Otázka:
Je tajná konverzace WhatsApp nebo Facebook Messenger rozumnou metodou pro přenos hesel?
Tim
2017-05-30 01:26:03 UTC
view on stackexchange narkive permalink

Mám v naší rodině účet Netflix, což znamená, že mám heslo.

Je to zabezpečené heslo se 16 znaky, včetně symbolů, čísel a velkých písmen, například 3? TeJ) 6RK] 4Z_a>c , který má kolem 80 bitů entropie.

Toto heslo však musím sdílet s ostatními členy rodiny, aby se k němu mohli také přihlásit. Je pro to použití tajné konverzace WhatsApp nebo Facebook Messenger přijatelnou metodou?

Existují lepší metody?

Pojďme [pokračovat v této diskusi v chatu] (http://chat.stackexchange.com/rooms/59640/discussion-b Between-tim-and-restioson).
Jen proto, že to nemohu přečíst, aniž bych to řekl .... To heslo je zbytečně tvrdé, 4 slova dohromady by udělala stejně a nebudete je muset sdílet (jak si to pamatují, protože to není náhodná bandapostavy).https://xkcd.com/936/
@EpicKip Toto se objevilo v komentářích, které byly odstraněny - je to vlastně bezpečnější než čtyři slova (to je 80 bitů entropie), zatímco 4 slova jsou 48. Samozřejmě, 48 bitů je pro účet Netflix dost, ale nemám důvodvygenerujte méně bezpečné heslo jen proto, že účet je méně kritický.Můj správce hesel je generuje.Také si nikdo nepamatuje 4 slova, když je uslyší poprvé.Bylo by to jednodušší po telefonu.
1. záleží na slovech (s kalkulačkami entropie můžu snadno vytvořit čtyřslovné heslo, které je vaše)
@EpicKip Jistě, ale není třeba si to pamatovat (můj počítač to dělá) a příklad XKCD v nominální hodnotě je méně bezpečný.Také můj pravopis není tak dobrý, takže slova nemusí být nejlepší!
Je ale třeba jej posílat, což nikdy není dobrý nápad, pouze vyslovení „zabezpečených hesel“ nemusí být nutně bezpečnější
@tim použít pět nebo více slov je.„Správný kůň identifikuje svorku baterie“ nebo něco takového.Ve chvíli, kdy si to z nějakého důvodu potřebujete zapsat, už to děláte nejistým!
@TSar čekáte, že si zapamatuji 200 hesel každých 5 slov !?To se nestane!Bez ohledu na heslo, které používám, potřebuji šifrovaného správce hesel (používám Enpass) a můj správce generuje tato hesla, ale ne ta slovní.
@Tim Pokud používáte tolik hesel, je nejlepším způsobem, jak je uložit, správce hesel.Mějte však na paměti, že pokud je tento konkrétní případ použití pro sdílené heslo, ne pro uložení několika z nich.Pro jediné sdílené heslo si myslím, že přístupová fráze by byla lepší volba!
K tomu můžete vždy použít snapchat!
@Tim Zde je důvod vygenerovat méně bezpečné heslo;sdílíte to a oni nepoužívají vašeho správce hesel.
„3? TeJ) 6RK] 4Z_a> c` má 16 znaků.Při pouhém použití a-Z budete potřebovat heslo o délce 20 znaků, aby bylo obtížnější zlomit hrubou sílu, s přihlédnutím k tomu, že hacker VÍ, že používáte pouze a-Z.`Netflix = MoviesForTheEntireFamily` je heslo, které si snadno zapamatujete a mnohem mnohem silnější než vaše aktuální heslo.
@Laoujin S úctou, pokud někdo chce hrubou silou vynutit moje heslo * Netflix * a může spravovat „3? TeJ) 6RK] 4Z_a> c`, myslím, že bude moci získat i vaše navrhované heslo.V obou případech, pokud zkoušejí hesla s 80 bity entropie, myslím, že jsou docela zoufalí, aby se dostali dovnitř, přestanou se snažit hrubou silou a začnou mě bít klíčem.Útoky hrubou silou nejsou něco, co mě znepokojuje mým heslem.https://xkcd.com/538/
@Laoujin Ve skutečnosti na základě entropických měr XKCD získávám vaše heslo jako 83 bitů entropie - jen těsně nad mým.To předpokládá 6 běžných slov (66), každé může být psáno velkými písmeny (6), interpunkční znaménko (4) v jedné z 5 pozic (2).Bez ohledu na to, jaké heslo si vyberu, díváme se na 1000násobný věk vesmíru, abychom jej hrubě donutili, takže pro vyjasnění nejsem ani trochu znepokojen „silou“ tohoto hesla.Pamatuji si, že to také není problém.Nikdo si toto heslo nemusí pamatovat.
Jen stranou, to bude zvíře psát na dálkovém ovladači :)
@eckes To je něco, o čem jsem neuvažoval.Naštěstí máme spíše Chromecast než inteligentní televizi.
Třináct odpovědi:
David
2017-05-30 02:52:48 UTC
view on stackexchange narkive permalink

Jak Facebook Messenger (pomocí tajných konverzací), tak WhatsApp implementují šifrování typu end-to-end, což znamená, že při odesílání zprávy je váš text šifrován v počítači a dešifrován v cílovém počítači. Text vašich zpráv nevidí nikdo mezi tím, pokud neporuší šifrování, což se z praktických důvodů nestane (pokud se nestanete předmětem vyšetřování národní bezpečnosti, v takovém případě máte větší problémy než sdílení hesla k Netflixu s winks v NSA).

Mějte však na paměti, že šifrování typu end-to-end chrání pouze samotný komunikační kanál. Nechrání vás před hrozbami, jako jsou:

  • Malware, například keyloggery nebo grabbery obrazovky, které byly nainstalovány na váš počítač nebo cílový počítač
  • Přátelé / rodina, kteří rozhodnete se znovu sdílet nebo změnit své heslo bez vašeho svolení
  • Netflix, který tyto věci sleduje a uvidí, že váš účet je používán na více geografických místech, a proto bude pravděpodobně sdílen v rozporu s podmínkami služby. Netflix má plány, které umožňují více streamů mezi členy rodiny, takže to samo o sobě není problém, který by bylo možné vyřešit, pokud vaše heslo nebude nějakým způsobem široce sdíleno.
  • Vymáhání práva, pokud náhodou žijete v oblasti kriminalizoval sdílení hesel
  • Jak uvedl Daniel v komentářích, Facebook (který vlastní jak Facebook Messenger, tak WhatsApp) by mohl omylem poskytnout slabé zabezpečení nebo se podílet na narušení bezpečnosti uživatelů (např. za účelem podpory vyšetřování při vymáhání práva). Jelikož proprietární aplikace (nikoli otevřený zdroj), žádný z těchto softwarů nebyl prověřen externími bezpečnostními výzkumníky, takže Facebook může mít špatnou implementaci nebo může kopírovat / kontrolovat vaše data na zdrojovém nebo cílovém zařízení. Vzhledem k tomu, že tyto aplikace vytvářejí a kontrolují šifrovací klíče používané k implementaci šifrování typu end-to-end, musíte předpokládat, že Facebook může šifrování prolomit, pokud si to přejí (nebo komukoli, komu by klíče dal, např. Vymáhání práva).
  • Další vynikající poznámka od Gert van den Berga v komentářích: některé aplikace pro zasílání zpráv se automaticky zálohují do cloudu. Zabezpečení kolem cloudového úložiště není zdaleka tak silné jako šifrování typu end-to-end používané v komunikačním kanálu. Podívejte se například na útoky Fappening, kde najdete další informace o tom, jak cloud představuje hrozbu pro ochranu dat. (I pro údajně smazaná data!)
Možná by stálo za to dodat, že donucovací orgány nebudou muset prolomit šifrování, požádají WhatsApp nebo facebook o prosté textové zprávy a WhatsApp je dodá, aniž by o tom informoval uživatele.(WhatApp možná bude muset načíst klíč ze zařízení uživatelů, aby dešifroval zprávy, aby je stále prodával jako šifrování typu end-to-end, ale mohli by to udělat i bez informování uživatelů)
@daniel: WhatsApp sám musí být schopen dešifrovat zprávy (aby se zobrazily na obrazovce), takže s nimi jejich aplikace nemůže dělat nic.
@BoundaryImposition WhatsApp * aplikace * musí být schopna to udělat;WhatsApp * organizace * (kteří jsou vlastně nyní jen pobočkou Facebooku) nyní nemůže.Pokud máte přístup k telefonu, všechny sázky jsou vypnuté - pak jste odkázáni na uzamčenou obrazovku a šifrování úložiště na zařízení, které zůstanou zabezpečené, abyste zabránili uživateli jednoduše se přihlašovat a posouvat obrazovku a najít ji.
@IMSoP: WhatsApp organizace vytvoří WhatsApp aplikaci.Jsou to lidé, kteří píší kód běžící na vašem telefonu.Může dělat cokoli.
@BoundaryImposition Ano, mají schopnost implementovat backdoor předem;to platí o každém softwaru, kterému důvěřujete při provádění šifrování, a to až po hardwarový šifrovací modul.Pokud tak neučinili, nedovolí jim to dešifrovat dříve odeslané zprávy, aniž by museli telefon odemknout a nainstalovat zadní vrátka (v tom okamžiku si můžete zprávy přečíst bez zadních vrátek).
@IMSoP: Nikdy jsem netvrdil, že tato schopnost byla omezena na WhatsApp.Jde o to, že používáte kód někoho jiného, takže je to, jako by měl fyzický přístup k vašemu zařízení a lidé na to zapomněli.
@BoundaryImposition „používáte kód někoho jiného, takže je to, jako by měl fyzický přístup k vašemu zařízení.“ Omlouvám se, chápu to, ale ta věta prostě není pravdivá.
@xDaizu: No, to _ je_ pravda, ale samozřejmě můžete souhlasit :)
Co, zatím nikdo nezveřejnil [tento XKCD] (https://xkcd.com/538/) ?!
@BoundaryImposition Není to úplně to samé jako fyzický přístup - kód lze spustit pouze v rámci jakýchkoli oprávnění, která má, nebo využívat zranitelná místa k obcházení těchto oprávnění vs. fyzický přístup, kde můžete dělat, co chcete.S tím, co jsem řekl, si myslím, že se zde každý hýbe podrobnostmi.Jde o to, že máte pravdu, když říkáte, že tento řádek v odpovědi není přesný: „Text vašich zpráv není mezi ostatními viditelný, pokud neporuší šifrování.“Pokud ovládáte aplikaci, není nutné prolomit šifrování.
Mezi další rizika patří automatické zálohy Whatsapp na zařízení a Disk Google, který používá nižší stupeň šifrování než komunikační kanál ... https://qz.com/656035/whatsapps-new-encryption-wont-protect-you-unless-ty také děláš-všechno-tyhle věci /
K bodu Netflix ToS: zdá se, že v tuto chvíli Netflix pohlíží na sdílení hesel s ostatními jako na první krok při získávání více uživatelů a neplánuje jít za těmi, kteří hesla sdílejí.V tuto chvíli se domnívám, že komentovali pouze sdílení v rámci rodiny (jak vyplývá z otázky), což by se v budoucnu mohlo změnit.Zde je odkaz na slušný článek s více odkazy v něm: https://techcrunch.com/2016/07/11/psst-its-still-okay-to-share-your-netflix-password/
@Gallifreyan Jak se to stalo, neznám toto heslo.To, že mě mlátí klíčem, by je nedostalo tak daleko!Potřebovali by heslo pro můj počítač (normálně odemčený) nebo telefon (6 číslic / otisk prstu) plus heslo pro mého správce hesel (12 náhodných znaků / otisk prstu).Zdá se, že mi stačí odříznout prst, abych mohl sledovat můj netflix: P
@David Tvrdíte, že se používá šifrování typu end-to-end.Máte spolehlivý zdroj, který podporuje vaše prohlášení?Opravdu si nemyslím, že takovému prohlášení pocházejícímu od společnosti jako Facebook / WhasApp lze v dnešní době důvěřovat.
@Forivin Bylo to nahlášeno jako takové v médiích (stačí to vygooglit), ale tyto zprávy jsou vždy vysledovány zpět k samotnému Facebooku.Jak již bylo řečeno, je to proprietární kód a větší komunita jej nekontrolovala.
ISMSDEV
2017-05-30 01:31:36 UTC
view on stackexchange narkive permalink

„Přijatelné“ je relativní vzhledem k úrovni rizika, které chcete přijmout.

Osobně si myslím, že WhatsApp je k tomu vhodný. Protože má dobré šifrování typu end-to-end. Ale také bych si myslel, že Facebook je v pořádku jen proto, že je to heslo pro Netflix a ne vaše banka.

Jak říkám. Je to na vás a vaší rizikové chuti k jídlu. Osobně bych byl více než šťastný, když používám WhatsApp se svou rodinou.

WhatsApp dělá špinavé věci s přihlašovacími tokeny v místní síti.Někteří moji spolubydlící byli schopni zfalšovat účet, který na laně na chvíli čichali (token platil asi 12 hodin).Byl to pro ně doslova zábavný víkendový projekt ...
@Aaron Takže pokud pravidelně navštěvuji kavárnu, někdo by mohl získat moje účty?
@Tim teoreticky ano.mít svůj přihlašovací token umožňuje jinému uživateli přihlásit se po určitou dobu jako vy.až přijde čas znovu vygenerovat tento token, nebudou to moci bez údajů o vašem účtu.Pokud používáte nezabezpečenou wifi, důrazně doporučuji použít VPN nebo mobilní data.
@Aaron A co zabezpečené, ale nedůvěryhodné (univerzita, restaurace s heslem)?
@Tim WPA-PSK (předem sdílený klíč) umožní komukoli zobrazit váš provoz, pokud má také heslo k wifi (toto je typická rezidenční konfigurace stejně jako mnoho menších podniků) Ověřování EAP může poskytovat větší zabezpečení v závislosti na tom, jak je implementovánoa je standardem pro větší podniky a univerzity (wifi, kde máte jedinečné uživatelské jméno a heslo. Poznámka: uživatelské jméno a heslo by bylo zadáno v nastavení wifi, nikoli na webové stránce (to se nazývá captive portál a má obecně odlišné použití (ne kvůli bezpečnosti)))
@Tim Chtěl bych jen poukázat na to, že i když tyto chyby zabezpečení mohou existovat, do značné míry všechny zahrnují někoho, kdo potřebuje být fyzicky v dosahu wifi, které používáte, víte, že budete přenášet citlivé informace a chcetekonkrétně tě špehuj.Kombinace všech těchto věcí je docela nepravděpodobná.
SecretSasquatch
2017-05-30 02:08:26 UTC
view on stackexchange narkive permalink

V případě hesla Netflix bude předání hesla přes FB Messenger nebo WhatsApp dostatečně bezpečné. Během přenosu budou data šifrována pomocí moderních šifrovacích technologií. Pamatujte však, že heslo bude viditelné v doručené poště i ve složce příjemce - v prostém textu. To může představovat riziko, pokud bude prolomen účet Messenger / WhatsApp příjemce (nebo váš vlastní účet).

Hypoteticky, pokud posíláte zprávy s důvěrnými informacemi týkajícími se, řekněme, národní bezpečnosti - pak bych nedoporučujeme odesílat tato citlivá data napříč těmito typy platforem pro zasílání zpráv. Realita je taková, že „pravomoci“, které mohou mít schopnost získávat vaše chatovací protokoly z těchto služeb zasílání zpráv, by tak činily pouze v případě, že by informace, které hledali, byly vysoce cenné.

Z toho, co si pamatuji, „tajné konverzace“ FB používají klíče specifické pro zařízení, takže z kompromisu účtu by neměly unikat konverzace.Ale myslím si, že je možné nechat si poslat budoucí tajné konverzace na nové zařízení (poté, co se útočník dostane na váš účet), takže v budoucnu můžete být „zachyceni“.
Ano, každý konvoj je pouze mezi dvěma zařízeními.Moje heslo k Facebooku je však 100% oblastí slabosti - musím toto heslo aktualizovat.
Rob Gwynn-Jones
2017-05-30 10:13:48 UTC
view on stackexchange narkive permalink

I když jiní poukazují na to, že zejména heslo Netflix nemusí být nejcennějším aktivem na světě, já osobně dávám přednost používání osvědčených postupů, kde je to možné, což by podle mého názoru většina souhlasila, včetně nepřenášení hesel elektronicky, pokud je to možné. p>

Moje žena i já používáme KeePass a pro hesla, která oba potřebujeme (včetně Netflixu), jsem prošel jednorázovým procesem ručního zadávání hesla do jejího KeePass DB. Pokud to někdy budeme muset změnit, stane se to také ručně.

Je to přehnané? Možná. Proti tomu bych se zeptal - proč ne? Opravdu to není taková nepříjemnost a každý má ve zvyku nesdílit hesla prostřednictvím lístku s poznámkou nebo e-mailu. Navíc si nemusíte dělat starosti s tím, že NSA tajně přiměje Facebook k dešifrování vašich zpráv, aby mohla sledovat House of Cards na váš cent :)

_ „Proč ne? Opravdu to není taková nepříjemnost.“ _ No jistě, pokud žijete ve stejném domě nebo poblíž.Co když jste tři hodiny pryč?Pět?Dvanáct?Dvacet čtyři hodin a letenky £ 5 000?Teď to není tak pohodlné!
Jistě, stejně jako cokoli jiného, jde o vážení kladů a záporů a nebýt dogmatický.Jen jsem si myslel, že přidám úhel pohledu, který ještě nebyl v této diskusi sdílen :)
Velmi pochybuji, že NSA je zajímavá při krádeži hesel lidí k Netflixu ke sledování House of Cards.Pravděpodobně zachycují a dešifrují stream videa, jak se hraje, a sledují ho takhle :)
Jednou z možností by bylo mít sdílenou databázi keepass a odeslat ji nebo ji uložit online zašifrovanou předem sdíleným klíčem.Někteří další správci hesel, například lastpass, mají zařízení pro sdílení hesel, kde můžete toto jedno heslo sdílet s jiným uživatelem.
Serge Ballesta
2017-05-30 12:55:09 UTC
view on stackexchange narkive permalink

Měli byste si uvědomit, že šifrování Whatsapp od začátku do konce nemůže být to, co očekáváte. Protokol používaný společností Whatsapp je skutečně bezpečný, ale vypadá to, že implementace si zvolila snadné použití nad bezpečností. Bylo o tom diskutováno na Zabezpečení Whatsapp a komentář poskytl odkaz na Guardian s vysvětlením, že

Může být použita chyba zabezpečení umožnit Facebooku a ostatním zachytit a přečíst šifrované zprávy bylo nalezeno v rámci služby zasílání zpráv WhatsApp
...

WhatsApp má však schopnost vynutit generování nových šifrovacích klíčů pro offline uživatele , bez vědomí odesílatele a příjemce zpráv, a aby odesílatel znovu zašifroval zprávy pomocí nových klíčů a odeslal je znovu pro všechny zprávy, které nebyly označeny jako doručené.

Příjemce není vytvořen vědomi této změny v šifrování, zatímco odesílatel je upozorněn pouze v případě, že se v nastavení přihlásil k upozornění na šifrování, a to pouze po opětovném odeslání zpráv. Toto opětovné šifrování a opětovné vysílání dříve nedoručených zpráv umožňuje WhatsApp zachytit a přečíst zprávy některých uživatelů.

[Whatsapp to ospravedlňuje, když se] bezpečnostní kód kontaktu změnil. Známe nejběžnější důvody, proč k tomu dochází, protože někdo přepnul telefony nebo přeinstaloval WhatsApp. Je to proto, že v mnoha částech světa lidé často mění zařízení a SIM karty. V těchto situacích chceme zajistit, aby zprávy lidí byly doručovány a aby se neztratily při přenosu.

To znamená, že i když je šifrování typu end-to-end, správci Whatsapp mají schopnost provádět odesílající zařízení odešle novou kopii zprávy obsahující heslo s novým šifrovacím klíčem, který znají. Zda je to přijatelné, je na vás, ale pokud jde o mě, dávám přednost šifrované poště S / MIME nebo PGP, která touto zranitelností netrpí.

Tento článek Guardian byl z velké části odhalen.Je to velmi špatné na technické detaily a v zásadě špatné.[Viz podrobnosti zde.] (Https://techcrunch.com/2017/01/20/security-researchers-call-for-guardian-to-retract-false-whatsapp-backdoor-story/)
@samiles: Děkujeme za komentář.Právě jsem si přečetl článek, na který odkazujete.Nic tam neříká, že výpis, který jsem citoval, je špatný: systém umožňuje opětovné odeslání zprávy s jiným klíčem, aby se vyrovnal s tím, že uživatel změní své zařízení a tím i svůj klíč.To znamená, že by systém mohl být subverted, aby znovu odeslal zprávu jinému příjemci, protože akce pochází od serveru, nikoli od uživatele.Můj příspěvek nepředstavuje tuto skutečnost jako zadní vrátka (ochotně využívána), ale jako zranitelnost (může být využívána).A můj příspěvek říká: * protokol ... je skutečně bezpečný *
Je to funkce šifrování typu end-to-end, nikoli bezpečnostní chyba.Říkat lidem (neříkáte, že to děláte, ale mnozí sledují tento článek Guardian), že WhatsApp není bezpečný, je nebezpečné.
@samiles: Nebudu se divit, zda je Whatsapp bezpečný.Protokol typu end-to-end je správně implementován a bezpečný.Ale šifrování typu end-to-end implementované v šifrované poště PGP nebo S / MIME neumožňuje automatické opětovné odesílání pošty s novým klíčem.Odesílatel to musí udělat * ručně *.To je jednoznačně volba designu, která má snadněji použitelnou aplikaci.Neříkám, že je to nepřijatelné nebo dokonce špatné.Jen říkám, že by to mohlo být podvráceno ze serverů Whatsapp, aby bylo možné znovu odeslat zprávu novému příjemci.Každý uživatel pak může provést vlastní hodnocení rizik ...
Souhlasím, jsou to užitečné informace.Ale pokud je WhatsApp stále dost dobrý pro politické disidenty, je to dost dobré pro hesla Netflixu;) Kdykoli je zmíněn tento článek Guardian, stojí za to dodat, že mnoho bezpečnostních profesionálů to považuje za špatnou a nebezpečnou žurnalistiku ...
@samiles pro hominem není platné zdůvodnění.
@Sparhawk Není to pro hominem.Článek v Guardianu je BS.V souvislosti s touto otázkou jsou to zbytečné informace a ve skutečnosti je nebezpečné šířit myšlenku, že WhatsApp není kvůli tomuto konkrétnímu problému bezpečný.
@Sparhawk [Tweety zeynep] (https://twitter.com/zeynep/status/822301430933573632?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fmashable.com%2F2017%2F01%2F20-exf-retract-whatsapp-article% 2F) je skvělé sledovat další informace a proč je šíření doslova nebezpečných informací, nejen nesprávných.
@samiles Omlouváme se, mělo to být jasnější.Měl jsem na mysli tuto část: „Ale pokud je WhatsApp stále dost dobrý pro politické disidenty…“
@Sparhawk Jde o to, že mnoho politických disidentů používá WhatsApp a tento článek v Guardianu přiměl některé z nich, aby si mysleli, že by měli přejít na SMS nebo něco, co je méně soukromé a nebezpečné, a to tak, že sdílení hesla Netflix zjevně není.Ale ano, pěkné vyzvednutí mého „klamu“ ...
@samiles Nikdy jsem to takhle nevykládal.Článek v Guardianu navrhuje Signál jako životaschopnou alternativu ... s čím spíše souhlasím.Nemyslím si, že navrhují něco jiného?(I když jsem příliš líný na to, abych si to přečetl znovu.)
FYI, článek Guardian od té doby [byl změněn] (https://www.theguardian.com/technology/commentisfree/2017/jun/28/flawed-reporting-about-whatsapp) a nyní popisuje problém přesně, pokudjsem znepokojen.Signal, původní implementace Signálního protokolu, touto chybou netrpí a nevlastní ji obří korporace se sídlem v USA, takže jí stále dávám přednost.
Conor Mancone
2017-05-31 02:21:22 UTC
view on stackexchange narkive permalink

Především ve snaze být v rozporu bych chtěl poukázat na to, že heslo je zřídka nejslabším místem v zabezpečení vašeho hesla a ve skutečnosti také zabezpečení hesla vás může ve skutečnosti snížit. Lidé jsou často nejslabším místem, což je skutečnost, která je zde zvlášť použitelná. Vytvořili jste velmi bezpečné (tj. Těžko zapamatovatelné) heslo. S tím nemáte problém, protože své heslo ukládáte do správce hesel. Dělají to však vaši rodinní příslušníci? Jaké jsou šance, že vaši zprávu nechají někde velmi dobře přístupnou, když ji potřebují, protože si ji sami nikdy nemohou pamatovat? Který člen rodiny poté zkopíruje a vloží tuto zprávu a poté si ji pošle e-mailem přes nezabezpečený kanál, aby na ni nezapomněl?

Pravděpodobné je, že bezpečné a zapamatovatelné heslo bude bezpečnější než heslo, které je bezpečné, ale nelze si ho zapamatovat, protože na druhém místě jej někdo uloží nejistým způsobem, protože nemá žádný úmysl si ho zapamatovat. Takže bych řekl, že pokud opravdu chcete zaručit špičkovou bezpečnost, musíte přijít s heslem, které lze snadno zapamatovat. Pak byste jim mohli zavolat a říct jim, o co jde.

XKCD: Vždy stojí za odkaz: https://xkcd.com/936/

Zůstanou přihlášeni k Netflixu.Všimněte si, že XKCD zde není relevantní, protože jejich „bezpečnější“ je méně bezpečný než můj.(Mám téměř 80 bitů entropie).Ale domnívám se, že jsou slabým článkem
zjevně by nikdo ve skutečnosti nepoužíval jako heslo „correcthorsebatterystaple“.Pokud některá slova napíšete velkými písmeny a mezi slova přidáte několik symbolů, pak byste velmi snadno mohli mít více než 80 bitů entropie a stále byste měli zapamatovatelné heslo.
@MaxVernon XKCD velmi rozhodně prosazuje 4 malá slova - a vytváří je spousta generátorů hesel.
@MaxVernon, no, psaní velkých písmen a přidávání symbolů zcela postrádá celý bod pásu.Pokud potřebujete silnější heslo, nepřidávejte triviální extra transformace.Přidejte další slovo nebo dvě.
@MaxVernon někteří lidé by.Dropbox například výslovně zakazuje používání hesla „correcthorsebatterystaple“ jako hesla.Ať už si myslíte, že se jedná pouze o funkci „velikonočního vajíčka“, nebo ne, někdo ji musel zkusit použít k nalezení ...
Sas3
2017-05-31 19:51:29 UTC
view on stackexchange narkive permalink

Pro většinu běžných lidí, jejichž modely hrozeb nezahrnují cílené sledování národních států ani povolení od agentur prosazujících právo, ano - postačuje by šifrování end-to-end WhatsApp.

Jiní poukázali na dvě situace, které pro úplnost zopakuji:

  1. Poskytovatel služeb (v tomto případě FaceBook / WhatsApp) může extrahovat prostý text (dešifrované heslo) za určitých okolností přímo ze zařízení.
  2. Keyloggery a další malware na koncových bodech (telefony / notebooky) samy mohly přímo přistupovat k holému textu.

Jedna technika, kterou používám, když tváří v tvář této situaci je zamlžování samotného kontextu, což zvyšuje obtíž pro protivníka. tj. pošlete heslo, ale ve stejném kanálu nezmiňujte, k čemu slouží; zmínit kontext v samostatném kanálu. např.

Kanál 1: SMS / hlasový hovor: „Hej, za minutu ti pošlu samostatnou zprávu s heslem NetFlix“.

Kanál 2: WhatsApp msg: "Tady je to, o čem jsme právě mluvili: 3?TeJ)6RK]4Z_a>c"

Teun Vink
2017-05-30 10:23:59 UTC
view on stackexchange narkive permalink

Jiní již poukázali na omezené riziko ztráty hesla a použití šifrování typu end-to-end aplikací WhatsApp, ale rád bych upozornil ještě na jednu věc:

mějte na paměti, že toto šifrování typu end-to-end je užitečné pouze pro přenos hesla. Jakmile ji druhá osoba obdrží, může ji v historii chatu zobrazit kdokoli, kdo má přístup k (odemčenému, pokud je to relevantní) telefonu.

Může být dobrý nápad požádat druhou osobu, aby odstranila zprávu ze svého historii chatu, jakmile ji obdrží. Nechcete, aby používali svou historii chatu WhatsApp jako digitální post-it s heslem.

Stačí přidat, facebookové tajné zprávy lze nastavit pomocí funkce automatického mazání časovače podobné snapchatu.Po přečtení tedy není nutné chat ručně mazat.
@MaxPayne, který byste chtěli zařídit, aby byli při odeslání zprávy na správném místě, jinak by skončili s ubrouskem Starbucks s „Timovým heslem pro Netflix 3? TeJ) 6RK] 4Z_a> c“ v kapse.
Chris H
2017-05-30 18:36:53 UTC
view on stackexchange narkive permalink

Za předpokladu, že se o ně postaráte, a vaše vystavení ztrátě tohoto hesla by nebylo příliš špatné (tj. není to vaše banka):

Stále bych byl v pokušení během přenosu jej jednoduše zamlžujte a odešlete klíč na jiný kanál. Např. vzhledem k vašemu příkladu 3? TeJ) 6RK] 4Z_a>c , pošlete 3? TfJ) 6RK] 4Z_b>d , zavolejte jim a řekněte jim, aby přesunuli malá písmena zpět o jedno. Díky tomu je pro surfaře přes rameno k ničemu.

Rovněž bych se během několika zpráv vyhnul zmínce názvu účtu / e-mailu a služby ve stejném vlákně, aby se nezobrazovaly na stejné obrazovce („heslo, které jste chtěli: 3? TeJ ) 6RK] 4Z_a> c "spíše než" heslo pro Netflix: 3? TeJ) 6RK] 4Z_a> c ").

Sdílená databáze hesel online může být bezpečnější , ale s všichni na různých zařízeních je to problém a stále musíte sdílet přihlašovací údaje. I když by to mělo být možné bez zaslání hesla, nebude to triviální projít někoho jednorázově.

Mark
2017-05-31 01:31:55 UTC
view on stackexchange narkive permalink

Varianta A: dotyčné osoby osobně potkáte
Varianta B: zavoláte jim (bůh ví, kdo vám odposlouchal dráty
Varianta C, zašlete jim zašifrovaný dopis šnečí poštou a klíč zašlete jiným znamená. (Jaká je šance, že vás špehují na 2 médiích)
Možnost D: Nezajímá vás to a riskujete to

A není možnost B je dobrý nápad - nejste si jisti, proč to nikdo nenavrhl, C je příliš pomalý a drahý a D je možnost, ale pokud posílám bankovní údaje nebo podobné, může se tato otázka vztahovat.
Phill W.
2017-05-31 15:55:20 UTC
view on stackexchange narkive permalink

Co takhle změnit heslo na něco podobného „všechna vaše křestní jména a stáří, uvedena v pořadí podle věku s mezerou mezi každým slovem“ a pak říct toto ostatním členům vaší rodiny.

Dobře, je nepravděpodobné, že by tam bylo mnoho speciálních znaků, ale samotná délka by měla poskytovat určitou ochranu.

To je docela dobrý nápad - a existuje spousta způsobů, jak to udělat, včetně adresy domu atd.
AnoE
2017-06-02 03:49:46 UTC
view on stackexchange narkive permalink

Jen proto, abych poskytl jiný pohled než všechny ostatní odpovědi:

Ne.

Toto heslo však musím sdílet s ostatními členy rodina, aby se k ní také mohli přihlásit. Je pro to použití tajné konverzace WhatsApp nebo Facebook Messenger přijatelnou metodou?

Ne. Nezáleží ani na tom, že vaše heslo pro Netflix pravděpodobně není tak důležité; ani nezáleží na tom, co Facebook říká o svém šifrování.

Jde o to, že nemůžete vědět, co dělají interně. Šifrují každou zprávu pomocí dalšího hlavního klíče pro odemknutí? Znovu šifrují zprávy? Předpokládám, že ani Whatsapp, ani Facebook (aplikace) nebyly zpětně analyzovány / recenzovány. A i kdyby byly, mohly by být změněny při každé aktualizaci.

Důvodů je mnoho. „Chceme, aby vaše soukromé konverzace byly prohledávatelné - KURZU v nich můžete procházet pouze VY ...“, „Chceme zajistit, aby vaše soukromé konverzace zůstaly aktivní, i když ztratíte telefon“ atd. Atd. je koneckonců jejich hlavní obor.

Nikdy nevíte, nemůžete to skutečně vědět a může se to změnit při jakékoli aktualizaci. To by vám mělo dát dostatek pauzy.

Proč nezáleží na tom, že je to „jen“ Netflix? Protože to vede k uspokojení. Pokud jste zvyklí jen chatovat s vašimi nedůležitými hesly, bude vám to dříve nebo později jedno a pošlete také ta důležitá.

Existují lepší metody?

Jistě. Kryptografie veřejného klíče byla vyvinuta, aby bylo zbytečné zveřejňovat hesla jasně. Požádejte svou rodinu, aby vytvořila soukromé / veřejné klíče, nechte je veřejně posílat jejich veřejné klíče, nechte je navzájem si ověřovat po telefonu nebo při příští schůzce v RL, a pak jste připraveni sdílet všechna tajemství, která se vám líbí, v budoucnu.

Je to proveditelné? Pravděpodobně ne, vzhledem k tomu, že současný zájem široké veřejnosti o bezpečnostní otázky je tak okrajový, jaký je. Ale přesto - lepší.

Pak je tu Threema, která byla recenzována a je přinejmenším otevřeným zdrojem v bezpečnostním oddělení, kde se to počítá. Samozřejmě zde také není triviální zajistit, aby vaše zprávy nebyly šifrovány také směrem k hlavnímu příjemci, ale alespoň máte některé věci k ověření se zdrojem.

Správně, dostávám své 50leté matce a 14leté sourozence k vytváření soukromých a veřejných klíčů ... moje otázka nebyla „jaká je nejlepší volba“, byla „je WhatsApp vhodná“ a vy nepřesvědčil mě o opaku, že WhatsApp je pro tento úkol nevhodný.Re: začíná posílat kritická hesla, proč bych to dělal?Jaká kritická hesla by byla někdy sdílena?
Ztratíte-li telefon, ztratí se i vaše zprávy.To je zřejmé - šifrují pomocí klíčů v zařízení, tak jak je načíst.https://www.whatsapp.com/faq/en/general/24460358 nejenže je tato odpověď neužitečná a paranoidní, je to špatné.A jejich zásady ochrany osobních údajů jsou jasné, že zprávy se neukládají.
Jsme na zabezpečení SE, @Tim.Už jste se rozhodli a já nechápu, proč vůbec kladete otázku.Dal jsem vám odpověď z hlediska * bezpečnosti *.Byl jsem upřímný ve své možnosti, že moje návrhy pravděpodobně nejsou snadno nastavitelné v rodinné síti (ačkoli Threema lze použít, je to jen aplikace).Tvrdím pevně, že je kruté věřit v „bezpečnost“ jakékoli „tajné“ nabídky velkých hráčů, částečně z paranoie a částečně ze zkušeností z posledních let (ve skutečnosti desetiletí).
Ale všiml jsem si, že se nezabýváte body, na které jsem odkazoval.Neukládají zprávy, protože říkají, že ne, a zásady ochrany osobních údajů říkají, že ne a nemohou kvůli šifrování typu end-to-end.Moje mysl nebyla smyšlená, ale neočekával jsem, že lidé navrhnou, aby technicky zdatní lidé vytvořili klíče.Paranoia má pravdu - toto je paranoidní odpověď, kterou jsem požádal o několik bodů objasnění a vy jste nedal žádnou.Re theema.Problém je v tom, že existuje příliš mnoho různých aplikací.Telegram, Theema, je tu spousta.Nechci instalovat 6 aplikací, jednu pro každého z mých bezpečnostních paranoidních přátel.
Pokud upravíte odkaz na tvrzení, která jste vznesli, a objasníte mé otázky, odvolám svůj downvote, ale toto je odpověď, která lidem nepomůže a šíří nesprávné informace.
@Tim, je to v pořádku, můžeme souhlasit s nesouhlasem.To je konec konců hlasování.;)
luizfzs
2017-06-05 21:56:08 UTC
view on stackexchange narkive permalink

Pro bezpečný přenos / jednorázový přístup můžete použít ViaCrypt. Napíšete svůj obsah, vygenerujete jedinečný odkaz a odešlete jej do cíle. Odkaz může být platně otevřen pouze jednou, což znamená, že jakmile na něj někdo klikne, další přístup k odkazu nezobrazí vaši zprávu, protože již byla zneplatněna.

Psaní jako odpověď, protože ji stále nepoužívám ' Nemám pověst komentovat.

To neodpovídá na otázku, protože jsem se ptal, jestli je WhatsApp zabezpečený, ne pro jiné zabezpečené aplikace.
Vím, že @Tim,, proto jsem to chtěl napsat jako komentář, jak je uvedeno v mé odpovědi.Napsal jsem to, protože přidává některé informace týkající se zabezpečeného přenosu, což je kategorie, do které otázka spadá.


Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...