Názory k článku Zabezpečení na úkor použitelnosti jde na úkor bezpečnosti

V článku nemohu rychle/pohodlně rozeznat co je citace a co je Váš komentář. Z článku se pak hůře extrahuje co je mýtus a co je skutečnost.

14. 10. 2019, 15:40 editováno autorem komentáře

Diky :) Ted jeste dostat se do toho Studia 6...

Proč bych nemohl na veřejné wifi do internetového bankovnictví? Proč se toto tvrzení všemožně objevuje?
A jak uvidí někdo na otevřené wifi co dělám v bankovnictví?

Proto se snad šifruje, protože se předpokládá, že cesta je nezabezpečená.

To, že je to tam nejsnazší, ani v nejmenším neznamená, že bych se jinde mohl chovat, jako by to tam možné nebylo.

Ještě důležitější je IMHO ten opačný směr: proč si ti lidé myslí, že na nějaké neveřejné wifi nebo doma je situace nějak výrazně odlišná? Pokud nemám pod kontrolou celou cestu mezi mnou a protistranou - a to nemám skoro nikdy - musím předpokládat, že se té síti věřit nedá. Implementace jednoho konkrétního úseku té cesty v tom až tak zásadní roli nehraje.

Koukám, že se to shoduje se rčením, které také používám (nemám ho ze své hlavy, možná je nějakou parafrází na to zabezpečení na úkor použitelnosti). Říkám, že „bezpečnost je super věc, ale dostupnost je podstatně lepší“. Vždycky úpím, když po nás chcou v práci změnu hesla co čtvrt roku, z čehož pak přesně vzniklo něco jako jaro, léto, podzim a zima, protože měnit hesla povinně každého čtvrt roku rovná se blbost, blbost, blbost a do čtveřice blbost.

K tomu nás někdo jako adminy popohnal skrze nějakou KyBe směrnici (já jí říkám Směrnice na Kyberšikanu IT pracovníků), že jako admini musíme mít dlouhá hesla. A tak jsem jednoho krásného dne na některých serverech, kde to máme povinně aplikováno, zjistil, že má oblíbená variace na 16místná hesla obsahující klišoidní velká i malá písmena, číslice a nějaký ten paznak, přestala fungovat, protože admin musí mít heslo nejméně 17 znaků dlouhé. Co myslíte, že se stalo? Ano, jeden z těch znaků se prostě zopakoval. Který? No, je to jako z toho vtipu, že nějaká libovolná osoba podnikla tři velké výpravy a na jedné z nich zahynula, otázka zní na které. Směrnici bylo učiněno zadosti, na bezpečnosti se nic směrem k lepšímu nepohnulo, spíš naopak.

Trochu jsme dumali i nad požadavkem, že v určitých situacích musí mít určitý typ uživatele možnost (naštěstí nikoli povinnost) zvolit si heslo delší než snad 64 znaků nebo co, prostě rozhodně víc jak 32. Tu jsme se zamysleli a přemýšleli jsme, jak do toho napasovat Oracle databázi, která končí s heslem na 30 znacích. Čert vem, že nikdo při normální nemůže tak dlouhé heslo potřebovat. Řešení to neumí a je vyřazeno ze seznamu použitelného (byť zatím jen teoreticky). Řešení, které stojí raketu.

No, prostě bezpečnost nade vše, i kdyby to mělo stát kozla. Bezpečák do domu, hůl do ruky.

Vysvětlení HTTPS jako "registrováno" bolí a děsí.

ale u šifrování si musíš být jistý, kdo je na druhé straně, jinak ti také nepomůže

Jistě. Jenže to je úplně stejné u hotspotu někde v nákupním centru, na nádraží, v hotelu - a nebo třeba doma nebo v práci. Rozdíl je jen v míře rizika, ne v tom, že by jedno bylo bezpečné a druhé ne, přestože se řada populárních článků snaží takový dojem vyvolat.

pro mě jsou velcí ISP v ČR důvěryhodní a tolik se nebojím, že mi pakety doručí jinám nebo s nimi budou tajně manipulovat

Já tuhle slepou důvěru ve všechny hopy po cestě nemám - tím spíš, že obvykle ani s jistotou nevím, které všechny to jsou. Takže se i doma při přístupu na služby, kde mi na bezpečnosti záleží (třeba Internet banking nebo přihlašování na mé servery) chovám stejně, jako bych byl na nějakém tom pochybném hotspotu.

No, zrovna u té manimpulace bych si nebyl tak jistý ani u ISP v ČR. Viz nedávná kauza GDPR a O2, kdy ISP unesl http spojení aby zobrazil formulář pro odsouhlasení GDPR. A nebo kauza únosu celých bloků veřejných adres přes Čínu. Co tam s tím provozem dělali raději ani neřekli.

Osobně přistupuji prakticky ke každé "internet" síti jako k nedůvěryhodné, tedy požaduji šifrování a ověřování identity v maximální míře. Byť ta identita bývá často založena také jen na důvěře.

Částečně máte pravdu, ovšem veřejná wifi je z celé cesty nejrizikovější bod - tím že je veřejně přístupná je nejsnazší tam páchat nepravosti (kompromitované routery a pod, a tím nemyslím infikované, ale rovnou fyzicky vyměněné - není to teorie, už se to stalo)

Myslím, že se to postupně vyvinulo z doporučení nepoužívat pro citlivé věci cizí zařízení. Toto doporučení dávalo smysl, protože nikdy nevím, jestli na zařízení neběží třeba keylogger. A pokud není účet chráněn 2FA, tak je to opravdu problém. A z toho to nějaký chytrák rozšířil i na veřejné sítě.

O2 to mimochodem s tím GDPR a podvrháváním http dělá zrovna teď znovu.

S tímhle ale skončíte u toho, že musíte mít přímou linku do servovny poskytovatele služby :). S ISP je samozřejmě problém, ač mám brány v DC, stejně tak potřebuji ISP, který mě aspoň umožní propojení do nixu a tranzitní pásmo, opět tam je mezičlánek, kterému musím věřit. Pro mě má ale již daleko vyšší důvěru než poskytovatel wifi v hotelu.

Přesměrování provozu přes BGP je problém, však se postupně nasazuje ověřování na úrovni protokolu. Pokud jsem v tomhle hodně paranoidní (nebo spravuji vlastní AS), monitoruji ohlášení směrování a mohu na to zareagovat.

Jenze jak to rict nahlas a nevydesit obycejne lidi.

ale u šifrování si musíš být jistý, kdo je na druhé straně, jinak ti také nepomůže. Poslední míle je vždy velice riziko vzhledem k výrazné různorodosti.

Samozřejmě musím věřit všem subjektům na cestě, pro mě jsou velcí ISP v ČR důvěryhodní a tolik se nebojím, že mi pakety doručí jinám nebo s nimi budou tajně manipulovat, naproti tomu u Wi-Fi důvěru nemám, ví jak je lze napadnout a obelhat i já.

Přesně.
Podvrhávat certifikáty, DNS odpovědi čo vkládat bordel do http provozu lze stejně kdekoliv.
Je možné, že na veřejné wifi je větší pravděpodobnost, že si tam bude někdo hrát a já se tam nachomejtnu.

Spíš bych to doporučení směřoval, že pokud jsem na veřejné wifi a vidím chyby v prohlížeči či jíné nestandardní chování, tak se odpojím a nepoužívám.

Pokud mám VPNku jemuž poskytovateli důvěřuji, tak ji použiji pro zabezpečení.