Průvodce zajímavým světem autentizace, 1. část

Diskuze čtenářů k článku

nik  |  10. 02. 2005 06:23  | 

Kerberos střežil a nikoliv strážil. Po zaslechnutí tohoto slova pravidelně vylétám z kůže ... Střezte se takovýchto patvarů ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Christof  |  10. 02. 2005 07:41  | 

http://pravopis.cz/hledej.php?qr=str%E1%9Eil

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ondra  |  10. 02. 2005 07:34  | 

Proti hrubé síle se mohou bránit i vlastní servery. Dobrá taktika je pro každé špatné heslo zablokovat účet dotyčného na nějakou malou ale nezanedbatelnou dobu, dejme tomu 10 sekund. Zkuste takový účet prorazit hrubou silou. Chytřejší je vztáhnout blokování na IP (aby se ten nešťastník na svůj účet vůbec dostal) - ale zas to snižuje ochranu proti zombiim.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Palo  |  10. 02. 2005 09:52  | 

A nie si ty na nahodou hlavicku?
To si myslis ze niekto lame hrubou silou tak ze to tam zadava?
Ked sa to lame hrubou silou tak si chytis nejaky packet kde si to co ides lamat vytiahnes a potom to robis hrubou silou. Napr. na Windowsoch v kazom packete mas hash passwordu tu si extraktnes a potom ju lames lokalne na pocitaci a kludne aj offsite.
Pocul si niekedy nieco o packet injection, protocol injection alebo obycajnom ARP flooding.
V tomto smere je zaujimavy napr. Kerberos ktory nikdy neprenasa hesla po sieti nijakym sposobom (ani jeho hash). Tam ale existuju ine typy utokov.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin  |  10. 02. 2005 11:48  | 

Neni na hlavičku, tato metoda se používá a má smysl proti online zabezpečení. Někdy buď nemáš odchycená data nebo jsou ti nanic, tzn. ani když uhodneš heslo, nezjistíš, že je to ono, protože je zašifrováno dohromady s náhodným blokem šifrou s klíčem dohodnutým pro jednu session přes asymetrickou šifru - proti RSA/DSA nemá cenu hrubou sílu ani zkoušet no a díky soukromému klíči serveru nejde použít ani ARP flooding a podoné metody. Rozhodně lepší, když může útočník vyzkoušt max 1 heslo/sec než 1000 hesel/sec.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ondra  |  10. 02. 2005 19:14  | 

Ano, podmínkou je ovšem to, že jsi schopen něco chytit. Pokud mluvíme o internetu, tak to není zas tak jednoduché jak se zdá. Pochopitelně, je to otázka peněz. Odchytit něco na internetu (na patřičném routeru) je více práce (a peněz) než na lokální síti (a i tam to v případě switchů není tak jednoduché).

Souhlasím  |  Nesouhlasím  |  Odpovědět
velky zly informatik  |  12. 02. 2005 18:40  | 

Ja si myslim, ze to ani u switchu neni problem ...
Proste podvrhnu ARP/RARP tabulku :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Rudidlo, Rudidlo  |  10. 02. 2005 08:49  | 

Kde tedy leží ideál? Jako ve většině případů „někde uprostřed“. Doporučují se hesla tvořená z nějakých frází, básniček, rýmovaček nebo jinak snadno zapamatovatelných textů. Tak například začátek písničky Deset malých černoušků: „Deset malejch černoušků mělo rádo med, jeden z nich se ulízal - zbylo jich devět.“ Snadno se pamatuje a poskytne základ pro bezpečné heslo 10mcmrm1znsu-zj9. Jedná se o dobrý kompromis mezi délkou hesla, jeho složitostí a snadnou zapamatovatelností.

Každý také ví, že není bezpečné používat jedno heslo pro přístup k více službám. Pokud tedy používám cca 10-20 služeb s autentizací, chce po mě autor také zapamatování si dvaceti básniček? A co když je některé heslo vyzrazeno nebo expiruje (což je také jeden z bezpečnostních prvků). Mám se naučit novou básničku? Pardon, ale nikoho, kdo by takto používal hesla neznám.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ivouch, Ivouch  |  10. 02. 2005 08:57  | 

Z hlediska bezpecnosti je pri pouzivani vice sluzeb s vlastni autentizaci uzivatele samostatne heslo pro kazdou sluzbu naprosta nutnost. V takovem pripade dost muze pomoci autentizace zalozena na cipove karte s certifikaty uzivatele pro dane sluzby. Podstatnou nevyhodou je to, ze ne vzdy a vsude je moznost mit ctecku karet
Dalsi variantou - pomerne dost jsem se s tim potkal - je mit PDA se "silnym" heslem pro pristup a v nem ulozena hesla, a to v komplexnim tvaru (mala a velka pismena, cisla a alfanmericke znaky). Pak uz jen davat pozor na kradez PDA a hlavne si pamatovat to jedine heslo k nemu

Souhlasím  |  Nesouhlasím  |  Odpovědět
tmar  |  10. 02. 2005 16:09  | 

Ja pouziva jiz nekolik let maly nastroj (iniciatorem byl Bruce Scheier - autor Blowfish a Twofish algoritmu).Jmenuje se PasswordSafe a v nem mam ulozene vsechny hesla napr. toto je jedno z hesel, generovane timto nastrojem (29 znaku): VGvtdfFPasbcte2YVZkk6m9GzCVb0. Mam hesla, o kterych ani netusim jak vubec vypadaji a timto zpusobem lze taky generovat napr. User ID. Takze zadne basnicky:).To mne pripada, ze autor to prave nekde nastudoval a rovnou jak to cte tak z toho dela vycuc pro nas "laiky"... div jsem z toho ziv...

Souhlasím  |  Nesouhlasím  |  Odpovědět
tmar  |  10. 02. 2005 16:11  | 

Pardon "Ja pouzivam... a Bruce Schneier"

Souhlasím  |  Nesouhlasím  |  Odpovědět
fry  |  10. 02. 2005 16:40  | 

A hlavni heslo ke vsem ostatnim, tedy tem ulozenym v PasswordSafe, mate taky nekde ulozene? Nebo mate vsechna silna hesla v PasswordSafe chranena slabsim heslem?

Souhlasím  |  Nesouhlasím  |  Odpovědět
tmar  |  10. 02. 2005 17:15  | 

Spravne, mam oblibenou vetu, kterou jsem si za timto ucelem poskladal. Ma nekolik desitek znaku, samozrejme prokladane ruznymi specialnimy znaky, takze? a navic tak "trochu" se zabyvam kryptoanalyzou... ale kdo vi, mozna mate pravdu, ze vsechny hesla mam chranena slabsim (ja si to nemyslim) a proto budu ostrazity. Diky za radu. Tady se laik obcas neco nauci, ze jo?

Souhlasím  |  Nesouhlasím  |  Odpovědět
tmar  |  10. 02. 2005 17:17  | 

Ja se omlouvam, za to "specialnimy"...

Souhlasím  |  Nesouhlasím  |  Odpovědět
xtonda  |  10. 02. 2005 22:09  | 

sorry, ale z predstavy, ze bych treba jen 2x denne musel heslo tohoto typu nekam opisovat mi naskakuje vyrazka

Souhlasím  |  Nesouhlasím  |  Odpovědět
Agibot  |  11. 02. 2005 15:38  | 

Právě na to jsou programy jako:
http://passwordsafe.sourceforge.net/
http://www.compelson.com/po_version.htm
http://www.keywallet.com/

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jakub Hegenbart  |  11. 02. 2005 15:47  | 

Je to přece Microsoftí server, ne? :) „Autentizace“ je příšený paskvil.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor

Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch