Kritická důležitost různých hesel na různé weby

MyEgo.cz

home foto blogy mywindows.cz kontakt

Kritická důležitost různých hesel na různé weby

Bezpečnost 17.12.09

V dnešní době člověk používá stovky webových služeb. Existuje přitom stále obrovská spousta lidí, kteří používají stejné či velice podobné heslo na veškeré tyto služby.

Uvedená věc je ovšem extrémně nebezpečná. Osobně používám asi 500 velice složitých hesel, typu TT2oKBW5uKOwF2tNucy&^xrD, na každý web a službu samozřejmě jiné.

Problém totiž je v tom, že překvapivě velká spousta webů si hesla ukládá jako plaintext, a pokud je na takovém webu heslo ukradeno, je z toho velký problém.

A mám s tím dokonce osobní zkušenost :-)

Na tento rok hacknutém www.phpbb.com webu jsem si kdysi dávno (asi 6 roků dozadu) založil jednorázový účet (na položení jedné otázky) a to samé na 5 dalších fórech. Toto heslo (bylo triviální, na fórech o nic nejde...) bylo ukradeno a zveřejněno.

V tomto případě se nestalo nic hrozného, ale pokud bych měl to samé heslo na citlivé weby a informace, tak je obrovský problém, který kriminální živly snadno zneužijí.

Navíc vůbec nezáleží na tom, zda to heslo je složité či jednoduché, třeba SvětHardware.cz měl (a možná stále má)  hesla uložená v databázi jako plaintext. Jejich admin či obecně libovolný člověk s přístupem k této DB může teoreticky vaše heslo zneužít - pokud je máte stejné na jiné weby, snadno se s ním přihlásí kamkoliv jinam aniž to poznáte.

A protože nemůžete nikdy vědět, zda daný web ukládá hesla jako plaintext, nepomůže vám ani jedno silné heslo, strojově jinak neodhalitelné.

Nutné je mít hesla různá na každou webovou službu a navíc silná.

Protože není v lidské moci pamatovat si 500 různých silných hesel, tak  musí na scénu přijít pomoc ve formě utilit.

Osobně používám RoboForm v ceně US$ 30. Je to skvělý plugin pro Internet Explorer a Firefox, který umožňuje generování hesel o libovolné délce a jejich ukládání ke každému webu zvláť (včetně více identit k jednomu webu). Tuto databázi hesel můžete zašifrovat heslem hlavním, a toto jediné si musíte pamatovat. Oněch 500 hesel bude bezpečně uloženo pomocí AES šifry díky master heslu.

Pokud to doplníte o šifrování disku pomocí (například) BitLockeru, je to dostatečně bezpečné řešení pro libovolné použití.

Osobně si bez RoboForm nedokážu fungování na internetu představit.

Související: Miliony hacknutých účtů v ohrožení. I v Česku


Komentáře

  1. 1 Miko Daniel 17.12.09, 08:12:10
    FB

    Neviem prečo všetci vyznávajú buď
    1) tvorenie silných hesiel skrz vety - "mala babka, štyri jabka a dedoušek len dve." z čoho spravia napríklad "mb4jadl2."

    2) skrz pseudonáhodný generátor ako popisuješ aj ty.

    Nevýhoda oboch je zjavná, pri prvej je to nutnosť zapamätať si viac takýchto viet a ktorú človek použil kde, v druhej je to možnosť straty databázy (aj keď človek by mal samozrejme zálohovať).

    Podľa mňa najlepším riešením je tvoriť si heslo cez hashovaciu funkciu prostredníctvom kľúčového slova "napríklad http://myego.cz " a tajného master hesla, tak ako to kedysi popisoval DGX. Po zadaní potrebných parametrov (malé/veľké písmena, čísla, špeciálne znaky, dĺžka hesla) nám vypľuje pre danú doménu rovnaké heslo, ale pritom pre každú doménu iné. Ak to človek skombinuje s viacnásobným použitím rôznych hashovacích funkcii (SHA-512 + MD5 + Whirpool) tak má zaručenú aj ochranu, keby sa niekedy náhodou našiel nejaký reverzný algoritmus voči jednej z daných funkcii, ale zároveň má istotu, že ak príde o databázu s heslami, tak si heslo poľahky opäť "obnoví".

  2. 2 Tomáš Herceg 17.12.09, 09:12:47
    FB

    [1] Kombinace různých hashovacích funkcí nemusí nutně zajistit, že rozluštění bude obtížnější. To je stejné, jako když se starý šifrovací algoritmus DES aplikoval 2x. Jeho lousknutí bylo pak úplně triviální. Hashovací funkce obecně jsou dost komplikované, takže těžko říct, jaké vlastnosti bude mít výsledek jejich kombinace. Stačí SHA-512 s nějakým master heslem a názvem webu/služby, k níž se přihlašujete.

    Ideální by ovšem bylo vymyslet nějaký algoritmus, který se dá upočítat z hlavy a z výsledného hesla na první pohled nevykoukáte, jak vzniklo. Takový jsem ještě ale neviděl.

  3. 3 Radek Hulán 17.12.09, 09:12:59
    FB

    [1] běžně potřebuješ stovky různých hesel na stovky různých webů. Co, co používá DGX je nebezpečné a neefektivní, protože to neřeší možné zneužití ani to, že ta hesla musíš na ten web nějak vyplnit.

    Jediná skutečná odpověď je tedy aplikace typu Roboform.

  4. 4 Miko Daniel 17.12.09, 11:12:21
    FB

    [2] Neviem presne čomu si nepochopil, ale ide len o to, že ak máme hash SHA512, ten ešte prejsť cez napríklad MD5, tak máme zaručené že ak sa nájde reverzný algoritmus md5, tak sa útočník stále dostane iba k hashu SHA512 a nie k samotnému plaintext heslu.

    Radek: neviem či si ma správne pochopil o Roboform mi vôbec nejde, predpokladám že heslá si nemusíš nechať nutne vytvoriť v ňom, ale môžeš ho používať aj s heslami, ktoré už máš vytvorené. Takže kľudne nech si kto chce používa Roboform, ale kľudne môže heslá tvoriť tak ako som napísal ja a v prípade že príde nejakým spôsobom o ten Roboform, tak stále heslá získa späť. Tvojej vete, že je to nebezpečné, teda nechápem.

  5. 5 Radek Hulán 17.12.09, 11:12:56
    FB

    [4] jo, mohu tam nacpat svoje hesla, ale v čem je výhoda hesel vznikajících jedním algoritmem, oproti 500 skutečně náhodným a nezávislým heslům? To první je snazší napadnout. Ta idea DGX je prostě hloupá.

  6. 6 Miko Daniel 18.12.09, 01:12:05
    FB

    Výhoda je opakujem v tom, že keby si prišiel o databázu Roboformu (áno, viem že máš zálohy), tak dokážeš svoje heslá znovu vytvoriť. Teoreticky je to ľahšie napadnúť, to máš pravdu, ale útočník ktorý by to chcel napadnúť by musel vedieť presný "generátor" ktorý používaš, musel by vedieť presné v akom tvare tam píšeš doménu na ktorú sa ideš registrovať (myego.cz/www.myego.cz/http://myego.cz) a musel by vedieť tvoj master password a ten máš samozrejme vedieť iba ty. Ak ale začneme stavať na predpokladoch, že niekto dokáže získať tvoj master password, tak potom je rovnako nebezpečný aj Roboform, lebo na rozšifrovanie databázy tiež potrebuješ master password. A ak začneme stavať na predpoklade, že niekto dokáže navrhnúť reverzný algoritmus na tie hashovacie funkcie, tak je to rovnaká pravdepodobnosť, ako že niekto dokáže zlomiť AES šifru tvojej roboform databázy. Bezpečnosť je podľa môjho názoru viac menej rovnaká.

  7. 7 Radek Hulán 18.12.09, 10:12:11
    FB

    [6] není, když někdo zná tvoje plaintext heslo (a to zná, spousta webů si je takto uchovává), další si může být schopen odvodit, pokud je tam agoritmus, v případě 500 nezávislých hesel nikoliv.

    Ke "ztrátě" existují zálohy. To se netýká jen hesel, ale všech souborů přece.

  8. 8 ewa lobanova 18.12.09, 11:12:16
    FB

    tohle je uzasny ale pak prijdes k jinymu pc a jsi uplne namydlenej a neprectes si ani mail
    nehlede na to ze si udelas zalohu na flasku a pak ji stratis a posere se ti disk a co pak?
    zkusil jsem a je to desne omezujici, myslim ze weby jako je treba tenhle nakej spesl password nepotrebuji a kdyz mi ho nekdo lohne je mi to sumak

  9. 9 zdenek 18.12.09, 11:12:24
    FB

    [8] Přesně tak, ukládání stovky hesel do 1 databáze na 1 pc je blbost, navíc kdybys ji teoreticky nosil s sebou na flashce, tak to v případě ztráty flashky ztrácí veškerý smysl. Celá idea různých hesel na weby je jenom šíření paniky. Prostě na bezvýznamné weby(většina) používám jedno heslo a na ty, co jsou důležité(e-banking, osobní mail) používám různá a tak si stačí pamatovat maximálně 5 hesel.

  10. 10 Radek Hulán 18.12.09, 11:12:55
    FB

    [8] a kdo se přihlašuje ke svému emailu na jiném PC? Studentíci v internetové kavárně či škole? Od toho je HTC HD2..

  11. 11 Miko Daniel 18.12.09, 12:12:12
    FB

    [7] Radku ak chceš, pošlem ti plaintext hesla, ktoré používam na myego.cz a prosím odvoď si z neho ďalších 100 hesiel čo používam :) Celé to čo hovorím, je založené na tom, že kryptografická hashovacia funkcia je JEDNOSMERNÁ, preto sa nedá odvodiť heslo pôvodné. Tvoj Roboform používa predsa tiež nejakú hashovaciu funkciu ku tvorbe hesiel, akurát ako vstup u neho neslúži master password + kľúčové slovo ale pseudonáhodný generátor, ktorý väčšinou pozrie napríklad aktuálny dátum a čas + ďalšie veci na konkrétnom pc + je tam väčšinou zdroj náhodilosti typu pohybu kurzoru myši po obrazovke alebo náhodný vstup z klávesnice, to celé prejde cez hashovaciu funkciu a máme slávne Roboform "skutočne náhodné a nezávislé heslo".

    [8] Na posranie disku slúži napríklad raid pole... ja som Flashku ešte napríklad nestratil... Ale šanca, že sa ti obe tieto veci stanú naraz, je skutočne malá, navyše stále môžeš mať tú databázu na ďalšej flashke v trezore alebo kde. Ale v každom prípade to čo navrhujem ja, rieši aj ten prípad.

    [9] Ty si ten článok zrejme úplne nepochopil. V prípade straty flashky nehrozí v podstate nič, pretože databáza je zašifrovaná cez 256 AES. Aby si sa do nej dostal, potrebuješ vedieť heslo k databáze a ja pevne verím, že toto Radkovo heslo má 20+ znakov, takže je veľmi nepravdepodobné (pod veľmi nepravdepodobné myslím to, že aj keby si mal výpočtovú silu milióna bežných počítačov, vypočítavanie tohto hesla by trvalo milióny rokov - v prípade záujmu ti uvediem aj konkrétny výpočet) že by sa ti mohlo podariť ju rozšifrovať. Idea šírenia rôznych hesiel na weby je dobrá, zvyšuje to bezpečnosť používateľov, ale keďže je to aj náročnejšie a menej pohodlné, je ľahšie napísať "je to iba šírenie paniky" a viac sa tým nezaoberať, že? Čo sa týka "dôležitých hesiel", tak ja mám heslo na wifi, heslo do routeru, heslá do asi troch emailov, heslo do banky, heslo do paypalu, heslo do pár internet bankingov, heslá do administrácie vlastných redakčných systémov, do phpmyadminiv na administráciu MySql databáz, na ftp kontá na rapidshare účet... to som menoval iba tie heslá čo chránia moje projekty alebo súvisia s bezpečnosťou počítače, či bezpečnosťou mojich peňazí. Plus mám samozrejme ešte kopu ďalších fór, webov, Jabber, Facebook, Skype a podobne. Mne by 5 hesiel ako hovoríš určite nestačilo. A keď raz nejakému webu, kde si registrovaný vykradnú databázu, pozrú hash tvojho primitívneho hesla, ktorý nechajú prejsť cez rainbow tables a následne sa prihlásia na ďalšie služby kde si registrovaný, pochopíš, že 5 hesiel nestačí ani tebe ;-)

  12. 12 ewa lobanova 18.12.09, 12:12:36
    FB

    [11] jo dat si zalohu do trezoru je bomba ale pak ji obcas musi clovek vytahnout a udelat na ni zalohu a to ji chce mi po ruce

    a jak podle toho ze ukradne tvuj hash ci tvoje heslo na nakou stranku asi tak vi na jaky dalsi stranky se s nim muze prihlasit? to je nesmysl, klidne ti reknu moje heslo sem a jinam nez sem se s nim nedostanes protoze ti to heslo bude uplne na pi.kacu

  13. 13 Miko Daniel 18.12.09, 12:12:52
    FB

    [12] V databáze bude napríklad tvoj email a tvoja prezývka "shmally" ktorá bude rovnaká zrejme na všetkých fórach...

  14. 14 Mařák Roman 20.12.09, 11:12:30
    FB

    Rád bych upozornil na http://www.netusers.cz/ hesla také ukládají v plaintextu. A myslím, že to je i záměr.... Netusers využívají například titulky.com

  15. 15 Miko Daniel 21.12.09, 01:12:46
    FB

    Marax: takých webov je veľa... obecne dobrý spôsob ako si to overiť, je skúsiť "zabudol som heslo" ak server pošle tvoje staré heslo, tak to znamená, že to bol plaintext, ak nejaké novovygenerované, tak asi hashujú.

  16. 16 Michal Tetour 22.12.09, 04:12:11
    FB

    [16]
    Výhoda Vašeho řešení je že při ztrátě hesla je znovu vygenerovatelné ale chce se to zamyslet jesli je toto opravdu potřeba.Při zapomenutí hesla většina webů nové vygenerované bezproblému pošle na email.

  17. 17 Miko Daniel 22.12.09, 09:12:57
    FB

    [17] Ide o to, že mňa netrápi "väčšina", pritom ako ja zálohujem dáta je skoro nemožné, aby som o svoju databázu prišiel, o to nejde. Ide o to, že vytvoriť si heslo mojim spôsobom je rovnako "zložité" ako generovať si nové napríklad v Keepasse, akurát môj spôsob má ešte navyše nejakú pridanú hodnotu, ktorú síce asi nevyužijem, ale predsa tam je. :)

  18. 18 Michal Tetour 23.12.09, 08:12:20
    FB

    [18]
    Dekuji za reakci ale přišlo mi že řešíte právě tuto přidanou hodnotu (nebo alespoň Váš první přizpěvek který tuto diskuzi rozpoutal na to dost apeluje) kterou nakonec člověk stejně nepotřebuje (jak jste nyní psal) Proto je asi lepší toto celé neřešit a jednoduše kliknout v RoboForm a nechat ho vygenerovat.

  19. 19 Miko Daniel 23.12.09, 03:12:54
    FB

    [19] "Zrejme nebude potrebovať" je oveľa presnejšie ako "nepotrebuje" ;-) Ja osobne roboform nepoužívam, používam Keepass a tiež je tam generátor hesiel, ktorý ale nepoužívam. Ono problém tohto serveru (to sa týka Radka, väčšiny blogerov čo tu píše + väčšiny komentujúcich) je to, že síce často majú výborné znalosti, ale neberú ohľad na ľudskú individualitu a sú proti niektorým veciam šialene zaujatí, to sa týka názorov obecne Windows vs Linux, Ati vs Nvidia atď... Ja tu napíšem ďalší alternatívny spôsob ako pracovať s heslami, uvediem argumenty v čom sú jeho výhody, ale to proste ostatní nevidia - Roboform, jedine Roboform, Roboform... to isté pri Linuxe, napíšu sa výhody Windowsu a všetci sú štastní :) Veci nie sú čiernobiele, všetok výber je o kompromisoch a o stanovení priorít pre toho ktorého individuálneho jedinca. A len preto že sa rozhodol inak ako ja mu predsa nebudem tvrdiť, že jeho voľba bola zlá, nefunkčná či hlúpa.

  20. 20 Radek Hulán 23.12.09, 07:12:49
    FB

    [20] k tomu se dá říci jediné - Roboform je nejlepší.

  21. 21 Miko Daniel 23.12.09, 08:12:12
    FB

    [21] Som rád, že máš na Vianoce dobrú náladu ;-)