On 02/19/2011 03:16 PM, to wrote:

> W uniksach już od lat używa się kluczy, które są lepsze z bardzo wielu
> powodów. Do tego jakieś ograniczenie dostępu per source. To uznałbym za
> minimum. System do którego można się zalogować skądkolwiek znając tylko
> jakieś hasło (jak to zostało opisane przez niektórych w tym wątku) to
> chyba jakiś żart...

Jeśli chodzi o użytkowników administracyjnych to zgadzam się w 100%.
Kryptografia asymetryczna jest znana od wielu lat i jej zastosowanie
przy uwierzytelnianiu użytkowników w systemach też nie jest odkryciem
sprzed tygodnia.

Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
"masowej", tj. dla wszystkich użytkowników, powoduje wzrost kosztów
utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Poza tym uważam że mylisz się, pisząc:
"Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją
głównie w umysłach laików."
Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
systemów w których nie stosuje się TFA.
Pamiętaj że najsłabszym ogniwem jest człowiek, który może ujawnić hasło,
zapisać, zalogować się z niezaufanych systemów itp.
Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
typu zagrożeniami.

> A co do routerów i zmiany haseł, to hasło najłatwiej przechwycić m.in.
> gdy jest używane (także zmieniane) więc jeśli dany router rekonfiguruje
> się np. raz w roku, to po co zmieniać w nim hasło co miesiąc?

W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
problem. Najczęściej kombinacja pewnych metod
technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.

Ross Anderson przeprowadził kiedyś badania na temat procedur
password-management (siła haseł, okresowa zmiana itp) i udowodnił że
najskuteczniejszy poziom ochrony zasobów był uzyskiwany przy hasłach, które:

1. użytkownik wymyślał sam
2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry".
3. zmieniał hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.

Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
je w innych systemach.
Sam fakt okresowej zmiany haseł jest elementem tzw. security awareness,
bo poniekąd "przy okazji" przypomina się o obowiązku ochrony haseł.
No i znaczenie mają także te rzeczy o których pisałem, tj. ograniczenie
ryzyka związanego z nieumyślnym ujawnieniem hasła.


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3 | pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3