Schéma pro správu hesel (diskuse)

Používám třetí přístup, který nevyžaduje ani dobrou paměť, ani přístup k zašifrované databázi hesel: generátor hesel SuperGenPass. Existuje jich samozřejmě celá řada. Princip je takový, že se zahashuje (několikrát) URL serveru + jedno master heslo a výsledkem je na pohled náhodné heslo, které je velmi silné, na každém serveru ho máte úplně jiné a vygenerujete si ho kdykoliv kdekoliv znovu.

Amatéři postavili Noemovu archu, profesionálové Titanic ...

27.5.2013 14:23 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Ok, dík za tip, ačkoli teda ten SuperGenPass mobile nemá v pořádku https, takže to bych rozhodně nepoužíval...

SPD vůbec není proruská

27.5.2013 20:56 Petr Krčmář | skóre: 60 | Liberec
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Na mobilu používám verzi pro Android. A pokud nevěříš jejich serveru, není problém si to stáhnout (je to JavaScript) a nahrát někam k sobě, kde máš SSL vyřešené. Mám někde ještě třeba verzi v Pythonu a v Bashi :-)

Amatéři postavili Noemovu archu, profesionálové Titanic ...

28.5.2013 21:58 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Daj výhodu https.

KERNEL ULTRAS video channel >>>

29.5.2013 13:29 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

No tak pokud přenášíš někam/odněkud svoje master heslo a další hesla, chtělo by to, aby je po cestě nemohl někdo odposlechnout, že...

SPD vůbec není proruská

29.5.2013 15:00 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Takže master heslo som odchytil, čo ďalej :-)

KERNEL ULTRAS video channel >>>

29.5.2013 18:34 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

teď člověka, jehož master heslo máš, elektronicky znásilni (ať už si pod tím představíš cokoliv, jen k tomu použij to master heslo, jinak bys dělal ten první krok zbytečně)

If you understand, things are just as they are; if you do not understand, things are just as they are.

29.5.2013 22:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Až na špecifické veci https nič nerieši, teda okrom VPN a pod. je to len zbytočná buzerácia užívateľa, ktorý žije v mylnej predstave bezpečnosti.

KERNEL ULTRAS video channel >>>

29.5.2013 23:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

On už existuje nějaký útok na správně použité HTTPS?

29.5.2013 23:19 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Občas si internet zapnem a okrem riešenia že pošlem meno a heslo, prípadne kľúč nestretol.

KERNEL ULTRAS video channel >>>

29.5.2013 23:20 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Parse error.

Co je špatného na přihlašování se přes jméno a heslo přes HTTPS?

29.5.2013 23:28 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

přes jméno a heslo

Že ich odošleš? Nehovoriac o tom že bežná vec je mať na https stránkach reklamný banner. Kde sa pripájaš, poznáš toho človeka? Je tam veľa faktorov.

KERNEL ULTRAS video channel >>>

29.5.2013 23:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Že ich odošleš?

Když komunikuji s aplikací, která má přístup ke všem mým heslům, prozrazení jednoho dalšího mě nezabije.

Nehovoriac o tom že bežná vec je mať na https stránkach reklamný banner.

No tak to je pak blbý. Vím, že třeba dementi z ČSOB mají na stránkách JS od Googlu. To ale nespadá pod „správně použité“ HTTPS.

Kde sa pripájaš, poznáš toho človeka?

Petr Krčmář výše správně píše, že si to máš rozjet u sebe.

30.5.2013 10:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Ja som trochu odbočil od Králykovej témy, pretože samo HTTPS nič nerieši, teda nie ako to poznám na dnešných weboch, ako je to napríklad aj tu, mne to príde zbytočné prijmáť certifikát, keď za to nemám žiadny bonus.

KERNEL ULTRAS video channel >>>

30.5.2013 12:11 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

HTTPS řeší zejména MITM (Man In The Middle) útoky. Zaprvé spojení šifruje. Bez toho by si mohl kdokoli mezi tebou a serverem přečíst přihlašovací údaje. Zadruhé ověřuje identitu serveru, ke kterému se připojuješ, takže víš, že to skutečně je server, za který se vydává. Bez toho by například někdo mohl tvoje spojení přesměrovat na jiný server a ty bys neměl možnost to poznat. To je dost klíčové, pokud jde o zabezpečení.

SPD vůbec není proruská

30.5.2013 13:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Alespoň teoreticky.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

30.5.2013 22:28 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Kluci mají penis
Holky mají vagínu
Kotyz má kloaku

I♥DRX * www.KERNELULTRAS.org

Ja pouzivam databazi Lastpass pro nedulezita hesla na internetu. Vyhodou je automaticke vyplnovani do formularu pri instalaci vhodneho pluginu. Nedavno jsem vsechna hesla menil na nahodne vygenerovana a zde je nekolik poznatku.

skoro stejne tezke jako pamatovat si heslo je pamatovat si uzivatelske jmeno. Obcas byva oblibene jmeno obsazene a je potreba si vybrat dalsi. Dokud se psalo do policka username jmeno a do policka email email, tak se to jeste dalo pamatovat, ale dnes uz je tech uzivatelskych jmen vice nez kolik je realne si pamatovat.
Kazda sluzba ma vlastni podminky na hesla, ktera se lisi sluzbu od sluzby. Nektere z podminek na hesla, ktere uvizly v pameti (zvlaste ty obskurdni)
- heslo ma prave 5 cislic
- heslo ma minimalne 7 a maximalne 8 znaku
- heslo obsahuje velka a mala pismena, cislice a alespon jeden specialni znak
- heslo kazdy mesic expiruje a je potreba zadat nove, ktere se lisi od predchoziho
- zmena hesla je mozna pouze pokud je to nezbytne nutne. Napiste nove heslo administratorovi plaintext emailem.
Tady je videt, ze vytvorit algoritmus, ktery by pokryval vsechny pozadavky na hesla, neni uplne snadne.
Nektere servery poslou nove heslo plaintextem zpet na email, nektere (zvlaste ty nejvetsi) poslou zpet emailovou notifikaci, ze heslo bylo zmeneno a co delat nebo koho kontaktovat, pokud zmena hesla nebyla autorizovana.
Pokud se pouziva nejaka aplikace s provazanym klicem, tak nektere sluzby pri zmene hesla zneplatni vsechny tyto autorizace a jine nikoliv (je to tak 50 na 50).

Pro pristup do weboveho uloziste klicu je mozne pouzivat i jednorazova hesla, napriklad pomoci Yubikey. Dokonce nova verze Yubikey Neo by mela umoznovat pristup i z mobilu pres NFC, nezkousel jste to uz nekdo?

Tim jsem srazil pocet hesel, ktera si pamatuju, priblizne na 10 a to se jiz da provozovat.

27.5.2013 14:14 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Ok, díky za posřehy. K těm loginům: V zásadě není bezpečnostní riziko si loginy někam poznamenávat, třeba do mailu. Navíc řada služeb se loginem ani netají (pokud to není e-mail adresa). To samé platí o podmíkách na hesla, ty se můžou poznamenat k tomu. S takhle obskurními pravidly se teda nesetkávám, nejhorší pravidlo, co mám, je A-Za-z0-9 + změna jednou za měsíc, ale to je celkem v klidu. Nadruhou stranu je pravda, že v minulým zaměstnání mi přidělili šílený heslo a nebylo možné ho změnit, takže tam veškerý algortimy nepomůžou...

Dík za odkaz na YubiKey, to vypadá zajímavě...

SPD vůbec není proruská

27.5.2013 14:37 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Pro pristup do weboveho uloziste klicu je mozne pouzivat i jednorazova hesla, napriklad pomoci Yubikey. Dokonce nova verze Yubikey Neo by mela umoznovat pristup i z mobilu pres NFC, nezkousel jste to uz nekdo?

Jsem si ho chtěl ze srandy koupit, ale dlouhou dobu tam bylo, že je vyprodaný a bude koncem dubna a po konci dubna už píšou, že je jenom vyprodaný...

Pokud uvážím jako útočníka sběrače ala klobouk z xkcd, tak je "statická" část na prd. Dynamická část je IMO z hlediska kryptoanalýzy slabá jako pigi čaj – je to jen maličká transpoziční abeceda, navíc ovlivněná jazykem. Čili statistickou analýzou to půjde zlomit (tj. získat klíč – "básničku") snadno, pokud je k dispozici dost velký vzorek. Možná by ani nemusel být moc veliký – jakmile máš pár slov můžeš zbytek klíče snadno uhádnout.

Prakticky bych to tak zle neviděl, přecijen by onen xkcd klobouk musel mít těch hesel sesbíraných docela dost. Určitě je to lepší než většina hesel, a že to jde celý realizovat v hlavě je bezva.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

27.5.2013 14:06 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Jj, je to dost slabý, ale jak říkáš, prakticky by to asi šlo. Navíc na ty úplně nedůležitý služby typu nějakej blbej uploadovač obrázků nebo kdejaký nepodstatný fórum můžu používat jedno statický heslo, u kterýho mě to netrápí.

SPD vůbec není proruská

27.5.2013 14:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Prakticky bych to tak zle neviděl, přecijen by onen xkcd klobouk musel mít těch hesel sesbíraných docela dost.

Jenže ty máš i 1-2 dotazy na hashing oracle - můžeš poslat kralykovi odkaz na službu, která má jméno účelově zkonstruované tak, aby leakl co nejvíc informace.

27.5.2013 14:46 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Měl jsem k tomu dát nějakej výraznější disclaimer.

Jasně, že to není ani šifrovací ani hashovací algoritmus v pravém slova smyslu, a jasně, že to není bezpečný. A ze zápisku je vidět, že minimálně u toho prvního příkladu to jde zrekonstruovat celkem snadno. (V reálném nasazení by to určitě chtělo nepoužívat nějakou takhle profláklou říkanku, ale nejlépe něco obskurního nebo vlastnoručně sestaveného). Je to prostě tradeoff jako prase.

můžeš poslat kralykovi odkaz na službu, která má jméno účelově zkonstruované tak, aby leakl co nejvíc informace.

To prakticky nebude tak snadný. Zaprvý bys mě musel motivovat tu službu použít, a to se silným heslem, ie. musela by to být nějaká důležitější služba, zadruhý nepoužívám jméno služby přesně v té podobě, jak je, ale můžu si ho přizpůsobit/zjednodušit/změnit (kvůli zapamatování), no a do třetice asi nebudeš vytvářet dvě nové důležité služby pro každého kralyka.

Ale jinak ano, bezpečné to není a spoléhá se na security through obscurity.

SPD vůbec není proruská

27.5.2013 15:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Received: from back1.argonit.cz (back1.argonit.cz [37.46.80.52])
	by fry.hrach.eu (Postfix) with ESMTP id 6191840278
	for jenda  hrach eu; Mon, 27 May 2013 15:10:09 +0200 (CEST)
Date: Mon, 27 May 2013 15:10:09 +0200 (CEST)
From: jenda yakumo.hrach eu
To: vojtech  kral hk
Subject: Bitcoiny
Ahoj, našel jsem skvělou aplikaci, která rozdává Bitcoiny! Stačí si založit účet a pak ti každý týden bude chodit 1 BTC! Nezapomeň si nastavit silné heslo, aby ti někdo rozdané BTC neukradl.
http://jenda.hrach.eu/f/bitcoins.php?sname=AEEPISREOIS

27.5.2013 15:19 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Hezký, ale "AEEPISREOIS" bych si v životě nezapamatoval, asi bych zvolil "jenda.hrach.eu" nebo tak něco...

SPD vůbec není proruská

27.5.2013 15:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Pro velký úspěch příště přidám kontrolní otázku.

Osobně to řeším password managerem a potřebuju znát vlastně jen heslo k šifrovanému disku, na kterém password manager bydlí. Vzhledem k tomu, že používám vlastně jenom jeden počítač (+ si pamatuju heslo do školy, které se zadává na jiných počítačích furt a není praktické vytahovat notebook), nemám se synchronizací problémy.
Dovoluji si pochybovat o bezpečnosti tvého algoritmu. Mnoho kryptografických schémat, které vymyslel člověk, který tomu nerozuměl (nic proti, sám tomu také nerozumím - a proto nevymýšlím šifrovací algoritmy), a proto nedomyslel věci do důsledků, brutálně zfaililo. Myslím, že master key půjde zrekonstruovat v nejhorším případě (vhodně zvolené jméno služby :) už se znalostí pouhých několika hesel.

Btw., otázka do diskuze: Neznáte někdo nějaký symetrický šifrovací algoritmus, který není vyloženě děravý a šel by provozovat na papíře (potřebuju v rozumném čase umět zašifrovat ~1 kB dat)? Asi bych na papíře zvládl A5/1 a ARCFOUR, ale A5/1 je zlomená a ARC4 taky nevypadá nejlépe.

27.5.2013 14:45 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Btw., otázka do diskuze: Neznáte někdo nějaký symetrický šifrovací algoritmus, který není vyloženě děravý a šel by provozovat na papíře (potřebuju v rozumném čase umět zašifrovat ~1 kB dat)? Asi bych na papíře zvládl A5/1 a ARCFOUR, ale A5/1 je zlomená a ARC4 taky nevypadá nejlépe.

V cryptonomiconu je popsaný docela pěkný šifrování pomocí balíčku karet.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

27.5.2013 14:55 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

To bude asi Solitaire...

SPD vůbec není proruská

27.5.2013 15:32 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Osobně to řeším password managerem a potřebuju znát vlastně jen heslo k šifrovanému disku, na kterém password manager bydlí. Vzhledem k tomu, že používám vlastně jenom jeden počítač (+ si pamatuju heslo do školy, které se zadává na jiných počítačích furt a není praktické vytahovat notebook), nemám se synchronizací problémy.

To máš dobrý, takhle jednoduchý to bohužel nemám. Např. do e-mailu potřebuju být schopen přistoupit odkudkoli. Ale je pravda, že heslo k e-mailu může být specielní případ. Pak mam heslo do školy. Pak heslo k šifrovanému disku a k šifrovanému disku na zálohy. Pak mam ještě herní konzoli, resp. PC s MS GameLoader OS, kde jsou potřeba loginy k online hrám. Dále např. heslo ke student agency, který se hodí mít poruce i bez jednoho určitýho počítače. No a dále X dalších, který si teď momentálně nevybavim... Ale je pravda, že u většiny z nich by snad nebylo tak hrozný být omezen na jeden počítač.

SPD vůbec není proruská

27.5.2013 15:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Tvoje požadavky na flexibilitu jsou v rozporu s Jendovými požadavky na bezpečnost.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

27.5.2013 16:20 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Já si myslim, že to je spíš o tom, kolik seš ochoten si zapamatovat. Asi si toho holt muset pamatovat víc než jen dva řádky z nějaký říkanky. Stále jsem toho názoru, že člověk je schopen zapamatovat si a případně pracovat s poměrně slušným kvantem informace. Viz třeba Amigapowerův příspěvek, který mě přijde v tomhle směru asi zatím nejhodnotnější ;-)

Jen to nějak zobecnit, aby to bylo kompatibilní i s nechovateli koček...

SPD vůbec není proruská

27.5.2013 16:27 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Zcela se míjíme. Rozpor ve vašich požadavcích se vůbec netýká lidské paměti. Jde o to, že tvým požadavkem je plácat heslo úplně kamkoli, zatímco jendův požadavek je heslo chránit.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

27.5.2013 17:06 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Jde o to, že tvým požadavkem je plácat heslo úplně kamkoli

Kdes to vzal? To není pravda.

SPD vůbec není proruská

27.5.2013 17:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Nebude lepší, když teda napíšeš, jak jsi to ve skutečnosti myslel?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

27.5.2013 18:35 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Tím "odkudkoli" jsem měl na mysli "za jakéhokoli počítače, kterému důvěřuju" pochopitelně, jak by asi mohl existovat požadavek na heslo, který naplácáš úplně kamkoli? Takovej požadavek neexistuje, to heslo se v takový situaci prostě považuje za leaknutý, ať už je silný jakkoli. To bys musel použít nějakej jinej způsob autentizace a to je nad rámec diskuse... Nebo já nevim, jaks to myslel...

SPD vůbec není proruská

5.6.2013 14:27 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Neřeší to synchronizace např. přes dropbox případně vlastní server? Např. db Keepasu se uloží na dropbox (je to chráněné master heslem) + pak existujíé aplikace pro smartphony co to umí používat. Ztratím smartphone, neva, nainstalu si to do nového. Zruší dropbox? nevadí, mám lokální zálohu.

6.6.2013 09:49 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Synchronizace na úrovni souborů moc dobře nejde... někde se ten sync rozbije opozdí a uděláš dvě změny do různých DB a se syncem jsi skončil. KeePass 2 má synchronizaci v sobě a umí synchronizovat třeba proti té db uložené někde na FTP, ale zase tohle neumí ti mobilní klienti...

6.6.2013 12:59 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Já myslím že právě umí, někde na webu měli seznam klientů + jejich funkce. Já změny nedělám tak rychle za sebou takže mně podobná konfigurace funguje výborně.

27.5.2013 18:38 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Btw., otázka do diskuze: Neznáte někdo nějaký symetrický šifrovací algoritmus, který není vyloženě děravý a šel by provozovat na papíře (potřebuju v rozumném čase umět zašifrovat ~1 kB dat)? Asi bych na papíře zvládl A5/1 a ARCFOUR, ale A5/1 je zlomená a ARC4 taky nevypadá nejlépe.

Pokud by ti nevadilo použít klíč stejně dlouhej jako data (což by v řádu 1kB snad šlo, ale neznám požadavky v tvým případě), tak One Time Pad. Výpočetně nenáročné a nenapadnutelné...

SPD vůbec není proruská

27.5.2013 19:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Jasně, ale já bych těch kilobajtových bloků chtěl umět vyrobit v průběhu pár dní víc.

(už se jeden člověk ptal, proč to potřebuju, napsal jsem mu „třeba pro korespondenci z CPZ“)

27.5.2013 20:29 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

CPZ?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

27.5.2013 21:08 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Hmm, měli jsme stejné myšlenky :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

27.5.2013 21:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

Ten stejný člověk se pak ptal na totéž (což mě překvapilo). Cela předběžného zadržení.

27.5.2013 19:49 Kvakor
Rozbalit Rozbalit vše Re: Schéma pro správu hesel

OTP by šlo. Jenom by bylo nutné udělat takový klíč, který by na prvni pohled nevypadal jako klíč, zároveň by byl dostatečně náhodný a hlavně by byl vhodný k tomu, aby se zpracovával ručně, což bude docela oříšek.

Ale pokud by se netrvalo na tom, že se použije celý klíč, tak by bylo možné použít steganografii a proložit ho dostatečným množstvím výplně, aby splňoval všechny předpoklady (nenápadnost, náhodnost, snadná použitelnost) na úkor délky.

Potom by zbýval už jen jedniný problém - jak vysvětlit důvod, proč s sebou nosíte dvousetstránkovou sbírku vogonské poezie :-)