Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Náhodné loginy jako zajímavý koncept bezpečnosti
září 04
Náhodné loginy jako zajímavý koncept bezpečnosti

Nedávno jsem zjistil, že jeden zákazník používá pro svoje uživatele náhodné loginy, které nemají nic společného ani s konkrétní osobou, ale ani to není například číslo zaměstnance apod. Nikdy mě to nenapadlo, ale je to velmi bezpečnostně zajímavý koncept.

ISO 2700x (konkrétně ISO 27002, což je ta norma, která vůbec stanovuje co konkrétně můžete implementovat) doporučuje podle kontrolního mechanismu 9.4.2 - Secure log-on procedures, že A good log-on procedure should not provide help messages during the log-on procedure that would aid an unauthorized user.

Toho se většinou dosahuje poměrně známou bezpečnostní politikou (security policy) Interactive logon: do not display last user name.

Důvod je asi jasný. Pokud někdo nezná ani můj login, nemůže zkoušet hesla. Bez ohledu na kvalitu hesla, při znalosti loginu se budou dát hesla zkoušet. To mnohdy vede k jejich zamykání - což je třeba jedno dost podstatné riziko od bývalých znechucených zaměstnanců, které jsem tu popisoval minule.

Ona ta politika není zase až tak všespásná. V tom minulém článku jsou také demonstrační skripty, které by měly ukázat, že to chrání opravdu jen proti totálním anonymním outsiderům - tedy uklízečkám, dodavatelům apod, kteří nemají ve vašem prostředí žádný, alespoň omezený účet. Jinak seznam loginů si může z Active Directory (AD) vypsat libovolný authenticated users - přes LDAP ve výchozím nastavení a přes SAM interface vždycky.

Takže jsem ji nepovažoval jako moc zásadní, protože proti vnitřním zaměstnancům nechrání vůbec.

Ale to jen do okamžiku, kdy nemáte náhodné loginy. Pokud má člověk totálně nic neříkající a nespárovatelný login, má to docela smysl. Pokud není vidět login na přihlašovací, nebo zamykací obrazovce, dokonce i kolegové ze stejného open-space budou mít problém zjistit, jaký mají ostatní přihlašovací jména. Samozřejmě pořád platí, že ve výchozím stavu může authenticated users číst opravdu hodně LDAP atributů, takže to spárování může jít provést přes tyto ostatní informace - ale to už se dá změnit a zabezpečit ručně.

Takže je to samo o sobě docela zajímavý nápad.

Comments

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

Celkom by ma zaujimalo ako presne sa daju nahodne loginy implementovat v prostredi s Active Direstory a co vlastne generuje loginy. Problemom mozu byt clenstva v skupinach, ak su tam dalsie vazby (NTFS opravnenia, Sharepoint, ...).
lupgo on 4.9.2015 15:46

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

Toho sa kupodivu drží aj ISDS (t.j.datovky): Login je náhodný a nemá tak nič spoločné ani s osobou ani identifikátorom DS. Ale o to horšie sa to potom pamätá a ľudia to preto majú na lístočkoch, väčšinou asi rovno s heslom.
Michael Grafnetter on 5.9.2015 11:46

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

uz som sa s tym stretol a podla mna to nie je cesta a vyrazne znizuje comfort pouzivatelom. osobne som velkym zastancom skutocnej biometrie. teda niecoho co takmer na 100% zaruci autentickost.

inak slovosled "je to velmi bezpečnostně zajímavý koncept." ma pobavil :)
soso on 5.9.2015 17:14

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

Jo, náhodný loginy je celkem stará záležitost, ale jaksi se od toho v posledních 10ti letech upustilo. My jsme to měli taky (a částečně pořád máme), ale človíčci pyskovali, že oni přece nebudou pamatovat nějaký čisla...
RaT on 7.9.2015 8:47

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

tyhle náhodné loginy běžně používají větší firmy. ano je to blbé pro pamatování, ale pokud to má nějaký koncept tak se to zapamatovat dá. třeba já používám tento koncept:

UYY1234J

U - user, identifikace co je to za login. třeba domain accounty pro aplikace jsou značeny jako A
YY - rok nástupu uživatele (a založení loginu)
1234 - unikátní identifikátor daného účtu
J - iniciála křestního jména uživatele

Takže Franta Novák, který nastoupil letos a má vygenerovaný účet s ID 4521 má account U154521F. To je mimochodem jen domain user. Pokud Franta nastupuje jako správce sítě, nebo třeba user support, tak má další účet s vyššími právy (který nesmí používat pro běžnou práci na desktopu) a ten může vypadat takto U154547F (druhé ID pro druhý účet se negeneruje ihned ale později, neexistují tak účty s čísly bezprostředně po sobě).

@lupgo: to ti generuje nějaký nástroj který si napíšeš, nebo si zavedeš tabulku a podle nějakých pravidel to děláš ručně, záleží pro jak velkou firmu to řešíš. jaký problém vidíš v členství a oprávnění? je to pořád jeden login, asociuje se na jednu osobu (account) stejně jako kdyby to byl user s loginem franta.novak ...
Michal Zobec on 9.9.2015 14:27

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

Já nevím, přijde mi to jako security through obscurity a to nějak neuznávám.
Borek on 10.9.2015 2:44

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

@M.Zobec: jakmile je tam už nějaký algoritmus nebo koncept, už to nejsou náhodné loginy :o)) Ale i tak je to lepší než algoritmický kompilát jména a příjmení.
RaT on 10.9.2015 15:33

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

@RaT: no dobře, dejme tomu že to není náhodné, na druhou stranu prakticky mezi nimi není rozdíl, když znáš toho uživatele, tak víš stále jen něco, nevíš kompletní login. navíc tady jde spíše o ochranu před útokem zvenčí, protože login jmeno.prijmeni je daleko jednodušší identifikovat :) a pro útočníky zevnitř to pak nemá smysl viz Ondrův článeček o tom jak získat seznam loginů z interní sítě :)
Michal Zobec on 12.9.2015 21:48

Re: Náhodné loginy jako zajímavý koncept bezpečnosti

@Ondra Ševeček:

****
Ale to jen do okamžiku, kdy nemáte náhodné loginy. Pokud má člověk totálně nic neříkající a nespárovatelný login, má to docela smysl. Pokud není vidět login na přihlašovací, nebo zamykací obrazovce, dokonce i kolegové ze stejného open-space budou mít problém zjistit, jaký mají ostatní přihlašovací jména. Samozřejmě pořád platí, že ve výchozím stavu může authenticated users číst opravdu hodně LDAP atributů, takže to spárování může jít provést přes tyto ostatní informace - ale to už se dá změnit a zabezpečit ručně.
****

A jak bys to vyřešil ohledně emailů? Podle mne ten účet musí stále být spárován s emailem, takže se dá celkem snadno identifikovat uživatel v tomto smyslu ... nebo ne?
Michal Zobec on 12.9.2015 21:50

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments