Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: Vít Šesták (v6ak) 21. 04. 2011, 15:29:28

Název: Lepší žádné heslo než slabé?
Přispěvatel: Vít Šesták (v6ak) 21. 04. 2011, 15:29:28
Mohl by mi někdo pomoci potvrdit/vyvrátit myšlenku, že na Windows je lepší mít u admina prázdné heslo než mít heslo slabé?

O co jde? Pokud zkusím něco ve stylu runas /user:admin cmd, pak jsou podle mých zkušeností dvě možnosti (asi ne možný udělat nějaký speciální zákaz, při kterém toto platit nebude):
1. Uživatel admin má heslo. Pak jsem dotázán na heslo a v případě jeho správného vložení je mi akce povolena.
2. Uživatel admin nemá heslo. Pak je spuštění zakázáno.

Něco do jisté míry podobného jsem našel v postu http://blog.securitywhole.com/2009/05/16/make-windows-more-secure-and-use-a-blank-password.aspx .

Samozřejmě, nemám namysli situaci, kdy má útočník přímo fyzický přístup k počítači. Pak ale může i bootovat a podobně, takže tam až takový rozdíl asi taky nebude.

Co si o tom myslíte?
Název: Re: Windows: Admin radši bez hesla než se slabým heslem?
Přispěvatel: smoofy 21. 04. 2011, 15:41:58
Tohle bude pravdepodobne defaultni chovani Windows. Urcite to pujde zmenit, aby i pri zadanem hesle bylo spusteni blokovano ne?
Název: Re: Windows: Admin radši bez hesla než se slabým heslem?
Přispěvatel: Ferda 21. 04. 2011, 21:19:18
Souhlasim, to je dobra myslenka. Presne ve stylu "Kdo chce zhubnout, musi hodne jist a hodne spat, aby telo melo silu se obezite branit".
Název: Re: Windows: Admin radši bez hesla než se slabým heslem?
Přispěvatel: Vít Šesták (v6ak) 21. 04. 2011, 22:52:36
smoofy: To asi ano, dokonce jsem to myslel oním 'speciálním zákazem', ale:
* Mohlo by jít o mnoho zákazů na mnoha místech a mohlo by býýt snadné něco vynechat. U admina bez hesla spíše očekávám, že se MS o to postaral důkladně. Jistý si s tím ale nejsem, tak se radši ptám.
* Nechci to použít k zabezpečení svého počítače. Jde mi spíš o to, jestli je vhodné radit 'radši žádné heslo než slabé heslo', nebo jestli to má nějaký nedostatek. Radit 'Radši si tam nějaké heslo dej, ale zakaž tady tento pytel věcí.' asi nebude ideální z více důvodů.

Ferda: Ke svému nápadu jsem dal určité věcné podklady, ale neříkám, že je dokonalý. Pokud si myslíš, že jsem tu něco nedomyslel, rád si to poslechnu. Ale byl bych rád za věcné argumenty. To, že to zní paradoxně, vím. Ale to ještě neznamená, že to nemůže být pravda, stejně jako třeba cs.wikipedia.org/wiki/Hydrodynamický_paradox .
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: JS 22. 04. 2011, 10:00:45
Nejak to nechapu. Zda se mi to jako absurdni argumentace. Uvazme 2 scenare:

1. Pouzivate usera admin pro praci. Pak vam to, ze neco pod nim nepujde spustit bude prekazet. Takze tam heslo mit musite.

2. Nepouzivate usera admin pro praci. Pak je asi lepsi ho rovnou zakazat nez plasit s heslem.
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: smoofy 22. 04. 2011, 10:53:31
to JS:
Na tom tvem prispevku neco bude :).

Na druhou stranu se naskyta otazka, pokud uz teda admin ucet pouzivam, jak silne mit heslo ze? Ja osobne jsem na svem pocitacti kdyz jsem jeste pouzival widle nikdy admin heslo nemel, pouzival jsem je pouze ve firmach, aby se v tom pocitaci nikdo nehrabal, ale asi to vyplynulo z toho ze jsem nemel problem reinstalovat widle treba i vicekrate do tydne, coz se mi u firemnich pocitacu nechtelo, a asi by mne za to zabili :)
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: Vít Šesták (v6ak) 22. 04. 2011, 21:11:05
No je pravda, že ačkoli to přes runas nejde, tak třeba při spuštění instalátoru se zobrazí GUI a tam to jde. Ale nevím, jaká je zde reálná možnost zneužití - jestli nějaká aplikace zde může "kliknout" za uživatele na ono OK. Pokud ano, pak by to bylo divné a polovičaté řešení. Takže, v tomto případě se mi to nejeví jako nesmysl, pokud teda MS něco nepodělal.

A pokud bych si admina zablokoval, tak jak bych pak řešil nějakou příležitostnou instalaci? Celkově mi zablokování admina nedává smysl. (No dobře, přes UBCD by to mělo jít obejít, ale...)
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: KapitánRUM 07. 07. 2011, 10:39:30
GPO
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: Ondřej Novák 07. 07. 2011, 13:16:18
Ale nevím, jaká je zde reálná možnost zneužití - jestli nějaká aplikace zde může "kliknout" za uživatele na ono OK.

Pokud jde o UAC, pak neda a to ani s aplikaci bezici s povysenymi pravy... vyzkouseno se synergy... taky je to pekna otrava, protoze UAC okna nemohu potvrzovat vzdalene mysi. Jinak aplikace bezici s povysenymi pravy nelze ovladat normalni aplikaci, ty eventy poslane mysi ci klavesnici se proste neprovedou.

Slo by to na urovni ovladacu mysi a k tomu uz je potreba admin ucet, takze je to k slepa cesta
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: Olaf 11. 07. 2011, 10:33:16
Jedna z "oprav" Windows XP měla vyřešit díru, kdy se dalo využít prázdného hesla uživatele (nejen admina). V možnostech zabezpečení přibyla položka "Účty: Omezit použití prázdné hesla místního účtu pouze pro přihlášení ke konzole." (prázdné hesla - to je citace, ne překlep). Tím se mj. znemožnilo použít runas pro účty s prázdným heslem.

Ta díra vznikla mj. proto, že Microsoft vydal Home edition. Řada uživatelů této edice dodnes netuší, že v jejich systému nějaký účet "Administrator" existuje. Navíc většinou právě s prázným heslem, protože ho při instalaci nikdo nezadal.

PS: Výchozí účet "Administrator" (SID končí -500) nelze uzamknout ani odstranit, pouze přejmenovat. To ostatně vřele doporučuji.

UAC přišlo až s Win Vista, ale to je jiná kapitola. Na UAC u Vist se pak hodí rčení ode zdi ke zdi.
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: Xjmeno363lkmlk 11. 07. 2011, 13:30:03
sakra co řešíš? dej blokaci vzdáleného přihlášení a heslo deaktivuj. Když ti fbi vleze do baráku a zmáčknou ti koule ve svěráku, tak už tě stejně žádný heslo nezachrání

Na desktopech by měla být všechna hesla deaktivována a to platí i pro linux (zvlášť pro něj) - pak to vede jenom k tomu, že maj sekretářky hesla nalepený žlutejma papírkama na monitoru
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: tuxmartin 12. 07. 2011, 01:24:11
Pokud zkusím něco ve stylu runas /user:admin cmd
2. Uživatel admin nemá heslo. Pak je spuštění zakázáno.

A co se prihlasit bez hesla na admina a ten program spustit rovnou pod nim?
Název: Re: Lepší žádné heslo než slabé?
Přispěvatel: Pavel 'TIGER' Růžička 12. 07. 2011, 15:32:35
Podle mne i slabé heslo má nějký smysl, než žádné. Avšak stále si myslím, že všechno se dá obejít. U windowsů to platí minimálně dvakrát.