Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Mutasd a jelszavad[!/?]

2009.06.28. 19:10 | buherator | 6 komment

Jakob Nielsen "használhatósági szakértő" radikális ötlettel állt elő nem rég: javaslata szerint a felhasználói felületeken fel kellene hagyni a begépelt jelszavak maszkolásával, azaz a kiscsillagok/bonyók megjelenítésével a jelszavak valódi karaktereinek megjelenítése helyett.

A probléma Nielsen szerint ugyanis az, hogy jelenleg amellett, hogy a felhasználók jelentős időt  töltenek (és ezáltal költséget generálnak) az elgépelt jelszavak újrabevitelével, magukat a jelszavakat is rosszul választják meg illetve kezelik, jóval nagyobb biztonsági kockázatot generálva annál, mint a jelszavak ellesése jelent egyébként. Érvei a következők:

  • Ha le akarom lesni valakinek a jelszavát, akkor elég a billentyűzetet figyelnem
  • Az elrontott bevitel elbizonytalanítja a felhasználót, aki lehet hogy ettől kevésbé szívesen jelentkezik be mondjuk egy webszolgáltatásba, ezáltal ügyfelet veszthetünk
  • A bizonytalanságérzet miatt a felhasználók gyenge jelszavakat választanak, vagy a számítógépükön tárolt titkosítatlan állományokból másolják be azokat
  • A mobileszközökön történő bevitel különösen nehéz, főleg ha még azt sem látom, hogy mit írok

Jason Mongomery a SANS munkatársa Nielsen érveit megvizsgálva a következőkre jutott:

  • Különösen munkahelyi környezetben gyakori, hogy a kollegák egy monitort (kivetítőt...) néznek, így akaratlanul is megláthatják egymás jelszavait
  • A webböngészők automatikus kitöltési funkciója kapásból kipakolja a titkokat
  • Vannak megoldások, amelyek már a memóriába is titkosítva pakolják el az adatokat, ezeknél a jelszó megjelenítése nem megoldható (vagy egyenértékű azzal, mintha nem használnánk titkosítást)
  • Ha engedjük, hogy egy felhasználó gyenge jelszavakat használjon, az már kockázatot jelent
  • És a legfontosabb: mindig megfelelően kell mérlegelni a használhatóságot és a biztonságot!

A fentiekre részben megoldást jelenthet Nielsen azon elképzelése, hogy pl. egy jelölőnégyzet segítségével lehetne szabályozni a jelszavak megjelenítését. Ennek hátülütője Montgomery szerint az, hogy a megfelelő implementáció tanulást kívánna meg a fejlesztőktől, és tekintve pl. a puffer túlcsordulásos vagy SQL injection sebezhetőségek mai napig magas számát, kevés az esély arra, hogy ezeket a módszereket minden programozó elsajátítsa.

Végigolvasva a két fél gondolatait nekem a spanyolviasz feltalálása ugrott be: Bizonyos mobiltelefonokon a jelszavak begépelését úgy oldják meg, hogy mindig csak az utolsó karakter látszik, így mindig lehet tudni, hogy az utolsó bevitt karakter megfelelő-e. Így ugyan a jelszó tulajdonképpen leleshető marad (akár csak a billentyűzetről), ugyanakkor csak a különböző keretrendszerek, böngészők  jelszóbevitelre szolgáló objektumait kellene egy picit átírni, és nincs szükség globális szemléletváltrásra.

Igazságot tenni persze nem fogok, de természetesen kíváncsi vagyok, nektek mi a véleményetek?

Címkék: privacy jelszó programozás

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

szörpilla 2009.06.28. 22:29:46

Egyetértek Jason Mongomery-vel. Személy szerint Inkább vállalom hogy x-szer rosszul üssem be a jelszót és emiatt zárolásra kerüljek, mintsem más előtt a képernyőn láthatóvá váljon és később a nevemben authentikáljon... Jason megállapításaihoz egy gondolat: A webböngésző automatikus kitöltési funkciójának használata amúgy is veszélyes a cache-ből kinyerhető clear text tartalom maitt...

keriati · http://blog.fsck.hu 2009.06.29. 08:02:32

A cikk első pár soránál nekem is már a mobilos, utolsó karakter látható megoldás jutott eszembe, ha nagyon akarunk erőltetni valami újítást... de egy az egyben az egésznek semmi értelme szerintem, inkább valami alternatív biztonságos azonosítást találnának ki ami könnyen használható, akár kisebb web oldalakra is egyszerűen bevezethető, nem kell gépelni a használatához és jelszavak megjegyezni.
(És csak a blog hozzászólás miatt regisztrálhattam most egy indapasst, ez miért kell >.

ZoliKa1988 · http://zolika.info/ 2009.06.29. 10:09:17

vagy 3-4 éve találkoztam akkor még az internet explorer -hez pass megjelenítővel... ez nem portál weboldal feladat hanem böngésző... aki akarja eldugja aki akarja nem.

Jó fennáll a probléma hogy a felhasználó hülye és nem ért hozzá, de aki nagyon akarja ma is megoldja ezt a kérdést

deejayy · http://deejayy.hu/ 2009.06.29. 10:37:55

@ZoliKa1988: a probléma ezzel az, hogy itt most ergonómiáról beszélünk, tehát amivel az egyszeri felhasználó szembetalálkozik. És ha böngészőben lehet állítgatni, akkor az alapbeállítással találja szembe magát, amit legtöbbet nem adjusztálgatnak.

synapse · http://www.synsecblog.com 2009.06.29. 10:56:34

Na gyerekek azert ne legyunk mar teljesen hulyek. Ok, hogy billentyuzetrol le lehet lesni a jelszavakat, bar a gyorsan gepelo embereknel ugyan nem veszi fel meg a kamera se (25 fps eleg sovany), de ha megjelenitjuk a kijelzon akkor ennek erdekes implikacioi lesznek. Pl.:
- en be se regisztralok arra az oldalra, es az se akinek egy csopp agya van
- bongeszo elcache-eli a nem password tipusu form elemeket
- eleg 1! db kep a monitorrol es ott lesz a jelszo
- ...

Az utolso foleg akkor gaz, ha kameraval figyeltetjuk az alkalmazottainkat. Vannak erre sokkal sokkal jobb kesz megoldasok, az indapasst meg ki nem sz*rja le.

synapse

buzoganylaszlo · http://www.weblap.ro 2009.10.23. 11:26:24

Még csak az hiányozna, hogy ki is írjuk a képernyőre a jelszavakat. Így is rengeteg gond van a gyenge jelszavak miatt. Én amellett kampányolok, hogyha lehet válasszunk minél erősebb jelszót és azt védjük úgy, mint a szemünk fényét! Különben seperc alatt betörnek/feltörnek, így valahogy: www.weblap.ro/milyen-a-jo-jelszo
süti beállítások módosítása