| niekt0 | k$!@a, p%^a, riesit nove forum na google docs dokumente ktory mi nedovoli pridavat obsah neprihlasenemu, to je taka michalkovina | 12:59 |
|---|---|---|
| niekt0 | mozno som iba trotel a nemam dost novy browser aby mi to fungovalo | 13:19 |
| *** Joins: scippio (542aa68d@gateway/web/freenode/ip.84.42.166.141) | 13:21 | |
| *** Joins: malajanka (~malajanka@ip-89-177-107-249.net.upcbroadband.cz) | 14:43 | |
| olidstva | stale vic a vic premejslim ze navrhnu abychom udelali RK a KK volenou losem na jeden pripad | 15:05 |
| malajanka | ? | 15:33 |
| *** Quits: malajanka (~malajanka@ip-89-177-107-249.net.upcbroadband.cz) (Quit: Lost terminal) | 16:32 | |
| *** Quits: scippio (542aa68d@gateway/web/freenode/ip.84.42.166.141) (Quit: Page closed) | 17:29 | |
| mmn_ | lnovy: Případ bezpečnostní politiky v organisaci, kde pracuji. Po několika nesprávných pokusech o zadání hesla se uživatelský účet na nějakou chvíli (dejme tomu půl hodiny) zablokuje. Co na to mám našim ajťákům říci, resp. mohou použít nějaké relevantní argumenty ospravedlňující takovou politiku? | 20:34 |
| mmn_ | lnovy: Mně to samozřejmě jako uživateli pije krev, protože takhle kdokoliv komukoliv může DoSnout účet. | 20:34 |
| klip | hesla jsou hrozny zlo. me se libej certifikaty v browseru - webid-tls | 20:55 |
| mmn_ | Jo, na to, že máme na všechny věci jedno heslo, jsem si už na našem servicedesku stěžoval mnohokrát. | 21:09 |
| mmn_ | Ty certifikáty by však neměly být IMHO jen v browseru, ale i třeba na IMAP a další služby (minimálně co zařízení, to certifikát). | 21:10 |
| mmn_ | + k tomu nějaká stránka, kde by si uživatel sám mohl nastavit, co který certifikát smí, resp. měl by mít možnost (nechat) si vydat certifikát k libovolné množině služeb. | 21:13 |
| mmn_ | + by mohl vidět logy přístupů k vlastnímu účtu. | 21:13 |
| lnovy | reseni je nekolik, ta jejich politika vychazi z toho, ze overovani hesla na serveru je mnohem narocnejsi nez je zatez pro klienta. to muzes vyresit bud tak, ze | 22:38 |
| lnovy | 1, zjednodusis praci na serveru (velmi spatne) | 22:39 |
| lnovy | 2. omezis pocet pokusu per ucet (spatne) | 22:39 |
| lnovy | 3. omezis pocet pokus per utocvnik (tezko se dela, ale v podstate staci sikovne zkontrolovat s nasledujicim) | 22:40 |
| lnovy | 4, ztizit praci na klientovi | 22:40 |
| lnovy | k tomu, aby mohl udelat v urcitem limitu dalsi pokus po neuspesnem pokusu, musi dodat nejakej proof of work | 22:41 |
| lnovy | posles mu treba nahodnej string a nechas ho k tomu vymyslet druhej string takovej, aby sha-256(sha-256(concat) bylo < x | 22:42 |
| lnovy | a x se ti s poctem neuspesnych pokusu snizuje (ne ale do nekonecna) | 22:42 |
| lnovy | nebo ten proof-of-work hashovaci nahradis recaptchou | 22:42 |
| lnovy | pricemz kombinace s (3) se provadi tak, ze per ipv4. mas treba 3 pokusy zadarmo, pro ipv6 to neplati. | 22:43 |
| lnovy | dalsi moznost je, ze to prokombinujes s 2FA a nechas ho k heslu pripojit sestimistnej nonce, ten overujes prvni a az nasledne overujes heslo. a samozrejme limitujes pocet pokusu per ucet... tam je o o chlup jeste slozitejsi, ale cesta tam je. | 22:46 |
| lnovy | podobne k tematu jsou samozrejme certifikay a overovani systemem podobnym kerberosu, kdy mas jenom jeden bod, kde na zaklade hesla ci certifikatu dostanes ticket-granting-ticket, ten potom pouzivas k vydani normalniho ticketu, kterej potom pouzivas na jednotlivych sluzbach jako jednorazove heslo. | 22:48 |
| lnovy | mmn_: ^ | 22:49 |
| lnovy | dotazy pozdeji :) | 22:49 |
Generated by irclog2html.py 2.14.0 by Marius Gedminas - find it at mg.pov.lt!