Niektóre polityki haseł są dziwne. Największe problemy sprawia mi maksymalna długość hasła. Kiedyś, gdy jeszcze pamiętałem swoje hasła, ciężko było mi się zmieścić z frazą w limicie. Teraz, gdy korzystam z KeePass moje domyślne ustawienia przy generowaniu haseł często przekraczają limit długości hasła. Efekty bywają różne.
Spójność rządzi
Jednym z bardziej irytujących jest przyjęcie takiego hasła bez ostrzeżenia i późniejszy brak możliwości logowania. Z takim problemem kilka razy spotkałem się przy urządzeniach sieciowych (proste routery, AP). Nie chciało mi się nawet badać czy skrócenie wpisywanego hasła rozwiąże problem, łatwiejszym (szybszym) rozwiązaniem było zresetowanie ustawień urządzenia i odtworzenie pożądanej konfiguracji z backupu.
Wczoraj natknąłem się na przypadek jeszcze bardziej irytujący. Związany on jest z aplikacją (i usługą) OVI. Podczas instalacji i pierwszego uruchomienia pakietu Nokia OVI Suite tworzone jest konto Nokia. Tradycyjnie wygenerowałem sobie kolejne hasło i użyłem go dla tworzonego konta. Wszystko zadziałało bez problemów, nie zauważyłem żadnych ostrzeżeń. Zdziwiłem się trochę dnia następnego, gdy chciałem skorzystać z webowej części usługi. Nie mogłem się zalogować, choć w tym samym czasie "gruby" klient działał poprawnie. Po (dłuższej) chwili przyszło oświecenie - polityka haseł i maksymalna jego długość: 18 znaków. Po skróceniu wpisywanego hasła do tej właśnie długości udało mi się zalogować.
Gdybym był "normalnym" użytkownikiem, nie miałbym problemu. Po prostu do tych 18 znaków najprawdopodobniej bym nie doszedł...
Nie korzystałem do tej pory z niego (mimo, że miałem chyba 2 podejścia), ale jednak mocno zastanawiam się nad skorzystaniem - i z chęcią bym się dowiedział co warto zrobić, co nie, jak pewne rzeczy warto skonfigurować a jak nie...
Może będziesz miał chwilę na napisanie małego Best Practise z KeePass
Co mnie zniechęciło? Brak czasu, żeby przejrzeć jakieś HowTo, które by mi podpowiedziało jak z tego wygodnie korzystać (bo nie korzystałem z password managerów do tej pory). Czyli np. czy ważne jest dzielenie haseł na grupy w programie, wpisywanie wszystkich danych, wpisywanie każdego hasła, itp. Czyli tak jak wspominałem trochę best practise z używania tego
Jeśli chodzi o wygodne korzystanie, to z tym bywa różnie, bo dla każdego pojęcie to może oznaczać coś nieco innego.
A z wygodnym korzystaniem - to pytanie pewnie powinno być proste. Czy jak już używasz KP - to czy jest na tyle wygodny, że nie planujesz z niego zrezygnować i korzystać z niego?
Używanie takich password menagerów ma jedną wadę, trzeba robić często backup baz, bo jak dysk padnie... wole nie pisać. A takie bazy z hasłami mogą zostać ukradzione i napastnik będzie miał jedno, ew. 3, hasła do złamania, a nie np. 12.
Backup bazy haseł trzeba robić, ale częstotliwość uzależniona jest od tego, jak dynamicznie ta baza się zmienia.
Złamanie hasła do bazy haseł nie jest zadaniem łatwym, jeśli hasło nie jest trywialne. FBI nie poradziło sobie z dyskiem zaszyfrowanym przy pomocy TrueCrypt (patrz: http://niebezpiecznik.pl/post/fbi-nie-dalo-rady-truecryptowi/), bazy haseł szyfrowane są z wykorzystaniem analogicznych mechanizmów.
Hasło wygenerowane z Keepass zostało dopuszczone przez system, ale kolejna próba logowania kończyła się błędem.
Z tego co pamiętam hasło było zbyt długie, dodatkowo wszystkie duże znaki zostały zmienione automatycznie na małe przy zapisie. Dzwoniąc na infolinię odkręciłem sytuację. Przy okazji dowiedziałem się, że hasła przechowywane są jako plain text (urocza pani konsultant porównywała moje hasło z keepas z tym co zostało zapisane przez serwis). Dramat.