Názory k článku Jak na bezpečná a zapamatovatelná hesla? Stanford experimentuje s frázemi

A proč nestačí blokace hesla po x pokusech? Pak stačí mít x+1 té heslo ze seznamu nejčastějších:)

Protože pak je velmi snadné zabránit legitimnímu vlastníkovi v použití jeho účtu. Stačí x-krát zadat nějaký nesmysl. To by uživatelé jásali :-)

O něco lepší přístup je omezit jak rychle lze hesla zkoušet, ideálně progresivně. Tedy třeba po prvním pokusu zablokovat přihlašování na 1s, po druhém na 2s atd. Ale i to je pořád zneužitelné, pokud má záškodník dost trpělivosti :-)

nebo si vygenerovat lehce zapamatovatelny slozity heslo http://hesgen.rfa.cz/ ;)

Tímto směrem jsem se vydal už poměrně dávno. Akorát místo mezer používám speciální znaky (zavináč, vykřičník apod.)

Kryptická hesla jsou škodlivá - nikdo si je nepamatuje a každý si je píše na monitor nebo na papírky.
Použít normální kombinaci více slov je mnohem bezpečnější - http://www.explainxkcd.com/wiki/index.php/936:_Password_Strength

aneb přišli na tohle? http://xkcd.com/936/

Mají jediný problém: nemůžete je zveřejnit.

Pro neznalé: ve chvíli zveřejnění je začne používat příliš mnoho lidí a vytvořená hesla tak přestanou být dobrá hesla

To mi připomíná, jak jsem pro jednoho zákazníka dělali systém kontroly bezpečnosti PINů, tedy čtyřčíslí. Ten zákazník zadal pravidla, že to nesmí být stejné číslice, po sobě jdoucí, permutace data narození, ... a když jsme to zanalyzovali, tak nám vyšlo, že tou kontrolou projde jen pár "bezpečných" PINů. Ale nějak jsme mu nemohli vysvětlit, že tak žádnou bezpečnost nezajití.

A co password manager? Máte s nějakým zkušenost? Umí sám vygenerovat složitá hesla, která jdou těžko prolomit a pamatuje si je. Přijde mi to jako fajn řešení. http://www.stickypassword.com/features/cloud

Taky mám Sticky Password! :) Protože je v češtině a vyvíjejí ho v Brně, což zaručuje českou podporu kdyby se něco stalo. A bez správce hesel si navíc už nedokážu představit svůj život. A hesla mám fakt silná.