Delší heslo k VOIP účtu

[xsouku04]

Ono by mohlo být pro někoho řešení používat svůj sip na své doméně přesměrovaný přes CNAME na Odorika, který to podporuje a na něm si nastavit heslo dle vlastního výběru. Jenže to neřeší prvotní problém, kdy stále zůstává funkční heslo k účtu vygenerované Odorikem.

Zkuste si otestovat svá hesla na https://bitwarden.com/password-strength/ nebo https://password.kaspersky.com/. V mém případě je výsledek jednoho z nich:
Your password strength: weak
Estimated time to crack: 3 hours

Mně ty testy hesel přijdou dost zavádějící, protože v jejich finančním zájmu je lidi vystrašit, aby používali jejich služby.
V praxi nejde otestovat milion hesel za vteřinu, protože prostě latence sítě a služby samotné jsou větší. Spíše tedy ukazují, jak dlouho trvá zjistit, jaké máte heslo, když je znám jeho hash, třeba proto, že vykradli nějakou databázi, nebo se k hashi dostali na vypnutým ukořistěným notebooku. Pokud by vás hash měl ochránit, je třeba mít neslovníkové heslo velké délky. Jinak je ukládání hashe místo hesla (šifrování hesla) k ničemu.

Nejlepší ochrana je samozřejmě omezit počet pokusů, což bohužel stále není úplně běžné. Místo toho se vymýšlí obskurně komplikovaná a dlouhá hesla.

Že se někomu pokusí vykrást VoIP účet, se stává jednou až několikrát do měsíce. Ještě se nepotvrdilo, že by prostě heslo uhádli hrubou silou. Většinou jej vytáhnou ze zabagovaného VoIP telefonu, kterému se dostanou na web. U některých telefonů lze hovor inicializovat přímo z webu. Heslo lze uhádnout též na ústředně zákazníka.

Je ale pravda, že vygenerovat jiné delší heslo (pokud někdo chce) nám nedá moc práce, proto bych vyhověl.

[Netolish]

Děkuji z proaktivní přístup i nástin popisu ochrany. Podobný systém blokování
používáme u našeho systému také a zdá se být funkční. Pokud přibude, „jen pro klid duše“,
možnost nechat si vygenerovat heslo delší bude to myslím naprosto dostatečné.

Díky

[alfi]

Zkuste si otestovat svá hesla na https://bitwarden.com/password-strength/ nebo https://password.kaspersky.com/. V mém případě je výsledek jednoho z nich:
Your password strength: weak
Estimated time to crack: 3 hours

Na ústředně bude omezení pokusů, tj. hádání nepůjde takhle rychle Na druhou stranu, i po letech většina SIP provozu pořád chodí nešifrovaná (nechápu, proč je pořád nejvíc doporučované připojení přes UDP ) a heslo se tam posílá s jednoduchým zakódováním jako digest - aneb stačí jedno přihlášení přes nešifrovanou wifi a heslo jde v podstatě přečíst (např .https://www.whitelist1.com/2018/04/crac ... ation.html). Dneska má být šifrované v podstatě vše - od nemožnosti exportovat heslo z telefonu, přes komunikaci po internetu až po ty hesla uložené v databázi ústředny

[xtonda]

Aby někdo uhádl vygenerované heslo hrubou silou, musel by udělat cca 55^8 pokusů. (když je heslo 8 znaků velké a skládá se z cca 55 různých znaků). Což je číslo a za ním 13 nul - tisíce miliard. Při nastavení toho omezení je to dostatečné.

Jaký znaky tam generujete? Malý a velký písmena a čísla mi vychází 62 a ne 55.

Jinak osmimístné heslo z malých a velkých písmen a číslic má 200 bilionů možností, pokud bych to chtěl cracknout za tři hodiny, musel bych zkoušet 20 miliard hesel za sekundu. To je reálné možná tak lokálně při louskání hesla do ZIPu a to ještě kdoví jestli, na online službě je to naprostý nesmysl. Čili za mě takováhle síla hesla stačí.

[xsouku04]

Aby někdo uhádl vygenerované heslo hrubou silou, musel by udělat cca 55^8 pokusů. (když je heslo 8 znaků velké a skládá se z cca 55 různých znaků). Což je číslo a za ním 13 nul - tisíce miliard. Při nastavení toho omezení je to dostatečné.

Jaký znaky tam generujete? Malý a velký písmena a čísla mi vychází 62 a ne 55.

Jinak osmimístné heslo z malých a velkých písmen a číslic má 200 bilionů možností, pokud bych to chtěl cracknout za tři hodiny, musel bych zkoušet 20 miliard hesel za sekundu. To je reálné možná tak lokálně při louskání hesla do ZIPu a to ještě kdoví jestli, na online službě je to naprostý nesmysl. Čili za mě takováhle síla hesla stačí.

Těch 55 je jen odhad. Ve skutečnosti to bude něco jako 59, několik znaků jsme záměrně vynechali, co jsou si hodně podobné. Myslím jako 1 a I nebo O a 0 . Číslice zůstaly, podobná písmenka jsme odstranili.

[xsouku04]

Zkuste si otestovat svá hesla na https://bitwarden.com/password-strength/ nebo https://password.kaspersky.com/. V mém případě je výsledek jednoho z nich:
Your password strength: weak
Estimated time to crack: 3 hours

Na ústředně bude omezení pokusů, tj. hádání nepůjde takhle rychle Na druhou stranu, i po letech většina SIP provozu pořád chodí nešifrovaná (nechápu, proč je pořád nejvíc doporučované připojení přes UDP ) a heslo se tam posílá s jednoduchým zakódováním jako digest - aneb stačí jedno přihlášení přes nešifrovanou wifi a heslo jde v podstatě přečíst (např .https://www.whitelist1.com/2018/04/crac ... ation.html). Dneska má být šifrované v podstatě vše - od nemožnosti exportovat heslo z telefonu, přes komunikaci po internetu až po ty hesla uložené v databázi ústředny

Dobrý point. Dlouhé heslo by mohlo znesnadnit hacknutí hesla z odposlechnuté komunikace. Zde ale naštěstí platí, že lidé, co by rádi věděli vaše SIP jméno a heslo, se zpravidla nenachází v ČR, ale třeba v Palestině (tam je jeden hrozně šikovný), takže má celkem problém provoz odposlechnout. To už je jednodušší pomocí nějaké aplikace trojského koně proskenovat lokální síť. (stačí androidí aplikace s přístupem k wifi síti)
Jako prevence je to ale rozumné. Už ta možnost různě dlouhého hesla je přínos.
UDP se doporučuje proto, že je to lépe škálovatelné. Tedy jeden server zvládne obsloužit podstatně více zákazníků přes UDP, než by to zvládl přes TCP nebo TLS. (Pro TLS je nutný TCP). Osobně nevím o voip operátorovi, co by podporovat šifrované hovory alespoň tak jako Odorik.cz. Je to komplikace navíc, problém se škálovatelností a navíc telefony bývají více zabagované (pokud to vůbec podporují), protože se to prostě málo používané.
Dobrý způsob, jak ty problémy obejít, může být postavit si wireguard tunel. viewtopic.php?t=5352 Tam je overhead minimální.