Още малко ще пишем пароли в Интернет...

[instinct]

Може без да се сменят паролите на потребителите. Просто ще кодират вече наличните sha1 хешове с новия алгоритъм и така ще ги защитят.

[tedy]

Мда, вариант е това. Но ще трябват и флагове всеки потребител какъв вид му е хеша заедно с допълнителен handling. Те предвид, че не правят други елементарни неща, та това ще е предпоставка за други проблеми в бъдеще.

Или всички пароли да продължат да се правят първо с SHA1 и после с по-сигурния алгоритъм... По принцип варианти има.

Предполагам има "мързеливи" програмисти, които пазят паролите в plain въпреки че знаят опасностите, за да могат по-лесно да влизат и следят потребители... не знам.

При нормално направена база, ако само базата се компрометира, то в нея сигурно ще има колкото си искаш информация, зависи какво се пази в нея, не само хешове на пароли. Ако пък влязат в самото приложение, то те просто ще го променят да си влизат в акаунтите както си искат, без значение как се автентицират хората.

[ARPAnet]

 

А за асемблера (който го използвам като пример на затрудняване на работата и с това автоматично въвеждане на подбор и "елитарност "при програмистите) - аз съм забелязал - когато да се свърши нещо е трудно и сложно, всеки от екипа гледа да изпипа оптимално нещата, и с поглед за години напред в бъдещето всичко да е направено съвместимо и надеждно, а не като сега. Стане ли дадена технология масова, започва едно повсеместно сваляне на нивото.

Трудността е относително нещо Но не е въпроса в асемблера а в наличието на добри практики и опита на програмиста Много зависи и от самата компания. 

 

 

ARPAnet, влизането у дома при мен (като клиент на онлайн сървизи) не влизаше в темата като казус. Естествено че ако влязат у нас могат в браузъра да намерят запаметени пароли и др. Ще намерят обаче само на маловажните акаунти . Всичко останало (банки, epay...) не запазвам паролите, а се въвеждат през password manager апп.

Съответно никой не твърди или спори, че "такъв тип аутентикация" не подобрява секюритито Когато е в допълнение към парола (като тя е задължителен атрибут към всичко), а че АКО е само по този начин, секюритито даже се влошава многократно. Ама то нали... понеже стана дума че с "новия" начин няма да помним и пишем пароли... нали това беше есенцията на темата и тази 'нова' технология ..

Е ти добави казуса с влизането у дома

Така и не разбрах как се влошава от наличието на 2FA ? Още в началото дадох пример на донгълче с вграден четец на отпечатъци за целта.

[tedy]

Аз вече забравих за какво бях писал за това с влизането у дома . В крайна сметка то е отделен казус.

Иначе донгълче с вграден четец на отпечатък - ми то е точно по казуса, за който няколко пъти писах, даже по-лесно за "хакерите" - две в едно , вместо да търсят нещо машина или лаптоп с четец на отпечатъци, така директно ти сканират пръста докато ти взимат "флаката" докато спиш .

Ако има парола като фактор, всичко друго може да е просто за подобряване на сигурността, а що се отнася от сървърна гледна точка, там е малко спорно положението поради изложените доводи преди.

[Midex]

За да влязат точно у вас да ти взимат отпечатъците докато спиш се предполага, че трябва да имаш поне 2 яхти, хеликоптер и частен самолет, но пък тогава се предполага, че около теб денонощно ще има поне няколко човека въоръжена охрана, така че и това отпада, а доколкото знам, ти все още нямаш $$$$$$$$ в такива количества, тъй че на този етап може да си спокоен вечер като си лягаш, понеже засега не предизвикваш интерес за подобни акробатични изпълнения.

[tedy]

Е, мащабът не е важен в случая ако всичко това може да стане толкова лесно . И не говоря за влизане у дома с взлом, а по принцип.

Достатъчно е в някой ресторант да се напия и някой да ми влезе в акаунт и да напсува някой познат или клиент.. , сещаш се, че това е заплаха за всякакъв мащаб на богатство.

[Midex]

Достатъчно е в някой ресторант да се напия и някой да ми влезе в акаунт и да напсува някой познат или клиент.. ,

 

Значи е време да намалиш пиенето.

 

Разбира се, че винаги има възможност каквато и технология да се въведе, тя да бъде заобиколена по един или друг начин, но обикновено в практиката остават най-успешните и сигурни разработки, така че и с това ще се види накъде ще тръгнат нещата...

[ARPAnet]

Е, мащабът не е важен в случая ако всичко това може да стане толкова лесно . И не говоря за влизане у дома с взлом, а по принцип.

Достатъчно е в някой ресторант да се напия и някой да ми влезе в акаунт и да напсува някой познат или клиент.. , сещаш се, че това е заплаха за всякакъв мащаб на богатство.

 

Рандъм пиян човек в ресторант .. пак не е толкова лесно да намериш къде има акаунти, че да се мушнеш там ..

Със същият успех мога да ти дам парола която използвам и да знам, че няма шанс да влезеш там

 

Трейд офа е, че при откраднат сет от юзърнейми и пароли, няма нужда да те напиват, виждат или знаят, че да достъпят някои от онлайн ресурсите ти. За много хора такъв лийк би дал достъп и до други места защото обикновенно се ползват едни и същи пароли, съответно комбинацията от мейл/юзър + парола се тестват навсякъде.  Което е доста по-трудно когато използват такъв тип аутентикация.

Сега, ако се чувстваш като евентуална цел на подобен тип измама то разбира се не ползвай Или си дръж флашката в сейф

[instinct]

Аз пък мисля, че занапред (а може би и сега е така) едно хубаво 3D принтерче с висока разделителна и една силиконова отливка е всичко, което е нужно за да се излъже донгъла да приеме фалшив отпечатък. Те не са кой знае колко устойчиви на манипулации, отделно, дето може да се хакнат хардуерно, най-вероятно.

 

Паролата в главата е най-сигурният вариант. В допълнение към паролата може и въвеждане на допълнителен код за сигурност от получен смс, или разговор по телефона с банката, където питат за отговори на разни потайни въпроси, предварително уговорени.

[tedy]

Именно, а отпечатъка не мога да си го сменя . Смяната на "флашката", генерирането на нови ключове и т.н. пък е разправия.

Който има важни акаунти, ползва хубава парола и/или password managers. Винаги ще има някакви инциденти, но според мен все пак повечето услуги са достатъчно защитени с хешове.

Не съм против тези нововъведения, ел. подписи и т.н., а съм твърдо против да се стигне дотам да са само те начин за влизане на поне по-важните места, или пък задължителни при мултифактор.

За мен минусите и неудобството да нося подобно нещо физически с мен като задължителен атрибут за влизане някъде, са неоправдани освен в някакъв много критичен сценарий или случай.

Бих приел такова нещо единствено за най-критичните акаунти като банковите. За epay пък примерно ползвам и sms еднократен код, което пак е нещо в допълнение към паролата.

Вярно, не ползвам често е-банкиране, но дори там е досада това с хардуерни токъни и т.н. Това с sms еднократните кодове според мен е добро, заедно с добра парола и да не влизам откъдето ми падне.

А това че някой си ползва едни и същи пароли навсякъде, мен не ме е грижа за такива хора. Явно и тях не ги е грижа за акаунтите им. Те са такива, че ще губят токъна през месец, също както вероятно преинсталират компютрите си през месец.

[plameni]

Това с sms еднократните кодове според мен е добро...

 

Брах ядове с бавното получаване на такъв sms в чужбина. Наложи се да чакам 25 мин., докато го получа.

 

Напоследък съм привърженик на комбинацията силна парола + потвърждаване през мобилно приложение, защитено с ПИН.

Transferwise ползват подобна схема.

За да се логнеш в сайта, след въвеждането на потребителско име/парола, трябва да потвърдиш през мобилното им приложение, че си ти, а то пък е защитено с n-цифрен ПИН (ти определяш колко сложен)

[tedy]

Еми всяко нещо си има мястото, времето и предназначението.

Иначе да, това с мобилното приложение също звучи добре и като цяло е подобно на sms-a. За мен парола, съвместена с нещо от смартфона като че ли е най-приемливо в днешно време. Като че ли отминава времето да носим донгъли, че и вече кредитни карти (за последното не съм много убеден кога бих се доверил изцяло на телефона...) при наличието на смартфони. Още дълго обаче не бих се доверил само на смартфон.

 

P.S. Тъкмо гледам Транспортер 4... и малко шеговито (ама малко), но в тоя филм изпокрадоха сумати данни като изпоупоиха сума народ и им взеха пръстовите отпечатъци. Понякога някой само да ти направи мръсно, за далеч по-малки причини е способен на какво ли не, дори да е част от компания, с която пиете примерно .

[plameni]

Еми всяко нещо си има мястото, времето и предназначението...

Е и аз какво можех да направя, при положение, че никой от проектиращите системата за потвърждения не е предвидил, че електронно банкиране може да се ползва и в чужбина (представи си).

Или, че не е предвидил, че sms-ите към пренесени в друг оператор номера, минават мааалко по-сложен път, че даже може и да не стигнат до получателя.

Нищо друго, освен да псувам наред до девето коляно, без оглед на пол и възраст...

Иначе да, това с мобилното приложение също звучи добре и като цяло е подобно на sms-a.

Според мен е по-добро, защото отпада използването на един не толкова гарантиран начин на връзка.

Ползвайки електронно банкиране, означава че вече имаш интернет. Защо трябва да се разчита на нещо, което може и да го нямаш в момента.

Има места, на които може да има free wi-fi, но не и GSM покритие.

[tedy]

Еми аз точно това казвах де...

Всяко нещо си има мястото и т.н. За хора, които примерно рядко излизат в чужбина, камо ли да банкират оттам, SMS-a е може би най-добър за тях (ако пък и нямат смартфон или не искат мобилен нет, познавам такива хора).

От друга страна други пък могат да ти опонират, че в чужбина роумингът им идва непосилен или изобщо нямат такъв, или са излезли за малко в съседна държава, където не е в ЕС примерно, или в плана си нямат мегабайти.

Няма универсално щастие, това беше есенцията. Съвсем принципно. Вкл. това кое е по-добро за кого. Да, ако имам интернет навсякъде, както и смартфон, естествено че бих казал, че е по-добро във почти всяко отношение (абсолютно всяко нещо си има и недостатъци).

Колкото до това че ползваш електронно банкиране - може да го ползваш на публично място, в библиотека, при познати, и т.н., където има жичен интернет, но там да нямаш мобилен интернет за телефона. Варианти, ситуации и случаи, в които да псуваш могат винаги да се появят.

[Antares]

В старата работа бях принуден да ползвам такова чудо за LastPass, където се съхраняваха всички пароли. Няма толкова неудобна глупост. Всеки път, като трябва да се логна вадя ключодържателя, освобождавам порт на USB-то (щото с USB hub не работи), навирам тъпата пишка, ключове дрънкат, натискам и оп - логнах се. Секюра ми Янко! И ако трябва да се логваш във всяко нещо с тая простотия - ш'си прережа вените! Щото нито в гейпал, нито в ебуй, нито във фейсбоклук, нито в стийм (освен на app-a) си седя постоянно логнат, паролата ми е достатъчно сложна, за да я форсне някой бот, ама не - някой трябва да си продава "изобретението".

Това нещо мога да го: забравя вкъщи, загубя, счупя. Паролата си няма да я забравя, дорде не дойде чичо Алцхаймер... Отида на гости на приятел, поиска да му покажа нещо от сайта си - сори пич, не си нося ключа. 

[tedy]

А и USB портовете и куплунгите са предвидени за до около 5000 вкарвания/изкарвания. Възможно е да се разбрицат/развалят и по-рано.

Ако днес трябва да се логна в 5 сайта, утре 10 пъти, след година-две (и то при условие, че не ползвам УСБ-то за други цели) мога да очаквам да си съсипя USB-то на лаптопа или компа.

Логването трябва да минава поне през 2 канала. Парола въвеждане на компютър, дори да е публичен, заедно с код получен на смартфона примерно. Нямам достатъчно доверие в андроид, нито в публичния компютър, затова комбинирането на 2 такива неща е по-сигурно. В България ако е човек, SMS-ът досега не ме е забавял повече от 5-10 сек, примерно. Но такъв ползвам само за критични акаунти, ипей и т.н.