Sprava hesiel v malej firme

clovek ktory pozna hesla na 10 roznych portalov odide a vsetky treba menit a oznamit to ostatnyn userom

Tomu vůbec nerozumím. Bankovnictví? Nějaký server, jako třeba tento?

Napr facebook a vsetky tie dalsie sracky. A este aj ine samozrejme, nie len social media...

nezávislý počítač, človeka vyhodiš a nechceš aby nezneužil zapamätané heslo bez toho aby si ho zmenil ? To je jednoduché

Toto neviem nikde zohnat, ak by sa dalo tak parada, problem vyrieseny!

https://www.ebay.com/c/1761550258 ale istejšie je https://www.amazon.com/LilPals-Super-Space-Blaster-Gun/dp/B07JF7X3GN/ref=sr_1_3?keywords=man+in+black+gun&qid=1569860185&sr=8-3

Zaujímavé, ale ono by to šlo. Nepoznám konkrétne riešenia, ale fungovať by to mohlo na nejakej SSO technológii. S tým že prístup riadiš na vlastnej strane, čiže ľudia môžu používať heslá ale nepoznajú ich. Plus nejaké riadenie prístupu.

To se řeší tak, že není jeden přístup na "sociální médium", který všichni znají, ale zřizují se tam jednotlivé účty, pro každého konkrétní účet. Člověk odejde, účet se zruší. Nový člověk dostane nový (svůj) účet

Ano, v pripade ak je takato moznost ako pises, tak by bolo mozne zriadit pristup cez rozne ucty. Su ale pripady, ked to mozne nie je, pripadne mame stranky kde je potrebne za kazdy dalsi ucet (okrem prveho) platit.

Pak je otázka, co je lepší - platit za účet (přístup dostanou jen ti, kteří jej opravdu potřebují) nebo řešit neustále změny hesel na účtech při odchodu jednoho člověka.

Nejjednodušší bude měnit hesla každý týden a posílat to uživatelům v emailu, si na změnu hesel aspoň zvyknou. Pokud nemá mít každý přístup všude tak dát všechny hesla do excelu a každý uživatel bude mít svůj list s výběrem hesel - ten mu pak vyexportuješ a pošleš.

Neumím rozumně poradit.

Jen jsem popustil na uzdu fantazii.
Neexistuje něco, co by četlo hesla z čipové karty? Každý by vyfasoval svoji kartu, nic si nepamatoval, jen by klikal.
Konec fantazie.

Mna este napadlo, nieco do Chrome, njekay plugin, co by dokazalo znepristupnit pozretie si hesiel ulozenych v chrome a vsetky potrebne hesla by boli zapametane na danom pocitaci. Ci by sa to dalo tiez nejako obist?

Skoro jiste dalo

Prečo rušiť účty? Stačí heslo.
Meno si dáš ako názov svojej firmy: IBM
a heslá budeš meniť keď to bude spravovať Janko Hraško, alebo potom aj pes filipes.

Jasne, ved o tom pisem.
Ale ako na to aby som ani hesla nemusel menit, nie je na to naozaj ziadny system???

No veď ich nemusíš meniť ak niesi zodpovedný za správu IT. Človek, ktorý berie veci vážne natoľko, že preberá za svoju prácu zodpovednosť vie, čo je jeho povinnosťou.

Ja som sa nepytal ci to robit alebo nerobit, ale AKO to robit...

Ak vieš ako to funguje, tak AKO je už zodpovedané. Ak to nievieš, tak hybaj sa to doučiť, alebo sa popýtaj ksichtoknihe admina Českej televízie. Tam to riešili taktiež.

Nepoznám Facebook, ale dosť pravdepodobne má nejaké SSO, prípadne sa dajú v ňom povoliť používateľom oprávnenia (https://www.facebook.com/help/323502271070625/).

Neviem, či sú na toto nejaké existujúce riešenia, ale pre určité prípady sa dá navrhnúť všeobecné riešenie. Konkrétne napr. pri predpoklade, že stránka podporuje prihlásenie iba menom-heslom a udržiava session cez cookie, dá sa vymyslieť riešenie. V takom prípade by som vytvoril interný webový server, na ktorý používatelia pristupujú cez svoj účet. Používatelia by mohli na ňom zvoliť web, na ktorý sa chcú prihlásiť. Interný webový server by sa prihlásil pod firemným používateľom na daný server a session cookie by poslal používateľovi. Používateľovi by sa v prehliadači daný session cookie nastavil pomocou interného rozšírenia do prehliadača.

Z toho vyplýva, že pre takéto riešenie by bolo potrebné implementovať dva komponenty: autorizačný webový server a rozšírenie do prehliadača. Webový server by mal databázu s účtami (meno-heslo) pre dané weby. Tento server by tiež implementoval prihlásenia na rôzne weby. Rozšírenie do prehliadača by nastavovalo cookie pre dané domény.

Z pohľadu bezpečnosti si môžu používatelia zapamätať cookie a v prípade, že cieľový server jeho platnosť časovo neobmedzuje, môžu mať používatelia prístup aj po zrušení interného účtu. Používatelia tiež môžu meniť nastavenia profilu na cieľovom serveri (napr. nastaviť nové heslo). Stále je to ale lepšie, ako zdieľať statické meno-heslo.

SSO je cesta, pokud má firma např. Gsuite.

https://developers.facebook.com/docs/workplace/authentication/sso/

SSO musí byť ale podporované danými stránkami, čo Facebook síce môže podporovať, ale ostatné stránky nemusia. Plus neviem, aké je prepojenie Facebook Workplace s Facebook Pages.

To uz je lepsi, kdyz se uzivatel prihlasi svym jmenem a heslem na tu proxy a rekne, kam chce. Proxy se tam prihlasi podnikovym jmenem a heslem a dostane obrazovku, tu zkopiruje uzivateli, jakoze je od ni a pocka na jeho odpoved, jeho odpoved pak zkopiruje tomu cilovemu serveru, jakoze je podnikova, nacez ji ten server posle neco jineho a tak furt dokola.

Kdyz uzivatel vypadne z firmy, vyhodis jeho ucet z proxy a je nahrany, protoze na proxy se neprihlasi a na cilovy server uz vubec ne, protoze podnikove udaje nikdy nevidel.

Navic ta proxy muze nektere adresi uzivateli blokovat ((jako zobrazeni jmena/hesla, jeho zmenu, smazani uctu a tak ...

Nemyslím, že proxy by bola lepšia. Taká proxy by bola oveľa náchylnejšia na chyby - prepisovanie URL, nesediace certifikáty, prepisovanie CSS, prepisovanie skriptov, nefungujúce skripty nastavujúce cookie až na klientovi, atď. To už je potom lepšie spraviť aplikáciu, ktorá namiesto prihlasovania sa do účtu priamo vykonáva iba povolené operácie nad danou stránkou s danými prihlasovacími údajmi.

Nazyva sa to dvojfaktorova autorizacia.
https://yubikey.sk/?gclid=EAIaIQobChMI9Pm7kLj_5AIVCLDtCh1P9Q8AEAAYASAAEgJmL_D_BwE

A ako to rieši daný problém?

Bez kluca sa neprihlasi a heslo nevie, pretoze je ulozene na kluci.

To je síce pravda pre YubiKey, ale ako to súvisí s otázkou? V otázke predsa je, že meno-heslo na danú stránku je dané, takže YubiKey nič nerieši.

Hesla menia, teda musia menit ked dany clovek odide.
Takto by nic menit nemuseli, heslo by bolo na kluci a user by ho nevedel.

A podpora pre dvojfaktorovú autorizáciu sa na stránkach tretej strany implementuje sama, alebo ako si to predstavuješ?

V pripade stranok by neslo o dvojfaktorovu autorizaciu, ale len jednofaktorovu a heslo by sa vkladalo z kluca.

A ako by tá stránka vedela, že heslo je správne? Ak by to bolo len statické heslo, čo bráni používateľovi si ho skopírovať?

Napriklad to, ze vacsinou je skriptom na stranke zabranene kopirovanie z pola, kde je heslo. Heslo do kluca si dam take ake mam na stranke, takze sa budu zhodovat.

Pole je väčšinou typu password, takže na zabránenie kopírovania nie je potrebný skript. Hodnota sa dá aj tak vždy prečítať cez web inspector.

Vždy môžem otvoriť notepad a nechať yubikey napísať heslo do neho, takže to nič z tohto pohľadu nerieši.

Ja nevravim, ze toto ne neprekonatelny system. on chcel vediet ako sa zaobist bez zmeny hesiel a ja som ponukol moznost, ze toto je cesta, kedy dany user heslo vediet nemusi a na prihlasovanie pouzije kartu.
Ak by sme chceli ultra bezpecny system prihlasenie na sluzby povolim v silne obmedzenom OS, kde budu hesla uz ulozene bez moznosti odsnifovat ich uzivatelom/

Ale keď dáš používateľovi ten kľúč, ktorá funguje tak, že ho podržíš a zadá heslo, tak si prakticky dal používateľovi heslo. Skrátka ten kľúč neprináša žiadnu výhodu.

Prinasa...uzivatel to heslo nevie.
Ty k tomu pristupujes z pohladu cloveka, co vie ako kluc funguje. Ja k tomu pristupujem z pohladu bezneho pracovnika, ktoreho ani nenapadne logika, ze ked kluc zada heslo po prilozeni prsta, zeby si to heslo mohol zadat do textoveho editoru a opisat ho.
Ver tomu, ze toto nenapadne 99% ludi, pretoze ludi nezaujima ako technologia funguje a spokoja s tym, ze funguje.
"Tu mas, kluc, tu ho stlacis a prihlasis sa...ok" a na 99% je to heslo v bezpeci.

To vysvetlenie by bolo "Tu máš kľúč, klikni na textové pole, potom tu stlač a prihlásiš sa". Raz zabudne používateľ kliknúť na textové pole a zadá heslo inde - typicky do chatu, alebo ho zverejní iným spôsobom. Oblbovať používateľa tým, že mu budeš tvrdiť, že heslo nemá k dispozícii, povedie skôr či neskôr k vyzradeniu hesla. Verejne radiť takúto praktiku - krútim neveriacky hlavou.

Pozri ty vychadzas z teoretickeho predpokladu, ja vychadzam z praxe.
Tvoje argumenty maju sice logiku (az na ten chat, to je trosku scifi), ale toto bude fungovat na 99% ludi...ty evidentne nevies s akymi IT znalostami dnes pracuju ludia v beznej firme.
Ok, mozme sa vratit k variante, ze prihlasit sa do sluzby pojde len na jednom pc, s upravenymi pravami uzivatela a prednastavenymi heslami v prehliadaci. Toto je relativne nepriestrelne, akurat ti garantujem, ze do tyzdna pride poziadavka, ze on sa chce prihlasit aj z druheho, neskor z tretieho alebo akehokolvek pc na danu sluzbu.
Uvediem ti iny, takmer identicky priklad.
Vies, co robim na skolach a vo firmach, kde nechcu, aby sa napajal na siet aj niekto iny ako urceni uzivatelia? Spravim staticky dhcp server. Obist sa to jednoducho, zadas si volnu ip a ides. Ok mohol by som spravit previazanie na mac na fw, ale zmenis si aj mac a som v prdeli.
Ok mozem na siet pridat Radius a v prdeli si zase ty. Lenze...a to ti garantujem, ze na beznej skole/firme ich bude Radius a dalsie overovanie neuveritelne otravovat a budu pozadovat jeho zrusenie. Zazil som to. Nedavam to uz nikde, malokto sa chce hrat na ultra secusity, pretoze ludia maju radi pohodlnost.
A tak vsade kraluje staticky dhcp server a vsetci su spokojni.
Ano da sa to jednoducho obist, ale 99% ludi to nezvladne a ani ich to nenapadne. Maju heslo od wifi a nejde im net, oni nevedia preco a tym to pre nich konci.

Prípad s chatom je z reálneho života, nie scifi. YubiKey používame vo firme a stáva sa to častejšie, ako by si čakal. Samozrejme tie kľúče používame v móde 2FA, takže to nie je až taký problém (teoreticky, ak sa to niekomu stane, tak by si mal zmeniť heslo, aby nemohol útočník použiť časovo obmedzený token v časovom okne najbližších hodín).

Ak budeš obhajovať pseudo-riešenia a ešte aj bez toho, aby si spomenul riziká (a rizikom v tomto prípade je, že to obíde naozaj hocikto), tak to bude potom aj s úrovňou IT vyzerať.

Ak budeš obhajovať pseudo-riešenia a ešte aj bez toho, aby si spomenul riziká (a rizikom v tomto prípade je, že to obíde naozaj hocikto), tak to bude potom aj s úrovňou IT vyzerať.

Tu robis v korporate, pripadne si robil vo vacsich firmach na IT oddeleniach, kde je ta uroven IT trosku vyssia ako bezny priemer.
Moja cielovka su mensie a stredne firmy a v tomto prostredi si dovolim tvrdit, ze moje riesenie je na 99% priechodne a ze na to pride jeden clovek zo sto ako sa da zneuzit.

na 99% priechodne a ze na to pride jeden clovek zo sto ako sa da zneuzit.

Niet nad vymyslené štatistiky.

Že je firma menšia neznamená, že zabezpečenie môžeš (ne)riešiť takýmto spôsobom. Dáš používateľovi statické heslo na YubiKey, ten si ho nechá zapamätať v prehliadači a si tam kde si bol predtým aj pri tvojej cieľovke.

Proste sa neodputas od toho korporatu ani bohovi;o).
Snazil som sa ti vysvetlit, co robili uzivatelia pri nasadeni Radiusus a ako az hystericky sa dozadovali, aby sa nemuseli nikde nahlasovat a ako som ho musel zrusit, ale ty si furt v tom svojom korporate, kde sa zamestanci prisposobuju zamestnavatelom a nie naopak.

Rozdiel medzi korporátom a malou firmou môže byť, že sú tam aspoň dvaja ľudia, čo tomu rozumejú. Takže ak jeden z nich navrhne pseudo-riešenie, aby sa vyhol svojej práci, tak to neprejde cez druhého, ktorému to dajú schváliť.

Ak v malej firme je záujem riešiť bezpečnosť a ich admin im bez vysvetlenia vedome naservíruje pseudo-riešenie, ktoré nie je bezpečné, tak to je problém. Ak admin vysvetlí riziká a firma tie riziká akceptuje, tak je to v poriadku. Dúfam, že v tom vidíš rozdiel.

Moose dobře to píšeš, ale Fleg to nevzdá, on totiž všechno ví nejlépe. On rozumí naprosto všemu a nejlépe

Mam pocit, ze nemas za sebo ziadne jednanie v malej firme.
Uvediem priklad.
Pred par dnami u zakaznika doslo k hacknutiu jedneho mailoveho uctu. Okamzite z ich lokalneho mailove servera bolo odoslanych cez 200k mailov v priebehu asi 36h.
Samozrejme som to musel vysetrovat, samozrejme boli nasrati, pretoze sa im vracali (esta stale obcas vracaju) maily, pretoze ich ip bola(je) na blacklistoch.
Chceli riesenia.
Ako prve, co ma napadlo som navrhol elegantne riesenie, ze znemoznim posielanie mailov zvonku a bude pristupne len z LAN a VPN rozsahu. Riesenie, ktore je nepriestrelne, navyse s minimom nakladov na nasadenie, kedze VPNka tam je a niektori useri uz ju pouzivaju, vzhladom na problemy s odosielanim mailov zo zahranica (blokovanie smtp).
3x hadaj, co mi odpovedalo ich IT oddelenie.
Nie, takto to nechcu, chcu posielat maily aj mimo firmy a nechcu, aby bola povinna vpnka.
Wtf? Ved to je zasadne porusenie bezpecnosti nie?
Takze vo finale budem vsetko riesit na urovni firewalu a obmedzovat pocet odoslanych sprav na ip adresu, co je polovicne riesenie a navyse na logistiku pre mna zlozitejsie ako mnou navrhovane. Pretoze chceli ine riesenie a ja som ho nasiel.
P.S. A aby si si nemyslel, ide o stredne velku firmu naviazanu na korporatnych zakaznikov, cez 200 zamestnancov.
Este mi chces vysvetlovat ako to v praxi chodi?
Rizika som vysvetlil, firma nic neakceptovala...a toto naozaj, ale naozaj nie je ojedinely pripad, je to skor pravidlo ako vynimka.

Keď sa k bezpečnosti pristupuje takým spôsobom, aký obhajuješ, tak potom niet divu, že dojde k hacknutiu e-mailového účtu. Môžeš dávať príkladov, ako nezodpovední admini kašlú na bezpečnosť, koľko chceš, to nič nemení na tom, že je to zlý prístup. Osobne nevidím problém vo vystavení zabezpečeného portu pre prijímanie a odosielanie e-mailov so zašifrovanou komunikáciou, kde sa vyžaduje autentifikácia. A vyšetril si aspoň, čo sa stalo? Uniklo niekomu meno-heslo, alebo bol e-mailový server blbo nakonfigurovaný? Pri takomto prístupe by ma neprekvapilo, ak by to bola možnosť číslo dva.

Ak firma akceptuje riziká, tak je to na nej. Ak si ťa firma objednala na niečo, s čím nesúhlasíš, tak nemusíš akceptovať objednávku. Ty si v tomto prípade ale navrhol riešenie, ktoré z pohľadu bezpečnosti situáciu nijako nezmenilo.

Ja tento pristup neobhajujem...od zaciatku tvrdim, ze takto to proste vo firmach chodi a je to priechodne u drvivej vaciny firiem. Navyse som si dovolil prezumpovat, ze viem na akej IT urovni je bezny pracovnik vo firme, ktory prichadza do kontaktu s takymito datami, a preto si myslim, ze dane riesenie je priechodne.
Vy zijete v naivnej predstave, ze vo firmach su nastavene tvrde pravidla ako v korporatoch. Ja mam 90% navrhov u zakaznika zamietnutych a musim neustale improvizovat a balansovat medzi funcknostou, bezpecnostou a uzivatelskym pohodlim.
Ked si postavim hlavu tak si najdu nahradu...takze bud caruj alebo chod do...
Opat priklad...pred nedavnom som navrhol kupu restartovatelnych PDU, zakaznik pozaduju bezvypadkovy chod a moznost zamrznutia fyzickeho servera tam ista je. Zamietnute. Ak server zamrzne, budeme volat niekomu kto ma kluce od serverovne a pojde to restartnut. Pri 24h prevadzke fakt super riesenie.
Zopakujem zakaznik pozaduje bezvypadkovy chod.
Mam sa smiat, ci plakat?

Lastpass by nestačil? https://www.lastpass.com/