Lepší žádné heslo než slabé?

Lepší žádné heslo než slabé?
« kdy: 21. 04. 2011, 15:29:28 »
Mohl by mi někdo pomoci potvrdit/vyvrátit myšlenku, že na Windows je lepší mít u admina prázdné heslo než mít heslo slabé?

O co jde? Pokud zkusím něco ve stylu runas /user:admin cmd, pak jsou podle mých zkušeností dvě možnosti (asi ne možný udělat nějaký speciální zákaz, při kterém toto platit nebude):
1. Uživatel admin má heslo. Pak jsem dotázán na heslo a v případě jeho správného vložení je mi akce povolena.
2. Uživatel admin nemá heslo. Pak je spuštění zakázáno.

Něco do jisté míry podobného jsem našel v postu http://blog.securitywhole.com/2009/05/16/make-windows-more-secure-and-use-a-blank-password.aspx .

Samozřejmě, nemám namysli situaci, kdy má útočník přímo fyzický přístup k počítači. Pak ale může i bootovat a podobně, takže tam až takový rozdíl asi taky nebude.

Co si o tom myslíte?
« Poslední změna: 22. 04. 2011, 00:06:31 od Petr Krčmář »


smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Windows: Admin radši bez hesla než se slabým heslem?
« Odpověď #1 kdy: 21. 04. 2011, 15:41:58 »
Tohle bude pravdepodobne defaultni chovani Windows. Urcite to pujde zmenit, aby i pri zadanem hesle bylo spusteni blokovano ne?

Ferda

Re: Windows: Admin radši bez hesla než se slabým heslem?
« Odpověď #2 kdy: 21. 04. 2011, 21:19:18 »
Souhlasim, to je dobra myslenka. Presne ve stylu "Kdo chce zhubnout, musi hodne jist a hodne spat, aby telo melo silu se obezite branit".

Re: Windows: Admin radši bez hesla než se slabým heslem?
« Odpověď #3 kdy: 21. 04. 2011, 22:52:36 »
smoofy: To asi ano, dokonce jsem to myslel oním 'speciálním zákazem', ale:
* Mohlo by jít o mnoho zákazů na mnoha místech a mohlo by býýt snadné něco vynechat. U admina bez hesla spíše očekávám, že se MS o to postaral důkladně. Jistý si s tím ale nejsem, tak se radši ptám.
* Nechci to použít k zabezpečení svého počítače. Jde mi spíš o to, jestli je vhodné radit 'radši žádné heslo než slabé heslo', nebo jestli to má nějaký nedostatek. Radit 'Radši si tam nějaké heslo dej, ale zakaž tady tento pytel věcí.' asi nebude ideální z více důvodů.

Ferda: Ke svému nápadu jsem dal určité věcné podklady, ale neříkám, že je dokonalý. Pokud si myslíš, že jsem tu něco nedomyslel, rád si to poslechnu. Ale byl bych rád za věcné argumenty. To, že to zní paradoxně, vím. Ale to ještě neznamená, že to nemůže být pravda, stejně jako třeba cs.wikipedia.org/wiki/Hydrodynamický_paradox .

JS

Re: Lepší žádné heslo než slabé?
« Odpověď #4 kdy: 22. 04. 2011, 10:00:45 »
Nejak to nechapu. Zda se mi to jako absurdni argumentace. Uvazme 2 scenare:

1. Pouzivate usera admin pro praci. Pak vam to, ze neco pod nim nepujde spustit bude prekazet. Takze tam heslo mit musite.

2. Nepouzivate usera admin pro praci. Pak je asi lepsi ho rovnou zakazat nez plasit s heslem.


smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re: Lepší žádné heslo než slabé?
« Odpověď #5 kdy: 22. 04. 2011, 10:53:31 »
to JS:
Na tom tvem prispevku neco bude :).

Na druhou stranu se naskyta otazka, pokud uz teda admin ucet pouzivam, jak silne mit heslo ze? Ja osobne jsem na svem pocitacti kdyz jsem jeste pouzival widle nikdy admin heslo nemel, pouzival jsem je pouze ve firmach, aby se v tom pocitaci nikdo nehrabal, ale asi to vyplynulo z toho ze jsem nemel problem reinstalovat widle treba i vicekrate do tydne, coz se mi u firemnich pocitacu nechtelo, a asi by mne za to zabili :)

Re: Lepší žádné heslo než slabé?
« Odpověď #6 kdy: 22. 04. 2011, 21:11:05 »
No je pravda, že ačkoli to přes runas nejde, tak třeba při spuštění instalátoru se zobrazí GUI a tam to jde. Ale nevím, jaká je zde reálná možnost zneužití - jestli nějaká aplikace zde může "kliknout" za uživatele na ono OK. Pokud ano, pak by to bylo divné a polovičaté řešení. Takže, v tomto případě se mi to nejeví jako nesmysl, pokud teda MS něco nepodělal.

A pokud bych si admina zablokoval, tak jak bych pak řešil nějakou příležitostnou instalaci? Celkově mi zablokování admina nedává smysl. (No dobře, přes UBCD by to mělo jít obejít, ale...)

KapitánRUM

Re: Lepší žádné heslo než slabé?
« Odpověď #7 kdy: 07. 07. 2011, 10:39:30 »
GPO

Re: Lepší žádné heslo než slabé?
« Odpověď #8 kdy: 07. 07. 2011, 13:16:18 »
Ale nevím, jaká je zde reálná možnost zneužití - jestli nějaká aplikace zde může "kliknout" za uživatele na ono OK.

Pokud jde o UAC, pak neda a to ani s aplikaci bezici s povysenymi pravy... vyzkouseno se synergy... taky je to pekna otrava, protoze UAC okna nemohu potvrzovat vzdalene mysi. Jinak aplikace bezici s povysenymi pravy nelze ovladat normalni aplikaci, ty eventy poslane mysi ci klavesnici se proste neprovedou.

Slo by to na urovni ovladacu mysi a k tomu uz je potreba admin ucet, takze je to k slepa cesta

Olaf

Re: Lepší žádné heslo než slabé?
« Odpověď #9 kdy: 11. 07. 2011, 10:33:16 »
Jedna z "oprav" Windows XP měla vyřešit díru, kdy se dalo využít prázdného hesla uživatele (nejen admina). V možnostech zabezpečení přibyla položka "Účty: Omezit použití prázdné hesla místního účtu pouze pro přihlášení ke konzole." (prázdné hesla - to je citace, ne překlep). Tím se mj. znemožnilo použít runas pro účty s prázdným heslem.

Ta díra vznikla mj. proto, že Microsoft vydal Home edition. Řada uživatelů této edice dodnes netuší, že v jejich systému nějaký účet "Administrator" existuje. Navíc většinou právě s prázným heslem, protože ho při instalaci nikdo nezadal.

PS: Výchozí účet "Administrator" (SID končí -500) nelze uzamknout ani odstranit, pouze přejmenovat. To ostatně vřele doporučuji.

UAC přišlo až s Win Vista, ale to je jiná kapitola. Na UAC u Vist se pak hodí rčení ode zdi ke zdi.

Xjmeno363lkmlk

Re: Lepší žádné heslo než slabé?
« Odpověď #10 kdy: 11. 07. 2011, 13:30:03 »
sakra co řešíš? dej blokaci vzdáleného přihlášení a heslo deaktivuj. Když ti fbi vleze do baráku a zmáčknou ti koule ve svěráku, tak už tě stejně žádný heslo nezachrání

Na desktopech by měla být všechna hesla deaktivována a to platí i pro linux (zvlášť pro něj) - pak to vede jenom k tomu, že maj sekretářky hesla nalepený žlutejma papírkama na monitoru

Re: Lepší žádné heslo než slabé?
« Odpověď #11 kdy: 12. 07. 2011, 01:24:11 »
Pokud zkusím něco ve stylu runas /user:admin cmd
2. Uživatel admin nemá heslo. Pak je spuštění zakázáno.

A co se prihlasit bez hesla na admina a ten program spustit rovnou pod nim?
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Pavel 'TIGER' Růžička

Re: Lepší žádné heslo než slabé?
« Odpověď #12 kdy: 12. 07. 2011, 15:32:35 »
Podle mne i slabé heslo má nějký smysl, než žádné. Avšak stále si myslím, že všechno se dá obejít. U windowsů to platí minimálně dvakrát.