RSS Kanál

 

Byrokratova pravidla na hesla jsou stupidní

Minimálně 8 znaků. Velká, malá písmena, číslice a speciální znak. A za tři měsíce znova. Tak tahle sekvence straší mnohé obyvatele dnešní doby. Mají to být jednoduché pokyny pro vytvoření bezpečného hesla. Jenže aplikace v praxi má několik malinkatých háčků...

 

Které to z těch 50 posledních hesel může být?

Pokud vás opakované vymýšlení nezapamatovatelných osmimístných slátanin štve, možná byste tenhle článek vůbec neměli číst. Jen se rozpálíte ještě víc do běla.

1) Osmimístná slátanina není bezpečnější než čtyřslovná hříčka

Oněch osm znaků, velká, malá, číslice a speciální znaky pochází z pravidel definovaných v dokumentu Special Publication 800-63. Appendix A organizace NIST (National Institute of Standards and Technology) v roce 2003. A jejich autor Bill Burr, tehdejší manažer střední úrovně dané instituce, nyní říká, že jsou z větší naprosto mylná. Musel se totiž při jejich sepisování spolehnout na studii z 80. let, kdy byl internet stěží známou úchylkou amerického univerzitního prostředí a kyberzločin čirou fikcí. 

Strip Password Strenght Randalla Munroa názorně ukazuje sílu obou způsobů vytváření hesel

Virální strip Password Strenght (Síla hesel) Randalla Munroa ilustruje nepříjemný střet osmimístné slátaniny a čtyřslovné hříčky se schopností Běžného Franty Usera si ho zapamatovat a schopností hesla samého odolat útoku hrubou sílou (tedy odhadnutí hesla výpočetní kapacitou). 

Tr0ub4dor&3 odpovídá pravidlům NIST (krom zmíněných ještě neseskupování stejných znaků). Je velmi těžké si ho zapamatovat, disponuje 28 bity entropie a při útoku hrubou silou a možnosti hádání 1000 tipů za sekundu bude jeho zlomení trvat 3 dny.

correct​horse​battery​staple neodpovídá pravidlům NIST - ostatně z požadavků splňuje jen minimální délku. Ani přítomnost malých písmen mu nejde připsat k dobru, protože jednak nějaké znaky je nezbytné použít, jednak pravidlo NIST požaduje spíše diverzitu znaků než přítomnost konkrétních znaků. Jde o slovní hříčku - náhodné spojení čtyř čtyř a více znakových slov. Disponuje 44 bity entropie a jeho zlomení bude trvat 550 let při stejně provedeném útoku.

Samozřejmě i toto heslo má svá pravidla - jde o náhodné spojení čtyř čtyř a více znakových slov. Pokud použijete jakýmkoliv způsobem profláknuté spojení - třeba stripem samým zmíněný correct​horse​battery​staple, má vaše heslo nulovou entropii a bude okamžitě uhádnuto. Rychlost útoku snižuje výpočetní kapacita na straně útočníka a stále silněji se projevující mechanismy umělé inteligence. A naopak jej prodlužuje komplikování hesla způsobem leetspeaku či omezení ze strany služeb na počet hádání hesel. To se pak i nejsofistikovanější útoky dostávají na časy vyhasnutí Slunce. 

Bezpečnostní pravidla zkostnatělých institucí jsou jen kontraproduktivní

2) Vynucování pravidel devalvuje hesla

Samotná NIST na kritiku reagovala a svá pravidla již přetvořila. Dokonce se o svém pochybení šíří, nicméně nic netrvá déle než přesvědčit byrokratův mozek o změně. A tak se stále setkáváme s požadavky na znakovou diverzitu a zvláště speciální znaky, jejichž přínos bezpečnosti je nesrovnatelně menší než jejich negativní vliv na použitelnost daného hesla ze strany uživatele.

U zkostnatělých molochů, jako jsou České dráhy či banky, se tomu snad ani nejde divit, ale opravdu to zaráží například u cloudových účtů poskytovatelů antivirových řešení (a většina velkých tyhle pitomosti vyžadují), kteří by přece jen o bezpečnosti, a to i bezpečnosti používaných hesel, měli mít nějaký šajn. 

Fakticky tato vynucovaná pravidla vedou pouze k tomu, že:

  • uživatel používá stále stejné heslo; 
  • lehce odhadnutelným způsobem variuje stále stejné heslo; 
  • hesla je nucen si ukládat na lehce napadnutelná místa; 
  • nebo je prostě zapomíná.

Veškerý možný přínos je devalvován tím, že nakonec si uživatel napíše všechna hesla na lísteček do peněženky, kde jsou přístupná opravdu i tomu poslednímu ze zlodějíčků. Slovy Paula Grassiho (Senior Standards and Technology Advisor NIST) mají tato vynucovaná pravidla „velmi malý přínos pro bezpečnost a skutečně negativní vliv na použitelnost“.

Tuhle stupiditu jsem už někde viděl, viděl, viděl, viděl, viděl

3) Negativní dopad můžete posílit - třeba frekventovaným vynucováním změny hesla

Vzorem stupidity jsou pak ty instituce, které nejenže uživatele omezují při vytváření hesla, ale chtějí po něm nový osmimístný slint co tři měsíce. Tím je docíleno jediného: zesílení všech negativních dopadů. Taková hesla už ani nemůžou být jinde než mimo uživatelovu mysl. A pokud je po vás někdo vyžaduje, pak buď musíte použít některý ze správců hesel, nebo si je psát na nástěnku u počítače či nosit na papírku v peněžence.

Dokud se pravidla opožděných institucí nezmění, vystavují se bezpečnostním rizikům všichni uživatelé jejich služeb.

Zdroj: Techspot.com

 

Daniel Beránek, 09.08.2017 19:16

 

 

TunnelBear zveřejnil výsledky auditu

Provozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži...

Vivaldi 1.11: věrno customizaci

V posledních dnech v rychlém sledu aktualizovaly stabilní větve majoritních prohlížečů. I díky tomu lze více méně odhadnout povahu jejich vývoje. Chrome, ať už dělá cokoliv, neustále šlape na plyn výkonu. Firefox se ho snaží dohnat ve...

Opera 47: spousta jemných doteků

Opera Software zkrátila vývojový cyklus svého ústředního produktu na necelých 6 týdnů. Čehož vlivem nová Opera nepřináší ani tak nové či zásadně pozměněné fičury jako spíš spoustu drobných...

Úterní záplata vám může poangličtit Windows

Kumulativní balík funkčního ladění následuje klasický balíček oprav záplatovacího úterý. Mezi známými případy nedodělků je bohužel tentokrát nejen poangličtění arabsky lokalizovaných Windows, ale i těch českých. Po...

 

 
© 2005-2017 PS Media s.r.o. - digital world