password management [WAS: Peri asfaleias [was: ...]]

Nick Demou (enLogic) ndemou at enlogic.gr
Wed Dec 21 01:39:32 EET 2005 

Pavlos Parissis wrote:

>>αλήθεια η τεχνική μου πως σου φάνηκε? καμιά πρωφανής "τρύπα" στο 
>>σκεπτικό που μου ξέφυγε?
>>    
>>
>
>Δεν κατάλαβα αν έχεις ή δεν έχεις encryption.
>  
>
(προφανώς ενοείς το encryption του αρχείου με τα Passworss και όχι το 
encryption της επικονωνίας client server που το κάνει το ssh)
δεν έχω - σκέφτομε να αποκτήσω

>Αν έχεις, πως γινετε το decryption?
>Πρέπει να δώσει ο χρήστης κάποιο κλειδί για να γίνει decrypt η βάση?
>  
>
υπάρχει άλλος τρόπος που να σηνεχίζει να έχει νόημα το encryption?

>Αν ο χρήστης χρείαζετε μόνο ένα password για να τρέξει το πρόγραμμα και να δει
>τα password, τότε πρέπει να έχεις εφαρμόσει πολύ κάλο Password policy δίοτι
>αυτο
>Password είναι single point of compromised.
>  
>
ναι αυτό είναι γεγονός - αν έχετε ευκαιρό Link για το πως επιβάλω την 
αλλαγή του password κάθε τόσο  με χαρά να το ακούσω (δεν νομίζω ότι δεν 
θα το βρω κάποια στιγμή αλλά σίγουρα θα με σώσετε από κι αλλό googling)

>Η εμπειρία μου λεει πως αν έχεις ένα Password policy σαν το παρακάτω
>1) έλαχιστος αριθμός χαρακτήρων 12
>2) τουλάχιστον ενα κεφαλαίο,αριθμό,σύμβολο 
>3) αλλάγη κάθε 2 μήνες το Password και μια εβδομάδα σαν ελάχιστη περίοδο
>αλλαγής
>Password 
>4) Password history (last >=6 )
>5) συμβουλές στους χρήστες για το πως να έχουν ένα ασφαλή Password που μπορεί
>να
>θυμούνται και να μην το γράφουν σε χαρτάκια
>
>τότε τα brute force attacks θα είναι άχρηστα.
>  
>
ναι θα γλιτώσουμε από τους βιαστικούς :-)

>αυτό με το χρόνο που έχει ο χρήστης για να δει Password δεν ξέρω αν σε
>βοηθήσει.
>αν πχ δώσεις 3 λεπτά πώς ξέρεις αν για το άλλον είναι λίγα ή αρκετά για δει όλα
>τα Password.
>δηλαδή ο παράγοντας χρόνος μπορεί να είναι σχετικός σε σημείο που να μην
>προσφέρει ασφάλεια.
>  
>
παρεξήγηση. Ο χρόνος δουλέυει ως εξής:
ζητάς να δεις ένα password (έτσι κι αλλοιώς μόνο ένα κάθε φορά μπορείς 
να δεις)
μετά πρέπει να περάσουν Χ λεπτά μέχρι να μπορέσεις εσύ να δεις ένα ακόμα 
(στην πραγματικότητα επιτρέπω ένα burst 2 ή 3 queries πριν αρχίσει να 
μουλαρώνει)

>
>επίσης η βάση πρέπει να μην γίνει comprimised έστω και αν γίνει το
>σύστημα,σωστά?.
>
αν γίνει compromised το σύστημα όπως είμαι... κλάψτε μας... βελτίωση σε 
αυτό το σημείο μπορεί να φέρει το encryption του αρχείου με τα passwords

>Άρα πρέπει με κάποιο τρόπο να μην γράψει κανείς που δεν πρέπει.
>για πετύχεις κάτι τέτοιο πρέπει να γράφεις την βάση σε cdrom κάθε φόρα και να
>φτιάχνεις νεο αν έχεις νεα Password να βάλεις,αυτό μπορεί να είναι φασαρία αν
>βάζεις/αλλάζεις κάθε μερα αλλά αν είναι κάθε εβδομάδα μπορεί και να μην είναι
>φασαρία.
>  
>
δεν φοβάμε τόσο πολύ μην μου _αλλάξουν_ τα passwords όσο μην τα δουν όλα 
(αν φοβόμουν τις αλλαγές ένα usb stick με τα ωραία διακοπτάκια write 
enabled θα ήταν αρκετό... φυσικά μετά θα έπρεπε όπως και με το CD να 
ασφαλίσω φυσικά το μέσο ή να το κάνω strongly encrypted...)

>το script πρέπει να μην δέχετε να κάνει τίποτα αλλό εκτός απο αυτό που πρέπει.
>υπάρχει ένα τοολ που κάνει έλεγχο αν ενα πρόγραμμα είναι ευάλωτο σε buffer over
>flow attacks στο STDIN.
>  
>
ευελπιστώ πως λόγο απελπηστικής απλότητας στο input που δέχομε δεν θα 
έχω τέτοια προβλήματα

>δεν το θυμάμαι αλλά μπορεί να το έχω σπίτι, το είχα δοκιμάσει σε περλ σψριπτ που
>έφτιχνα και μια φόρα μου βρήκε bug στον τρόπο που διαχειριζόμουν τα arguments
>και options.
>
>αλλά αν βάλεις το σψριπτ σου στο νετ σίγουρα κάποιος θα βρεί κάτι.
>  
>
περνάω το κλασικό σύνδρομο του ... κάτσε να προλάβω να του ρίξω μια 
δευτερή ματιά μην έχω αφήσει κοτσάνες και με δουλέυουνε. Καλήτερα όμως 
να το ξεπεράσω. Θα πάω στο γραφείο αυρίο και θα το στήλω

>αλλά ρε νίκο πολλά δεν είναι όλα αυτά για πελάτες που ξέρω ότι δεν αξίζουν
>τίποτα απο όλα αυτά και δεν θα εκτιμίσουν(πληρώσουν) το χρόνο σου?
>  
>
τι άλλο να κάνω όμως δεν μπορώ να μείνω για πάντα ο panoramix του 
χωριού. Γι' αυτό ξεκίνησα με κάτι απλό που μου πήρε μόλις δυό ώρες (η 1 
ώρα να ψάχνω πως κάνω το τάδε και το δείνα απλό πράγμα σε python που στο 
κάτω-κάτω έμαθα κάποια γενικότερα πράγματα) και πέσανε να με φάνε γιατί 
δεν το κάνω έτσι ή αλλοιώς ή αλλοιώτικα. Τελικά περισότερο χρόνο 
αφιέρωσα στην "κουβέντα" στην λίστα άλλα και αυτή την θεωρώ εκπαιδευτική.

>δεν λεώ καλή φάση και ενδιαφέρον αλλά άλλο να το κάνεις κάποιος στο ελεύθερο
>χρόνο του και άλλο στο χρόνο που έχει κόστος.....
>  
>
τον ελευθερό τι? δεν καταλαβαίνω γιατί μου μιλάς ;-)

More information about the Linux-greek-users mailing list