Kategorie
Publicystyka

Informatyk Zakładowy – masz kogo zapytać!

Krótko i zwięźle – serwis Informatyk Zakładowy startuje. Znajdziesz tu porady dotyczące bezpiecznego korzystania z komputera i telefonu komórkowego, wskazówki pomagające na szybszą i łatwiejszą realizację zadań na komputerze, opisy ważniejszych wydarzeń i trendów w branży IT. Postaram się przy tym, aby używany język był zrozumiały dla zwykłego zjadacza chleba zaś trudniejsze pojęcia – dodatkowo objaśniane.

Osobnym działem serwisu są kursy online zgłębiające wybrany temat – pierwszym z nich jest Kurs obsługi menedżera haseł objaśniający, w jaki sposób automatycznie generowane, losowe hasła uratują cię przed utratą kont w wielu serwisach jednocześnie.

Dlaczego akurat Informatyk Zakładowy? Cóż, dla wielu z nas osoba opiekująca się komputerami w zakładzie pracy jest jedynym źródłem informacji na temat dobrych praktyk i pierwszą linią wsparcia w razie problemów. Postaram się, aby podobną rolę pełnił także niniejszy serwis.

Informacje o nowych wpisach będą pojawiać się na Twitterze, Facebooku, Linkedin oraz w kanale RSS. Preferowany sposób kontaktu to oczywiście e-mail.

Tomasz Zieliński

Tomasz Zieliński

O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.

3 odpowiedzi na “Informatyk Zakładowy – masz kogo zapytać!”

A gdyby generować sobie hasła tak:

input1 = nazwa strony, serwisu, aplikacjji, np. Allegro
input2 = cyfra, licząc kolejno od 0,1,2…
input3 = wlasne.tajne.slowo.zawsze.takie.same

hasło = pierwszych 10 znaków z sha512(input1,2,3) + ostatnich 10 znaków z sha512(input1,2,3)

Input2 jest zwiększane +1, kiedy hasło zostanie skompromitowane.

Hasła są dosyć mocne, nie muszę niczego przechowywać ani pamiętać, generatory hashy są dostępne wszędzie, więc nawet jeśli wpisuję hasło po raz pierwszy, to na stronie/smartfonie mogę łatwo odpowiedni string wygenerować.

Czy są tu jakieś istotne słabe strony?

Nadal musisz pamiętać, który serwis miał jaką liczbę seryjną (input2). Ryzykiem jest też użycie losowego narzędzia albo losowej strony na której będziesz liczył hash – najlepiej wystrugać coś własnoręcznie, aby mieć pewność, że plaintext nie zostanie zapamiętany ani przekazany na zewnątrz.

Nie ma sensu branie pierwszych 10 i ostatnich 10 znaków z hasza, są tak samo dobre jak pierwsze 20 czy ostatnie 20 (nie napisałeś o reprezentacji hasza, jest kilkukrotna różnica w przestrzeni wyszukiwania między hex a base64, ale to nie ma większego znaczenia).

Innych minusów nie widzę.

[Edit] tzn. głównym minusem pozostaje uzycie schematu i ryzyko utraty wszystkich kont naraz gdy choć raz się pomylisz i wyślesz plaintext zamiast hasza, ale to wymagałoby ataku celowanego. O ile zachowasz higienę, to nie będzie to dużo gorsze od menedżera haseł. Choć moim zdaniem pozostanie mniej wygodne.

Dzięki za odpowiedź. Spodziewam się, że input2 niemal zawsze będzie równy 0, jeśli nie przyjmie mi takiej wersji hasła, to można spróbować kolejno 1 i 2, nie przewiduję konieczności używania wyższych indeksów, bo to by znaczyło, że hasła z danego serwisu wyciekają permanentnie i lepiej z niego zrezygnować 🙂 Tak sobie teraz też myślę, że warto by stosować jakiś „ulepszacz” na hashu, bo niektóre systemy mogą się awanturować, że jest za mało rodzajów znaków albo nie spodoba im się fragment typu „111”. Zgodzę się, że menedżer haseł jest bardziej uniwersalny, ale plusem rozwiązania hashowego jest to, że jednak nie trzeba niczego nigdzie przechowywać i nie trzeba używać oprogramowania, które może mieć jakieś błędy czy podatności. Dobrego menedżera haseł sam sobie szybko na kolanie nie napiszę, zaś generator hasha rzecz dosyć trywialna.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *