Má ochrana smartphonu heslem nebo gestem smysl?

Mohli bychom zde dlouze diskutovat o tom, zda v současnosti nejoblíbenější mobilní operační systémy, jako je Apple iOS nebo Google Android byly navrhnuty jako bezpečné, a jsou bezpečné i ve svém výchozím nastavení, ovšem…

Podstatné je, že každý systém je pouze tak bezpečný, jak silný je jeho nejslabší článek a tím je samotný uživatel, který je vystaven působení mnoha různých hrozeb.

Štítky: , , ,
celý článek

Je obrázkové heslo ve Windows 8 bezpečné?

Do Windows 8 se můžete přihlásit pouhým dotykem obrazovky vašeho zařízení, resp. pomocí třech jednoduchých gest.

Takové gesto můžete provést pouhým dotykem, prostým tažením prstu z jednoho místa do druhého nebo jednoduchým obkroužením nějakého objektu na obrazovce. Windows v takovém případě vyhodnocuje, zda daná gesta byla načrtnuta na správném místě, ve správném pořadí a zda pohyb prstu byl veden správným směrem.

Štítky:
celý článek

Je Android Pattern Lock bezpečný?

V tomto příspěvku se zamyslíme nad tím, zda je možno Android pattern lock přijmout jako náhradu za klasické heslo.

V praxi se ukazuje, že gesto používané k odemčení smartphonu s operačním systémem Google Android, které obecně není považováno za příliš bezpečné, neboť na něj může být veden tzv. šmouhový útok (smudge attack), může v reálném světě poskytovat poměrně slušnou ochranu, obzvlášť pokud byl smartphone po odemknutí intenzivně používán.

Štítky: ,
celý článek

Proč tak často dochází k únikům hesel?

V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.

Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.

Štítky: , , ,
celý článek

LinkedIn: Bez soli, to je umění!

Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.

Štítky:
celý článek

Autentizace: Jednorázová hesla – HOTP

V tomto příspěvku se podíváme, na jakém principu funguje generování jednorázových hesel pomocí algoritmu HOTP.

HMAC-Based One-Time Password, zkr. HOTP, který je popsán v RFC4226, využívá pro generování jednorázového hesla (One-Time Password, zkr. OTP) algoritmus, který může být vzhledem ke své jednoduchosti a nízkým požadavkům na výpočetní výkon provozován v podstatě na jakémkoliv HW. Není tedy divu, že je tento algoritmus používán např. i v SW tokenech, které jsou k dispozici v podstatě pro všechny nejpoužívanější mobilní OS.

Štítky: ,
celý článek

Smartphone: Zvyšuje opakující se cifra v PINu bezpečnost?

Je 4místný PIN, ve kterém se jedna cifra opakuje, bezpečnější než PIN, ve kterém jsou použity čtyři různé cifry?

Na jakýkoliv telefon s dotykovým displejem může být veden smudge attack, avšak obrana proti tomuto útoku je naprosto jednoduchá. Stačí vždy po použití telefonu otřít displej. Ovšem pokud tak neučiníte, zůstanou na něm zřetelné stopy. V takovém případě je pak celkem velká pravděpodobnost, že se útočníkovi podaří váš telefon, v případě že se ho zmocní, odemknout.

Štítky: ,
celý článek

Proč jsou passphrase bezpečnější než hesla

Tento příspěvek se snaží přinést odpověď na otázku, proč jsou passphrase bezpečnější než hesla.

Tentokrát vás nebudu obtěžovat žádnou matematikou. Vyjdeme čistě z toho, jaká hesla většina uživatelů volí. Rozhodně to nejsou komplexní hesla, která by bylo obtížné prolomit a nejinak tomu je i u passphrase. Uživatelé mají v okamžiku, kdy jsou vyzvání k zadání passphrase tendenci přistupovat k volbě passphrase stejně nezodpovědně jako k volbě hesla. Uživatelé volí ustálená slovní spojení, která je útočník schopen prolomit obdobným způsobem jako hesla, ale přesto jsou tyto passphrase bezpečnější než heslo. Proč?

Štítky:
celý článek

BYOD: zaměstnanci odmítají chránit telefon heslem

Zaměstnanci odmítají chránit svůj telefon pomocí hesla, protože zadávání hesla je obtěžuje.

A tento odmítavý postoj zaujímají jak zaměstnanci, tak i manažeři. Cožpak si neuvědomují, jak cenná data na svých smartphonech mají? Uvědomují, ale jaksi si nechtějí připustit, že zrovna jejich smartphone by mohl někdo ukrást nebo že by ho mohli někde zapomenout či ztratit. A přitom z nejrůznějších průzkumů vyplývá, že smartphony se ztrácejí a první, co nálezce udělá, že si prohlédne obsah daného zařízení. V případě, že telefon není chráněn PINem nebo heslem jsou pak informace na něm uložené komukoliv, kdo se daného zařízení zmocní, přístupné.

Štítky: , ,
celý článek

Správci hesel svěřená hesla nechrání

Ze studie společnosti ElcomSoft vyplývá, že mnoho správců hesel (Password Manager) není schopno jím svěřená hesla dostatečně dobře ochránit.

Příčiny jsou dvě. Vývojáři buď nevyužívají bezpečných kryptografických funkcí, které nabízí samotný operační systém, neboť nejsou ochotni věnovat dostatek času jejich studiu, a raději implementují své vlastní kryptografické funkce, aby mohli danou aplikaci snadno portovat i na jiné platformy, ovšem implementují je špatně. V praxi to pak znamená, že správci hesel nedostatečně chrání hesla, která jim uživatelé svěřili.

Štítky:
celý článek