Delší heslo k VOIP účtu

[jadu]

Mám desítky pokusů na všech svých linkách, tedy celkově to jsou stovky a to je jen to, co vidím v omezené historii.

[xsouku04]

Mám desítky pokusů na všech svých linkách, tedy celkově to jsou stovky a to je jen to, co vidím v omezené historii.

Ano, ale na každé lince vám zkoušel nejspíše ta stejná nejčastější hesla jako "1234", "password" či jiná lidmi často používaná hesla, která určitě nemáte, jelikož jsou všechna hesla vygenerovaná. I tak to dáme do pořádku.

Kdybychom hesla nechali lidem zvolit, byl by už jistě problém. Někomu by heslo jistě uhádli, i když na první pohled může vypadat bezpečně, protože je dostatečně dlouhé a obsahuje divné znaky.

Dále je tam ještě ochrana spočívající v tom, že pokud volá hodně divných destinací za sebou, zablokujeme dočasně volání do zahraničí. Na to se také v podstatě vždy útočníci chytnou. Útočí se většinou tak, že se útočník dostane na webové stránky voip zařízení (někdo nechá přesměrování z internetu otevřené), nebo uhádne zákazníkovo heslo na jeho ústředně, kde se nepoužívají vygenerovaná hesla.

[Pitomec]

Podle výše uvedeného je to spíš tak, že se útočník z nějakého svého zařízení pokouší připojit na servery Odoriku a provést neoprávněnou registraci na cizí účet. A vzhledem k tomu, že se jako přihlašovací jméno používá číslo linky, které útočník zná, tak se i může o tuto registraci pokoušet v podstatě donekonečna. Ono celkově je přihlašovací jméno dost slabé místo, protože jiní VoIP operátoři zase jako přihlašovací jméno mají telefonní číslo, co user používá, a což může být ještě snáze zjistitelné, než číslo linky, které se používá při registraci u Odoriku.

[xsouku04]

Oprava v noci nasazena. Nyní hlídáme maximální počet pokusů na jednu linku (tato ochrana byla aktivní už dříve) i maximální počet pokusů z jedné ip adresy bez ohledu na zkoušené linky.
Naprosto vzácně by se mohlo stát, že budeme blokovat ip adresu někoho, kdo není útočník. Pokud by měl někdo třeba 10 linek, u kterých si vypnul sip nebo změnil heslo, a jeho sip zařízení bude nesmyslně bušit, může být zablokován, i když vědomě neútočí, s s ním i někdo se stejnou veřejnou ip adresou. Proto chceme přidat info o blokaci do menu "linky", pokud se někdo přihlásí z ip adresy, která je blokována. Aby věděl, proč mu to nejde. Běžně ale by se to nemělo stávat.

[xsouku04]

Podle výše uvedeného je to spíš tak, že se útočník z nějakého svého zařízení pokouší připojit na servery Odoriku a provést neoprávněnou registraci na cizí účet. A vzhledem k tomu, že se jako přihlašovací jméno používá číslo linky, které útočník zná, tak se i může o tuto registraci pokoušet v podstatě donekonečna. Ono celkově je přihlašovací jméno dost slabé místo, protože jiní VoIP operátoři zase jako přihlašovací jméno mají telefonní číslo, co user používá, a což může být ještě snáze zjistitelné, než číslo linky, které se používá při registraci u Odoriku.

Přihlašovací jméno bychom mohli volit také nějaké generované, aby je nebylo možné odhadnout. Ale byl by to zbytečný nekomfort a komplikace pro uživatele. Omezit počet pokusů se špatným heslem na jednu linku a počet pokusů z jedné ip adresy je dostatečný. Když útočníkovi neodpovídáme, brzy ho to přestane bavit a přestane útočit.

Aby někdo uhádl vygenerované heslo hrubou silou, musel by udělat cca 55^8 pokusů. (když je heslo 8 znaků velké a skládá se z cca 55 různých znaků). Což je číslo a za ním 13 nul - tisíce miliard. Při nastavení toho omezení je to dostatečné.

[pe.havel]

Proto chceme přidat info o blokaci do menu "linky", pokud se někdo přihlásí z ip adresy která je blokována. Aby věděl proč mu to nejde.

Skvělé, díky. (Pokud by tam bylo i tlačítko na vyřazení IP z blacklistu, bylo by to dokonalé.)

Co se týče hesla, nebránil bych se přidat volbu na zvýšení počtu znaků – to nic nezhorší a přidá minimálně lepší pocit, co kdyby náhodou všechny předchozí ochrany nezafungovaly.
Co třeba takto?

Kód: Vybrat vše

<input type="number" min="8" value="8" max="64" name="generate_new_password_length" style="width: 36px;"> 

[jadu]

To, že je heslo zobrazitelné (stejně tak i při použití vlastní domény přesměrované na sip.odorik.cz) znamená, že je heslo někde uložené, ne jen pouze hash. Za dané situace pevně věřím a doufám, že bezpečně.

[xsouku04]

To, že je heslo zobrazitelné (stejně tak i při použití vlastní domény přesměrované na sip.odorik.cz) znamená, že je heslo někde uložené, ne jen pouze hash. Za dané situace pevně věřím a doufám, že bezpečně.

Pravda. Ale ukládat hesla v šifrované podobě je důležité především v případě, že si zákazník může heslo sám zvolit. Což ale není dobré kvůli slovníkovým útokům, protože lidé pořád dokola vymýšlí stejná hesla. Navíc stejná hesla používají i na jiných službách.
Pak si je zákazník sám pamatuje, nebo někam zapíše. A pokud by jej zapomněl, musí se vygenerovat nové.

U linek, kde se často na jednu linku hlásí více různých SIP zařízení, by nemožnost zobrazit heslo znovu byla velkou komplikací.

[alfi]

Pravda. Ale ukládat hesla v šifrované podobě je důležité především v případě, že si zákazník může heslo sám zvolit. Což ale není dobré kvůli slovníkovým útokům, protože lidé pořád dokola vymýšlí stejná hesla. Navíc stejná hesla používají i na jiných službách.
Pak si je zákazník sám pamatuje, nebo někam zapíše. A pokud by jej zapomněl, musí se vygenerovat nové.

U linek, kde se často na jednu linku hlásí více různých SIP zařízení by nemožnost zobrazit heslo znovu byla velkou komplikací.

Šifrovat uložená hesla je dneska v podstatě bezpečnostní standard. Důležité je to hlavně v případě, pokud by vám někdo hacknul server a všechna hesla si stáhnul (tady by o tom mohli vyprávět https://haveibeenpwned.com/). Pak musíte všechna hesla smazat/změnit a donutit všechny uživatele, aby si nastavili nové, bez toho nebudou telefonovat (pokud se někdo stará o telefon někde daleko, nebude mít radost). Viz taky doporučované postupy na https://cheatsheetseries.owasp.org/chea ... Sheet.html nebo https://cwe.mitre.org/data/definitions/256.html Kdo chce heslo na víc telefonů, může si jej po přečtení uložit jinam. Taky může být cesta těch hesel k jedné lince povolit víc.

[jadu]

Ono by mohlo být pro někoho řešení používat svůj sip na své doméně přesměrovaný přes CNAME na Odorika, který to podporuje a na něm si nastavit heslo dle vlastního výběru. Jenže to neřeší prvotní problém, kdy stále zůstává funkční heslo k účtu vygenerované Odorikem.

Zkuste si otestovat svá hesla na https://bitwarden.com/password-strength/ nebo https://password.kaspersky.com/. V mém případě je výsledek jednoho z nich:
Your password strength: weak
Estimated time to crack: 3 hours