Piotr Gałka <p...@c...pl> writes:

> Mówimy o logowaniu się użytkowników (ludzi) a nie użytkowników
> (komputerów), bo w tym drugim przypadku nie ma problemu, aby hasło
> było dowolnie długie i bez naleciałości językowych.

Ależ oczywiście że ludzi. Komputery nie logują się raczej hasłami.
Tyle że mówimy o różnych sytuacjach. O logowaniu się do serwerów.
Z wieloma userami. Powtórzę jeszcze raz - w domowych zastosowaniach
takie algorytmy jak najbardziej powinny być stosowane, bo tam jest to
sensowna możliwość zapewnienia względnego bezpieczeństwa takich haseł.

Rozumiesz? Zastosowane rozwiązanie zależy od konkretnych wymagań.
Nie stosujemy niczego na ślepo, nie rozumiejąc całości zagadnienia,
tylko dlatego, że tak chyba czytaliśmy 15 lat temu w jakiejś książce.

> Nigdy nie byłem właścicielem serwera, ale wyobrażam sobie, że ktoś
> (jakieś służby) zupełnie inaczej ocenią wyciek danych w obu
> przypadkach.

Dane adresowe, numery kart kredytowych, numery telefonów, PESELe, dane
rodziców - to są dane problematyczne. Hasła - zapomnij.
Dane w bazie klientów muszą być chroniono, ich wyciek jest rodzajem
katastrofy. Hasła to sprawa drugorzędna - można je zmienić. Inne dane
zmienia się znacznie trudniej.

Np. ostatnio były wycieki danych osobowych z (przynajmniej dwóch)
uczelni. Myślisz że jakieś hasła, albo sposób ich szyfrowania, kogoś
zainteresowały?

> Może ująłem to zbyt skrótowo, ale za tą książką pamiętam coś w stylu,
> że każdy fragment systemu ma się bronić sam nie licząc na obronę przez
> pozostałe fragmenty.

Owszem. Zwykle jest to nazywane "defense in depth" ("defence"). Tyle że
to nie ma większego związku ze sprawą. Nie mówię że zupełnie - ale
większego.

> Czyli baza danych nie powinna zakładać, że nia ma
> do niej dostępu - wręcz przeciwnie - zakłada, że jest dostęp i pytanie
> czy się sama obroni.

Elementami "obronnymi" bazy jest np. to, że znajduje się na komputerze
(komputerach) odizolowanych od sieci publicznej, ruch jest kontrolowany,
pomieszczenia z serwerami są zabezpieczone, a dostęp do każdej bazy
wymaga autoryzacji.
Ale raczej nie to, że niektóre - te najmniej istotne zresztą - pola są
trudne do odczytania.

> Kosztem zabezpieczenia, o którym ja piszę jest 1s pracy komputera
> usera (bo to tam ma być hasło wydłużane/rozciągane) przy każdym
> logowaniu. No i jedna sekunda czasu jego życia. Ja do banku loguję się
> kilka razy w miesiącu.

Nic z tych rzeczy. To tak jakbyś napisał, że cena kłódki to 1 sekunda na
przekręcenie klucza. Weź pod uwagę, że kłódkę "złamać" zwykle dużo
łatwiej niż uzyskać dostęp do bazy np. klientów.
BTW w tym przykładzie obok drzwi z kłódką powinniśmy zrobić drugie drzwi
zamknięte na patyk, bo statystycznie główne zagrożenie dla haseł
i w ogóle dostępu do innych komputerów w sieci to komputery użytkowników
i sami użytkownicy (w tym używający tego samego hasła w różnych
miejscach, ale także uruchamiający programy "niewiadomego pochodzenia",
klikający w linki "nieznanego pochodzenia" i następnie nieweryfikujący
gdzie się znajdują itd).

> To brzmi jakbyś za nieracjonalne uważał to, co oni uważają że powinno
> być stosowane we wszystkich systemach haseł.

Nie czytałem tej książki, ale w obecnych realiach to nie tyle jest nawet
nieracjonalne, co po prostu niemożliwe. Mam też delikatne wrażenie, że
liczby są po mojej stronie - nie żeby to był dobry argument, ale czasem
kontakt z rzeczywistością jest potrzebny.

Natomiast jak najbardziej możesz zainteresować się "notatnikami haseł".
Tam możesz mieć wspólne "główne hasło" (albo PIN), generowane losowo
(mam nadzieję) hasła dla każdego serwisu, OTP, ECC itd. Może to służyć
jako klawiatura USB, nie trzeba przepisywać długich ciągów znaków,
niektóre programy (np. przeglądarki) mogą tego używać automagicznie
(notatnik prosi o potwierdzenie np. PINem).
--
Krzysztof Hałasa