Paroles, paroles
Aveti si voi pe la lucru tembeli de-aia care au venit cu “politica de parole”? Serios, vreau sa-mi bag pula-n traheea alora care-au venit cu idei de-astea cretinopate.
Trebuie sa folosesc la lucru vreo 5 parole.
E aia de bitlocker – fara aia nu porneste laptopul. E parola de windows – expira la 45 de zile. De ce 45? Pentru ca sugi pula, d-aia. E parola de cloud – fara aia nu ma pot loga pe cloud. E parola de ssh and shit – fara aia nu ma pot loga pe servere. Da, da, am cheie de ssh, dar TREBUIE SA AI PAROLA PE CHEIE PENTRU CA FUCK LOGIC, THAT’S WHY. E parola de chef. Sigur ca si acolo e cu cheie, dar TREBUIE SA AI PAROLA PE CHEIE, DAAAAAAAAAAA?!?!??! Sunt cele doua parole pentru cele doua sisteme separate de timesheets. Pentru ca de ce pula mea ar fi un singur sistem, eh? Si alea expira, da’ nu stiu la cat timp.
Chestiile astea nu m-ar infuria atat de tare, daca n-ar avea si politici diferite.
P-aia de bitlocker nu o pot schimba. P-aia de windows trebuie s-o schimb, expira la 45 de zile sau cam asa ceva. Aia de cloud expira la 3 luni. Pentru ca pula mea. Aia pentru ssh expira in fiecare luna. Aia de chef nu expira.
Alea de timesheets expira…cand pula mea expira, habar nu am – si-o sa vedeti de ce nu stiu imediat.
Ah, si sa fie clar, nu merge cu parole gen “sugi pula”. Nu. Pentru ca avem politica de parole. Trebuie sa ai UPPER CASE si lowercase si sp3c1@l ch@r@ct3rs!#$%^%. Pentru ca altfel e nasol. Asa ca nu se pune problema de a tine minte parolele. M-am gandit eu la o chestie decenta: cum expira una, cum o schimb pentru toate. Macar asa sa trebuiasca sa tin minte o singura parola si unde-i folosita, cum ar veni (stiu, stiu, voi lua premiul pentru security plm). Asa ca ma chinui sa schimb asta o data pe luna. Si ca sa nu ma chinui prea mult, pastrez o bucata de text (sa zicem SugiPula). Pornim de la o parola gen Sugi!pulA#31337 si mai schimbam p-acolo 31337 ala in altceva lunar. Asta e. Simplu, nu?
Ei bine, nu – nu este simplu. Si nu este simplu pentru ca au schimbat politica de parole. Nu conteaza ca vrei sa schimbi ceva acolo, pentru ca PAROLA NOUA E PREA ASEMANATOARE CU O PAROLA VECHE. Daaaa-te-n pula mea, coaie, esti prost, ce secure!!!! Schimbi parola in altceva. OK. Apoi, pe alt sistem, nu mai poti schimba parola aia in altceva temporar pentru ca motive. Pe altul nu e acceptata parola noua – ca e ALTA politica de securitate si nu e destul de lunga parola noua. Pe altul nu-i acceptata pentru ca fuck you, that’s why.
Am ajuns sa am 5 parole notate intr-un pisat de notepad. Si ma rog sa nu uit iarasi parolele de bitlocker si de windows, ca-l deschide ma-ta. Da’ pentru orice eventualitate mi le-am trimis pe mail – p-ala personal, desigur. Nu, nu le-am trimis de-aici (ca omg, ar face astia 5 infarcturi daca ar banui), ci de-acasa. Gen da-te-n pula mea. Si ma trezesc in zile ca asta, cand sunt demolat de parca m-au lovit 5 camioane si nu mai stiu nimic. Deschid telefonul si ma uit pe-acolo..mda…hai sa tastez…
Vorbind de telefon si de parole, doua chestii sunt frustrante.
– ba, avem in pula mea cititoru’ de amprente (noroc NSA) care functioneaza pe post de parola acolo. La telefon. Pentru acces la contul bancar. Pentru unlock. Pentru piiiizda ma-tii. E OK. E safe sa folosim asa ceva (sanki). Ca sa imi protejez eu niste lire ala-i OK. Dar nu ar fi OK pentru a modifica vreun rol de chef. Nope. I SAID NOPE! Ca poate vin hecarii si updateaza ei rolurile alea de chef cand nu-s atent, manca-mi-ar pula. Da, da, am si la laptopul de lucru cititor de amprenta. Dar nu-i folosit. Pentru ca-i insecure!!!
– Degeaba am parole. Pentru ca, evident, trebuie sa folosim si MFA. Pac, google authenticator. PAI LA CE MORTII MA-TII MA MAI OBLIGI SA BAG PAROLE INTERMINABILE SI RETARDATE DACA ORICUM O ARDEM PE MFA? DE CE? DE CEEEEEEEEEEEEEEEEE? PENTRU CEEEEEEEEEEEE ???????
Sfinte Sisoie, sper sa ajung intr-o zi sa lucrez cu oameni normali. Cu d-aia care daca-s atat de paranoici imi dau in pula mea un token de-ala de biopulamea, sa mi-l frec de coaie si sa-mi dea acces. Dar la norocu’ meu o sa detecteze intr-o zi ca e un coi mai lasat sau ceva si o sa-mi dea lock out…
Baga-mi-as pula-n ele de parole. Bai, si stiti ce-i cel mai frustrant? Ca-n orice mastodont d-asta de organizatie m-as duce ar fi fix la fel. Sigur, poti lucra cu o parola in companiile alea mici (poate, nici acolo nu mai garantez). Da’ daca te duci la alea, iei si juma’ de salariu. Sau un sfert. Ca deh, companie mica.
Fuck me…
Interesant. In AT e fix invers din ce am observat pe pielea mea. La firmele mari cu renume international nici nu merita sa aplici ca alea au bugete mici de salarii si bugete mari pt recrutare astfel concurezi cu toti Indienii la wage dumping si tin postul liber(ca nu se baga nici un Austriac la salariile alea lol) pana gasesc fomistul disperat sa-l mute aici din Bangladesh cu camila si puradeii sa lucreze pe firmituri.
La firmele mici, nu recruteaza la nivel international ca nu au bani de platit zboruri la toti Pakis si au nevoie de oameni care chiar sunt eficienti si germana e obligatorie, nu merge doar cu engleza. Asa ca sunt fortati sa recruteze “local” deci trebuie sa ofere salarii competitive daca vor sa ocupe postul cu cineva semi-competent.
Singurele posturi bine paltitie la $BIG_CORPS in AT sunt de Senior Manager of Pulamea, VP of Pizdamatii si consultanta daca ai bulan.
Bai fix la fel am patit si eu. La un momentdat treaba asta devine de fapt foarte nesigura. Am trecut prin ce treci tu acum, multe parole, imposibil de tinut minte, asa ca nu ai ce face decat sa le notezi undeva. Defeats the fuckin purpose. Si nu inteleg cum de nu isi da seama de asta nici un pulica de CIO.
Salariul se dă, după cum vezi, în funcție de câte parole poți gestiona.
Eu zic să le mai propui câteva.
Ăștia la care lucrez eu de pe laptopul personal, prin vepeneu, au parolă la VPN + MFA ( azure app ) , parolă care e aceeasi ca la mail, și aceeași ca la unul din tipurile de pontaj ( da, și ăștia au două și mi-a mai dat agenția unul săptămâna asta că presupun că dacă îmi bag orele doar in două nu-i destul de clar ) . Parolele salvate în Google, că ce pula mea.
Și fără cerințe complexe și cu prefix care se schimbă – chiar în politica lor de parole spun clar să nu folosești chestii complicate pe care le uiți, mai bine alaturezi cuvinte și un prefix schimbabil, că cică altfel angajații sunt tentați să le noteze in notepad si mai bine nu le mai ai.
Dacă aveam laptop de la ei foloseam o singură parolă și single sign-on peste tot in rest. Așa , tre’ să mai folosesc parole la sistemele sap. Dar e ok, e aceeasi peste tot mai puțin sistemul productiv unde am pus-o eu singur diferită să nu mă loghez din greșeală și să fac nefăcute crezând că sunt în dev.
Totul simplu pe baza de prefix, cum am zis.
Și plătesc binișor dar pentru că vreau și mai mulți bani, mi-am mai pus eu trei parole la laptop că mi se părea viața pustie fără.
Amprenta sau parolă care deblochează hard-diskul la boot , apoi tot amprenta sau pinul care mă lasa să intru în Windows , apoi o parolă de bitlocker pentru drive-ul de date, D.
Dar am lucrat la unii, cum zici tu. Voiau parolă diferită peste tot, cu caractere speciale, fără cuvinte, să nu se asemene cu aia veche. =>Notepad pe desktop direct.
Pula mea, nu-mi dau astia mie bani…sunt aia cu care poti sa-ntinzi coarda…si-s aia cu care nu. Astia-s din ultima categorie.
In dimineata asta au inceput si la mine…fmm de pp…
Timp de vreo doua luni cred ca am uitat mereu parola de timesheet. Mi s-au dat peste cap secventele de parole si de atunci e haos. La aia de timesheets, trimit eu intr-o vineri mailul cu mi-am uitat parola. Cinci minute mai tarziu incepe o milfa sa strige “does anybody know where Livia sits?”, nu m-ar fi deranjat sa vrea sa ma futa, dar nu de asta ma cauta.. Long story short, m-a pus sa imi scriu parola si apoi s-a asigurat si ca am notat corect.
@chucknorris: depinde de domeniu. Ca sunt chestii la care “nu poti” sa te prezinti cu indieni la un client. In teorie poti, da. In practica, nu prea merge sa ceri tarife de albi si sa dai indieni. Nu pentru multa vreme, anyway.
Password policies-urile astea sunt blana, super secure… pana cand devin asa de enervante incat fiecare isi scrie parola pe un post-it si o lipeste de monitor!
Cel mai simplu e cu un serviciu de autenticare, gen Auth0; un user, cu o parola; Auth0 apoi iti da tokenuri pentru fiecare sistem pe care incerci sa il accesezi (da, stiu .. nu o sa mearga cu orice).
Noi avem GSuite si folosim contul de mail de companie sa ne autentificam pe toate sistemele (inclusiv AWS). Partea buna: cineva pleaca, ii dai disable doar la gmail si atunci clar nu mai acceseaza niciun sistem. Partea proasta: single point of failure.
O să presupun că politicile de securitate sunt atât de draconice / tembele, încât LastPass sau KeePass ies din discuție, right?
https://cdn.someecards.com/someecards/usercards/MjAxMy1mYzEzN2U0NzhlZWZmNDU3.png
Da.
Yup, la parole folosim Upper, Lower, caractere speciale. În majoritatea cazurilor nu expiră, cred că doar Salesforce avem situația asta, la coișpe luni trebuie schimbată mizeria. Bitlocker nu este obligatoriu. Cât despre Notepad, noi recomandăm colegilor să folosească KeePass.
Coaie, p-aici nici nu putem instala software pe laptops dupa cum vrem noi. Vrei ceva soft? Deschide un tichet pentru aia de la “IT”. Prin aia de la “IT” inteleg niste indieni de la o firma care-a contractat prostia asta de serviciu. Si vine un d-ala platit cu gen 25k – pe an, lol – si ma priveste suspicios si intreaba “ce e putty? la ce-ti trebuie?”. Si dupa ce ma chinui vreo 35 de minute sa-i explic conceptul de ssh, da din cap si zice “inteleg; si la ce-ti trebuie?”. Nu conteaza ca n-a inteles, ca ti-e clar din cum vorbeste engleza. Dupa care se duce la seful meu. Si, trei saptamani mai incolo, primesc un mail ca gata, a fost instalat pe PC-ul meu cu windows 10.
Trust me, nu am chef. Chiar nu am.
Ianuarie2019!
Februarie2019!
Martie2019!
fii creativ, ce cacat
Quantum of Solace . ^Iti ramane consolarea ca altii nici macar nu-s platiti decent pentru futaiul asta :).
Acum vreo 9 luni am fost la o intalnire cu echipa de securitate de la astia, sa le explic niste interfete care fut niste date intre sisteme, ca sa isi dea ei acordul, sau nu.
Si discutam problema unor useri de alt sistem ( Salesforce) care urmau sa se logheze in interfata noastra de web dupa ce accesau un link din sistemul lor.
Iar eu am spus ca le pot face useri la toti ( nu era treaba mea, da-n fine, astia-s mai subtire cu personalul ) cu parole initiale aleatoare ( ca sa nu o pun pe aceeasi la toata lumea), fac un script care le trimite mail automat si se logheaza fiecare dupa cum are nevoie si-o sa le ceara sistemul s-o schimbe.
Nici macar o secunda n-au fost aia de acord cu asa ceva . Mi-au spus clar ca ei au ceva AD si ca vor sa fac toti userii cu single sign on, ca o data ce sunt autentificati in domeniu si userul lor e configurat in serverul de autentificare inseamna ca-s trusted.
Pentru mine a fost floare la ureche, dar ce-a fost misto a fost ca am creat vreo 2000 de useri ( nu cred ca folosesc chiar toti aplicatia, habar n-am ) si au fost in 3 luni 2 care au avut probleme sa se logheze , ca le-a scris cineva idurile gresite in excelul pe care l-am incarcat eu.
La solutiile cu user si parola, cum am zis, in general asta nu e treaba mea, dar am fost implicat intr-o solutie. Am creat vreo 500 de useri, le-a scris cineva din managementul lor foaie de instructiuni “leaflet” gen – vedeti ca veti primi un email, faceti a, b, c,d de acolo, ca sa aveti acces la sistem .
Dupa creare, vreo 120 de useri din astia 500 au fost blocati de utilizatori, care nu intelegeau ca tre’ sa puna parola generata si bagau altceva, parola de domeniu, dracu’ stie ce. In primele 3 zile aia de la support au avut un meci la limita sa deblocheze accesele mai repede decat le futeau aia. I-am ajutat si eu, ca deh, proiectul meu. Si pentru ca eu lucram mai repede ( nu trebuia sa completez tickete si pula mea-uri) stii cum e, se duce vestea si sareau aia peste support. Vreo 2 luni am primit minim 5 cereri pe saptamana sa deblochez useri, pana mi-au luat aia accesul din sistemul productiv si nu am mai putut.
Si erau parolele aveau validare tot asa, ca pentru roboti.
@Manowar – Nice technical support you’ve got there :))
Eu rup parola in 3-4 grupuri si cand e de schimbat, schimb pozitia grupurilor, like:
SUGIpula123***
apoi
***SUGIpula123
apoi
123***SUGIpula
Deocamdata merge.
https://www.amazon.com/Moleskine-Volant-Notebook-Extra-Small/dp/8867320459?th=1&psc=1
Old school? In carnetel? ?
Deci am izbucnit in ras cand am citit asta :)). Dupa ce ai explicat atata cat de secure e…te-ai pisat pe tot tot tot ce fac ei notandu-le in notepad. Ca nah, factorul uman. Eu la fel, am aceeasi parola la toate cele 99999 chestii de aici, si mai schimb cate un caracter in ordine, sa nu uit, trebuie doar sa intreb “de cate luni sunt aici?…imm, deci asta e”. Sper sa nu bage si aici checkuri de asemanare, ca o sug, merg sa imi tatuez parolele pe scrot ca sa nu le uit dupa.
Funny, oricum, si te inteleg. Dar am renuntat la orice asteptate de logica si organizare…oriunde. La banca la care lucru eu, de exemplu, au mai multi angajati decat birouri/locuri. Pentru ca fuck logic. Si la IBM la fel era, angajau pe rupte fara sa aiba unde ii aseza. Fac ce trebuie, iau banii, si ma gandesc ca unii ii castiga mai greu.
Deci de asta nu am eu salariu mare ca am “decat” o parola is jumatate. Bine de stiut de acum in colo la interviu o sa intreb: “Cate parole aveti?”
Pana acu 3 ani am lucrat la unii care functionau pe acelasi model – o mie de parole pentru orice cacat, fiecare cu politici diferite. Evident, ca toti oamenii normali, aveam un fisier parole.txt unde-mi tineam toate parolele.
La astia la care sunt acu’ se foloseste o singura parola. Pentru absolut tot – inclusiv encriptia discului. Da, trebuie sa bag un caracter special, trebuie sa am macar o cifra si o majuscula, da’ e o singura parola, pot s-o tin minte.
Legat de schimbarea prea deasa, pune-i sa citeasca d-astea: https://www.google.com/search?q=changing+passwords+too+often+insecure&oq=changing+passwords+too+often+insecure
Dar nu-ti fa soperante, lucrurile astea se schimba greu.
Poate iti faci ceva memorator cu ideograme etc. Citeste cate ceva despre usable security, desi nu exista un panaceu. Si eu am parole cu toate simbolurile, de 20-22 caractere, extrasafe, sa nu poate sparge nimeni, nici peste 50 de ani, nici cu mama GPUului etc. Zice-se…
notepadul ala cu parole unde il tii? Sper ca nu pe desktop or so…
Poate le explici totusi ca e insecure by design sa te oblige sa stii pe dinafara prea multe parole lungi, ca oamenii au tendinta sa refoloseasca parolele etc.
Schneier recomanda notarea pe carnetel si pastrarea in portofel. Foloseste ideograme, un metaalfabet etc etc. Sau /si pastreaza in buzunare diferite jumatati de parola. La ceva steganografic te-ai gandit?
Mie in curand o sa imi trebuiasca HDD extern pentru fisierul de KeePass. Fisier in care am inclusiv master passwords pentru alte fisiere KeePass. Ca plm, nu tii toate ouale intr-un singur cos.
Studiaza asta, propune niste variante, si du-te la sefi, ar trebui sa ai un punct in plus (eh). Un om care actioneaza proactiv si isi da seama de insecure by design. Desi am indoieli. Cu factorul uman nu e de glumit, dar nici de batut capul 🙂
Nu e treaba mea. Nu am acces. Pula mea, eu nu am acces nici la ce trebuie sa fac EU, da’ la altele.
Paranoia peste tot…
Cat despre security shit, da, am notepad pe desktop. Da, ma doare-n pula. Nu ma intereseaza cine o sa-mi fure parolele. Ce-o sa faca? Absolut nimic, ca n-are acces la nimic, ca si mine, adica? That’s fine.
Altfel, plm, injuri 4 zile pe saptamana. In a cincea iti intra banii. Mai bagi 4k la economii, te mai duci la o tigara…trece ziua. CSF, NCSF.
Asta cu studiaza problema si propune o rezolvare e periculoasa daca o faci in timpul programului. Mi s-a intamplat cand eram mai tanar sa mi se zica “Da’ cine ti-a zis sa lucrezi la asta/Ti-a aprobat cineva timpul sa lucrezi la asta”. La contractori e si mai rau ca sunt platiti pe zi/ora.
Cand ma ocupam de asa ceva erau chestiile alea erau obligatorii daca compania vroia certificat iso nustiucat si sa ia contracte care necesitau iso nustiucat.
.
Nu era amuzant sa avem 50+ tikete pe zi (daca nu chiar pe ora) puse de useri care tocmai si-au schimbat 5 parole si au uitat jumate din ele. De aia faceam astfel incat sa expire in alte zile una cate una. Nu e chiar vina dep. IT pentru toate rahaturile posibile, unele chiar vin de sus :).
ca n-are acces la nimic, ca si mine
Asta poate fi o chestie, pe principiul ca un spion isi cam da drumul in primele luni, daca e sa fie… Asa te lasa sa vada ce faci, ce incerci, dupa care intri in paine. Eventual iti mai trimit un nene care te incearca cu ceva social engineering, sa le dai o parola pe o ciocolata 🙂
Arhitectul de securitate ar trebui sa se ocupe d-astea, dar si ala n-ar vrea sa complice lucrurile (KISS, costuri in the long run etc) si nu prea ia el deciziile.
Singura parola pe care am uitat-o e cea de la contul de PayPal.
Cred ca la mai toti e la fel, acum inainte sa plec imi aparuse iar ca tre sa schimb o parola.
Eu am trecut de la notepad pe desktop (pt ca uitam parola la win, deci de unde sa iau notepad) direct la post-it lipit sub mousepad :-)))) dar na, la unele itt tre si username, pe asta ma bazez 😀
Un jeg. Vreau sa castig la loto.
Off, putty foloseam la jobul trecut pt chat si niste comenzi, ce frumos job a fost ala 🙁
apg -a0 -m15 -x15 -n20 -M CLNS -t (apg prezent in destule distros de linux)
Dec”driccarIlb8 (Dec-QUOTATION_MARK-dric-car-Ilb-EIGHT)
!OwnAc3OwtyeFry (EXCLAMATION_POINT-Own-Ac-THREE-Owt-ye-Fry)
ruckFosh6okBaf_ (ruck-Fosh-SIX-ok-Baf-UNDERSCORE)
BaurenAtt0blaw| (Baur-en-Att-ZERO-blaw-VERTICAL_BAR)
ech@gletbilgUf1 (ech-AT_SIGN-glet-bilg-Uf-ONE)
Moon8drucDiWaw* (Moon-EIGHT-druc-Di-Waw-ASTERISK)
Dyt<knirgErcuj1 (Dyt-LESS_THAN-knirg-Erc-uj-ONE)
foajWiOjNij6or- (foaj-Wi-Oj-Nij-SIX-or-HYPHEN)
VuWuts-watsIch4 (Vu-Wuts-HYPHEN-wats-Ich-FOUR)
dreb0nemCefoik+ (dreb-ZERO-nem-Cef-oik-PLUS_SIGN)
Twibhaph1Quouc* (Twib-haph-ONE-Quouc-ASTERISK)
yu{QuibFuhamik6 (yu-LEFT_BRACE-Quib-Fu-ham-ik-SIX)
2Ob]quizedwakDy (TWO-Ob-RIGHT_BRACKET-quiz-ed-wak-Dy)
VapsudAdd+fren8 (Vaps-ud-Add-PLUS_SIGN-fren-EIGHT)
viftEl=<QuicEb5 (vift-El-EQUAL_SIGN-LESS_THAN-Quic-Eb-FIVE)
~QuidWodedfods1 (TILDE-Quid-Wod-ed-fods-ONE)
CruheOmm4twual: (Cru-he-Omm-FOUR-twu-al-COLON)
icvid.orcIdEdd3 (ic-vid-PERIOD-orc-Id-Edd-THREE)
beg6quoybAlfej^ (beg-SIX-quoyb-Alf-ej-CIRCUMFLEX)
VujkobOnsAm~Ed9 (Vuj-kob-Ons-Am-TILDE-Ed-NINE)
sau keepass (generatorul de passwords e chiar bine facut).
https://keepass.info/
@mzr: that’s just sad.
@Mzr: pe langa tristetea evidenta, a mai si zis Manowar ca are Windows 10 la job, deci mai greu cu generarea de parole in Linux.
@Manowar: M-a mancat in cur ca pe zambilica sa ma apuc de un Msc in Cyber Security. Una dintre temele de discutii a fost importanta de a gasi un echilibru intre securitatea parolelor si usurinta utilizatorilor de a le folosi eficient (fara sa se ajunga la chestii de securitate mult mai grave, gen tinut parolele pe un post-it pe monitor, sau pe ceva carnetel). Concluzia unei discutii intre 20+ pularai non-prosti a fost ca cea mai buna solutie este sa folosesti fie ceva serviciu gen LastPass sau KeePass (se poate face intern, sa nu depinzi de un 3rd party) , sau sa relaxezi politica stupid de complicata de setare a parolelor.
Trebuie sa iei fiecare caz in parte:
– daca sansele sa se faca sniffing pe traficul de retea sunt foarte mici, e stupid sa fortezi angajatii sa isi aminteasca parole generate random de 20+ caractere.
– daca ai ceva MFA, e ok ca parola sa fie si “coaie123”
– daca ai key pe ssh, la fel, nu e problema sa ai parola simpla
Toate politicile de cyber security, ca sa fie eficiente, trebuie sa se reduca la probabilitatea ca o vulnerabilitate sa fie exploatata vs ce alte vulnerabilitati pot aparea daca am politici draconice.
Daca ai mai multe layere de securitate, probabilitatea de hack scade exponential aka dormi ca soarecele-n siloz.
Legat de situatia lui Manowar, e clar ca sunt politici facute de oameni SPERIATI ca s-ar putea s-o beleasca si sa fie dati afara. Genul de CSO (sau CTO), care nu e prea tehnic, dar a intrebat pe toata lumea din departament ce crede, apoi a facut un rezumat la tot ce a zis fiecare, fara sa gandeasca per ansamblu, pur si simplu si-a acoperit curuletul din toate partile posibile in caz de nasoale. E boala grea asta in UK, tinut cu dintii de jobul caldut la care nu prea se pricep. Legat de lipsa de acces la chestii care iti trebuie sa-ti faci treaba, e deja la nivel “no comment”, genul de chestie care ma face sa rad de fiecare data cand aud de eficienta corporatiilor.
@Ac_dc: Usurel cu parolele rezistente la GPU attack 50 ani. Daca ai o ferma de crypto mining, poti sa ai resurse mai mult decat serioase pe brute force attacks. Nu mai zic de cineva foarte pus pe treaba sa hackuiasca ceva, care poate plusa cate GPUs e nevoie pana cand ajung la rezultatul care trebuie. Cand o sa se ajunga la quantum computing accesibil, orice atac offline o sa fie trivial. Momentan e accesibil doar catorva mari corporatii (IBM, Google, Microsoft) si probabil catorva guverne non-bananiere. Acum 15 ore s-a anuntat si prima solutie comerciala de quantum computing: https://www.dezeen.com/2019/01/11/ibm-q-system-one-map-universal-design-studio-quantum-computer-ces/
@Mihai. Daaaaa. In cat timp faci BF attack cu ce vrei tu – fermă de mining , un rack de computere cuantice – o parolă simplă, precum – Catalinzegreatsefulabani. Vedeți entropia, deși setul de caractere e redus.
Înainte s-o băgați pe aia cu cuvintele, care reduc entropia, luați în calcul că în cazul ăsta, dacă inocuiesti cuvintele cu meta-caractere ai , o parolă din 6 meta-caractere, fiecare ( cuvânt ) provenind dintr-un spatiu de câteva zeci de mii de cuvinte uzuale din limbile română și engleză, la care adaugi și un mic factor de misspel si-ajungi la minim 30 de biți de entropie pe cuvânt , adică mai bine rămâi la BF , dacă nu cumva e un atac profilat și știi că eu aș pune probabil genul ăsta de parole.
Cu tot cu AI și semantică tot e de o inutilitate crasă sa forțezi useri la genul ăla de parole, exemplificat mai sus de Mzr . Mai ales pentru un protectia unor alte chei sau pentru accese care se pot schimba, dacă sunt compromise, sau schimba oricum periodic, nu vorbim de cheia de la criptarea unui fișier care poate fi luat offline și ronțăit static și care conține informație critică înăuntru.
Dacă tu faci BF attack la sistemul meu prin online ( și nu mă prind ) și durează mai mult de zile , cineva trebuie dat afara pentru incompetență. In plus, când faci BF la oricealtceva decât date offline (aflate în memoria/imediata apropiere a dispozitivului ) nu poți tu să încerci parole cu puterea unei ferme crypto sau a unui computer cuantic. Că nu are cine recepționa și procesa hashul așa repede.
#devis
Cu rulatul aplicațiilor de pe USB stick cum e? La o adică poți folosi varianta portabilă de KeePass (cu mențiunea că dacă se belește stick-ul sau îl pierzi, o să fie cam #unfortunate), dar la cât de porniți par băieții ăștia, nu m-ar mira să blocheze porturile USB din Windows Policy ca să nu poți conecta la ele decât mouse și tastatură și să primești un mare Access Denied la orice altceva.
Am citit candva o chestie despre generea de parole foarte safe: fraze in limbaj natural.
Evident ca “matasugepula” nu e chiar safe, chiar daca ii adaugi caps, digits si charactere speciale. In schimb “agrafamaroderugina” sau “Yellow tapedcamera“ e al naibii de greu de ghicit.
Articolul sugera sa te uiti pe/prin birou, sa alegi un visual hint, il descrii succint si aia e parola. Tot ce trebuie sa iti amintesti este acel visual hint.
Intr-o vreme aveam la deskul vecin o mingeta cam stearsa la figura, dar in schimb posesoarea unui cur mirobolant.
Nediscutand de petele de pe faianta, cam 2+ ani am tot bagat derivate la parola “suzybabycecurai!” :))
Orbu dixit 🙂
xkcd le știe pe toate:
Password Strength:
https://xkcd.com/936/
Bill Burr
https://gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987
Referitor la paranoia cu securitatea…îl ascultam pe un măreț consultant cum ar trebui sa avem backup ul la servere “daca nu în alta țară măcar dincolo de munți”. Adică nu este suficient că am trecut din dc îl nostru cu 2 cuști fizice diferite în dc Orange care o avea și el ceva backup upuri ținute în alta parte…nu trebuie sa le mutam și burkina fasso pt că cutremur războaie plm…pai da te n MM ție ți mai arde de exceluri daca te vizitează vecinii cu tancul?
@Bezna: nu trebuie sa fie razboi. Incendiu. Cutremur. Neintelegeri cu Orange etc.
Da, vrei backup in alta parte. Nu are treaba cu razboiul.
Daca ai fi un consultant maret ai putea fi concediat pentru afirmatia asta.
Assumption – the mother of all fuckups.
Probabil ca depinde cat de mare e compania voastra si ce-si permite/cat isi permite sa riste, dar amuzant sa te doara in pula de cutremure in Romania. Nu trebuie sa fie cutremurul ALA care-ti face curatenie in oras, ci doar unul care fute alimentarea cu energie/internet pe termen scurt, dar mai lung decat backupul de motorina, in cateva puncte cheie.
Sau ar putea sa fie vorba de o iarna mai grea (hint) si statul sa decida sistarea alimentarii de curent catre anumiti operatori economici, eventual unii care nu se-ntrec in spagi si nu-s de stat. Si-ncepi sa iti faci mici griji pe urma; fara sa fie razboi si fara cataclisma. Plus ca, remember Webfactor.
@Bezna
Pai ala chiar era un maret consultant si ati face bine sa-l ascultati.
Chestia aia chiar e o treaba buna, la modul general.
Cum ziceam mai devreme, nu trebuie sa fie vorba de-un razboi. Poate fi vorba de multe alte chestii. Si nu neaparat incendiu in dc sau cutremur sau plm. Da’ poate ai neintelegeri cu firma unde ai datele. Poate-ti opresc serverele sau iti taie netu’ pentru ca motive. Poate ca pula mea. Si, sa nu uitam, datele sunt cam valoroase.
La ce costuri au in momentu’ de fata treburile de hosting/storage, da, chiar ar fi cazul sa ai un backup si-n alta parte. Preferabil in alta tara/pe alt continent.
Pentru unele date e mai complicat cu GDPR-ul sa schimbi continentul, da-n fine.
D-aia am zis “in alta tara / (sau) pe alt continent”. Plm, depinde de ce ai si cum, da’ ideea ramane: backup in alta parte.
Pai bkpul e în alta parte: în dc în nostru local. da nu i bine că i în aceeași localitate. Că datele trebuie sa fie și peste mări și țări ca in povești.plm, nu mă ocup de infrastructură da’ am văzut că draconizarea politicilor de parole (și a securității) duce, de multe ori, la uărcăraunduri haioase de la useri (gen plm muie parola că mă loghez cu pinul 123456 și, că sa nu uit parola de AD, o sa o scriu frumos pe un sticker și o să le lipesc pe monitor).
PS acum mă ocup doar de aplicat și să mă fut in el de LinkedIn că i pilaf. Vreun hint de portal dedicat joburilor “exotice” pe IT? Că glassfoor reeducare și joobule mi au dat fix pix până acum. Când zic exotic mă gândesc la developer ERP (Infor) . Stiu, n a auzit nici dracu de el da ei se bat cu cărămida n piept că s Nr 3 world wide după sap și oracol. Doar că aparent nimeni nu are nevoie de dezvoltatori, numai de consultanți 🙁
LinkedIn nu e pilaf, HRizdele care posteaza acolo sunt. Desi functionalitatea de a schimba mesaje private cu angajatorii e una buna in teorie, in practica descoperi ca stai de vorba cu maimute care nu stiu ce vor de fapt.
pana acum imi mere bine cu linkedinu.
Eu nu am facut niciodata rost de-un job de pe linkedin. Nicaieri. De oferit, mi s-au oferit, da’ intotdeauna erau sub ce aveam deja.
Evident, am bagat din burta si exagerat cu cifra aia de 50 de ani. Cel mai probabil nu ar rezista. Dar ca idee, taria aia de 22 chars si caractere amestecate /etc e facuta sa reziste la mai mult decat un brute force atack de cateva saptamani pe un PC obisnuit. Cu fermele de GPU creste riscul, nu mai spun de 10 ani. Dar ca idee se presupune ca si daca pierzi sau ti se fura un volum de date peste 1-2-3 ani, sa nu poate fi spart usor sau ieftin. Peste 10+ ani deja isi pierd din relevanta datele etc.
Se poate mari si la 30-40-… nr de caractere (sau folosi alte tehnici etc), oricum nu mai sta nimeni sa tina minte parolele. Nu poti tine minte mai mult de 2-3 parole de 20 de caractere, oricum trebuie o solutie de tip password manager. Oricum nu te poti baza numai pe asta, iti mai trebuie macar 3-4 masuri. Daca maine se gaseste o solutie de spart containerul ala, ar trebui sa fie tot foarte greu de ajuns la date.
@Allen – Adevarat , pe de alta parte te duc “de mana” la interviurile care conteaza. Acu’, ca se mai intampla 4/5 ca aia cauta de fapt altceva, asta e viata.
Pe de alta parte, eu nu am mai aplicat la un job/contract din 2016.
Si da, cele mai multe oferte evident ca-s mai proaste decat ce ai deja, ca de aia nu le iei la rand, pe alea oferite. Pe de alta parte, cand esti contractor, daca ti se termina timpul ajuta sa ai oferte din toate sursele. Nu neaparat pentru ce iti ofera cat pentru ca se intampla des sa dai de mai multi care recruteaza pe aceeasi pozitie si de la 3-4 prosti aflii tu despre ce e vorba.
Plus ca, am vazut mai sus treaba cu faptul ca nu sunt afisate salariile/ ratele. Nu prea m-a cautat nimeni pe linkedin sa imi spuna ba, dam atata. Cam intreaba toti cat vreau.
“Cam intreaba toti cat vreau” – din pacate si pe aici sunt asa si asa. Mai le zic alora de la recrutare cat vreau. Salarii mici aici, miash pl