Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

Mam takovy pocit, ze jsi nepochopil pointu. Pointa neni o tom, ze je zabezpeceni zlo, ale ze hesla, ktera si musime vymyslet, pamatovat a neustale menit jsou jako druh zabezpeceni zlo a stim se neda nez souhlasit.

Jak dlouho ze existuje asymetricka kryptografie?
Jo, hesla mela uz pred 20 lety temer zmizet a pouzivat se vylucne na odemykani klicu.

Tak jiste, ma to jen drobny problem, totiz jak zabezpecite klic. Muzete mit token, ze ktereho nepujde vyndat. OK, jenze to je vydaj, jak chcete lidi presvedcit, aby si neco takoveho kupovali?
Muzete pouzit libovolnou flesku. Jenze odtamtud vam klic okopiruje kde kdo a pokud ho nebudete mit zabezpeceny (zrejme heslem :D) tak jste druhy.
Cimz se kruh uzavira.

Ano, v nejjednodussim pripade heslem. Pak mam pouze jedno dost bezpecne. Samozrejme pokud nad klicem ztratim kontrolu, je treba jej okamzite zneplatnit. Neni to dokonale, ale oproti heslu o vesmir jinde.

Jojo, zabezpečený flashky, obsahující klíč, jsou super Ale jen do chvíle než je začne vyrábět pátá garáž vlevo na předměstí Pekingu, bude je prodávat za 3,- Kč a lidi je budou kupovat, protože "mají pěknej web a jsou přece perfektně zabezpečený". (a to včetně vestavěnýho backdooru nebo keylogeru)

Nevím jak vy, ale já mám svoje privátní klíče šifrované, takže flashka žádné šifrování nepotřebuje. Ale jo, může se stát, že váš token bude prostě s backdoorem, ne že ne, a to i když bude vypadat solidně.
Pořád je to ale bezpečnější než to heslo. Neznám univerzální řešení, ale vím, že kde lze nasadit klíče, má smysl je nasadit.

Rozumim. Ten zasifrovany klic mate kryty cim? Heslem? ;)

Ano. Jeho bezpečnost zajišťuje heslo a fyzická dostupnost. Ani jedno není dokonalé.
Klíčů mám několik, všechny schované pod master heslem s heslem pro každý z klíčů. Jeden z těch klíčů mi zajišťuje přístup pro více než 200 různých služeb. Pokud bych se měl držet hesel s tím, že nevím, jak jsou na druhé straně uchovávány, potřeboval bych obrovské množství vzájemně odlišných hesel. Takhle mi stačí zveřejnit veřejný klíč a znát od něj heslo, které tím pádem může být dostatečně složité.
Samozřejmě mě to nechrání před keyloggery, slabinami šifer ani sociálním inženýrstvím. Ale zbavil jsem se problému s distribucí hesel (pokud někdo odposlechne handshake při odemykání klíčem, je mu to na nic), uchovávání hesel (někde jsou v plaintextu, někde v md5... veřejný klíč může ležet klidně v plaintextu) a jejich složitostí.
Vedle mám samozřejmě ještě keepas s dalšími stovkami přístupů. K tomu všemu kdyby se někdo dostal, tak bude hořet u hodně zákazníků. Ale zatímco část můžu obvolat a upozornit je, ať mi zneplatní certifikát, jiná část bude muset měnit rootovská hesla, a ty pak zase distribuovat všude možně.

Asymetrická kryptografie se už používá komerčně zhruba 30 let. Byla použita pro autentifikaci, podepisování a šifrování třeba v produktu Lotus Notes verze 1.0 , která byla distribuována v prosinci 1989, aspoň podle článku: https://www.svetnotes.cz/sn/sn.nsf/c4036191b207fe7...

Jojo, dodnes se tím Domino chlubí, že je díky certifikátům bezpečné. A je fakt, že hloupě to udělané není.
Chápu, že nějaký čas trvá, než se nová technologie zavede, ale prostě od roku 2000 jsou hesla v drtivé většině aplikací zastaralé řešení. A stojí to zejména na tom, že lidé jsou líní, a že práce s klíči pořád není tak pohodlná jako práce s hesly. Jsem si jistý, že kdyby se to začalo používat v širším měřítku, za pár let se to dost zjednodušší. Třeba tím, že mít vlastní token v mobilu by bylo běžné.

Ja pouzivam Lotus notes uz cca 12 rokov v dvoch roznych firmach - od verzie 7 myslim, naposledy premenovana na IBM Notes 10, a vzdy som sa do notesov musel prihlasit zadanim hesla

Tak to záleží na firemní politice, každopádně jestli se nepletu, i pokud se přihlašujete heslem, Notes používá interně certifikát. Akorát si ho při prvním přihlášení stáhne.
Notes rozhodně ale přihlašování certifikátem umí a využívá se to. Dokonce to umí bez hesla, kdy se certifikát odemyká pomocí session ve widlích.

Ta podpora je jeste dosti slaba na to aby to nekdo pouzival. Spousta webu nezacne pouzivat neco co nezvlada IE 11 a safari zacalo teprve nedavno.

Ano, proto se to resi asymetrickou kryptografii certifikat-klic, nebo chtete-li, tedy verejna/privatni cast klice.
Jenze to nutne otevira otazku zabezpeceni privatni casti (proti kradezi, proti okopirovani, proti neopravnemu pouziti). Coz je dost netrivialni problem vedouci casto na... heslo ;)

Dnes již není problém zabezpečit privátní klíč. Mohu ti půjčit třeba podepisovací token (nebo si ho můžeš pořídit zde: http://j.mp/2ria5Qh) a jestli z něj dostaneš privátní klíč, slávu máš zajištěnou na hodně dlouho. Stejně fungujou i ty Yubikey.

Samozrejme, z hardware typu hsm se klic nedostane, ale jak chcete lidi motivovat k nakupu neceho, co v zasade "nepotrebuji" bo maji heslo zadarmo? To je oc ty bezi. Bud pouzijete hardware za penize a bude dobry, nebo mizerny hardware a pak si nepomuzete.

A proč bys měl lidi nějak extra motivovat? Pokud pro ně není motivací to, že přihlašovaní jiným způsobem než klasické jméno+heslo je bezpečnější, tak ať si používají jméno+heslo. Jsou to jejich data, které jsou pak v ohrožení.
Asi jako kdyby ses ptal, jak máš motivovat člověka, který si své celoživotní úspory schovává pod polštář místo do banky nebo aspoň do trezoru.
Pokud ty, jako poskytovatel služby, nabídneš lidem možnost silné autentizace, tak je vše v pořádku. (a o to by mělo jít především) A pak už je na uživatelích, zda toho využijí.

Proto žádná biometrická čtečka nikam neposílá biometrické údaje. Co se neposílá, to nelze ukrást.

A co když si někdo koupí ňákou levnou z číny? Je to jenom na čestnosti výrobců, jako všechno. Jednou mi ten otisk prstu někdo ukradne a jsem doživotně v hajzlu.

|

Nemá si kupovat "ňákou levnou" z číny. Když chci Viagru, musím taky k doktorovi a ne lovit ve spam folderu po výhodné nabídce.
Ano, o důvěře je to vždy. Stejně tak jako důvěřuješ výrobci webkamery a výrobci systému, že neumožní spuštění webkamery na displeji bez rozsvícení notifikační diody, aby tě natočili při masturbaci nad pornhubem.
Nebo že výrobce mobilu trvale nenahrává mikrofonem tvé okolí a neposílá to pak v noci někam na servery...

To ale vysvětli těm miliardám lidí co to nechápou, jsou to lidi co si radši zajedou 10 km autem pro rohlíky ve slevě než aby je koupili o 20 halířů dráž, takovýmu člověku nevysvětlíš že si má koupit čtečku z alzy a ne z ali za 2 dolary.

|

Každý svého štěstí tvůrcem. Asi tak. Můžeš vysvětlit jedno, podruhé a pak nad tím akorát tak mávnout rukou.
Nemáš povinnost řešit zabezpečení někoho, kdo zabezpečit vlastně nechce.

Ano, biometricke udaje se sice nikam neposilaji ale posila se 'heslo' ktere lze podvrhnout. Pri pouziti biometriky (fingerprint reader, retina scanner, faceid etc.) se vygeneruje (silne) heslo a to se potom pouziva aniz by o tom uzivatel vedel. Uzivateli je to fuk pac veri ze je to bezpecne a je rad ze si nemusi pamatovat zadna hesla....

No, nevíte o tom vůbec nic. Žádné silné heslo se negeneruje. Zkuste si přečíst ten článek pořádně.
A pokud zmiňujete FaceID (totéž platí i pro starší TouchID), tak to funguje naprosto jinak. Vygooglujte si FaceID/TouchID security white paper. Nebo třeba tady: https://www.apple.com/business/docs/site/iOS_Se...
By mě zajímalo, jaké máte znalosti o bezpečnosti těchto věcí. (Ne)používejte si co chcete, ale rozhodně prosím nešiřte bludy. Myslíte si, že odborníci na bezpečnost jsou tak blbí, že vymyslí autentizační proces, kde nějaké "heslo" lze jen tak "podvrhnout"? To pak by tyhle lidi mohli rovnou pustit na pracák a zaměstnat Vás, ne?

"Myslíte si, že odborníci na bezpečnost jsou tak blbí," ... verte ze mnozi vic nez si dokazete predstavit :D

Tim tvym FaceID bych se tu moc neohanel, da se ojebat celkem bez problemu. Staci clovek s dostatecne podobnym oblicejem ( https://www.youtube.com/watch ), nebo oblicej vytisteny na 3d tiskarne ( https://www.youtube.com/watch ). U androidu je to jeste jednodussi, tam staci akorat fotka obliceje na zakrivenem monitoru ( https://www.youtube.com/watch ). Muzes sem nahazet whitepaperu a kecu o odbornicich kolik chces, ale jako sry bro, realita je takova jaka je.

Jeden o voze, druhý o koze. Řešíme tu zpracování biometrických dat a jejich zabezpečení, ne technologii samotnou. Zkus příště pochopit, o čem je vlastně řeč. Nemusíš být pak hned za blba, bro.

Silna/kvalitní autentizace přece nijak nesouvisí s anonymitou. I při kvalitní autentizaci (že jste ten správný uživatel, který se přihlašuje k službě) lze zachovat anonymitu.

Mam dojem, ze logovaci api facebooku neni zavisle na aktualnim banu. Ban znamena nemoznost komentovat a psat zpravy. I nadale je mozno likovat, spravovat svuj ucet, prohlizet jine a taky se prihlasit.

Já mam dojem že když jsem měl ban tak s tim byl ňákej problém, jako jo, lognout samozřejmě šlo, ale myslim že komentovat už nešlo, nebo to házelo ňákej error, už nevim. Ale prostě celkově nechci bejt závislej na Facebooku. Jak řikam, můžou mi ten účet kompletně smazat když se jim zachce a nebo mít přístup ke všem službám do kterejch se přesto přihlašuju a krást mi osobní data a prodávat je.

Názor byl 1× upraven, naposled 08. 11. 2019 10:42

|

Nechapes. Vis jak funguje univerzalni klic, kterym muzes otevrit nekolik ruznych zamku?

Jenom do ctyr?, to jste na tom jeste dobre. :)

No bývá to přes doménový účet nebo single sign on, ale holt je těch domén víc

Ve firme mame asi 100 ruznych systemu. K admin casti mam vetsinou unikatni heslo. k uzivatelske to sdruzujeme pod 1 heslo. K tomu zapocitej hesla peo externi mail, hry, diskuze a dostanes se k 200 systemum. Ale tam mam samozrejme vetsinou jedno heslo a snazim se to tlacit pres fb login. Tam mi nezalezi na tom, kdo to cte, ale abych ziskal nejake odpovedi, ktere by mi pomohly vyresit problem. A nebo to je pro zabavu.

Dalsi, kdo nepochopil, ale umi vyblit poradne dlouhy komentar.
A to je, damy a panove, duvod, proc tak primitivni veci jako prihlasovani privatnim klicem uz 20 let nemame a jeste pekne dlouho mit nebudeme. Protoze prece hesla jsou oukej.
Hlavne si pamatujte, ze kdo nedela nic spatneho, nema co skryvat.

Jenže to už dávno funguje. Pokud někde zkusíte slovníkový útok, za chvíli to po vás začne vyžadovat captchu. Skutečný problém je ten, když webům unikne databáze hashů hesel. Pak totiž lámete heslo offline. Dlouhá hesla před rainbow tables ochrání salt v hashi, ale fakt krátké heslo je imho nahrané pokud se ví, jaký je systém výpočtu salt.

Námitka "Lituji, heslo nesmí obsahovat znaky s diakritikou !" měla být hned po "červenéjablko" ... jinak dobré ...

Historická relikvie kódování písma, kam zmatek v češtině zanesla jistá firma M....t, jež nedodržovala ISO (Unix dodržoval, následně Linux dodržoval). Až s příchodem Unicode (v součinnosti s ISO; UTF) došlo k nápravě.
Dnes by již neměl být problém. Ale zkuste českou diakritiku napsat na nečeských klávesnicích v zahraničí. Takže vhodnější je hacky/carky neužívat.

Steam? Uplay? ... maximalni delka hesla 16 znaku.

:[Xsoft]: - Let's Dance Dance Revolution ::

Akorat ze "prichod Unicode" je obdobi napric operacnimi systemy neco pres deset let a v MS Win to dodnes nepracuje na 100%. Takze sice by to dnes uz nemel byt problem, ale realne to problem stale je.

Co si tak vzpomínám, tak když si někdo mohl zvolit kontrolní otázku, tak si tam někteří jedinci napsali místo kontolní otázky to heslo, které bylo platné. Když se takový jedinec přihlašoval a zapomněl heslo, tak se mu jako vlastní kontrolní otázka ukázalo to heslo, které má zadat. Spousta lidí tu vlastní otázku zadává takhle "originálně", aby to měli při případném zapomenutí hesla co nejjednodušší. V takovém případě se ovšem může snadno přihlásit pod jejich identitou i někdo jiný, kdo zadá napoprvé špatné heslo, a pak zkusí napodruhé jako heslo tu vlastní otázku, kterou mu to ukáže.

Klasika je, že júzři si dávají TOTOŽNÉ heslo na vše - na komp, mail-účty, bankovní účty (někdy to nejde), e-shopy...
Ale klídek. Statisticky více jak 90% procent skutečných bezpečnostních průšvihů dělají zaměstnaci a bývalí zaměstnanci a to není ve statistice zahrnuto mlčení bank.