Autentizace: Jak v systému bezpečně uložit heslo

O tom, jak si vytvořit bezpečné heslo, a jaká pravidla dodržovat, jsme již psali. V dnešním příspěvku se proto podíváme na to, jakým způsobem bychom měli heslo, které si uživatel vytvořil, v systému uložit.

Útočník se může k souboru nebo databázi obsahující hesla uživatelů dostat mnoha různými způsoby. V prostředí internetu jsou nejznámější případy, kdy útočník zneužil nějaké zranitelnosti webové aplikace např. SQL injection, a získal tak přístup k databázi hesel. Stejně tak může útočník získat fyzický přístup k systému a daný soubor s hesly si jednoduše zkopírovat a konečně může se jednat i o situaci, kdy společnost vyřadí již nepotřebnou výpočetní techniku a neprovede bezpečnou likvidaci dat.

Štítky:
celý článek

CAPTCHA jak ji možná neznáte

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je Turingův test, který slouží k odlišení člověka od stroje.

Obvykle má podobu obrázku, na kterém se nachází deformovaný text, který má uživatel správně přepsat do formulářového pole, ale nemusí tomu tak být vždy. Ostatně způsob, jakým ten Completely Automated Public Turing test to tell Computers and Humans Apart provedete, je zcela na vás. Pro člověka obvykle nepředstavuje vyřešení CAPTCHA problém, ovšem pro počítač je to velice obtížně řešitelná úloha, neboť není obdařen potřebnou inteligencí.

Štítky:
celý článek

Vyhodnocení rizik: prioritizace rizik

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Štítky: ,
celý článek

Chatty vs. chunky interface

V příspěvku věnovaném vícevrstvé architektuře bylo uvedeno, že komunikace mezi vrstvami by měla být omezena na minimum a proto je vhodnější používat chunky interface místo chatty.

Jaký je však mezi těmito dvěma interfacy rozdíl? Pro chatty interface (doslova ukecaný interface) je typické, že dochází k přenášení velkého množství zpráv o malé velikosti mezi vrstvami. Je tak náročnější na čas a na zdroje. Chunky interface je naopak navržen tak, aby komunikace mezi vrstvami byla minimální, to ale znamená, že je nutné přenést najednou větší objem dat. Nelze říci, že chatty interface je vyloženě špatný a chunky dobrý. Vždy jde o konkrétní případ, v jakém bude ten či onen interface nasazen.

Štítky:
celý článek

Od help desku k Service Desku

Přikláním se k názoru, že je lepší zavést najednou incident management, problem management, change management, release management a configuration management, než se pokoušet o jejich postupné zavádění. Důvody, které mě k tomuto závěru vedou, jsem již nastínil ve svém starším příspěvku, kde jsem se zabýval vztahem mezi procesy incident management a problem management.

Štítky:
celý článek

Autentizace: mnoho hesel uživatelova smrt 2

V příspěvku „Mnoho hesel uživatelova smrt“ jsme psali o tom, že běžný uživatel si mnohdy musí pamatovat i deset a více různých uživatelských jmen a silných hesel, která navíc musí pravidelně měnit a zároveň si je nesmí nikam zapisovat, neboť by jednal v rozporu s bezpečnostní politikou, kterou většina organizací přijala, a kterou je on povinen dodržovat. Otázce smysluplnosti těchto požadavků jsme se pak věnovali v příspěvku „Plno pravidel a k čemu“.

Štítky: ,
celý článek

Chytré telefony a shoulder surfing attack

V jednom starším příspěvku o autentizaci jsme psali, že uživatel by měl heslo zadávat tak, aby nemohlo dojít k jeho odpozorování.

Ovšem v okamžiku, kdy zdáváte heslo do svého smartphonu nebo tabletu na veřejnosti, tak nemáte jistotu, že vaše heslo někdo neodpozoroval. Aby to případný útočník neměl tak snadné, tak se místo znaků, které uživatel zadává na klávesnici, zobrazují v políčku pro heslo zástupné symboly. S nástupem smartphonů a tabletů, které nejsou vybaveny HW klávesnicí, je nutné veškerá hesla zadávat prostřednictvím virtuální klávesnice, která se zobrazí na dotykovém displeji daného zařízení.

Štítky: ,
celý článek

Autentizace: partial password 2

Organizace, které dříve používaly autentizaci založenou na zadávání jen vybraných znaků z hesla, tento koncept z mnoha důvodů pomalu opouštějí a přecházejí na skutečnou vícefaktorovou autentizaci.

Vzhledem k tomu, že systém, který tuto formu autentizace používá, musí být schopen ověřit, zda uživatel zadal na jeho výzvu ty správné znaky, tak v databázi nemůže být heslo uživatele uloženo jako hash, neboť z hashe není možné zpětně zjistit původní hodnotu a tudíž by systém nemohl ověřit, zda znaky zadané uživatelem byly ty správné.

Štítky: ,
celý článek

Windows Live Messenger

Cílem tohoto příspěvku je seznámit čtenáře s aplikací Windows Live Messenger a neoficiálním rozšířením Messenger Plus! Live.

Windows Live Messenger je aplikace vyvinutá společností Microsoft, která umožňuje kromě komunikace s ostatními uživateli formou textových zpráv i přenos hlasu, videa a souborů. Důležité je také zmínit, že tato aplikace je  dostupná i pro smartphony vybavené operačním systémem Windows Phone, iOS, Android, RIM.

Štítky:
celý článek

Autentizace v internetovém bankovnictví – dodatek

FFIEC (Federal Financial Institutions Examination Council) vydal dodatek ke své příručce Authentication in an Internet Banking Environment.

dodatku je uvedeno několik opatření, jako je hodnocení rizik (risk assessments), budování vícevrstvé bezpečnosti (layered security), nasazení systému na detekci podvodů (Fraud Detection System), identifikace zařízení klienta (client device identification), autorizace transakcí (authorization), používání kontrolních otázek (challenge questions) a poučení klientů o možných rizicích (awareness).

Štítky: ,
celý článek