Názory k článku Regulace podle NIS2: Dvoufaktorová autentizace bude standardem, dočasně ji půjde nahradit složitějším heslem
-
Skvělé, administrátor 22 znaků, malá, velká písmena, speciální znak, měnit každé 3 měsíce, nejlíp asi napsat na papírek a přílepit na monitor, jinak si to nedovedu představit.
To je zase blbost, prvně by hlavně měla být využívána biometrika (otisk prstu, IR kamera), případně čip a pin a ne vymýšlet tyto kraviny, které jsou uživatelsky nepřívětivé.
Další zakázat vyžadování speciálních znaků a malých velkých písmen, bezpečnost to nijak zvlášť nezvyšuje, ještě se dá pochopit, pokud chci po uživateli 30 znaků heslo, to jde "naprostohloupeheslocosizapamatuji" ale ve chvíli kdy si mám pamatovat "Napr*st*Hloupeheslocosinezapamatuji" je to fakt o ničem.
Je to zas jen banda teoretiků na úřadě.
-
Jestli jsem to pochopil, požadavek na 22 znaků je jen pro speciální hesla, která se budou používat jen v mimořádných situacích, takže ta si stejně dotyčný pamatovat nebude a bude je muset mít někde uložená. Pro adminy je to "jen" 17 znaků. Což ale, zejména v kombinaci s vynucenou periodickou obnovou, i tak znamená, že heslo bude obvykle spíš kombinace běžných slov doplněná o nějakou číslici a speciální znak, tedy ve výsledku méně entropie, než kdyby povolili 10 znaků a heslo bylo opravdu náhodné.
Že povinné periodické změny hesla bezpečnosti nijak nepomáhají a spíš ji snižují, už dávno prokazují studie výzkumníků a v současné době už to akceptovaly i obdoby NÚKIB ve vyspělejších zemích a takový požadavek doporučovat přestaly. To jen my holt budeme s velkou slávou zavádět praktiky, které už jinde po zralé úvaze opouštějí.
-
Takže snižování bezpečnosti pokračuje.
Vynucená pravidelná změna hesla bezpečnost snižuje, to vědí už všude, ale NIS2 na tom stále trvá. Uživatelé to obcházejí, ale místo toho, aby se ten nesmysl zrušil, prodlouží se doba, po kterou není možné změnit heslo. A to zase dále snižuje bezpečnost. Protože když si omylem nastavím špatné heslo (třeba mi správce hesel vytvořil heslo, ve kterém je problematický znak, který třeba neumím zadat) a všimnu si toho až po nastavení hesla, nemůžu už heslo změnit. Takže nejspíš příště budu muset absolvovat cestu přes reset hesla. A to se vyplatí.
-
Vtipne tady je, ze NUKIB se primo na ty obdoby NUKIB v zahranici explicitne odvolava - zmineno je to napr. v duvodove zprave k vyhlaskam, kde ta blbost s hesly je - a kde explicitne NIST sami zminuji, ze jejich doporuceni vyuzivaji. Ale to, ze i NIST rika, ze periodicke zmeny hesel jsou blbost vyignorovali v ramci verejneho pripominkoveho rizeni - systemem my na urade mame prece pravdu, my v Brne tomu rozumime lip nez ty nase zahranicni protejsky... a nebo spolehaji na to, ze si nikdo ta doporuceni NIST neprecte a bude NUKIBu verit, ze to od amiku opsali dobre.
A samozrejme tyhle povinnosti padnou na vsechny aktiva, co povinny subjekt provozuje. Takze i izolovanou aplikaci, kde si zamestnanci treba jen objednavaji obedy a je postavena tak, ze zadna skutecne kriticka aktiva okolo ani neovlivni vam urad napari rezim vyssich povinnosti. Hlavne to mit na tom urade jednoduche, az nekam prijdem na kontrolu. Protoze prokousavat se analyzou rizik a posuzovat u kazdeho aktiva zvlast primerenost opatreni a miru rizika, jeho velikost a pravdepodobnost vyskytu incidentu, jejich zavaznost a spolecensky a ekonomicky dopad je pro urednika z NUKIBu prece uz moc prace. A ten jejich pristup je primem v rozporu s tim, co i samotne NIS2 rika.
-
NIS2 nic takoveho ale nerika, takze na tom opravdu netrva - aneb podlehl jse pabeni, ze za vsechno zle muze EU :-) Jenze v NIS2 o periodicky vynucovanych zmenach hesel neni ani carka. Periodicka zmena hesel je lokalni vymysl NUKIBu, ktery to vicemene opsal ze starych vyhlasek o kyberneticke bezpecnosti (mj. treba uz vyhlaska c. 316/2014) - aneb na NUKIBu se viditelne vubec nesnazi do pripravovane nove legislativy promitnout nejnovejsi poznatky v teto oblasti v duchu hesla fungovalo to doted, tak proc to menit. A kdyz je nejhur, tak ty poznatky ze sveta na NUKIBu proste zpochybni tim, ze prece databaze s hesly muze uniknout a nekdo na ni muze offline utocit, ze? :-) To, ze v ten moment mate podstatne vetsi problem, ktery periodicka zmena hesel nezachrani se ale uz neresi.
-
Mně se to tenkrát podařilo vylepšit použitím automatického nahlášení podezřelého e-mailu, což vedlo k okamžité blokaci jak domény odesílatele, tak té v odkazech, pro celou firmu.
Když ono to bylo s gramatickými chybami, neobratnou češtinou, rozpadlým formátováním, externími odkazy, navíc s texty odkazů neodpovídajícími jejich cíli, z domény s podivným jménem, a k dovršení všeho to mělo krátký termín a hrozilo sankcí za nesplnění, tedy klasické navození časového tísně... Prostě:
ukázkový exemplární příklad
phishingu. ;oD -
Pokud není některá odpověď viditelně nejdelší a nejkomplikovanější, pak většinou funguje zvolit tu nejpřísnější variantu (nejkratší lhůta, nejstriktnější omezení, nejvyšší pokuta atd.). Jen výjimečně člověk narazí na chyták, kdy to tak není. :-) Mimochodem, nejméně jeden provozovatel bezpečnostních školení má svou webovou aplikaci navrženou tak prakticky, že se test otevře v novém okně a v tom původním lze dál procházet kursem. (Tím samozřejmě nikoho k ničemu nenavádím.)
Pokud by se někomu nelíbilo, že tady diskutujeme podvádění při tak důležitém školení, pak k tomu mohu říci jen tolik, že veškeré zábrany jsem ztratil ve chvíli, kdy jsem hned v prvním testu z požární ochrany po nástupu do firmy dostal v testu otázku, jak vysokou pokutu může dostat organizace za nedodržení požárních předpisů. Až mi někdo srozumitelně a věrohodně vysvětlí, jak mi znalost této částky pomůže předcházet požáru nebo dokonce řešit situaci, kdy skutečně hoří, tak svůj přístup možná přehodnotím.
-
To co tvrdíte, je úplně mimo. Nemohu samozřejmě mluvit za všechny, ale jako admin, který měl u nás na starosti biometriku, Vám sděluji, že jsme používali sice otisk, ale ten jsme nikam neukládali. Funguje to totiž takto: Při registraci se uživateli sejme otisk a do databáze se uloží pouze jeho HASH (tedy nemluvící číslo, žádný biometrický údaj). Při každém následujícím vstupu/přihlašování se ze sejmutého otisku vždy vypočítá HASH a ten se porovná s HASHem uloženým v databázi. Pro zajímavost dodávám, že jsem kdysi dostal příkazem zajistit, aby VŠEM fungoval otisk, tedy žádné karty, tokeny apod., což je samozřejmě nesmysl. Stačí časté používání chemie, jak tu už kdosi psal nebo že je někdo aktivní "krtek zahradník" apod. a otisk není. Koresponduje to i se studií EU, kterou jsem kdysi někde objevil, podle které cca 6% obyvatel planety prostě nelze sejmout vyhovující otisk.
16. 8. 2023, 17:05 editováno autorem komentáře
-
Pravidelná školení o kyberbezpečnosti bohužel znám z praxe… Poprvé to může být celkem zábavné, pokud má člověk smysl pro specifický smysl zvráceného humoru. Pak už je to jen neskutečná otrava a pět minut až půl hodiny (podle toho, jak moc nástroj umožňuje zrychlovat a přeskakovat přehrávání) naprosto zabitého času každých pár měsíců.
No a potom se firmy, kde mají povinná pravidelná školení o kyberbezpečnosti, dělí na dvě skupiny. V jedné management a občas přesně titíž lidé, kteří po zaměstnancích vyžadují ta phishingová školení, běžně rozesílají maily typu
Potřebujeme vyplnit tenhle dotazník, klikněte tady
a když se nevěřícně zeptáte, jestli to myslí vážně, odpoví vámYes, it's legit.
a z následné konverzace zjistíte, že vůbec nechápou, v čem je problém. V té druhé vám čas od času takový mail přijde také, ale slouží jako test, jestli opravdu chápete, co to ten phishing je a na co si máte dávat pozor. -
Znám ještě horší případ, byť dnes již historický (cca 2004): ve firmě zavedli povinnou výměnu hesel po 30 dnech - a dámy v jedné kanceláři se domluvily, a vždy si ta hesla mezi sebou vyměnily: Božena si nastavila heslo, které měla minulý měsíc Alice, Cilka Boženino, Dana Cilčino... Výhodou bylo, že pokud některá z nich heslo zapomněla, zeptala se kolegyně, jaké měla heslo minulý měsíc.
(Nevěříte? Tak radši věřte a nepodceňujte BFU!) -
Od chvíle, kdy máme všechna školení elektronicky,
zábavnou interaktivní formou
, jsem zjistil, že je vůbec nečtu, protože musím na stránce najít všechna místa, kam je povinně potřeba kliknout, aby mne to pustilo dál. Následně je tam test, který buď dovolí neomezený počet pokusů (zkusím "a", pak "b"...) nebo ne ("správná je ta nejdelší a nekomplikovanější odpověď") - a pokud je požadovaná správnost 90 %, nebývá s tím problém. -
Pokud se budeme bavit o wifi v podniku, ktery je v rezimu vyssich povinnosti, tak to samozrejme je sporne. Zamestnance vyresi EAP, ale co navstevy? Wifi v zasedackach je naprosto bezna zalezitost, ze? A pri extenzivnim vykladu, ktery nasim uradum rozhodne cizi neni hrozi, ze formalni nesplneni pozadavku bude duvodem pro udeleni sankce. A sankce jsou v rozpoctech mnoha uradu legitimni rozpoctovou polozkou - proste se na strane prijmu predem pocita s tim, ze se nejaky balik penez vybere na pokutach, ze? ;-)
-
Pokud vasi firmu oznaci jako povinny subjekt, tak neutecete... ;-) Kriticnost konkretniho aktiva zadnou roli nehraje a systemem nejvyssi bere tak treba jen kvuli jedne skutecne kriticke aplikaci spadne cela firma do rezimu vyssich povinnosti se vsim vsudy a to samozrejme vcetne aktiv, kde to i s ohledem na to co rika NIS2 vubec smysl nedava.
-
Potrebujete to vedet z presne stejneho duvodu, z jakeho v testech autoskol byl dotaz tusim na srdecni chorobu, na ktery nedokazali odpovedet ani lekari ... pripadne u maturit ukol, najit epizeuxis, protoze to je naprosto krucialni vedomost.
Jsou to pouze blaboly pro blaboly.
Nebo snad znate ve svem okoli alespon jedinou osobu, ktera by alespon vedela, kde v zamestnani jsou hydranty pripadne jine prostredky, a potazmo mela moznost si to vyzkouset? To by totiz davalo smysl, a proto se to neskoli.
Skoleni "bezpecnosti" IT jsou pak jeste radove horsi, a v prakticky 100% vedou spis k presnemu opaku. Zamestnanci se tam tak maximalne dozvi, jak to "ojebat" zpusoby, ktere by je nikdy nenapadly.
-
Samozrejme ze to neni o skeneru. Vzhledem k tomu ze jsem pracoval pro vyrobce dokumentu jako jsou US passports tak si dovolim tvrdit ze do tech standardu kolem vidim vice nez diskutujici z lupy. Ale klidne me tady presvedcte ze spravne implementovana biometrika je uplne k hovnanic a neni mozne ji revokovat.
-
No vsak - ono tyhle politiky vymysli pseudobezpecaci, co s klapkama na ocich vidi jen ten svuj jeden system. Jenze uzivatel tech hesel ma proste hromadu. A samozrejme nastupuje problem s tim si vsechno pamatovat. Pokud se to okoreni jeste vynucenou periodickou zmenou hesel, situaci to jedine zhorsi.
Vsude okolo ve svete to vedi, ustupuje se od toho... jen zabednenci v NUKIBu se neco pred deseti lety naucili a nehodlaji se toho vzdat. A naivne si u toho mysli, ze tim nejak zvysi bezpecnost. A sve pochybeni hadam nepriznaji, utrpelo by jejich ego ;-)
-
Biometrické ověření je sice uživatelsky přívětivé, ale zároveň (zatím) ne zcela spolehlivé: část uživatelů odstaví (například protože si často desinfikují ruce, nefunguje čtečka otisků...), případně je potřeba snížit přesnost (rozlišení obličeje...), takže může ověřit i neoprávněnou osobu.
Proto je potřeba mít izáložní řešení
, například čipovou kartu, ale tím nevyloučíte útok natu druhou cestu
. (Ono je obecně pohodlnější útočit na systém, který oběť tolik nepoužívá - nebývá to tak na očích a málo kdo má detekci změny chování.) -
Biometrické ověření je najblbšia forma overenia a rozhodne nie presná ani bezpečná.
Jediné a správne overenie je len metódou "informáciou, ktorá neexistuje v hmotnej podobe".
Dobré 2FA je Heslo + YubiKey (informácia je uložená na fyzickom zariadení, to áno, ale nemá fyzickú podobu), ešte aj Heslo + OTP (či už HOTP alebo TOTP) je fajn. (ja používam FreeOTP)
-
Jak si člověk jednou zvykne na FIDO2 token, tak mu systémy, kde jako druhý faktor podporují jen TOTP, začnou připadat jako neskutečný opruz. Horší jsou už jen banky sveřepě trvající na vlastní smartphone aplikaci.
Ale biometrika jako jediný faktor se asi používá jen ve filmech. V reálném světě snad... jen na těch smartphonech.
15. 8. 2023, 11:58 editováno autorem komentáře
-
V jednom úřadě, kde pracovala známá (již důchodkyně) měnili heslo tak, že poslední znak přehodili na začátek a všechny ostatní se, samozřejmě, o jednu pozici posunuly. Bezpečáci byli spokojení, protože lidé používali dlouhá hesla, lidé byli spokojení, protože to bylo v podstatě to samé heslo a ta změna se dala udržet v hlavě. Že by to bylo nějak bezpečnější, to si rozhodně nemyslím (už proto, že ono generování "nových, zcela odlišných" hesel bylo veřejně známo).
Problém vidím také v tom obsahu nepísmenných (a nečíslicových) znaků, protože ty se zadávají v každém OS jinak. Přiznám se, že ač s těmito znaky bez problému pracuji v Linuxu, ve Windows ani v Androidu je zadat neumím. A patrně bych neuspěl ani na Apple. A průšvih může (i na tom Linuxu, ale to se asi nebude týkat přihlašování se někam, ale přihlášení uživatele při startu počítače), že rozložení klávesnice před a po přihlášení uživatele může být odlišné, protože česká klávesnice se mi nastaví až najede GUI, na konzolách je rozložení kláves anglické.
Velká složitost a nezapamatovatelnost hesel ovšem svádí také k tomu, že hesla jsou v nějakém souboru, z něhož je uživatel copy - pastuje. Asi nic proti tomu, když má člověk v počítači stovky zdrojových textů v několika programovacích jazycích a to heslo je v některém z nich funkční součástí kódu (takže je případný útočník nemá šanci jako takové identifikovat), ale to asi nebude situace naprosté většiny uživatelů, jichž se NIS2 týká. -
Jenže vyrobit otisk prstu (reliéfní) či falešné "bříško" prstu z fotky otisku je práce pro mírně vycvičenou opici na pár hodin (a to většinu z nich se jen "technologicky čeká" a může paralelně dělat něco jiného). Asi největší problém v dnešní době by bylo shánění dvojchromanu draselného na světlem ovlivněnou denaturaci želatiny (ta se sehnat dá), protože ten je na indexu EU (dříve naprosto běžná chemikálie, byl i v "Mladém chemikovi").
Tenhle postup byl vytvořen už v předminulém století (želatinotypie v rámci fotografie), ale tam se pochopitelně z té želatiny tiskl obrázek. Nicméně když máte želatinu, jejíž některé plošky vodou nabobtnají a jiné ne ... -
Jediné e-maily v mé služební e-mailové schránce, které vypadají jako phishing, jsou: 2× do roka test, zda poznáme phishing (= kdo klikne, musí na další školení, při opakovaném prohřešku si popovídá s paní z HR), nebo e-maily našich zahraničních kolegů, poslané na nesprávnou adresu; plus jeden silně podezřelý e-mail, z nějž se nakonec vyklubala pozvánka na antihishingové školení objednané u externí firmy.
-
jsou to jen údaje, které se dají použít pro porovnání otisků prstů (a pravděpodobně z nich nelze otisk prstu zrekonstruovat)
To je sice pravda, ale neméně důležitá otázka ale je, jestli někdo, kdo se dostane k otisku příslušného prstu (a tomu se lze v praxi vyhnout jen velmi obtížně), nebude schopoen na základě něj zkonstruovat "umělý prst", který ta čtečka akceptuje také. Už před ~20 lety jsem viděl článek popisující, jak to někdo úspěšně vyzkoušel v praxi s nikterak sofistikovaným vybavením (věci běžně dostupné amatérskému kutilovi).
-
"Kompromitované heslo je průšvih, ale po vyřešení situace lze uživateli vygenerovat nové"
Oni to proste nechapou ... jinak je nekde na yt k nalezeni video, kde ruzne ctecky otisku testovali, na zcela analogove metody podvrzeni ... a na tu nejdrazsi (tusim kolem 5k$) stacil papirek s vytistenym vyfocenym otiskem.
Nejnarocnejsi na vyrobu byl gelovy otisk ... coz zvladne kazdy zrucnejsi kutil, a tomu spolehlive podlehly vsechny snimace. A kde ze se ten otisk veme? Treba rovnou z toho snimace.
Z dat ulozenych jako otisk se samozrejme ten otisk zrekonstruovat da, protoze ten SW musi generovat stejna data pro ruzne snimace. Jinak by nebylo co porovnat, ale to zjevne nekteri zdejsi inzinyri take nechapou.
Funguje to velice primitivne tak, ze se vyberou nejake markanty, jejich vzajemna poloha, a chce se od toho aby shoda byla treba 70% (jinak by to nefungovalo). A presne toto pak vede k tomu, ze nastydla matka si svuj vlastni telefon neodemkne ... ale jeji dcera to zvladne s prehledem ...
Pouzivani boometriky dava smysl tam, kde sedi ozbrojena ochranka, pouzije se vice ruznych metod, a to vse pod dohledem, ze tam dotycny dava vazne svoje ruce a strka svuj ksicht. Vsude jinde je to naprosto nefunkcni nesmysl.
-
To je ještě dobré, buď za to rád. Zase procházíme pravidelnou obnovou ISO 9(14,27,50)001 a vstupních podkladů pro prostudováním každým zaměstnancem/partnerem je 600 normostran textu.
NIS2 jde úplně stejným směrem. Vůbec nevím, jak se v praxi bude řešit seznamování zaměstnanců s postupy. Teda vím, ale nechci to vědět, bude to zase jen formálně bez toho, aby to většina četla.
-
Jestliže každé otištění toho samého prstu na senzor dá jiný hash (docela bych to očekával), jak potom systém zjistí, že je to můj prst? Čekal bych spíš nějakou analýzu obrazu, která by abstrahovala nad sílou přitlačení, posunem proti minulému otisku apod.
16. 8. 2023, 10:35 editováno autorem komentáře
-
Podle mne je to problém autentizace obecně. I heslo můžete z člověka vymlátit
Podstatný rozdíl vidím v tom, co už se tu diskutovalo. Kompromitované heslo je průšvih, ale po vyřešení situace lze uživateli vygenerovat nové, se kterým se bude dál přihlašovat. S prstem (nebo jinou biometrikou) to moc dobře nejde.
16. 8. 2023, 19:53 editováno autorem komentáře
-
Zajimalo by mne, jak budete tu biometriku menit.
Nemluve o tom, ze jako firma biometriku pouzivat nesmite, zakazuje vam to zakon. Biometricke udaje jsou totiz na urovni udaju o zdravotnim stavu. A aby firma neco takoveho mohla nasadit, musi zpracovavat nejaka tajna (ze zakona) data. Jinak nemate nejmensi sanci to obhajit.
-
A ted mi prosim sdelte, kdeze jsem ja napsal, ze revokace mozna neni ;-) A problemy treba kolem US passports znam doslova na vlastni kuzi - jasne, lepsi se to, ale z koznimi problemy se tyhle technologie maji obcas problem vyporadat, narozdil od tradicnich daktyloskopickych metod, ktere v identifikaci neselzou... aneb porad mate v tech metodach co dohanet ;-) To, ze me system kvuli tomu korektne neidentifikuje je z pohledu bezpecnosti v poradku, ale uzivatelsky je to jaksi dost naprd, ze? :-) Takze i na tomto zkuste vice zapracovat... kdyz uz se tu chvastate tim, jak na tom makate :D
-
Analýza obrazu porovnává s nějakou referencí. Ta reference nejsou uložené obrázky z okamžiku zaregistrování „prstu“, ale jsou to jen údaje, které se dají použít pro porovnání otisků prstů (a pravděpodobně z nich nelze otisk prstu zrekonstruovat). Takže to není hash podobný kryptografickému hashi, kde je požadavek, aby jediný bit na vstupu vyprodukoval úplně jiný hash. Je to hash ve smyslu „údaje, podle kterých lze poznat, zda nyní nasnímaný otisk prstu odpovídá kdysi nasnímané předloze“.
-
Už jsem to tu psal: vím o firmě, kde byste si coby běžný zaměstnanec nastavil aktuálně heslo:
ArnSch-2023-Leto
- a vešel se do politiky šestnáctiznakových hesel.
Mimochodem: tenhle systém tam žije minimálně od roku 2012, kdy si mi jeden z uživatelů stěžoval, že nemůže zadat-2012-
, protože pravidla nedovolují v heslech vzestupnou/sestupnou sekvenci číslic. Já blbec mu poradil, že má zadávat2011++
, takže na tom ten rok přežili. -
Poměrně dost přeháníte... Taky už dávno máme mít termojaderné elektrárny - a furt nic.
- Ovšem pokud v roce 1993 byl scan duhovky poměrně bezpečnou metodou, byť strašně nedokonalou, dnes bych na ni opravdu nespoléhal - pokud nekontroluje ve 3D, nechá se zmást opravdu snadno.
- Otisky prstů u běžných čteček ani nemá smysl řešit, těch PoC na obejití je až příliš mnoho. O dost lepší je kontrola krevního řečiště, která ovšem trpí na vysokou nespolehlivost ve smyslu
příliš často odmítá shodu
, takže se záměrně nastavuje vyšší tolerance. - Kontrola obličeje, zvláště v podání dnešních mobilů, je (zatím!) spíš pro pohodlí a pocit bezpečí, osobně bych ji jako nějaké lepší zabezpečení spíše nedoporučoval. (Opět: záměrně je nastaveno na vyšší toleranci. Potkal jsem už několik případů, kdy mobil ochotně ověřoval blízké příbuzné, zpravidla děti.)
- Také lze použít hlasovou biometrii, která je kupodivu lepší, než jak ukazují filmy z devadesátek, ale tady naopak pokrok umožňuje vytvářet umělé napodobeniny, takže opět: příliš se nehodí.
- Další relativně spolehlivou metodou je dynamická analýza pohybu (chůze...), ale to je pro běžné ověřování nevhodné, spíše se hodí pro vyhledávání osob.
- Asi nejspolehlivější by byla genetická analýza, ale, přiznejme, to zatím není dostatečně rychlé ani dostatečně levné pro hromadné nasazení.
-
... ehm, co ma toto spolecneho s hesly? Normalni infrastruktura prece funguje tak, ze data se ukladaji minimalne v nejakych intervalech na nejaky server, a tam jsou dostupna komukoli opravnenemu. I kdyby jen proto, ze je dobry napad je obcas zalohovat.
Hypoteticky se da pouzit uzivatelske sifrovani, ale opet to pak musi fungovat tak, ze tech klicku ktere se daji pouzit je vice. Ostatne stejne jako u tech hesel, kde typicky existuje nejaky spravce, ktery ma opravneni k tem uzivatelskych datum.
-
To je bohuzel hodne poplatne k tomu, kdy kdo 2FA implementoval. FIDO2 je pomerne mlady standard a s jeho implementaci valci dodnes i browsery... treba u Firefoxu na to mate bug stale nevyreseny :-) Ale ano, uz se to tam aspon trosku posunulo kupredu.
-
Sakra, to zní nějak povědomě... GDPR? Nebo takový ten mezinárodní protikorupční kurs (neplést s českým), tam byla IIRC nějaká otázka, jak se jmenuje příslušná směrnice v kterém státě.
-
Aha, já to nějak přestal sledovat a když po mně teď Firefox 115 začal chtít PIN, tak jsem měl za to, že už to vyřešili.
Bohužel i v chromiu se mi stalo, že jsem narazil, když jsem chtěl MojeID použít pro Identitu občana. Problém byl v tom, že jsem měl Yubikey s relativně novým firmwarem a Yubico publikovailo jeho identifikátory jen pro FIDO2 a ne pro U2F, ale chromium pokud bylo k dispozici oboje, z nějakého záhadného důvodu upřednostnilo U2F, takže MojeID prohlásilo, že token nemá certifikaci. Musel jsem to obejít tak, že jsem dočasně na tokenu zakázal FIDO2, čímž se ho podařilo zaregistrovat pro účely NIA, a pak ho zase povolil.
-
chromium pokud bylo k dispozici oboje, z nějakého záhadného důvodu upřednostnilo U2F, takže MojeID prohlásilo, že token nemá certifikaci. Musel jsem to obejít tak, že jsem dočasně na tokenu zakázal FIDO2, čímž se ho podařilo zaregistrovat pro účely NIA, a pak ho zase povolil
Tady samozřejmě mělo být
dočasně na tokenu zakázal U2F
(abych vynutil použití FIDO2). Povolit U2F jsem potom musel proto, že se ukázalo, že některé věci fungují jen s U2F a ne FIDO2. -
Ano, ale to je záležitost hlavně snímacího hardware. Způsob, jakým je vytvářen ten hash, to může ovlivnit jen z části – pokud by třeba ten hash nesl tak málo informací, že ho ošálí i nekvalitní fotka otisku prstu, nejspíš ho ošálí i spousta reálných otisků cizích prstů. Kontrolu toho, zda prst není umělý, musí dělat hardware, to do hashe moc zakódovat nejde.
-
Kontrolu toho, zda prst není umělý, musí dělat hardware, to do hashe moc zakódovat nejde.
Asi jsem to měl napsat explicitně: neberu to jako problém hashe nebo konkrétní implementace snímací jednotky. Považuji to za principiální problém autentizace pomocí otisku prstu a stejně tak mnoha dalších biometrických metod - a dost možná i biometrické autentizace obecně.
-
Ad ta periodicita je přesná. Inklinuje to ke kombinacím RR(RR)Q(Q) a statickému heslu. A to pak pro hackera při prolomení už je easy každé tři měsíce obnovit, nehledě ke snížení entropie. A to neberu v potaz že Q lze napsat slovy a tím (do 17 znaků) degradovat entropii na 7 znaků :-D
17. 8. 2023, 14:42 editováno autorem komentáře
-
Jasně, ono to není pravidlo
je ti padesát, začneš blbě vidět a neověří tě to
. Ale faktem je, že tou dobou začíná statisticky významně narůstat množství degenerativních změn, které však mnohem dříve ovlivní biometrické vyhodnocení, než zrakové schopnosti. (On ten mozek taky ledacos upočítá...)
Takže máte pravdu, že jako diagnostická metoda by to použitelné bylo. Nicméně stále platí: pro biometrické ověření osob (výrazně?) nad 50 let se to nehodí. Pořízení nového skenu ten problém řeší jen částečně: obvykle jakmile se ty změny rozjedou, tak už jen zrychlují.
(Mimochodem: ani pro osoby pod - řekněme - 15 let; tedy pro zabezpečení v dětském telefonu...)
Ona samozřejmě existuje i varianta (pro většinu biometrických ověření) postupně ty změny vyhodnocovat a vzorek aktualizovat. (Učí se, jak člověk stárne a vyvíjí se.
) -
Kezby :-) Tech provozovanych legacy systemu najdete i v ramci statni spravy hromadu, se obcas pres prepazku podivejte do monitoru, s cim tam delaji... V soukromem sektoru zrovnatak... staci se podivat treba na to, kolik webu bezi stale na PHP5... nedelejte si iluze :-)
-
U nás bylo před časem nařízeno, že každý, pokud má počítač chráněný heslem, musí mít heslo napsané na papírku nalepeném na monitoru. Nařízení přišlo poté, co náhle zesnul jeden kolega a bylo potřeba z jeho počítače vydolovat pokročile rozepsanou závěrečnou zprávu grantového projektu (a dopsat ji a poslat, aby se stihl termín). A šlo to velmi těžko, protože počítač měl chráněný heslem a to nikdo neznal.
-
Rozdíl mezi vymláceným heslem a umělým prstem vidím v tom, že v případě dobré bezpečnostní politiky to první vzbudí poplach (a pokud bude dotyčný unesen, mohou být narychlo změněna všechna hesla, ke kterým má přístup). Nejpozději vypukne poplach, až ho najdou zmláceného policajti.
Umělý prst se oproti tomu dá delší dobu utajit (záleží na tom, co se bude pod touto ukradenou identitou provádět). -
...ale zároveň víte, že můžete vyloučit všechna hesla kratší, než 14 znaků.
Tedy: množina minimálně čtrnáctiznakových hesel bez pravidel bude větší, než množina minimálně čtrnáctiznakových hesel s pravidly. (Bez ohledu na to, že bude řádově mnohem větší, než množina desetiznakových hesel - až už s pravidly nebo bez nich.)
Ona právě tahle úvaha vede k onomu neustálému navyšování délky hesel. -
Jo, neco uz prave nekde kolem te 115 releasnuli - takze mj. ten pozadavek na PIN k tokenu (konecne!) zacal fungovat, ale porad viditelne nejsou u konce. Kvuli tomu jsem zacal ten bug pasivne sledovat... pac tam, kde byl PIN k FIDO2 tokenu vyzadovan (mj "vysoka" u mojeid) proste nezbyvalo, nez sahnout po Chromiu.
-
To je nepodstatný rozdíl. Podstata spočívá v tom, aby náklady pro útočníka byly výrazně vyšší, než to, co může získat. Pokud je pro útočníka příliš drahé vytvoření dostatečně věrohodného umělého prstu, je jedno, co by se stalo, kdyby ho teoreticky vytvořil.
Počítáte s tím, že když někdo použil umělý prst pro získání přístupu, může ho použít znova. Ale když někdo z někoho vymlátil heslo, může ho po změně hesla přece také vymlátit znova. Nebo-li v obou případech je to stejné – pokud by došlo ke kompromitaci, bude to znamenat, že zabezpečení bylo nedostatečné a je potřeba ho posílit.
-
"A samozrejme tyhle povinnosti padnou na vsechny aktiva, co povinny subjekt provozuje. Takze i izolovanou aplikaci, kde si zamestnanci treba jen objednavaji obedy a je postavena tak, ze zadna skutecne kriticka aktiva okolo ani neovlivni vam urad napari rezim vyssich povinnosti."
Proc bych to neresil stejne jako kritickou apku. Od toho tu snad je oauth2, ci SSO. Proste jedna firemni identita. Resit pro vsechno separe ukladani uzivatelu hesel bezpecnost, penetracni testy atp. Je v dnesni dobe celkem prezitek.
-
V době premiéry toho filmu (2000) to byla pochopitelně nadsázka, asi jako některá "udělátka" filmového Jamese Bonda. Jenže 23 let poté bych očekával, že se to může přesunout z oblasti SF do reality. Protože nápad zde byl a zcela jistě mohl inspirovat spoustu chytrých a různými "neveřejnými" organizacemi dobře placených lidí. Dnes už by asi nebyl problém s dostatečnou přesností někomu vyfotit obličej tak, aby bylo vidět dostatek detailů na té duhovce. Ostatně pří výrobě skleněných očí se kresba duhovky skleněného oka dělá podle markantů na tom zbývajícím už desítky let. Takové oko měl údajně už K. H. Frank.
A je vcelku známo, že, s výjimkou mobilů a internetu, byla spousta významných vynálezů ovlivňujících současnost předpovězena ve SF knihách či filmech. A je známý i případ vědce a spisovatele SF A. C. Clarkea, který vynalezl telekomunikační družici, ale nemohl si ji dát patentovat, protože britský patentový úřad v té době vyžadoval pro udělení patentu předložení fungujícího modelu. -
Netvrdím, že vše popsané v literatuře se musí objevit za konstantní dobu od toho popisu. "Bublinkové třídění" objevili jako teoretická koncept už antičtí matematikové, ale počítače schopné ten algoritmus aplikovat tu s námi nejsou ani sto let. A například Verneův Nautilus je jen vylepšení ponorek jeho doby.
"Warpové" strhávání prostoru, aby byl uspokojen Einstein a přitom se v praxi letělo rychleji než světlo, se snad už zkouší na úrovni elementárních částic a matematických modelů. Alespoň o tom referovaly populárně naučné weby už v minulém desetiletí.
Pochopitelně, nedozvíte se do detailů ani to, čím jsou krmeni kosmonauti (dokonce i některé detaily stravování posádek ponorek jsou v utajeném režimu), natož něco takového, co má značný potenciál vojenského dopadu. -
Je to relevantní v tom smyslu, že v daném čase existovala idea něco takového udělat. Ten zbytek je často "facha" pro inženýra bez fantazie.
Spousta věcí se dá spočítat ručně, ale je otázka, zda v reálném čase. I algoritmy videoher by se daly počítat ručně, ale člověk by si s tím počtářem moc zábavy neužil. -
"I algoritmy videoher by se daly počítat ručně"
Algoritmy her se bezne rucne pocitaji, a ty pocitacove typicky nejsou o nic slozitejsi. Zdaleka nejpouzivanejsi je prosty hod kostkou nebo kamen/nuzky/papir.
Presne proto se typicky drtiva vetsina her ve skutecnosti chova neuveritelne hloupe a z pohledu casu, cim dele to hrajete, tim vetsi je to nuda.
-
Ještě bych doplnil scan sítnice, je to dost spolehlivá metoda (spousta markantů a interindividuální odlišnosti jako u otisků prstů). Jako "bonus" by se dal využít fakt, že UI (nebo spíš "samoučící se programy s prvky UI") už před několika lety dokázala rozpoznat pohlaví osoby s přesností kolem 80 %. Neví se jak to dělá, protože to není naprogramováno na vysvětlení svých algoritmů lidem.
Menší použitelnost v rutinní praxi by mělo RTG vedlejších nosních dutin, leda by se vymyslela nějaká jejich detekce v dostatečné kvalitě bez RTG záření. Zase, od začátku dospělosti je to striktně individuální a neměnné (jako daktylky) a v soudní medicíně jsou popsány případy nalezených koster, kdy u některých z "možných" osob byl k dispozici rentgen hlavy a podařilo se nález buď ztotožnit s některou touto osobou, nebo naopak vyloučit, že nalezené kosti žádné z těch osob, co je u nich k dispozici RTG snímek, nepatří.
-
Jsem toho názoru, že úraz ruky, který znehodnotí otisk prstu (třeba tím, že ho zkrátí o jeden článek) je mnohem pravděpodobnější.
K té degradaci: Záleží na zdravotním stavu, lécích apod. Navíc jsou lidé toho věku a starší sledováni a informace, že někoho sken sítnice nechce pustit do systému (či spíš, že třeba až na víc pokusů) bude relevantní pro podnikového lékaře. A při vyšetření by se dal udělat nový vzor skenu. -
Pokud jsou ti lidé zdravotně sledováni pro něco, co se projevuje na očním pozadí (třeba změny v lipidovém spektru), asi by se dal vzor jejich sítnice periodicky obnovovat.
A "počítá" už sama sítnice, a to tak, že hodně: V nervu, co jde z oka do mozku je jen cca 1/10 vláken v porovnání s počtem světločivných buněk na sítnici, takže jakési hrubé vyhodnocení signálů z těchto buněk se děje už v jejich bezprostřední blízkosti. -
...ktery tam treba neni implementovany... a samo se to neudela, ze? A zadarmo to taky nebude. Navic ty bezpecnostni pozadavky nejsou jen o prihlasovani uzivatelu, mj. budete muset resit ucet technickeho aktiva, tedy treba login k databazi (kde vam sso nepomuze), ktery podle planovanych reguli nasich uredniku musite periodicky obmenovat take. Plus samozrejme X dalsich pozadavku okolo. Jasne, s neomezenym balikem penez jde udelat v zasade cokoliv. Jenze v praxi ty zdroje jaksi nejsou neomezene, ze? I kdyz u vas asi si penize prehaujete vidlema a nevite co s nima ;-)
ČLÁNKY DO MAILU
