8:55
12/5/2017

Z racji liczby udzielanych mediom wypowiedzi, doszliśmy do wniosku, że ze względu na ich szczegółowość i edukacyjny charakter, będziemy je także udostępniali na łamach Niebezpiecznika. Nie chcemy aby zniknęły w otchłani czyjegoś serwera za kilka lat, albo żeby schowano je za paywallem danej gazety. Dodatkowym atutem będzie to, że prezentowana przez nas wypowiedź jest pełna (gazety ze względu na format artykułu i ograniczenia nałożone na liczbę znaków często zmuszone są skracać wypowiedzi lub w inny sposób je parafrazować/upraszczać. U nas zawsze oryginalny zapis :).

Poniższa wypowiedź dotyczy nowych wytycznych NIST w sprawie haseł i została udzielona Piotrowi Stanisławskiemu i została opublikowana na łamach Crazy Nauka 24 kwietnia 2017r.

W bezpieczeństwie czasem to co jest dobrą rekomendacją dla jednych, może się okazać zdradliwe dla drugich. Zawsze przed wdrożeniem jakiejkolwiek zmiany warto przeprowadzić tzw. analizę ryzyka — właśnie po to, aby dokładnie zbadać jaki wpływ dana modyfikacja będzie miała na bezpieczeństwo w naszych warunkach.

I tak, niektóre z proponowanych przez NIST zmian mogą, w pewnych scenariuszach, być zmianami na gorsze. Przykładowo — regularna zmiana haseł, do której NIST zniechęca — rzeczywiście może być problematyczna, bo sprawia, że pracownicy tworzą słabsze hasła (np. tak znane w naszej administracji publicznej, wymagającej comiesięcznej zmiany haseł, Kwietnie2017, Maje2017). Po prostu z racji tego, że hasła ciągle muszą zmieniać, nie mogą ich zapamiętać, szukają więc prostych (i niestety przewidywalnych!) algorytmów. Ale jeśli pracownik jest bardziej świadomy (a takich nie brakuje!) i korzysta z rekomendowanego przez wszystkich (ale nie zawsze łatwego w obsłudze) managera haseł, to dla niego odejście od regularnej zmiany haseł będzie bardzo nieprzyjemne. W sytuacji, gdy włamywacz przechwyci hasło do skrzynki e-mail, będzie miał do niej dostęp na zawsze, podczas gdy stosowanie regularnej zmiany haseł “odcięłoby” włamywacza od nowych treści z końcem miesiąca. Jak widać, nie dla każdego taka rekomendacja NIST-u bazująca na uogólnionych wynikach jest korzystna.

Rekomendacja usuwająca narzucanie grup znaków, jakie musza zaistnieć w haśle jest słuszna. To prawda, że jeśli wymagany jest znak specjalny, to spora część osób na końcu swojego ulubionego hasła po prostu doda wykrzyknik (po zobaczeniu komunikatu “nie można założyć konta, w haśle brakuje znaku specjalnego”). Zdecydowanie ważniejsze jest, aby hasło było dłuższe i niesłownikowe (bo te są sprawdzane w pierwszej kolejności), a przede wszystkim unikatowe, tj. dla każdego z kont inne. A jak do tego, tam gdzie się da, włączymy jeszcze 2FA, czyli dwuskładnikowe uwierzytelnienie, często realizowane przez dodatkowy kod wysyłany na SMS lub generowany przez odpowiednią aplikację na smartphonie, to dodatkowo nie tylko “uodpornimy się” na łamanie i zgadywanie haseł (bo do logowania potrzeba właśnie jeszcze drugiego składnika) ale także znacznie utrudnimy atakującym ataki phishingowe, które obecnie są najpopularniejszą i najłatwiejszą metodą “zhackowania” czyjegoś konta. Zwłaszcza, jeśli jako 2FA użyjemy klucza U2F, czyli sprzętowego tokenu (por. Jak zhackowano szefa kampanii prezydenckiej Hillary Clinton)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

7 komentarzy

Dodaj komentarz
  1. Jaki menadżer haseł rekomendujecie?

  2. Keypass ma dobre opinie. Ma również otwarty kod źródłowy. Na komputerświat napisano, że analiza kodu źródłowego nie wykazała błędów.

    • Keepass.

    • KeePass

  3. A propos keepasa. Czy jest sposób użycia go gdy np. bank stosuje maskowanie znaków w haśle i nie da się tego maskowania wyłączyć?

    • W autotype trzeba wybrać opcje PICKCHARS.
      Jak wpiszesz w google keepass pickchars pierwszy wynik kieruje do dokumentacji.

    • Hasła maskowane są obsługiwane w KeePass tylko podczas automatycznego uzupełnia ze wskazaniem pola (ctr+v) lub globalnego (ctrl+a) – zakładka “Auto-Type” wewnątrz danego rekordu. W zależności od zastosowanego formularza logowania musisz ją odpowiednio ułożyć, np. dla banków BEZ MASKOWANIA schemat jest zazwyczaj: {UserName}{ENTER}{DELAY 1000}{Password}{ENTER} – tak samo jest na stronie GMail. Dla hasła MASKOWANEGO jest już trochę trudniej ponieważ musisz stworzyć dwie reguły. Osobną dla loginu ({UserName}{ENTER}) i osobną dla hasła {{PICKCHARS}{ENTER}} w każdej z nich dodatkowo należy wskazać właściwy target window czyli aktywną “podstronę” dla loginu i hasła. Na koniec żeby skorzystać z nowego udogodnienia musisz wcisnąć skrót auto-uzupełniania raz na stronie loginu, a drugi raz na stronie z maskowanym hasłem.

      Pozdrawiam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: