Jsem toho názoru, že heslo, které bez KeePassu apod. nezadáte, stojí zavyližprdel úplně stejně jako jakékoli jiné uhodnutelné heslo, protože ke všem je přístup přes jedno jediné heslo - heslo ke správci hesel.
Bohužel vládní mamrdi, co schvalují kreténštiny typu zákon o kybernetické bezpečnosti, tomuhle stavu jen nahrávají. Zrovna teď v naší firmě řešíme zabezpečení některých platforem podle tohoto zákona (což už mimochodem mělo být) a má to dva efekty: kurevsky to komplikuje práci a vůbec nic to nepřináší.
Problém je, že pro běžného uživatele je už situace v podstatě neúnosná - co vytvoří a zapamatuje si, to se dá lousknout a co je dostatečně silné, to si nezapamatuje + počet potřebných hesel pořád roste. A navíc se situace v tomto ohledu stále zhoršuje - metody pro louskání hesel se stále zdokonalují (+ roste dostupný výpočetní výkon). Odborníci svá hesla zatím ještě zvládají ukočírovat, otázka je, jak dlouho.
Nojo, jenomže tady pak člověk narazí na to, že třeba služba nepovoluje v heslu nějaký znak, který je ve vygenerovaném heslu, nebo zakazuje hesla delší než xx. Tady mě celkem nasral seznam, jelikož vynucuje změnu hesla, ale nepovoluje mezeru (ač ji ve starém hesle používám). Takže pak člověk musí pořád upravovat generátor, což je taky otrava.
To si asi nerozumíme. Osobně považuju KeePass za jeden z těch lepších. Ovšem aby ta bezpečnost skutečně za něco stála, tak to master heslo musí být brutal, jinak je to nejslabším článkem všeho. Zároveň to musíte spouštět jen tehdy, když nějaké heslo opravdu potřebujete. Takže tak jako tak musíte prostě někam zadávat heslo. Jinak to jde z bezpečností ještě do větší pr**e, než by to tam bylo, kdyby se ty buzerační restrikce nezaváděly.
Proc? Nac potrebujete stovky hesel na stovky nesmyslnych webu (nebot o webech je rec predevsim)?
Realita pritom je, ze rekneme 50% uzivatelu si dobre uvedomuje "silu" hesla, ale stejne dobre si uvedomuji, ze heslo na webu nema vubec zadny vyznam. K cemu je vam "bezpecne" heslo, ktere si provozovatel uklada jako text?
Mnohe weby se pak dokoce "v ramci bezpecnosti" brani vkladani kopirovanych hesel. Je vskutku povznasejici opisovat 16 nahodne vygenerovanych znaku.
Co hure, ve skutecnosti ani nevite(natoz jako BFU), zda vubec ona sluzba to heslo pouziva. Kuprikladu Microsoft dlouhe roky sice umoznoval zadat velmi dlouhe heslo, ale ve skutecnosti z nej pouzil jen prvnich nekolik (tusim nejdrive 6 a pak 8) znaku.
A jak je zmineno, kazda sluzba nejak (naprosto nesmyslne) omezuje pouzitelne znaky, takze bud budete pokazde ladit, nebo nastavite generator na nehorsi spolecny jmenovatel, coz je heslo z pismen a cisel o 6 znacich.