Snad to, že pokud je zařízení vybaveno modulem pro bezpečné ukládání hesel a "autentizační předek" je s ním spojen bezpečným kanálem, tak asi nejdokonalejší metodou ochrany hesel jsou time-outy (např. po 3 neúspěšných pokusech minutu pauza na další pokus), nebo omezený počet zadání, po němž následuje zablokování (akce správce, nebo vložení speciálního dlouhého hesla, které je skutečně v trezoru atd).
V případě, že k uloženým heslům nelze obecně zabránit přístup (např. data na disku pécéčka lze po jeho vypnutí i s diskem vložit do jiného počítače a tam přečíst celý disk), pak je nutné je uchovávat jako haš hodnotu hesla s náhodnou solí. Běžné v Unix. Uchovává se výsledná hodnota + sůl. Sůl se přidává k heslu před počátkem hašování. Protože sůl je náhodná, nelze použít slovníkové útoky. Při dnešní slabotě hašovacích funkcí raději volte dlouhé haše, jako SHA-512 apod.
Mělo by se též vysvětlit, proč vlastně se požaduje občasná výměna hesel, která většinu uživatelů, včetně mne (ačkoliv vím proč), akorát štve, pro osvětu. Možná to bude v dalším díle.
Krom tokenů, v nichž jsou hesla jednoduše uložena, stojí za zmínku ještě tokeny - synchronizované pseudonáhodné generátory hesel, které ho každou minutu mění (tzv. kalkulačky, ovšem mají jen displejík, žádná tlačítka). Pro přístup do firemního informačního systému bych volil něco takového. Rozhraní na počítač je "člověkem přes oko do prstů", kompatibilní s každým pécé i lecjakým handheldem, nebo i tenkým klientem na mobilním telefonu atd. Ideální je kombinovat část hesla pevně zvoleného uživatele a takovýhle token. I když ho ztratíte, tak přiměřené heslo uživatele brání nálezci ho rychle uhodnout - mezitím se dá ztráta nahlásit.
Důležité je rozdělit si informace na ty, které skutečně potřebujete chránit, a které zase tolik ne.
Biometrii bych dával akorát na atomové kufříky aj. vojenské/policejní aplikace.
Jinak je to chvályhodný přehled - aspoň dá nějakou výstrahu těm, kteří spoléhají na heslo "Maruska".
Odpověď na názor
Odpovídáte na názor k článku Lámání hesel v praxi (1.).
Pravidla pro diskutující
Přidáním čtenářského příspěvku do diskusí či fóra souhlasíte s tím, že budete dodržovat následující pravidla. Při jejich hrubém porušení se vystavujete riziku smazání příspěvku, jeho modifikaci, v krajním případě i zablokování přístupu do diskusí.
Redakce ze zásady nezasahuje do čtenářských diskusí a zavazuje se, že nebude mazat ani modifikovat příspěvky, kromě případů, kdy tyto porušují některé z následujících pravidel. V takové situaci je na zvážení redakce, zda příspěvek modifikuje s viditelným upozorněním, či přímo smaže. Redakce nikdy nemaže „nesouhlasné komentáře“ jen proto, že jsou nesouhlasné. Vítáme střet názorů, ale vždy v rámci slušné a kultivované debaty.
Příspěvky nesmí obsahovat:
- Vulgární či hrubé výrazy.
- Urážlivé výroky na adresu druhé osoby či skupiny osob.
- Texty, které mají za cíl jen vyprovokovat emotivní reakci (trolling).
- Rasové útoky či útoky na jakoukoliv jinou menšinu či skupinu obyvatel.
- Komerční nabídky a affiliate odkazy.
- Odkazy na warez, sériová čísla, licenční kódy, pornografii a další nevhodný materiál stejně jako žádosti o poskytnutí tohoto obsahu.
- Prokazatelně protiprávní obsah.
Informace o soukromí: U všech přidaných komentářů provozovatel ukládá IP adresu a hostname odesílatele. U neregistrovaných uživatelů se na webu zobrazuje část hostname, případně IP adresy, neumožňující identifikovat konkrétní počítač.
Povolené značky XHTML: a, br, code, em, li, ol, p, pre, strong, sub, sup, ul
