DANYSEK: nechapu co furt resis, technologie je jedna vec, jeji pouziti druha. spravne pouziti technologie implementovane v sms007 nedava pri soucasne urovni poznani potencialnimu utocnikovi sanci. nic ovsem nebude trvat vecne (viz definitivni konec MD5.)

TEL AVIV - Imagine your company is holding secret talks to buy another firm when your main competitor suddenly snaps it up from under your nose, apparently aware of all the details of the negotiations.
Clanek v anglictine na serveru Cellular.co.za

REDTIME: Ted nevim presne o cem mluvis? Jako ze sms007 se neda vyuzit proti takovemu typu odposlechu? to urcite ne... ale snazim se tady zminit vse co se spojuje s odposlechem proto pastuju i takove clanky jako je ten posledni.

INGLOR2: uzivatel tak erudovany, ze vi jake heslo ma volit a pritom si sam neporadi s OK tlacitkem v password dialogu? To mi nejak nesedi :-) Navic paranoidni clovek neukaze ani delku hesla, usnadnuje tim pripadny utok :)

Danysek: Například si uživatelé vyplní heslo, mají ho vyplněné v textfieldu, vidět jsou jenom hvězdičky, a teď se ke mně obrátí a dotazují se "A co mám udělat dál?", načež mi obrazovku strčí před nos. Z hlediska bezpečnosti samozřejmě nedělají žádnou fatální chybu, ale délku hesla tak uvidíš snadno. Byl jsem překvapen, jak často sahalo "až za okraj", tj. třeba 16 znaků.
Kupodivu ten dotaz "A co mám udělat dál" klade každý druhý, jak kdyby tam nebylo tlačítko "OK" :-)

Dovolim si opdovedet za Inglora2.
V naproste vetsine pripadu vedi uzivatele, jak spravne volit "hesla" z nichz jsou generovany pomoci SHA-2 klice. V nekterych pripadech se jedna o nase proskoleni. Odhadoval bych to tak na 5:1 ve prospech spravne volby bez proskoleni.
Samozrejme jsme se setkali i s nazorem, ze celociselne heslo je bezpecnejsi :)

INGLOR2: jak muzes videt delku hesla, kdyz jim nekoukas pres rameno? :)
btw ale stale neodpovidas na polozenou otazku, zda jde o vliv vaseho proskoleni ci o jejich common praxi... to je u akademiku normalni? :)

Danysek: nekoukám klientům přes rameno a jejich hesla neznám, ale stačí vidět, jakou mají délku, a slyšet dotazy typu "mohu použít složené závorky, křížek, hvězdičku" etc.

INGLOR2: cimz neodpovidas na otazku... zda jde o bezprostredni vliv proskoleni... nebo o jejich obvyklou praxi... :) Ostatne, pokud rikas, ze Vasim klientum zalezi na bezpecnosti, pak me vcelku udivuje ze mate prehled o heslech klientu... prece kdyz zadavam heslo, tak nenecham nikoho koukat pres rameno :)

Danysek 18.42 a 18.06: pohybuješ se v jiném prostředí. Tví uživatelé jsou lidé, kteří bezpečnost podceňují a hesla volí blbě proto, že je v zásadě považují za nadbytečná. Naši klienti jsou lidi, kteří jsou si hodnoty své bezpečnosti vědomi natolik, že jsou ochotni za ni platit. Pak by byli sami proti sobě, kdyby si u zakoupeného programu volili špatná hesla.
Zatím jsem neviděl žádného zákazníka, který by volil špatné heslo.

JESSE_MORENO: heh mno nevim zda u tohle je nejake realne vyuziti. I kdyz mozna je to jen prvni krucek ......

MobSpy – mobilní odposlech vás nenechá spát
Autoři serveru :-)mojelogo připravili několik novinek a mezi nejzajímavější patří aplikace MobSpy určená k mobilnímu odposlechu. Článek na Mobilmanii

JDEE: kdyz spousta lidi nema tu trpelivost ani na normalni klavesnici... tak na mobilech to bude jeste horsi :)

Pamatovat si musis pouze heslo k aplikaci nikoliv klice pro sifrovani zprav (ty jsou ulozene a zasifrovany hlavnim heslem aplikace). Staci mit tedy dost trpelivosti pro zadavani jednoho hesla(aplikace) a dobre nastavit klice (ktere samozrejme stejne jako heslo aplikace muzes menit s frekvenci umernou sve paranoii :))) ).
Nedelam si samozrejme iluze o tom, ze by nase aplikace zvysila IQ jejich uzivatelu, ale ze jsme vytvorili AI jsme snad nikdy netvrdili :))))

po pravdě, nejlepší správce má být chorobný paranoik. takovej ten na psychiatra co má i speciální zámky na dvěřích :-))) a uživatelům se z principu nevěří.

JDEE: Nepodcenuju, vychazim z praxe (svoji). Mam v tomto smeru urcite osobni ne zrovna dobre zkusenosti (od armady az po male firmy; hesla ktera lidi voli na serverech [nekdy i radove tisice uzivatel v databazi]), to co bylo obcas k videni bylo otresne. Holt mas zatim pozitivnejsi zkusenosti - je otazkou, zda jde u tebe o bezprostredni vliv proskoleni (tise predpokladam, ze u placenych instalaci na vysvetlujete dulezitost hesla a zpusob jeho volby), nebo ta hesla lidi voli skutecne sami a dobrovolne (a jestli se treba po chvili sloziteho zadavani nena*erou a nezmeni si to, lidska lenost je *****).

Ze jste s Inglorem oba spise optimisti vim a je to poznat i tady... :) ja jsem holt ponekud vice paranoidni a mene optimisticky, zejmena pokud jde o bezne uzivatele ci prohlaseni vladnich organizaci USA :-) Ja bejt Krejcirem tak neverim nicemu... :)

Mozna, ze dost podcenujes pripadne uzivatele. Zatim se prodalo nejvic nejdrazsich licenci tj. licenci, ktere instalujeme a uzivatele zaskolujeme. Koutkem oka jsem zahledl volbu hesel. Nikdo nevolil hesla kratsi deseti znaku a vsichni pouzivali mala(velka) pismena, cislice a specialni znaky.
Nemyslim si, ze vyvolavame falesny pocit bezpeci. Kdyby chtel aplikaci pouzivat Bin Laden :) asi bych ho upozornil, ze v jeho pripade ji duveruji tak na 85% . V pripade Krejcire bych nasi aplikaci duveroval zcela.
Shrnuti: Krajne podcenujes uzivatele
Nikdo neni neomylny. Nic neni 100%, ale s tim je nutne se smirit.

JDEE: Nemci take nepredpokladali, ze jejich nepritel vi, jak na enigmu. A samozrejme nepritel nikde nevytruboval, ze vi, jak desifrovat (naopak se to silne tajilo). To je vec, o ktere mluvim - na jedne strane existoval pocit, ze sifra je dokonala (na pozici nemcu dosad NSA) a na druhe strane nekdo v klidu louskal (rusaci, cinani, nekdo jiny?)... kdo vi, ze nevis ty ani ja prece nic neznamena :-) Pripad enigmy se v historii mnohokrat opakoval (presvedcovani o tom, ze nejaka sifra je bezpecna... a jeji nasledne prolomeni), a to vcetne sifer doporucovanych NSA...
Vsimni si, ze nikde nerikam, ze sifrovat se nema. Jen tu vyvracim falesny pocit bezpeci, ktery se tu snazite navodit v lidech, kdyz 'NSA to prece doporucuje'. Ani NSA neni dokonala a neomylna. A udivuje mne, ze ty (profesional v oboru kryptologie) jim tak bezmezne duverujes ;-)

DANYSEK: V podstate rikas vse je marnost ;) . Nac nabizet zamky, kdyz lide kupuji spatne dvere, ci nezaviraji okna :))) . ZRUSME PRODEJ ZAMKU! NEZAMYKEJME!
Nic neni dokonale krome Boha ;) . Nicmene my zijeme v tomto svete.
Jestlize NSA predpoklada, ze AES chrani statni tajemstvi dost pred Rusy ci Cinany, myslim, ze je dost bezpecne i pro nase potencialni zakazniky.
Nikdy jsme netvrdili, ze kdyz si koupis nasi aplikaci bude z Tebe Superman.
Mozna nase tvrzeni vyvolavaji mylny dojem pouze v Tobe. Promin.

INGLOR2: no, ale vase prezentace je udelana tak, ze ochrani kazdeho (pesaka i generala) a ona to byt pravda nemusi a o tom vedeme diskuzi :)

Ze dosud nikdo verejne nepublikoval prolomitelnost nejake sifry (potazmo ze Ty o zadnem zpusobu nevis) neni prece garanci neprolomitelnosti a neexistence nejakeho slabeho mista.
Nerikam, ze NSA produkuje slabe sifry, rikam je tolik, ze neni 100% jistota, ze NSA ci nekdo dalsi nedisponuje nejakym zpusobem, jak se prolomit - prave proto, ze my nevime co se za jejich zdmi deje.

Ostatne proc by nekdo verejne publikoval takovou vec? To je jednodussi vse chvili tutlat a ve statnim tajemstvi US se naopak hrabat :-) [myslis ze ve valce valecnik verejne prozradi, ze rozlustil sifru nepritele??].

Stejne tak nikdy nevis, kdo je tvym protivnikem. Tvrdit, ze obycejny novinar/obchodnik/politik je nezajimavy cil je trosku zvlastni a odvazne - nebo ty dokazes ohodnotit jakoukoliv informaci kdo ma a jaka je jeji cena pro potencialniho nepritele, tzn. kolik bude ochoten nepritel vynalozit usili a prostredku k jejich ziskani (a jaka rizika bude ochoten podstoupit)?

Obavam se, ze vetsina 'normalnich' lidi (na ktere je Vas produkt cilen) ani nedokaze posoudit rizika, ktere jim eventuelne hrozi... a produkt v nich vyvola jen mylny pocit absolutniho bezpeci (sifrujte a nikdo vas uz neodposlechne), a to i presto ze pouzita hesla budou stat za h***o. Ackoliv doporuceni na tema volby hesel existuji uz pekne dlouho a porad se dokola omilaji, tak nakonec lidi volej takovy... no nebudu sprostej :) A to bez ohledu na jejich postaveni (dulezitost chranenych informaci).