Identifikace: Jaké zvolit uživatelské jméno?

V tomto příspěvku se budeme věnovat volbě vhodného uživatelského jména, které by měl uživatel pro přihlašování k vybrané službě používat.

Popíšeme si způsoby, jakými může být uživatelské jméno, dále jen ID, vytvořeno a jaké výhody a nevýhody jsou s nimi spojeny. Základní otázka tohoto příspěvku zní: Měl by mít uživatel možnost si své ID sám vytvořit, anebo by mu ho měl přidělit systém?

Štítky:
celý článek

Auntentizace: plno pravidel a k čemu?

Má vůbec smysl vytvářet a používat silná hesla, pravidelně je měnit a nikam si je nezapisovat?

Uživatelům je neustále vštěpováno do hlavy, že by měli používat silná hesla, pravidelně je měnit a nikam si je nezapisovat. Konečně, problematice jak vytvořit bezpečné heslo jsme se na našich stránkách též věnovali. Mají však tato doporučení vůbec smysl, když lze mnohá hesla tak snadno prolomit? Abychom si mohli na tuto otázku odpovědět, musíme se nejprve zamyslet nad tím, před jakým typem útoku nás tato opatření vlastně chrání. Pojďme společně zhodnotit smysl jednotlivých doporučení.

Štítky: ,
celý článek

Základy kryptografie pro manažery: RSA

Šifra RSA patří v současné době mezi nejpoužívanější a nejoblíbenější asymetrické šifry. V tomto příspěvku se dozvíte, jak tento šifrovací algoritmus funguje.

Verejným kľúčom je dvojica čísel n (modulus), e (verejný exponent). Ako privátny kľúč sa používa dvojica čísel n (modulus) a d (privátny exponent). Voľbu čísel n, e, d si popíšeme v časti Generovanie kľúča. Teraz sa pozrieme na šifrovanie a dešifrovanie v RSA pomocou verejného kľúča (n, e) a privátneho kľúča (n, d). Predpokladajme najskôr, že Bob chce Alici poslať tajné celé číslo m také, že 0≤m<n (číslo m musí byť v tomto rozsahu!).

Štítky: ,
celý článek

Lámání hesel: rainbow tables

Přečtěte si, jak prolomit silné 14 znakové heslo během několika málo sekund za použití běžného vybavení a přístupu na internet.

Scénář útoku je poměrně snadný a útočníkovi stačí v mnoha případech k úspěšnému proniknutí do systému maximálně několik málo minut a nepotřebuje k tomu ani žádné drahé vybavení a hluboké znalosti. Vystačí si s obyčejným smartphonem, který má konektivitu do internetu a bootovatelným USB flash diskem nebo CD s Linuxem, ze kterého zavede systém, zkopíruje soubor s hesly, připojí se na internet a hash k vybranému účtu předloží službě, která mu během několika sekund zobrazí správné heslo.

Štítky: ,
celý článek

Autentizace: obskurní autentizační metody – 4. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém založený na kreslení obrázku.

Uživateli je zobrazena mřížka o velikosti 5×5 a je požádán, aby do ní zakreslil nějaký jednoduchý obrázek. Ve druhém kroku je požádán, aby obrázek nakreslil znovu. Tímto způsobem dojde k pořízení a uložení grafického hesla.

Štítky:
celý článek

Autentizace: obskurní autentizační metody – 3. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém založený na rozpouznávání kategorií.

Autentizace v tomto případě funguje tak, že se vám na obrazovce zobrazí 12 obrázků, přičemž každý je z jiné kategorie. Vy si vyberete 3 obrázky. Na další obrazovce se vám zobrazí dalších 12 obrázků, opět každý z jiné kategorie.

Štítky:
celý článek

Autentizace: obskurní autentizační metody – 2. díl

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém PassClicks.

Pokud zavítáte na web, který používá tuto metodu autentizace, tak zjistíte, že klasické heslo je v tomto případě nahrazeno sekvencí kliknutí na vybraná místa na obrázku. Návštěvníkovi je zobrazen obrázek a je vyzván, aby kliknul na libovolná místa na obrázku a zapamatoval si, na co klikal.

Štítky:
celý článek

Lámání hesel

V tomto příspěvku se dozvíte, jak délka hesla a množina znaků ovlivňuje dobu potřebnou k prolomení hesla a jak tuto dobu výrazně zkrátit.

Útočník má v zásadě několik možností, jak přihlašovací údaje uživatele získat, a zpravidla volí tu nejjednodušší, nicméně my se zde budeme zabývat především útokem hrubou silou, protože u všech ostatních útoků je víceméně jedno, jak dlouhé a komplexní ono sdílené tajemství vlastně je. Je s podivem, že většina studií, které se zabývají odhadem doby potřebné na prolomení hesla, mylně předpokládá, že útočník ví, jaká dlouhé a komplexní dané sdílené tajemství vlastně je.

Štítky: ,
celý článek

Autentizace: Software token

Lze uvažovat o nahrazení klasického HW tokenu používaného v procesu vícefaktorové autentizace SW tokenem?

SW token má podobu aplikace, která se musí nainstalovat na zařízení, jehož hardware bude pro výpočty použit. Jsou tedy zpravidla uloženy na stejném zařízení, jako ze kterého probíhá autentizace. Úroveň bezpečnosti, kterou je SW token schopen poskytnout je tak přímo závislá na bezpečnosti hostitelského systému, kterým může být jak klasický počítač, tak i notebook nebo smartphone.

Štítky: ,
celý článek

Autentizace: obskurní autentizační metody

V tomto seriálu se věnujeme obskurním autentizačním metodám, které se neuchytily a nejsou proto moc známé, tentokrát se podíváme na systém PassFaces.

Pokud zavítáte na web, který používá tuto formu autentizace, tak se vám zobrazí fotografie třech lidí a vaším úkolem je si obličeje těchto lidí zapamatovat. Systémy tohoto typu disponují různě velkou databází a náhodně vám přidělí tři tváře, vy se je pak učíte najít mezi mnoha dalšími fotografiemi.

Štítky: ,
celý článek