Vlákno názorů k článku Co se stalo LastPass a jak vytvářet silná a zapamatovatelná hesla od . . - samozřejmě lze předpokládat, že tím dojde k získání...
-
. . (neregistrovaný)
samozřejmě lze předpokládat, že tím dojde k získání přístupu ke všem webům, na které se přihlašuješ pomocí mojeid, prakticky ale dosah a působnost bude velice omezená a krátkodobá (nonstop podpora, několikanásobné jištění, možnost službu kompletně vypnout v případě kompromitace).
Bezpečnost je věc důvěry a znalostí. Mojeid je transparentní protokol (každý ví jak funguje) s jasně danou bezpečnostní úrovní. Spravují ho lidé, kteří se v oboru pohybují, je to jejich práce a jejich znalosti vysoce převyšují autory většiny projektů. Já jim třeba důvěřuji víc než všem českým eshopům dohromady.
-
Myslím, že tímto k porušení principu jedno heslo pro jednu službu nedojde. Když si klikneš na přihlášení přes MojeID, lupa tě pošle na stránku MojeID kde zadáš to své heslo unikátní právě a jen pro MojeID, toto heslo pak už servery MojeID neopouští a lupě příjde jen informace, 'ano, je to tent a ten', nebo 'přihlášení se nepovedlo' (+ nějaké doplňující info, pokud o něj lupa zažádá), ale k heslu se nikdy nedostane.
-
. . (neregistrovaný)
Interní kroky v případě napadení jsou daleko složitější než vypnutí služby, tohle jsem navodil opravdu jen pro zjednodušení. Bohužel řada firem třeba ani nemá žádný manuál co v případě kompromitace udělat a prostě jdou googlit :).
Jasně, ti lidé jsou bohové s nadliskými dovednosti. Samozřejmě, ale v případě internetu jsem ale odkázaný pořád jen někomu věřit nebo ho nepoužívat.
Pokud si mám vybrat jestli budu věřit czc.cz nebo mojeid, jednoznačně volím mojeid a o tom to je. Ani jedno není spásné řešení, ale nějak musím přihlašování řešit. Uvázat se jedné službě je blbost a stejná blbost je mít všechna hesla podle nějakých pravidel.
-
Příslušné kvantum dat jim ovšem nemusíte psát, ale můžete jen povolit MojeID, aby je předalo za vás.
To náhodné heslo musíte nějak vytvořit a někam si ho zapsat. Drtivá většina lidí to bude dělat způsobem, který je řádově méně bezpečný, než dobré kvalitní služby třetích stran umožňující přihlášení. Drtivá většina lidí ve skutečnosti ani nebude řešit náhodné heslo, ale použijí své oblíbené slovníkové heslo.
-
fd (neregistrovaný)
Hezke, ale ciste teoreticke. Zkuste si predstavit, ze dojde ke kompromitaci. Mate rekneme milion uzivatelu. Vy vypnete sluzbu, kterou denne pouziva milion(nebo jeste mnohonasobne vic, trebas v pripade google) lidi? Prijdou vas ukamenovat.
"Spravují ho lidé, kteří se v oboru pohybují, je to jejich práce a jejich znalosti vysoce převyšují autory většiny projektů. "
Vira, rekl bych na urovni viry ve spagetove monstrum. Naopak, po internetu se pohybuji lide, kteri maji schopnosti a prakticke dovednosti, o kterych si vetsina provozovatelu podobnych systemu muze nechat leda zdat. Ovsem pokud pujdeme do dusledku ... prectete si Mitnika. Zdaleka nejvetsi riziko je spojeno vubec s tim, delegovat autorizaci na treti osobu.
