Vlákno názorů k článku Uspěje OpenID v českém kabátu? od Miroslav Suchý - >1. uživatel si vygeneruje certifikát (stačí self-signed, stačí...
-
Já bych to třeba nevyužil. Přestože SSL certifikáty mám rád a používám je třeba pro VPNky.
Certifikát bych musel mít na všech zařízeních, ze kterých používám Internet (iPhone, iPad, MacBook, Mac Mini, notebook s Ubuntu, virtuál s CentOS, PC s Windows XP a servery klientů - Windows 2003 a 2008 Server).
Všechno aktivně používám. To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude.
Raději používám software, kde mám hesla uložena (přes 1000 hesel, kombinace cca 20 znaků generovaných náhodně generátorem, pro každý systém jiné heslo).
Na MacBooku je program integrovaný do prohlížečů Safari a Firefox, takže vyplní uložené heslo na pravé tlačítko.
Na strojích, kam se připojuji přes RDP, VNC, ICA,... zadávám heslo pomocí copy&paste.
Občas ho bohužel musím naťukat ručně, což je většinou na iPhone doprovázeno povzdechem "proč musím být tak paranoidní", protože musím zadat heslo pro odemčení telefonu, heslo pro spuštění aplikace, heslo pro zobrazení hesla, které potřebuji....
Každopádně mi tenhle systém vyhovuje víc, než certifikáty... zvlášť když z praxe vím, jak nakládají s certifikáty běžní uživatelé (klidně pošlou privátní část mail i s heslem, pokud ho certifikát má).... Takže při jakémkoliv "OpenID" řešení má pak útočník přístup naprosto do všech systémů....
BTW: to, že jsem paranoidní neznamená, že po mně nejdou :-) -
oto (neregistrovaný)To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude. Ten privátní klíč nemusí být všude. Vždy bude záložní alternativa přihlásit se bez něj, jen heslem (stejně tomu je u OpenID). Bezpečnost to neohrozí, protože takto, jen přes heslo, se obvykle přihlašovat nebudete, takže příležitosti k odposlechnutí je málo. A při případném odcizení můžete certifikát revokovat (pravda, pak nemůže být self-signed).
-
oto (neregistrovaný)Wizard pro generování klíčů lze v prohlížeči ze strany webaplikace vyvolat.
A úplní BFU (takoví, kteří neví, kde mají na disku soubory) by stejně přihlašování certifikáty používat neměli, dokud jsou tyto v souboru na disku.
To teprve až bude privátní klíč na nějaké eObčance a každý počítač mít čtečku ... -
Jo, asi bych si dovedl představit, že certifikát budu mít jenom na primárním stroji, na kterém probíhá řekněme 60% veškerého přihlašování, a na všech ostatních se budu hlásit heslem...
Ale tahle to mám v podstatě už teď. Pouze s tím rozdílem, že se nepřihlásím automaticky, ale musím dát pravé tlačítko.... Což mi připomíná, že si na to pravé tlačítko můžu vybrat mezi více účty (například já, jako "jsaur", nejsem administrátorem ani ve vlastních systémech a potřebuji-li přidat třeba nového uživatele, musím se přihlásit jako "admin"), takže bych i těch certifikátů asi potřeboval několik... -
oto (neregistrovaný)Jo, když jsou v prohlížeči zašifrovaně uložená jména a hesla, tak je to z uživatelského hlediska podobné. Ale pořád vás otravuje ta úvodní přihlašovací stránka a těžko se tato uložená hesla přenesete na jiný počítač či dokonce do jiného prohlížeče.
Víc certifikátů mít samozřejmě lze a prohlížeč vám buď dá vybrat, nebo nějaký vybere tzv. "automaticky" (nevím přesně jak, asi zkusí postupně všechny a vezme první co funguje). -
V prohlížeči uložená hesla přenést lze. Například v lednu 2011 končící xmarks umí dokonce automatickou synchronizaci mezi počítači s různým OS. Otázkou samozřejmě je, jak moc je to bezpečné. Pro nás paranoiky samozřejmě nepředstavitelné, že by byla hesla uložena někde na Internetu, aby se mohla synchronizovat :-) Ale spousta lidí to využívá.
Pokud se hesla uloží do nějaké systémové "klíčenky" (MAC OS a Linux), pak to bude asi složitější, ale taky to určitě půjde.
Program 1Password je sice jenom pro MAC OS, ale zase hesla synchronizují mezi MacBookem, iPhone a iPadem po lokální WiFi téměř automaticky (na iPhone a iPadu stačí je nutno aplikaci spustit)
KeePass lze pustit téměř na čemkoliv (akorát AppStore jej už několikrát odmítl, takže na iPhone bez JB to nepůjde). Přenos mezi počítači znamená přenos databáze v jednom šifrovaném souboru.
eWallet jsem měl koupený ještě, když jsem používal Windows na počítači i v mobilu. Jak je na tom dnes už nemůžu říct, ale už tenkrát (asi dva až tři roky zpátky) to fungovalo spolehlivě, včetně synchronizace, zálohování, nebo přenosu na jiná zařízení....
Ale aby to nevypadalo, že tady tvrdošíjně obhajuji hesla na úkor certifikátů... :-) neříkám, že to není cesta, já jenom říkám, že osobně bych možnost přihlášení SSL certifikátem asi moc nevyužil :-) Teda, pokud bych si mohl dobrovolně vybrat... Kdybych to někde dostal "befelem", tak bych si taky zvykl :-) -
oto (neregistrovaný)Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem…
Tak je to bohužel se spoustou dalších technologií (nejen certifikáty vs. hesla, ale Jabber vs. ICQ, SIP vs. Skype, ...). Dokud nenastane nějaký pořádný průser, který donutí uživatele se zajímat, co to vlastně používají ... -
Mr. Cidermaster (neregistrovaný)> Program 1Password je sice jenom pro MAC OS
Není, já jej používám na Mac OS X, iOS a Windows (XP, Vista, 7)
A vše se automaticky synchronizuje přes Dropbox.
Pokud nevěříte, zde máte odkaz:
http://agilewebsolutions.com/onepassword/win
Také, když používáte synchronizaci přes Dropbox, tak máte hesla přístupná odkudkoliv, kde je browser. Stačí otevřít 1Password.html soubor. -
oto (neregistrovaný)Kdy už konečně někoho napadne používat klientské SSL certifikáty?
1. uživatel si vygeneruje certifikát (stačí self-signed, stačí jeden pro všechny služby)
2. při registraci na nějaké službě nahraje jeho public key
3. přihlášení ke službě pak provede prohlížeč automaticky
4. certifikát je chráněn v prohlížeči přes Master password, který zadáte buď jednou při startu nebo při každém použití certifikátu, podle toho jak moc jste paranoidní
Podpora v prohlížečích dávno je. Je to jednoduché, decentralizované a bezpečné. Ale bohužel na tom žádná třetí firma nevydělá, tak se to nerozšířilo. Jediné použítí, které jsem viděl, je klientský portál VZP. -
Filip Jirsák (neregistrovaný)Server posílá seznam autorit, které lze použít pro přihlášení, podle toho může prohlížeč vybrat certifikát automaticky. Zkoušet všechny nemůže, protože pokud se při navazování SSL spojení něco nepovede, spojení se ihned přeruší – v dnešních prohlížečích skončíte s bílou stránkou, což není moc uživatelsky přívětivé.
Ostatně prohlížeče podporují ty rozumné způsoby přihlášení jen velmi málo, takže nakonec uživatelsky nejkomfortnější je ten nejhloupější způsob přihlášení – HTML formulář. I přes HTTP se lze přihlásit bezpečně přes HTTP Auth Digest, přes HTTPS již zmíněný klientský certifikát. Jenže v prvním případě se přihlašujete divným nesrozumitelným dialogem, ve druhém vám třeba Firefox při nabídce certifikátů nedá vybrat podle jména, ale podle otisku nebo podle čeho (nějaké hexadecimální číslo). A v obou případech chybí snad ve všech prohlížečích možnost odhlášení (přitom u těchto dvou metod jde odhlášení opět udělat bezpečně, ne jako u HTML formulářů). Takže kdyby se chtělo, jde to snadno, vlastně by stačilo jen zkulturnit webové prohlížeče. Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem… -
anonymníProtoze certifikat muzes mit pro kazdy web jiny a tudiz se neda spolehlive logovat kde si browsil, zato kdyz budes pouzivat openid tak, jak je zamysleno = nebudes si delat 100 uctu, tak bude provozovatel sluzby naprosto presne vedet kdy kde si byl.
Zkratka tohle muze pouzivat leda magor a exibicionista dohromady.
ČLÁNKY DO MAILU