Návrhy na změny testu
Admin ITfitness
informovat nás o případných poroblémech, které při práci s testem na
školách i jinde nastataly.
admin IT fitness
Jenda
bezpečnost IMHO nezvyšuje, naopak snižuje. Pokud vám ho někdo dokáže
ukrást, tak vám ho ukradne tak jako tak, naopak změna každý měsíc
pravděpodobně způsobí, že si uživatel nedokáže stále se měnící heslo
zapamatovat a nalepí si papírek na monitor, případně si zvolí nějaké
slovníkové heslo.
libOl
typu brutal force, s možností ukradení nemá až tak mnoho společného.
Lepení si hesla někam je bezpečnostní problém, který nemá nic
společného s tím jak často ho měním - dělá to prostě diletant.
S měněním není problém - buď použiji SW pro správu hesel, nebo si
najdu "systém" pomocí nějž jsem schopen heslo jednoduše odvodit
S pozdravem
LO
peekaa
je nereálný požadavek i doporučení. Ještě tak možná jednou ročně.
Nedovedu si představit měnit měsíčně 20 hesel. Nedovedu si představit
to množství času, který tímto ztratím. Sice to nesouvisí, ale u
běžného uživatele by to vedlo k psaním hesel na papírky, jak už tady
bylo řečeno. Také ani např. bankovní aplikace nic takového nevyžadují,
ani pokud vím nedoporučují, někde možná ani neumožňují.
Nicméně by mi zajímaly "systémy" na jednoduché si pamatování/odvození
si hesla. Jeden takový mám, ale zajímal by mne nějaký přehled či
doporučení, kdyby někdo měl.
S pozdravem
PK
libOl
nevím, kde pracujete, ale ve spoustě firem vás ke změně hesla "donutí"
- i s tím, že musí být složité, nemohou se opakovat a podobně.V
komerční sféře to považuji za "normální požadavek", doma je každý
svého štěstí strůjcem.
Měnit měsíčně 20 hesel je (podle mne) zbytečné - nevěřím, že všechny
mají stejnou kritičnost (a samozřejmě záleží taky na dalším ověření -
typicky banka SMS)
Protože si nejsem schopen hesla pamatovat - používám KeePass -
samozřejmě čím častější použití, tím větší pravděpodobnost
zapamatování.
Co se týká systému na zapamatování
- u PINu "tajné číslo" - klidně si ho poznačím na kartu
- používám říkanky
- používám část hesla stejného všude + odlišení (není to bezp. problém
- někdo by mi musel v časovém limitu hacknout dva účty - aby našel
souvislost - a měl by část netriviálního hesla)
Jinak považuji za větší bezpečnostní problém neměnění hesla, než
použítí slova (samozřejmě nesvázaného s vámi). Pokud totiž účastník
jede pokus X omyl tak mu i u slovníkového útoku bude nalezení trvat
několik pokusů - většina systému se po určitém počtu pokusů zablokuje
(na určitý čas), takže pokud neměním tak by časem k slovu, ale i
"neslovu" došel, pokud měním, tak šanci snižuji.
(Největší průser jsou však všude stejná hesla)
S pozdravem
LO
Mojmír
faktorech, že jsou irelevantní. To je docela srandovní, protože test
by v tomto případě mohl být zaměřený spíše na lidi co neznají
problematiku a nejsou tak informovaní o tom, jak uživatelé si hlídají
hesla, jaké chaty a sociální sítě chtějí informace nebo jaké tablety
existují.
libOl
všechny odpovědi správné - vždyť jsme všichni jiní, máme jiné potřeby,
požadavky, názory ...
Sice by to byl test, který bysme měli správně, ale uniká mi jeho
význam ;-)
mrtvocich
--
Tuto zprávu jste obdrželi, protože odebíráte Skupina "IT fitness CZ
2010" služby Skupin Google
Pro přispívání do této skupiny odešlete e-mail na adresu
it-fitnes...@googlegroups.com
Chcete-li odhlásit odběr této skupiny, pošlete e-mail na adresu
it-fitness-cz-2...@googlegroups.com
Další nastavení najdete v této skupině na adrese
http://groups.google.com/group/it-fitness-cz-2010?hl=cs
--
***
Mrtvocich's Contacts
E-Mail: mrtv...@gmail.com
Jabber: mrtv...@jabbim.cz
Web: http://mrtvocich.troska.cz/
Really leather? Really Dickins.
libOl
Ty otázky jsou jednoznačné. To, že VY SI MYSLÍTE, že má být jiná
odpověď nemá nic společného s jednoznačností.
Pokud u maturity odpovíte na otázku: "Největší stát Evropy" - Francie
- tak to máte špatně - a nic na tom nemění fakt, že si to můžete
myslet, někde jste to četl ... Pořád to není nejednoznačná otázka.
To, že se heslo doporučuje pravidelně měnit je FAKT - jestli to někdo
dělá je druhá věc - nedělá se spousta věcí, které by se dělat měly, to
na věci nic nemění.
LO
On 18 bře, 13:34, mrtvocich <mrtvoc...@gmail.com> wrote:
> No samozřejmě - a právě proto vidim tyhle otázky jako problémový - PROTOŽE
> NEJSOU JE - DNO - ZNA - ČNÝ :-)
>
> trosku uz me to prestava bavit..
>
> 2010/3/18 libOl <libor.olbr...@jsi.cz>
> > it-fitness-cz-2...@googlegroups.com<it-fitness-cz-2010%2Bunsubscr...@googlegroups.com>
> > Další nastavení najdete v této skupině na adrese
> >http://groups.google.com/group/it-fitness-cz-2010?hl=cs
>
> --
> ***
> Mrtvocich's Contacts
> E-Mail: mrtvoc...@gmail.com
> Jabber: mrtvoc...@jabbim.cz
peekaa
chápány odpovědi. Měnit jednou měsíčně je možná požadavek
schizofrenních adminů kteří pak ani nevidí ty bločky uživatelů, kde to
mají vše napsáno... Z mého hlediska jsou nejcitlivější aplikace
Internetbanking a tam nic takové nuceného ani doporučovaného není,
takže u mě tento argument neobstojí.
A u studenta?: Pokud studentovi položíte otázku: Která z následujících
pravidel je vhodné dodržovat z hlediska bezpečnosti hesla používaného
pro přístup k citlivým, resp. důvěrným údajům? tak on si ji přeloží:
jak si měním a dělám hesla u facebooku, seznamu a ICQ? No a pokud mu
říkáte, že by to měl dělat jednou měsíčně, tak vám to klidně odkýve,
pokud na něj budete dost křičet a být nevrlej, ale uvnitř ztratíte
důvěru, protože říkáte věci zcela mimo realitu.
Jinými slovy: test to byl moc hezký, jsem rád, že jsem to se studenty
projel, pak jsme si i říkali správné odpovědi a možná bylo dobře, že
tam tam nějaká ta sporná otázka je, aspon byla diskuze se studenty
vzrušenější ;-)
Pěkný den.
PK
On 18 bře, 11:20, libOl <libor.olbr...@jsi.cz> wrote:
Jenda
On 18 bře, 09:06, libOl <libor.olbr...@jsi.cz> wrote:
> Pravidelná změna hesla je prováděna z důvodů snížení nebezpečí útoků
> typu brutal force
měněním hesla si proti BF nepomůžete, protože ať už útočník projíždí
slovník nebo všechny kombinace (to bych tedy mimochodem chtěl vidět,
jak to po síti někdo dělá), pravděpodobnost, že se strefí, je
konstantní.
> s možností ukradení nemá až tak mnoho společného.
> Lepení si hesla někam je bezpečnostní problém, který nemá nic
> společného s tím jak často ho měním - dělá to prostě diletant.
Vy z uživatele spíš donucením měnit heslo každou chvíli toho
"diletanta" uděláte, protože zatímco naučit se heslo jednou na pár let
vám ještě skousne, na učení se každý měsíc se vykašle.
S pozdravem,
Jenda
> S měněním není problém - buď použiji SW pro správu hesel nebo si
libOl
On 18 bře, 15:17, Jenda <hra...@gmail.com> wrote:
> Dobrý den,
>
> On 18 bře, 09:06, libOl <libor.olbr...@jsi.cz> wrote:> Pravidelná změna hesla je prováděna z důvodů snížení nebezpečí útoků
> > typu brutal force
>
> měněním hesla si proti BF nepomůžete, protože ať už útočník projíždí
> slovník nebo všechny kombinace (to bych tedy mimochodem chtěl vidět,
> jak to po síti někdo dělá), pravděpodobnost, že se strefí, je
> konstantní.
To mne celkem zajímá (odhlédněme od testu), proč si myslíte, že
pravděpodobnost je konstantní? Domnívám se (a když tak mne opravte),
že jedno by to bylo jen v případě, kdyby útočník věděl, kdy budu hesla
měnit. Jinak existuje jistá pravděpodobnost, že se při změně trefím do
oblasti, kterou už útočník přošel - a tahle pravděpodobnost snižuje
pravděpodobnost odhalení.
>
> > s možností ukradení nemá až tak mnoho společného.
> > Lepení si hesla někam je bezpečnostní problém, který nemá nic
> > společného s tím jak často ho měním - dělá to prostě diletant.
>
> Vy z uživatele spíš donucením měnit heslo každou chvíli toho
> "diletanta" uděláte, protože zatímco naučit se heslo jednou na pár let
> vám ještě skousne, na učení se každý měsíc se vykašle.
>
Tak tady máme sématický problém ;-) - ja nesouhlasím ani s "každou
chvíli", ani s "jednou za pár let".
My máme třeba elektronickou třídnici - a pár let (ani rok) bych si
stejné heslo nelajznul. Ve firmě totéž.
@peekaa: Já chápu, že žák nyní tento problém necítí, ale to se stejně
můžeme bavit o zálohování. Zálohování je zbytečnost - o co přijde při
havárii disku - pár "sejvnutých levelů"?
Jinak obecně: Žádný test asi není a nebude dokonalý, ale poprvé vidím
opravdu hodně slušný průřezový test - a protože jsem zažil jiné hnusy,
tak mi vadí, že si tady někdo potřebuje spíše pofoukat poničené ego
(podle hesla, kdo se cítí, ten se vtípí, věřím, že se nikoho
neoprávněně nedotknu ;-))
S pozdravem
LO
Jenda
On 18 bře, 17:49, libOl <libor.olbr...@jsi.cz> wrote:
> Dobrý den,
>
> On 18 bře, 15:17, Jenda <hra...@gmail.com> wrote:
>
> > Dobrý den,
>
> > On 18 bře, 09:06, libOl <libor.olbr...@jsi.cz> wrote:> Pravidelná změna hesla je prováděna z důvodů snížení nebezpečí útoků
> > > typu brutal force
>
> > měněním hesla si proti BF nepomůžete, protože ať už útočník projíždí
> > slovník nebo všechny kombinace (to bych tedy mimochodem chtěl vidět,
> > jak to po síti někdo dělá), pravděpodobnost, že se strefí, je
> > konstantní.
>
> To mne celkem zajímá (odhlédněme od testu), proč si myslíte, že
> pravděpodobnost je konstantní? Domnívám se (a když tak mne opravte),
> že jedno by to bylo jen v případě, kdyby útočník věděl, kdy budu hesla
> měnit. Jinak existuje jistá pravděpodobnost, že se při změně trefím do
> oblasti, kterou už útočník přošel - a tahle pravděpodobnost snižuje
> pravděpodobnost odhalení.
také je zde pravděpodobnost, že se trefíte blíže k aktuální pozici.
Protože nevíte, kde útočník je, ani z které strany slovníku prochází,
máte stejnou šanci, že si pomůžete, jako že si pohoršíte. Jinak BF u
neslovníkových hesel je po síti nemožný, protože při heslu o blbých 8
znacích a zkoušení 1000/s (a to si admin všimne, že mu tam teče fakt
velký traffic) máte průměrnou časovou náročnost 4500 let, při heslu o
10 znacích 18 279 500 let.
Karry
bezpečnostnímu opatření.
V testu jsem sice správně tipla, že to asi autoři chtěli slyšet, v
praxi se s tím ale ani nepotkávám jako s doporučením. Důraz se podle
mých zkušeností dává spíš na pamatování hesla a jeho netriviálnost.
Měnění vede k problémům typu "Sakra, co mám teďka za heslo?" a "Kdy
mám teď vůbec měnit heslo?". Navíc většina lidí je registrovaná na víc
místech, a buď bude všude používat stejné heslo (bezpečnostní riziko),
nebo bude pravidelně vymýšlet a pamatovat si n nových hesel. Takže se
nedivím, že doporučení na pravidelnou změnu potkám jen naprosto
výjimečně. Použitelnost software pro správu hesel nechci komentovat,
nemám s ním zkušenosti a nechystám se je získávat.
Jinak k několika konkrétním připomínkám:
"Měnit měsíčně 20 hesel je (podle mne) zbytečné - nevěřím, že všechny
mají stejnou kritičnost (a samozřejmě záleží taky na dalším ověření -
jsem dělala před týdnem), v testu nebylo specifikované, že jde o
zásady pro kritická hesla. A i kdyby, která jsou kritická a která ne?
Při obecné zásadě měnit hesla by ten problém s měněním mnoha hesel
vznikal.
"Jinak existuje jistá pravděpodobnost, že se při změně trefím do
oblasti, kterou už útočník přošel - a tahle pravděpodobnost snižuje
do oblasti, kterou zrovna teď bude zkoušet?
(Ne)dokonalost testů je podle mě dost diskutabilní, řekla bych, že
odpovědi by nejednoznačné prostě být neměly.
A že jich v tom testu bylo několik.
Propojení počítačů pomocí LAN, které já jsem sice v testu neměla, ale
někteří známí ano, je dejme tomu o slovíčkaření (nebo o přístupu, co
já vím - mě by to napadlo, ale ani se nedivím, že jiní to prostě
vnímali jako vyloučené).
Co ale slepá kopie? Příjemce slepé kopie obvykle svou adresu nevidí.
V nějaké diskusi se tu řešilo, co je a co není obvykle nutné zadat při
registraci na chat, sociální službu atp. Co? Bezesporu nick, ten
vyžadují skoro všude, ale co s emailem? Někde ho vyžadují, někde ne,
někde potvrzením emailové adresy podmiňují některé další funkce.
Co hoax? Souhlasím, že by se měl upozornit ten, kdo ho rozesílá. Ale
zasílat mail na hoax.cz? Kdybych jim měla posílat všechny hoaxy (o
nigerijských dopisech a vůbec spamu ani nemluvím), co mi dojdou, to by
ze mě museli mít radost. Snad ještě větší než ze samotného faktu, že
jim pošlu něco, co v databázi dávno mají.
Já třeba měla problém i s operačním systémem, ale to už taky může být
o vnímání - a možná mě prostě štve, že mě připravil o 100%. Ale asi
bych pořád neřekla, že poskytuje podporu pro instalování dalších
aplikací. Nejspíš je to pořád dokola, co si pod tím kdo představí.
Jap, je to zajímavý pokus, ale nějaké ty změny a vychytávky by mu
neuškodily.
Mojmír
něžného pohlaví a to dokonce tak rozsáhle. =o) Páni.
libOl
trochu jste mne nalomil ;-). Co se týká "znesnadnění BF", nicméně i
jen díky možnosti "odhlédnutí" jej budu měnit dále ;-)
On 18 bře, 23:16, Jenda <hra...@gmail.com> wrote:
>
> máte stejnou šanci, že si pomůžete, jako že si pohoršíte. Jinak BF u
> neslovníkových hesel je po síti nemožný, protože při heslu o blbých 8
> znacích a zkoušení 1000/s (a to si admin všimne, že mu tam teče fakt
> velký traffic) máte průměrnou časovou náročnost 4500 let, při heslu o
> 10 znacích 18 279 500 let.
>
Tak s nemožnosti BF po síti bych souhlasil, ale spíše z jiných důvodů.
Předpokládám, že admin bude spíše blokovat IP adresu z které by byl
náznak BF - existují sice dynamické IP a anonymizéry, ale pokud přidám
časové blokování konta, tak je to v praxi nemožné.
Já to spíše beru v lokálí síti a jak jsem psal - jsem si jist, že
spolupracovník/žák mi heslo po určitém počtu opakování odhlédne.
Samozřejmě náhoda je blbec - může uhodnout na první pokus, ale já to
holt musím minimalizovat - a neumím si představit jinak než měněním
hesla.
Jinak tahle diskuse mne donutila mrknout na tu otázku a je tam " ....
bezpečnosti hesla používaného pro přístup k citlivým, resp. důvěrným
údajům?" - fakt nevím jestli bych tam řadil ICQ, nebo FB. A celkem
musím obdivovat ke kolika různým důvěrným zdrojům zdejší přispěvatelé
přistupují ;-)
LO
Jenda
On 19 bře, 07:27, libOl <libor.olbr...@jsi.cz> wrote:
> Dobrý den,
>
> trochu jste mne nalomil ;-). Co se týká "znesnadnění BF", nicméně i
> jen díky možnosti "odhlédnutí" jej budu měnit dále ;-)
>
> On 18 bře, 23:16, Jenda <hra...@gmail.com> wrote:
>
>
>
> > máte stejnou šanci, že si pomůžete, jako že si pohoršíte. Jinak BF u
> > neslovníkových hesel je po síti nemožný, protože při heslu o blbých 8
> > znacích a zkoušení 1000/s (a to si admin všimne, že mu tam teče fakt
> > velký traffic) máte průměrnou časovou náročnost 4500 let, při heslu o
> > 10 znacích 18 279 500 let.
>
> Tak s nemožnosti BF po síti bych souhlasil, ale spíše z jiných důvodů.
> Předpokládám, že admin bude spíše blokovat IP adresu z které by byl
> náznak BF - existují sice dynamické IP a anonymizéry, ale pokud přidám
> časové blokování konta, tak je to v praxi nemožné.
> Já to spíše beru v lokálí síti a jak jsem psal - jsem si jist, že
> spolupracovník/žák mi heslo po určitém počtu opakování odhlédne.
Ano, to je asi jediný argument ve prospěch změny hesla. Avšak ještě
lepší by bylo řešení nelogovat se, pokud se někdo dívá. Požádat ho,
aby se otočil (tak to dělám já).
> Samozřejmě náhoda je blbec - může uhodnout na první pokus, ale já to
> holt musím minimalizovat - a neumím si představit jinak než měněním
> hesla.
>
> Jinak tahle diskuse mne donutila mrknout na tu otázku a je tam " ....
> bezpečnosti hesla používaného pro přístup k citlivým, resp. důvěrným
> údajům?" - fakt nevím jestli bych tam řadil ICQ, nebo FB. A celkem
> musím obdivovat ke kolika různým důvěrným zdrojům zdejší přispěvatelé
> přistupují ;-)
Nevím, na důležitá místa se snažím přihlašovat bezpečnějšími metodami
než heslem.
>
> LO
Murder.exe
konkrétně k odpovědi
"BIOS se používá při startu počítače pro inicializaci a konfiguraci
připojených zařízení
a k zavedení operačního systému."
kterou za pravdivou na rozdíl od tvůrců testu nepovažuju.
Jde mi hlavně o část ".. a k zavedení operačního systému", na zbytku
se shodneme.
BIOS jen nahraje zavaděč do RAM najde-li jej na některém z bootovacích
medií. Zavaděč (např. ntldr, Grub, lilo) je to, co se používá k
zavedení operačního systému!
Lepší by bylo uvést, že BIOS provádí POST test.
Jinak souhlasím s Karry u otázky 11, že příjemci e-mailu, který jej
obdrželi proto, že jsou uvedeni ve skryté kopii svou adresu v hlavičce
neuvidí. Leda pokud se jim zobrazuje něco na způsob "jste připojeni k
účtu fra...@host.cz".
Smysl, že nepřijdou do styku s jinou adresou než svou a Jirkovou však
chápu.
JV
On 3 bře, 10:44, Admin ITfitness <itfitness...@gmail.com> wrote: