Sprava hesiel v malej firme

Nazyva sa to dvojfaktorova autorizacia.
https://yubikey.sk/?gclid=EAIaIQobChMI9Pm7kLj_5AIVCLDtCh1P9Q8AEAAYASAAEgJmL_D_BwE

A ako to rieši daný problém?

Bez kluca sa neprihlasi a heslo nevie, pretoze je ulozene na kluci.

To je síce pravda pre YubiKey, ale ako to súvisí s otázkou? V otázke predsa je, že meno-heslo na danú stránku je dané, takže YubiKey nič nerieši.

Hesla menia, teda musia menit ked dany clovek odide.
Takto by nic menit nemuseli, heslo by bolo na kluci a user by ho nevedel.

A podpora pre dvojfaktorovú autorizáciu sa na stránkach tretej strany implementuje sama, alebo ako si to predstavuješ?

V pripade stranok by neslo o dvojfaktorovu autorizaciu, ale len jednofaktorovu a heslo by sa vkladalo z kluca.

A ako by tá stránka vedela, že heslo je správne? Ak by to bolo len statické heslo, čo bráni používateľovi si ho skopírovať?

Napriklad to, ze vacsinou je skriptom na stranke zabranene kopirovanie z pola, kde je heslo. Heslo do kluca si dam take ake mam na stranke, takze sa budu zhodovat.

Pole je väčšinou typu password, takže na zabránenie kopírovania nie je potrebný skript. Hodnota sa dá aj tak vždy prečítať cez web inspector.

Vždy môžem otvoriť notepad a nechať yubikey napísať heslo do neho, takže to nič z tohto pohľadu nerieši.

Ja nevravim, ze toto ne neprekonatelny system. on chcel vediet ako sa zaobist bez zmeny hesiel a ja som ponukol moznost, ze toto je cesta, kedy dany user heslo vediet nemusi a na prihlasovanie pouzije kartu.
Ak by sme chceli ultra bezpecny system prihlasenie na sluzby povolim v silne obmedzenom OS, kde budu hesla uz ulozene bez moznosti odsnifovat ich uzivatelom/

Ale keď dáš používateľovi ten kľúč, ktorá funguje tak, že ho podržíš a zadá heslo, tak si prakticky dal používateľovi heslo. Skrátka ten kľúč neprináša žiadnu výhodu.

Prinasa...uzivatel to heslo nevie.
Ty k tomu pristupujes z pohladu cloveka, co vie ako kluc funguje. Ja k tomu pristupujem z pohladu bezneho pracovnika, ktoreho ani nenapadne logika, ze ked kluc zada heslo po prilozeni prsta, zeby si to heslo mohol zadat do textoveho editoru a opisat ho.
Ver tomu, ze toto nenapadne 99% ludi, pretoze ludi nezaujima ako technologia funguje a spokoja s tym, ze funguje.
"Tu mas, kluc, tu ho stlacis a prihlasis sa...ok" a na 99% je to heslo v bezpeci.

To vysvetlenie by bolo "Tu máš kľúč, klikni na textové pole, potom tu stlač a prihlásiš sa". Raz zabudne používateľ kliknúť na textové pole a zadá heslo inde - typicky do chatu, alebo ho zverejní iným spôsobom. Oblbovať používateľa tým, že mu budeš tvrdiť, že heslo nemá k dispozícii, povedie skôr či neskôr k vyzradeniu hesla. Verejne radiť takúto praktiku - krútim neveriacky hlavou.

Pozri ty vychadzas z teoretickeho predpokladu, ja vychadzam z praxe.
Tvoje argumenty maju sice logiku (az na ten chat, to je trosku scifi), ale toto bude fungovat na 99% ludi...ty evidentne nevies s akymi IT znalostami dnes pracuju ludia v beznej firme.
Ok, mozme sa vratit k variante, ze prihlasit sa do sluzby pojde len na jednom pc, s upravenymi pravami uzivatela a prednastavenymi heslami v prehliadaci. Toto je relativne nepriestrelne, akurat ti garantujem, ze do tyzdna pride poziadavka, ze on sa chce prihlasit aj z druheho, neskor z tretieho alebo akehokolvek pc na danu sluzbu.
Uvediem ti iny, takmer identicky priklad.
Vies, co robim na skolach a vo firmach, kde nechcu, aby sa napajal na siet aj niekto iny ako urceni uzivatelia? Spravim staticky dhcp server. Obist sa to jednoducho, zadas si volnu ip a ides. Ok mohol by som spravit previazanie na mac na fw, ale zmenis si aj mac a som v prdeli.
Ok mozem na siet pridat Radius a v prdeli si zase ty. Lenze...a to ti garantujem, ze na beznej skole/firme ich bude Radius a dalsie overovanie neuveritelne otravovat a budu pozadovat jeho zrusenie. Zazil som to. Nedavam to uz nikde, malokto sa chce hrat na ultra secusity, pretoze ludia maju radi pohodlnost.
A tak vsade kraluje staticky dhcp server a vsetci su spokojni.
Ano da sa to jednoducho obist, ale 99% ludi to nezvladne a ani ich to nenapadne. Maju heslo od wifi a nejde im net, oni nevedia preco a tym to pre nich konci.

Prípad s chatom je z reálneho života, nie scifi. YubiKey používame vo firme a stáva sa to častejšie, ako by si čakal. Samozrejme tie kľúče používame v móde 2FA, takže to nie je až taký problém (teoreticky, ak sa to niekomu stane, tak by si mal zmeniť heslo, aby nemohol útočník použiť časovo obmedzený token v časovom okne najbližších hodín).

Ak budeš obhajovať pseudo-riešenia a ešte aj bez toho, aby si spomenul riziká (a rizikom v tomto prípade je, že to obíde naozaj hocikto), tak to bude potom aj s úrovňou IT vyzerať.

Ak budeš obhajovať pseudo-riešenia a ešte aj bez toho, aby si spomenul riziká (a rizikom v tomto prípade je, že to obíde naozaj hocikto), tak to bude potom aj s úrovňou IT vyzerať.

Tu robis v korporate, pripadne si robil vo vacsich firmach na IT oddeleniach, kde je ta uroven IT trosku vyssia ako bezny priemer.
Moja cielovka su mensie a stredne firmy a v tomto prostredi si dovolim tvrdit, ze moje riesenie je na 99% priechodne a ze na to pride jeden clovek zo sto ako sa da zneuzit.

na 99% priechodne a ze na to pride jeden clovek zo sto ako sa da zneuzit.

Niet nad vymyslené štatistiky.

Že je firma menšia neznamená, že zabezpečenie môžeš (ne)riešiť takýmto spôsobom. Dáš používateľovi statické heslo na YubiKey, ten si ho nechá zapamätať v prehliadači a si tam kde si bol predtým aj pri tvojej cieľovke.

Proste sa neodputas od toho korporatu ani bohovi;o).
Snazil som sa ti vysvetlit, co robili uzivatelia pri nasadeni Radiusus a ako az hystericky sa dozadovali, aby sa nemuseli nikde nahlasovat a ako som ho musel zrusit, ale ty si furt v tom svojom korporate, kde sa zamestanci prisposobuju zamestnavatelom a nie naopak.

Rozdiel medzi korporátom a malou firmou môže byť, že sú tam aspoň dvaja ľudia, čo tomu rozumejú. Takže ak jeden z nich navrhne pseudo-riešenie, aby sa vyhol svojej práci, tak to neprejde cez druhého, ktorému to dajú schváliť.

Ak v malej firme je záujem riešiť bezpečnosť a ich admin im bez vysvetlenia vedome naservíruje pseudo-riešenie, ktoré nie je bezpečné, tak to je problém. Ak admin vysvetlí riziká a firma tie riziká akceptuje, tak je to v poriadku. Dúfam, že v tom vidíš rozdiel.

Moose dobře to píšeš, ale Fleg to nevzdá, on totiž všechno ví nejlépe. On rozumí naprosto všemu a nejlépe

Mam pocit, ze nemas za sebo ziadne jednanie v malej firme.
Uvediem priklad.
Pred par dnami u zakaznika doslo k hacknutiu jedneho mailoveho uctu. Okamzite z ich lokalneho mailove servera bolo odoslanych cez 200k mailov v priebehu asi 36h.
Samozrejme som to musel vysetrovat, samozrejme boli nasrati, pretoze sa im vracali (esta stale obcas vracaju) maily, pretoze ich ip bola(je) na blacklistoch.
Chceli riesenia.
Ako prve, co ma napadlo som navrhol elegantne riesenie, ze znemoznim posielanie mailov zvonku a bude pristupne len z LAN a VPN rozsahu. Riesenie, ktore je nepriestrelne, navyse s minimom nakladov na nasadenie, kedze VPNka tam je a niektori useri uz ju pouzivaju, vzhladom na problemy s odosielanim mailov zo zahranica (blokovanie smtp).
3x hadaj, co mi odpovedalo ich IT oddelenie.
Nie, takto to nechcu, chcu posielat maily aj mimo firmy a nechcu, aby bola povinna vpnka.
Wtf? Ved to je zasadne porusenie bezpecnosti nie?
Takze vo finale budem vsetko riesit na urovni firewalu a obmedzovat pocet odoslanych sprav na ip adresu, co je polovicne riesenie a navyse na logistiku pre mna zlozitejsie ako mnou navrhovane. Pretoze chceli ine riesenie a ja som ho nasiel.
P.S. A aby si si nemyslel, ide o stredne velku firmu naviazanu na korporatnych zakaznikov, cez 200 zamestnancov.
Este mi chces vysvetlovat ako to v praxi chodi?
Rizika som vysvetlil, firma nic neakceptovala...a toto naozaj, ale naozaj nie je ojedinely pripad, je to skor pravidlo ako vynimka.

Keď sa k bezpečnosti pristupuje takým spôsobom, aký obhajuješ, tak potom niet divu, že dojde k hacknutiu e-mailového účtu. Môžeš dávať príkladov, ako nezodpovední admini kašlú na bezpečnosť, koľko chceš, to nič nemení na tom, že je to zlý prístup. Osobne nevidím problém vo vystavení zabezpečeného portu pre prijímanie a odosielanie e-mailov so zašifrovanou komunikáciou, kde sa vyžaduje autentifikácia. A vyšetril si aspoň, čo sa stalo? Uniklo niekomu meno-heslo, alebo bol e-mailový server blbo nakonfigurovaný? Pri takomto prístupe by ma neprekvapilo, ak by to bola možnosť číslo dva.

Ak firma akceptuje riziká, tak je to na nej. Ak si ťa firma objednala na niečo, s čím nesúhlasíš, tak nemusíš akceptovať objednávku. Ty si v tomto prípade ale navrhol riešenie, ktoré z pohľadu bezpečnosti situáciu nijako nezmenilo.

Ja tento pristup neobhajujem...od zaciatku tvrdim, ze takto to proste vo firmach chodi a je to priechodne u drvivej vaciny firiem. Navyse som si dovolil prezumpovat, ze viem na akej IT urovni je bezny pracovnik vo firme, ktory prichadza do kontaktu s takymito datami, a preto si myslim, ze dane riesenie je priechodne.
Vy zijete v naivnej predstave, ze vo firmach su nastavene tvrde pravidla ako v korporatoch. Ja mam 90% navrhov u zakaznika zamietnutych a musim neustale improvizovat a balansovat medzi funcknostou, bezpecnostou a uzivatelskym pohodlim.
Ked si postavim hlavu tak si najdu nahradu...takze bud caruj alebo chod do...
Opat priklad...pred nedavnom som navrhol kupu restartovatelnych PDU, zakaznik pozaduju bezvypadkovy chod a moznost zamrznutia fyzickeho servera tam ista je. Zamietnute. Ak server zamrzne, budeme volat niekomu kto ma kluce od serverovne a pojde to restartnut. Pri 24h prevadzke fakt super riesenie.
Zopakujem zakaznik pozaduje bezvypadkovy chod.
Mam sa smiat, ci plakat?