Jelszavak és biztonság 2022-ben
Jelszavak és biztonság 2022-ben Jelszavak és biztonság 2022-ben
Kadlecsik József
Wigner Fizikai Kutatóközpont
kadlecsik.jozsef@wigner.hu
Tartalom
Célterület
Autentikációs módszerek
Környezet
Felhasználók
Alapok rendbetétele
Célterület
IT szolgáltatások eléréséhez autentikáció:
-ssh/scp
-scponly/ftps,
-imaps, smtps
-wifi
-eduroam
-eduid
-VPN
-...
Kivételek
Teljesen homogén Windows vagy Apple környezet
Web-only szolgáltatások
Autentikációs módszerek
Tudom:
-PIN
-Jelszó
Rendelkezem vele:
-Hardver/szoftver token
-Smartcard
Az egyéni tulajdonságom:
-Biometrikus azonosítás
Környezet, felhasználók
Windows
Linux
MacOS
Android, IOS
Munkatársak
Nyugdíjasok
-Professor emeritus
-Alumni
Projekt tagok
-Külső partnerek
-Egyetemisták
Hardver token, smartcard
Milyen interfész:
-USB port típusa? NFC?
-Ezek supportja a használt rendszer oldalán?
Elvesztés: két db/fő?
Fizikai kiosztás
Leltár, nyilvántartás
Kilépők, elhunytak
Szoftver token
Smartphone
BYOD?
2FA
Abból az egyik a jelszó…
-Első jelszó kiosztása?
-Elfelejtik
-Újrafelhasználják (azonosítóval együtt)
Google gmail, 2022.05.30 után 2FA
-De: 16 digit app passwords
Tegyük rendbe!
Szolgáltatásonként egyedi jelszavak
-Az SSO nem volt jó öltet
Eduid
A minimális jelszóhossz 16 karakter
-Preferáljuk a random jelszavakat
-Jelszókezelő használata
Építőkockák
SQL schema
Szoftver felépítés
Autentikáció, autorizáció
-Alkalmazáshoz dedikált tárolt procedúrák
Felhasználói és admin felület
-Library
-Webes interfész (felhasználó+admin)
-CLI interfész (admin)
Felhasználók
Auth web interfész
-Jelszavak létrehozása
Bitwarden app/web interfész
-Jelszavak tárolása
Több munkaállomás, smartphone kezeléséhez
-Jelszavak mentése
Szolgáltatások
Natív SQL auth támogatás:
-Szolgáltatás-specifikus tárolt procedúra meghívása
PAM:
-libpam-mysql
Szolgáltatás-specifikus tárolt procedúra meghívása
-libpam-mysql patchek:
tárolt procedúra meghívása
SSL/TLS támogatás
success/failure visszaadás
Felhasználók számára előnyök
Teljes önkiszolgálás
-Jelenleg telefonos helpdesk
A jelszavak nem járnak le
Projekt állapota
Kerberos jelszavak migrációja
Auth és bitwarden galera cluster
Bitwarden
libpam-mysql
Felhasználói adatok nyilvántartásának egységesítése (Kerberos, yaml, SQL, flat fájl) ...
Auth web interfész ...
Tárolt procedúrák ...
Leírások, screenshot-ok, videók ...
Tervezett áttérés módja
A sikeresség a felhasználókon múlik
Előadások, leírások, screenshot-ok, videók
Csoportonként migráció
-Akinél szükséges, személyes támogatás
Összefoglalás
A jelszavak még sokáig velünk maradnak
Amit csak lehet, tegyünk meg a biztonságos használatukért magyar