Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Poznámky k heslovníčkům a jejich bezpečnosti
květen 25
Poznámky k heslovníčkům a jejich bezpečnosti

Měl jsem na GOPAS TechEd Online přednášku o ransomware, kde jsem vyhrožoval :-) ohledně heslovníčků. Po několika dotazech bych to rád trošku uvedl na pravou míru.

Cílem části přednášky bylo uvědomit si, že samotné použití heslovníčku (bacha to se vtahuje i na PAM - provileged access management), ať už cloudového nebo lokálního, vás proti krádeži přihlašovacích údajů neochrání. Pokud už se spyware spustí, vždycky to ukradne. I když se všichni pyšní tím, že mají databázi šifrovanou, nebo že je to cloudové řešení a má to více-faktorové (MFA) přihlašování. Pokud s tím můžete pracovat vy, může s tím pracovat i spyware.

Šifrovací klíče jsou v paměti. Řekněme, že by to bylo celé v cloudu a pracovalo se s tím přes webový prohlížeč, nebo jinou GUI aplikaci. Jak jste mohli vidět, vždycky si něco dáte do schránky a použijete to v nějakém programu. Jaký je problém, aby si to spyware vzal?

Při nejhorším to za vás spyware celé prokliká. Nevím jestli to už existuje, ale odhaduju to tak na 1 den práce, udělat automatický proklikávač prohlížeče pro každý cloudový heslovníček, který se nabízí. Porovnejte to s cenou dat v nemocnici :-) Máte tam MFA (multi-factor ověření)? Jenže to MFA zadáváte jenom jednorázově při vstupu a potom je přístup dlouhodobě otevřený. Pokud se ten spyware integruje do prohlížeče, nemůže mít problém. Porovnejte s elektronickým bankovnictvím, kde děláte MFA pro každou platbu, což provádíte jen velmi sporadicky.

Jsou tedy heslovníčky špatné?

Nejsou. Je to o něco lepší než zašifrovaný Excel. Umožňuje to nepamatovat si hesla. Mít striktně různá hesla do různých služeb. Mít kvalitní, automaticky generovaná hesla. Schránku to čistí po několika vteřinách. Může to mít MFA pro vstup do heslovníčku. Můžete to mít na více zařízeních.

Prostě všechno super. Jen to má limity, které si člověk musí uvědomit.

Je lepší lokální nebo cloudový heslovníček?

Mě je to fakt jedno. Jde spíš o osobní zvyk práce, jestli to umí MFA a přístup na internet, který to případně vyžaduje.

Jak tedy bezpečněji?

Ke správě počítačové sítě je potřeba mít vyhrazené čisté a zabezpečené prostředí (SAE - secure administration environment), kde je jen malá šance, že by se objevil spyware. Podle obrázku z mého GOC159. Heslovníček máte až na něm. Bez volného připojení do internetu (samozřejmě na cloudový heslovníček ano :-)) Na takovém SAE buď pracujete přímo lokálně, nebo se do něho připojujete přes RDP, ideálně samozřejmě bez schránky...

Comments

Re: Poznámky k heslovníčkům a jejich bezpečnosti

heslovníčkem myslíš správce hesel?

a co KeePass a automatické vyplňování? já totiž používám především funkci automatického vyplňování a nebo integraci do prohlížeče skrze chromePpass.

a co případně funkce dvoukanálové automatické vyplňování?

tam to asi bude vyžadovat prozkoumání kódu a jak to funguje v praxi s těmito informacemi v paměti že?

pro jistotu zdůrazním, že copy&paste pro přihlašovací údaje používám minimálně, asi tak 3-5% z celkově všech přihlášení. většinou se to týká služeb které používám krátce, než se rozhodnu je používat na plno, nebo služba kde se složitě implementuje automatické přihlašování.
Michal Zobec on 28.6.2020 1:22

Re: Poznámky k heslovníčkům a jejich bezpečnosti

No to jsou všechno jenom pohodlnostní funkce. je úplně jedno jak to kam vkládá. schránka je jenom příklad. pokud to má v paměti, tak mu to spyware ukradne. stejně to tam má v plné formě, takže to spyware dostane komplet. Nemůžeš provozovat heslovníček na nebezpečném počítači.
ondass on 29.6.2020 9:02

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments