A nebo můžete použít alternativní a bezpečnější přihlašování pomocí certifikátu.
Nyní jsem spustil novou službu online certifikační autority, kde je možné si nechat vydat klientský nebo serverový certifikát zdarma a využít ověřovací službu.
Implementace do různých systémů je jednodušší než veškeré podobné služby a popis API je na stránce http://cert.mojeit.eu
mezi výhody patří:
omezení prolamování různými roboty
lepší účinnost než kterákoliv captcha
ochrana před XSS nebo SQL injection
absence hesla a pamatování si různých více hesel
odolnost proti BFU heslům typu 12345 nebo heslo
absence robustních ověřovacích mechanismů, jež je vázáno na hardware
Do budoucna se přidá více návodů na wiki.
Zajímavé, velmi strohá stránka, informace pražádné, firma CA Monte CZ v rejstříku neexistuje a já si od vás mám pořídit nějaký certifikát? Myslím, že by to chtělo zapracovat na důvěryhodnosti :)
Přihlašování pomocí certifikátu má určité výhody, o tom žádná, ale že by to chránilo před XSS nebo SQL Injection, to snad nemyslíte vážně - mimo jiné i proto, že tyto útoky s autentizací vůbec nesouvisejí, takže schopnost sebelepšího autentizačního mechanismu proti nim chránit je velmi pochybná.
Tohle je dobrý poznatek pro lidi, co nepoužívají správce hesel.. já k tomuto používám generátor hesel v rámci aplikace Sticky Password a jsem v bezpečí. Na trhu jsou i jiné, třeba Lastpass.
Pokud jde o nějakou (rozumnou) webovou službu, je téměř jakékoliv delší heslo dostatečně bezpečné. Na webu se k 33 miliardám kombinací za sekundu jen tak nedostanete. Navíc po pár (desítkách) špatných pokusů dostanete třeba capchu, nebo se prodlouží interval mezi jednotlivými pokusy.
Nikdo nebude zkoušet brute-force na webovou službu :-) Hesla se prolamují tak, že ukradnete databázi hesel, kde obvykle zjistíte jen jejich hash. A pak pomocí těch 33 miliard kombinací zjistíte heslo, které odpovídá ukradenému hashi.
Kolega mi před lety poradil zajímavý systém, který od té doby používám: je to kombinace názvu nějakého města nebo obce a PSČ jiného města. Heslo je dostatečně dlouhé a přitom snadno zapamatovatelné a zjistitelné v případě zapomenutí.
samozřejmě se tomu říká názvem mnemotechnické pomůcky
dobré je také nahrazovat písmena tel. čísly nebo staří lidé používají datumy narození vnoučat atd.
To ale neřeší neduhy hesel samotných, že v případě používání více služeb by
hesla neměla být stejná a s nárokem na dostatečnou kvalitu a zabezpečení
Navíc, i když splníte takové požadavky, tak pak stačí, aby jste využil program, který nastavení uloží do systému a dostal nějaký malware nebo keyloger a nikdy nezapamatovatelné heslo Ja6^7;+bC, které máte napsané a nalepené na papírku na monitoru Vám je stejně k ničemu.
