Nemate nahodou nekdo ty soubory z PHPBB? Rad bych si udelal vlastni analyzu, ale puvodni linky z clanku o jejich ziskani uz bohuzel nefunguji :(.
V reálu obstojné heslo by mělo přitom obsahovat delší, ideálně náhodný řetězec znaků tvořený malými a velkými písmeny v kombinaci s číslicemi, eventuálně lze sáhnout i po různých speciálních znacích. Ke každé citlivé službě by pak mělo být heslo vlastní, které rozhodně není radno poznamenávat si někde u počítače nebo si ho s sebou nosit v peněžence.
Par poznamek, casto trochu zjednodusenych ziskanych praxi
- U windows se kratka hesla (kratsi nez 15 znaku) ukladaji v podobe snadno rozlustitelnych LM hashu. Pouzivani delsich hesel znaku je bezne zakazano (protoze by se nemohly ulozit jako LM hash :))
- Problem je sdileni sluzeb. Sluzba citliva pro jednoho uzivatele nemusi byt citlivou sluzbou pro jineho uzivatele a tak jeden z nich ma super sluzite heslo a druhy vystaci s 123. Uhodnuti jednoducheho hesla dava casto lepsi moznosti pro utok na cloveka s heslem slozitejsim.
- Hesla tvorena zpusobem "náhodný řetězec znaků tvořený malými a velkými písmeny v kombinaci s číslicemi" si uzivatel poznamena bud rucne nebo nekam do souboru, obzvlaste, kdyz je musi kazdy mesic menit. A kdyz je nemeni, tak postupne prosaknou.
- Nejrozumnejsi (nevim, jestli idealni) je pouzivat jako heslo celou vetu nebo vybrane casti teto vety, kdyz neni mozne zadavat heslo delsi. Vetu a slova v ni lze ruzne zkomolit, takze to slovnikovy utok hned tak neda.
Na střední bylo heslo administrátora školního serveru na NT 3.5 "Administrator". Odhadl jsem ho a poprvé v životě jsem se stal crackerem :-). No on to asi úplně cracking není, ale já jsem si to myslel :-)
Souhlasím s tím, že můžeme debatovat nad tím, jak silná hesla, jak často měnit, ale na konci je vždycky člověk... Dejte mu požadavek na komplexní heslo, měnit každý měsíc, nemožnost použít 12 hesel zpátky a vsadím se, že takové heslo skončí na papírku v šuplíku. V tom lepším případě...
Dnes už to tak snad nefunguje, ale není to tak dávno, co stačilo proběhnout kancelář menší firmy či úřadu a posbírat hesla na post-it-ech kolem obrazovek a kalendářích, případně odlepit obálky ze zadní strany CRT monitoru.
Je potřeba zvolit nějaký rozumný kompromis, nebo dvoufaktorové ověřování... Pak to snad bude nějak fungovat... :-)