Gesla za vedno

Ena izmed zadev v računalništvu, ki se meni zdi po svoje zanimiva in kar nekako neverjetna je tudi to, kako so klasična gesla (in spremljajoča uporabniška imena), kljub vsemu razvoju tehnologije, ostala še vedno osnovna metoda za avtentikacijo (preverjanje, ali je nekdo res to, za kar se izdaja) uporabnika v posamezno računalniško aplikacijo, strežnik oziroma informacijski sistem.

Pri geslih je osnovni problem ta, da povprečni človek iz ulice nima v glavi ravno najprimernejše “strojne opreme” za pomnjenje kvalitetnih gesel (dolga in čim bolj naključno generirana), zato si izmišlja vse možne načine, da problem gesel minimizira ali nekako zaobide.

Običajno si poizkušamo izmisliti čim krajše geslo, oziroma bolje rečeno minimalno možno, kolikor še dopušča sistem, poskušamo uporabiti same iste znake ali pa neke znane besede,  ki imajo nek pomen in jih programi za razbijanje gesel zlahka ugotovijo s poskušanjem že s pomočjo preprostega slovarja.

Seveda računalniški sistemi lahko uporabnika vržejo na finto tako, da preverjajo kvaliteto gesla in če ta ni ustrezna, mora ponoviti vajo, dokler ni geslo v skladu s predstavo sistema o varnem geslu. V takem primeru pa potem uporabniku ne ostane nič drugega, kot da si takšno “kvalitetno” geslo prepiše na list papirja in ga nalepi na monitor ali v najboljšem primeru spravi nekam v predal. Ampak taki primeri so po mojih izkušnjah že velika redkost. Običajna praksa so kar rumeni listki z gesli na monitorjih.

Geslo kot način avtentikacije seveda temelji na tem, kar oseba ve in domneva se, da tega (osebnega gesla) ne ve nihče drug.

Po moje mnogo boljša metoda za avtentikacijo uporabnika je uporaba certifikatov oziroma bolje rečeno digitalne identitete na pametnih karticah.

V tem primeru se uporabniku ni potrebno zapomniti dolgega gesla, imeti pa mora vedno s seboj kartico, ki jo vtakne v čitalec.  Ponavadi se sicer na te kartice veže še krajša PIN koda (recimo štiri številke), ki služi za zaščito v primeru, če kartico izgubimo in poskuša nekdo drug to kartico zlorabiti.

Takšna kartica potem omogoča tudi tako imenovani “single sign on” (enkatna prijava v informacijski sistem), saj uporabniku ni potrebno več vpisovati uporabniških imen in gesel za vsako posamezno aplikacijo, ampak je dovolj samo ena prijava.

Kljub temu, da se to sliši kot zelo uporabna in privlačna možnost, skoraj prava računalniška nirvana, se mi zdi, da kaj takega danes redko srečaš v praksi in da je še vedno najbolj razširjena praksa uporaba preprostih, šibkih gesel, ki se jih da ugotoviti v nekaj poizkusih (geslo, imena bližnjih sorodnikov ali hišnih ljubljenčkov, qwerty, test123, v največ primerih pa je geslo kar enako uporabniškemu imenu ali pa še raje kar brez gesla, v primeru da sistem tudi to možnost dopušča).

Kontrola dostopnih pravic in avtentikacija uporabnika v informacijski sistem s pomočjo pametne kartice ne temelji več na tem, kaj oseba ve (če seveda zanemarim PIN kodo), ampak na tem, kaj oseba ima in predpostavlja se, da ima to samo ona in nihče drug.

Še korak dlje od pametne kartice pa je uporaba biometričnih metod, kot je recimo prstni odtis, šarenica in podobno, kar enolično določa posamezno osebo.

V tem primeru pa za avtentikacijo ni več bojazni, da bi pozabili geslo ali kartico, saj naša biometrična značilnost hodi skupaj z nami naokrog po svetu.

No, res je, da lahko človek oslepi ali izgubi roko skupaj s prstom za odtis, ampak to so posebni primeri, ki se ne dogajajo prav pogosto.

Vendar kljub temu, da je biometrija videti skoraj kot idealni način za avtentikacijo v sodobne računalniške sisteme, se za te namene praktično sploh ne uporablja, oziroma jaz ne poznam niti enega takšnega primera.

Poznam pa primere, ko nekateri doma uporabljajo čitalce prstnih odtisov kot elektronsko ključavnico za vstop v hišo!

vir: The Situationist

Vprašanje na mestu je, zakaj je temu tako?

Tehnologija sama po moje danes ni več nikakršna ovira, saj ima čitalec prstnih odtisov serijsko vgrajen že skoraj vsak prenosni računalnik.

Kot vse kaže, je glavna ovira za množičnejšo uporabo biometrije enostavno v visokih ovirah, ki jim rečemo zakoni in smo si jih postavili sami oziroma nam jih postavlja 90 poslancev državnega zbora.

Uporabo biometrije pri nas ureja Zakon o varstvu osebnih podatkov (ZVOP-1) in če vse skupaj pozorno prebereš, zelo hitro ugotoviš, da je biometrija skoraj neuporabna. Lahko se sicer vzame kakšen prstni odtis v predkazenskem postopku na policijski postaji, tu pa se vse skupaj že skoraj konča, vsaj kar se tiče uradnega in legalnega dela, ki ima zakonsko podlago.

Škoda.

Tako pa ostaja še naprej najbolj pogosto uporabljeno geslo kar preprosto … “geslo” (pisano z malo in brez navednic).

Preberi še:
Biometrija (zakaj ne)
Najbolj popularna gesla (blog ZDnet)

Advertisements

17 Responses to “Gesla za vedno”

  1. chef Says:

    Kaj pa to, da uporabljaš sodelavčev računalnik sredi Gospodarskega razstavišča in rabiš njegovo šifro? Jasno je, da si zaupamo 100-odstotno, ampak tip se je čez celo razstavišče geslo zadrl. Kot da ni nič.

  2. Natasa Says:

    Mi se pa v službi “štemplamo” na prstni odtis :)))
    Še razmišljam, če bo kdaj kaj narobe, kako jih bom tožila 😉

  3. gabr Says:

    Kaj je pa narobe s čitalci prstnih odtisov? Saj si ne shranijo tvojega odtisa, ampak hash oblike in karakterističnih točk.

  4. kekez Says:

    Prstni odtisi so nezanesljivi. Ko jaz npr. poleti doma prebrusim in pomalam ograjo, od mojih prstnih odtisov ne ostane nič. Kar dolgo časa je koža na prstih čisto gladka.

    Strojno branje prstnega odtisa tudi ni čisto zanesljivo. Pravilno je, da se prstni odtis uporabi namesto uporabniškega imena, potem pa imaš še vedno pin ali geslo (nikakor ne obratno).

  5. dronyx Says:

    chef: Jaz sem naletel enkrat na XP računalnik, za katerega nisem vedel admin gesla. Pa sem vprašal uporabnika če ve, kdo jim je to postavljal in on mi pove ime firme ter da njihovo telefonsko številko. Jaz pokličem, oseba na drugi strani pa mi prijazno zaupa po telefonu ene par gesel, ki nobeno ne prime. Potem se pa na koncu še čudi, da so to vsa gesla, ki jih oni uporabljajo (torej tudi administratorska in root gesla na njihovih strežnikih).

    Natasa: Dostopna kontrola na prstni odtis je mislim da v zakonu malo bolj milo obravnavana, tako da verjetno s tem ni kaj dosti narobe.

    Gabr: Niso problem čitalci, problem je v tem, da če hočeš imeti s prstnim odtisom rešen dostop do informacijskega sistema, mora ta imeti shranjene pri sebi vse osebe, ki imajo dostop, ter njihove karakteristike prstnih odtisov, ki služijo za primerjavo oziroma avtentikacijo, da si to res ti. S tem pa si načeloma vzpostavil zbirko osebnih podatkov, saj so karakteristike tvojega prstnega odtisa nekaj, s čemer lahko nedvoumno povežeš tebe kot osebo.

    kekz: Samo potem pa nisi naredil nič, saj uporabniško ime si še nekako ljudje še zapomnijo (recimo username=dronyx), medtem ko geslo Fge50Mn0a6z pa skoraj nemogoče. To gre potem pa na listek in na ekran. Je pa morda paradoks, da so včasih uporabniška imena bolj težka za uganit, kot pa samo geslo. Recimo username = ID2301, password = password

    Drugače jaz mislim, da “strojno” branje prstnega odtisa ni tak problem, bolj se mi zdi problematično to, da se da verjetno prstne odtise tudi ponarediti. Forenziki ti znajo prstni odtis vzeti praktično iz katerekoli površine in prstne odtise ljudje stalno puščamo za seboj, česarkoli se dotaknemo. Ko pa enkrat dobiš značilnosti prstnega odtisa, pa verjetno ni pretežko narediti tak ponaredek prsta, da ga bo napravica prepoznala kot original?

  6. cewap Says:

    Onxy: Kaj pa geslo + digitalni certifikat + prstni odtis.

    Samo potem pa nisi naredil nič, saj uporabniško ime si še nekako ljudje še zapomnijo (recimo username=dronyx), medtem ko geslo Fge50Mn0a6z pa skoraj nemogoče.

    Dej mi razloži zakaj je nemogoče.

  7. dronyx Says:

    cewap: Temu se z eno besedo reče čisti overkill. To je podobno, kot da bi imel doma na vhodnih vratih elektronsko ključavnico, ki najprej zahteva prstni odtis, potem vnos 12 mestnega gesla, na koncu moraš pa vrata odpreti še z navadnim ključem. V takem primeru je mnogo večja verjetnost, da boš ti ostal pred zaklenjenimi vrati zaradi tehnične napake ali tega, ker si nekaj pozabil, kot pa da bi ti kdo vdrl v tako “varovan” dom.

  8. cewap Says:

    Je suis en désaccord avec vous.
    Geslo lahko dobiš z keyloggerjem ali pa z social engineering ali pa phishing, prstni odtis z digitalno forenziko, certifikat pa phishing ali pa MITM attack.
    Če je v ozadju denar, politični motiv, vojska je izvedba vsekakor izvedljiva.
    Možno je tudi hipnotizirati osebo.

  9. dronyx Says:

    cewap: Če se te lotijo hkrati z vsemi temi metodami, sploh pa še s hipnozo, potem najbolje, da se kar takoj konzerviraš v formaldehid, ker ti ni rešitve. Sploh mi je pa všeč socialni inženiring, ko ti v posteljo pošljejo brhko študentko prek napotnice, da poizkuša v trenutku slabosti iz tebe izvleči 12 mestno geslo. 😉

  10. kekez Says:

    Kako lahko z MITM prideš do certifikata?
    Zasebni ključ nikoli ne zapusti tvojega računalnika, če niso spet kakšni amaterji delali aplikacije. Javni ključ pa je itak javno dostopen. Z javnim ključem se ne izkazuje identitete.

  11. cewap Says:

    Kako lahko z MITM prideš do certifikata?

    Ne prideš.
    Namesto tega odkriješ ranljivost v spletnem brskalniku/programu, in potem z scam/social engineeringom prevzameš digitalni certifikat, dobiš pa tudi nadzor nad računalnikom (pdf vuln., a new approach to china at Google, etc,…).
    a que devertinos

  12. cewap Says:

    Sploh mi je pa všeč socialni inženiring, ko ti v posteljo pošljejo brhko študentko prek napotnice, da poizkuša v trenutku slabosti iz tebe izvleči 12 mestno geslo.

    Keylogger je boljši v tem primeru. Razen če maš v priority queue, sex s študentko na vrhu.

  13. cewap Says:

    … Jaz sem naletel enkrat na XP računalnik, za katerega nisem vedel admin gesla. …

    To se da na preprost način zrihtat za winze XP, da dobiš admin passwd. To bi mogu vedet če ne nisi vreden pol kurca pr šefu.

  14. dronyx Says:

    Prosim razsvetli me, kako lahko ali težko prideš na XP računalniku do administratorskega gesla? Jaz poznam način, kako geslo spremeniš na karkoli hočeš, ne poznam pa načina, da staro geslo prebereš. Se pa pustim podučiti.

    Zame osebno je pa mnogo bolje, če pri šefu nisem nič vreden, ker me potem pusti pri miru. 🙂

  15. cewap Says:

    recimo ophcrack.

  16. dronyx Says:

    Jaz sem preveril delovanje različnih orodji, ki geslo poskušajo uganiti z različnimi metodami (omenjenega ne poznam) in v primeru bolj zahtevnega gesla ni nobeno orodje v doglednem času prišlo do rešitve. Zato je ponavadi precej hitreje, če računalnik zaženeš iz posebnega CDja in potem spremeniš geslo, če si ga recimo pozabil. To je enostavno in vedno deluje.

  17. cewap Says:

    1. zadeva rabi računsko moč procesorja in pa pomnilnik
    2. algoritem za razbijanje gesla
    3. skupni čas je čas združitve točke 1, 2.

Oddajte komentar

Fill in your details below or click an icon to log in:

WordPress.com Logo

Komentirate prijavljeni s svojim WordPress.com računom. Odjava / Spremeni )

Twitter picture

Komentirate prijavljeni s svojim Twitter računom. Odjava / Spremeni )

Facebook photo

Komentirate prijavljeni s svojim Facebook računom. Odjava / Spremeni )

Google+ photo

Komentirate prijavljeni s svojim Google+ računom. Odjava / Spremeni )

Connecting to %s


%d bloggers like this: