čtvrtek 9. dubna 2009

Správa hesel

V jeden týden se mi sešly hned tři žádosti o pomoc, které mě přiměly zamyslet se nad hesly, jejich bezpečností a správou. Nejdříve se ozval hned vedlejší soused, v neděli odpoledne, že naléhavě potřebuje, abych na 5 minut přišel. Už znám tyhle "pětiminutovky", takže jsem si nekazil krásné nedělní odpoledne s milou návštěvou a zašel k němu až o půl deváté večer, kdy jsem měl konečně chvilku čas.

Netušil jsem, o co jde, dokud přede mnou neotevřel notebook s WinXP přihlašovací obrazovkou a neřekl provinilým hlasem: "zkoušel jsem si zabezpečit počítač a teď se nemůžu přihlásit". Postupně z něj lezlo jako z chlupaté deky, že uklízel uživatelské účty a některé, co nepoužívá, označil jako zamčené - ale že asi nějakým omylem označil jako zamčený i svůj vlastní, a když se odhlásil, tak už se nemohl přihlásit zpět. A heslo Administrátora neznal, koupil notebook s nainstalovanými WindowsXP, ale heslo k němu nedostal. Tak jsem mu řekl, že si jdu domů pro nářadí a odběhl jsem k sobě.

Doma jsem automaticky stáhl nejnovější beta verzi univerzálního záchranného nástroje UBCD (aktuálně 5.0b12), přesvědčil se v seznamu změn, že tam je nejnovější verze Password Editoru, vypálil na poslední CD-RW, co jsem doma našel, a přeběhl zpět k sousedovi. Ten si naštěstí pamatoval heslo do BIOSu, takže jsme nastavili boot z CD-ROM a nabootovali UBCD.

O 10 minut později jsem si byl už jistý, že ten Password Editor tam prostě nenajdu. Ta verze 5.0 vypadá jinak než klasická 4.x a i když jsem proběhl všechny nabídky a dokonce skončil v DOSu, Volkov Commanderu a prošel znovu všechny dostupné příkazy, tak jsem nic na hesla nenašel. I řekl jsem sousedovi, že se jdu k sobě domů podívat na internet, kde to vlastně je, a odběhl jsem opět k sobě.

Tam jsem tentokrát stáhl boot CD přímo od autora toho Password Editoru, chvíli marně hledal CD-RW, ale protože se mi nechtělo běžet zase k sousedovi (už potřetí) jen pro CD, tak jsem nakonec vytrhl jedno zapomenuté v autorádiu, obětoval MP3 a vypálil ten editor. Opět přeběh k sousedovi, boot, vynulovat heslo Administrátora, uložit, restart... A nic, Administrátor se stále nemohl přihlásit. No nic, tak zpět do Password Editoru, a hle - účet Administrátor byl taky zamčený! :-) Takže jsem už nezaváhal, odemkl všechny účty a vynuloval všechna hesla, znovu uložil, restart a konečně úspěch. Za slabou hodinku jsem to měl :-) Poučení: když neznáš heslo Administrátora, nepouštěj se do úklidu účtů a hesel. A pro "uklidnění": dej si heslo do Windows XP jak skvělé/tajné/dlouhé/neprůstřelné chceš, stejně jde jednoduše změnit, když někdo nastartuje počítač z CD.

Další případ byl trošku jiný, ale stále o heslech: volal mi člověk, že ho jeho VoIP telefonní operátor tak dlouho přemlouval, ať si změní své heslo k svému účtu na webovém rozhraní u operátora (kde je billing, výpisy telefonních hovorů a další důvěrné údaje, což by jistě mělo být zabezpečeno dobrým heslem), až podlehl a heslo si změnil. V tu chvíli se mu ovšem odmlčel telefon, protože VoIP adaptér používá stejné heslo pro autentikaci na SIP serveru. A to on si změnit neuměl, Sipuru jsem mu kdysi nastavil já a on od té doby neměl zapotřebí do ní chodit, ani nevěděl kudy a jak.

Tak jsem přišel, seznámil se s novou topologií jeho domácí LAN (dva routery, dvojitý NAT, dva DHCP servery) a pokusně začal hledat IP adresu Sipury (litujíc, že jsem si nevzal nějaké živé Linux CD , protože nmap by to našel raz-dva). Se štěstím jsem to napotřetí trefil, v rozhraní pak už rychle našel a nastavil heslo a tentokrát bylo za pět minut hotovo - telefon opět fungoval. Poučení z toho nejspíš je, že změna hesla účtu se musí provést až po zamyšlení, kdo všechno se ještě ke stejnému účtu může přihlašovat, a změnit všechna tato hesla na všech počítačích/zařízeních zároveň.

Třetí případ se táhl už déle, jednalo se o Pidginy v Ubuntu 8.04 LTS, které se z ničeho nic přestaly hlásit k českému Jabber serveru. Věděl jsem, že ICQ měnilo protokol a to si vynutilo upgrade Pidginů, ale netušil jsem, jak to může souviset s nefunkčností Jabbera. Osobně jsem nic nezaznamenal, možná proto,že doma už mám všude Ubuntu 8.10, anebo ještě spíš proto, že jsem nedávno přešel na Gajim.

Po upgrade na poslední verzi Pidgina (2.5.5) se k účtům pořád nemohli přihlásit, tak jsem je nechal vyzkoušet si, jestli jim ještě fungují jejich účty, na webovém Jabbim klientu. Účty i hesla jim fungovaly, tak jsem ještě chvíli pátral na špatných místech, než jsem je přiměl znovu zadat do Pidgina hesla, která údajně už roky neměnili ani tam, ani jinde. A to skutečně pomohlo a všechno začalo zase fungovat. Nevím přesně, kde mohl být problém, ale moje hypotéza je, že některý z ICQ vynucených upgradů Pidgina ve stabilní řadě Ubuntu 8.04 (LTS!) změnil formát uložení hesla a tím stará hesla zneplatnil. Když jsem je ovšem viděl si ta hesla rozpomínat, jak si to navzájem připomínali slovy "to je to tvoje jediné heslo, máš ho všude stejné", zamyslel jsem se nad svým přístupem k heslům.

Samozřejmě ctím, že není správné/bezpečné mít jedno heslo na přihlašování všude, takže jsem používal na důležité věci silná hesla, a na nedůležitá jedno stabilní heslo. Postupně, jak jsem se hlásil do více a více webových služeb, tak jsem kvůli bezpečnosti začal vymýšlet nová hesla i pro relativně nedůležité věci, ale jejich správu (tj. hlavně zapamatování) jsem nechávám plně na správci hesel ve Firefoxu (primárním browseru). Bohužel se ovšem při jednom upgrade Firefoxu (odhadem tak mezi verzemi 3.02 - 3.04) stalo, že kvůli chybičce na chvíli znepřístupnil všechna zapamatovaná hesla. A v tu chvíli se ukázalo, jak moc jsem na něj spoléhal a kolik hesel jsem si vlastně už nepamatoval!

Po této zkušenosti jsem se definitivně rozhodl, že si hesla začnu psát někam na (elektronický) papír. A kupodivu jsme jich shromáždil už poměrně dost - prozatím jsem si jich vzpomněl či znovuzaložil 26 (většinou jsou to různá webová fóra či webové účty k určitým službám), a je otázkou, kolik jsem si jich ani nevzpomněl, ale zatím nepotřeboval.

Takže pro mě momentálně platí, že přihlašovací údaje by sice měly být různé (ideálně pro každý web jiné heslo), ale rozhodně někde poznačené, protože jinak si už se svou rychle se obnovující pamětí ani neškrtnu... A teď se ukáže, za jak dlouho se budu muset dobývat do počítače sám sobě! :-)

Žádné komentáře:

Okomentovat