jestli se daný otisk rovná nějakému dříve uloženému. Proto „šifrování“ na základě otisku prstu nemůže na běžném počítači nikdy fungovat.

Domenovej kos je blbost - to je akorat kos pro spam ... ja si zrizuju aliasy, to je za 3 vteriny hotovy a protoze sou pseudonahodny, tak se do nich spamy trefujou tezko.

A to podstatné. Ak by mi niekto ukradol NTB, spôsobí mi to samo o sebe niekoľkonásobne väčšiu škodu ako prelomenie účtu k nejakej tupej webovej službe. Navyše ak by som mal NTB s citlivými údajmi, použijem kryprovaný disk a silné heslo. Ale kľudne sa možeme ďalej ťahať za slovíčka a onanovať nad mierou zabezpečenia hesiel a o tom, či sa dá biometrický odtlačok prstu oklamať alebo nie. Ach jo…

Mimochodom, téma článku je únik hesiel k webovej službe a možnosť ohrozenia z toho vyplývajúca. Napríklad pre iné služby využívajúce rovnaké heslo. WTF?

Ophir, si mimo. NMotebook nevlastním a môj PC je v lepšie zabezpečených priestoroch ako trezor tvojej banky. No a samozrejme si zabudol, že systém je kryptovaný a vyžaduje sa master password. To je ale len taký detail, milý Ophir. ALe chápem, ty budeš argumentovať, že mi za chodu zmrazíš dusákom RAM a v inom kompre si z nej vysosneš heslo… Trhni si ;-)

Pobavils. Až ti někdo ten notebook ukradne, tak si vytiskne otisk prstu na tiskárně (po celém notebooku je jich plno), fotku si stáhne z Fejsbůůůku a strčí před kameru a celá tvoje biometrika je v peeerdeli. No, ale hlavně že z toho máš dobrej pocit a vypadá to jako machrovina :-)))

A ako to súvisí s uvedeným? Aj takto lacný čip spraví dobrú prácu ak máš zadať heslo na verejnosti alebo pri okne. K heslu na facebook si predsa nebudem kupovať DNA scanner. Na uchovanie takýchto hesiel mi vpohode vystačí čítačka odtlačkov v kombinácii so snímačom tváre a master passwordom. Kde je problém? Podotýkam, že sa bavíme o zachovaní pohodlia pri veľkom objeme nepodstatných webových služieb – a ide mi hlavne o zabránenie zeužitia v prípade ak mám všade heslo rovnaké a v niektorej službe je zle zabezpečené. Nebavíme sa o informačných systémoch v merítku národnej bezpečnosti kategórie prísne tajné. nejde o uloženie kľúčov k zbraňovým systémom hromadného ničenia.

Prosímtě, a jakou "biometrikou" je to zabezpečeno? Tou čtečkou otisků prstů za dva dolary?

http://www.youtube.com/watch?v=MAfAVGES-Yc
http://en.wikipedia.org/wiki/MythBusters_(2006_season)#Fin­gerprint_Lock

Pozora na to, že niektoré debilné služby môžu heslo skrátiť a v takom prípade je zrejmé, že brute force stačí smerovať na znaky 0..9A..F.

Ako? Normálne a spoľahlivo pre daný účel. TPM môže pomôsť v špecifických prípadch, no ak sa bavíme o ochrane hesiel odosielaných na web, tam rozhodne nepomôže.

Díky, budu doporučovat.

A kdybych si to chtěl spustit na vlastním serveru?

Jak asi může fungovat takový password manager zabezpečený biometrikou, pokud to není TPM?

Heslá pre každú služby generujem a spolieham sa na password manager zabezpečený jedným silným heslom a biometrikou. Jednotlivé heslá si ani nepamätám, takže by ich zo mňa nedostali ani mučením :-) Na druhej strane to nie sú žiadne kritické dáta, len bežné weby a služby bez osobných údajov.

Módne služby ako Dropbox nepoužívam, stačí mi vlastný server a VPN. Ak by to použil niekto na firemné dokumenty, dám mu rákoskou pred nastúpeným družstvom. ;-)

spideroak?

Wuala?

To je zajímavé, jaký je v roce 2012 pořád „problém“ udělat u služeb typu Dropbox defaultně šifrování. Dokonce ani nevím o žádném řešení, které by to umělo (nemyslím samozřejmě obezličky typu sdílení velkého šifrovaného souboru, uvnitř kterého je filesystém se soubory).

„stejný extrém jako "každá služba vlastní supersilné heslo"“

Co je na tom extrémního? Sám to tak mám. Hesla si tedy pochopitelně nepamatuji já, ale počítač.

Radši bych tedy nějaký klientský certifikát (něco jako přihlašování na SSH klíčem), ale to je teprve 35 let od vynálezu asymetrické kryptografie příliš složitý požadavek.

Používat "jedno universální heslo" je stejný extrém jako "každá služba vlastní supersilné heslo". Doporučuji rozdělit si hesla asi tak do tří skupin:
- nedůležité služby (spam-mailboxy, zcela veřejná data, apod.) s jedním "blbým" heslem, které se dobře pamatuje;
- důležité služby (e-mail, ...) s několika slušně bezpečnými hesly dále rozdělenými na "soukromé", "pracovní";
- kritické služby (bankovnictví, datové schránky ...) s dobře vybranými a v rozumných intervalech obměňovanými heslu (+nějaká "vícefaktorová autorizace").
A pochopitelně: paranoia je sice kvalifikačním předpokladem ajťáka, ale v blázinci nebývá přístup k počítači.