samozřejmě se tomu říká názvem mnemotechnické pomůcky
dobré je také nahrazovat písmena tel. čísly nebo staří lidé používají datumy narození vnoučat atd.
To ale neřeší neduhy hesel samotných, že v případě používání více služeb by
hesla neměla být stejná a s nárokem na dostatečnou kvalitu a zabezpečení
Navíc, i když splníte takové požadavky, tak pak stačí, aby jste využil program, který nastavení uloží do systému a dostal nějaký malware nebo keyloger a nikdy nezapamatovatelné heslo Ja6^7;+bC, které máte napsané a nalepené na papírku na monitoru Vám je stejně k ničemu.
Pokud jde o nějakou (rozumnou) webovou službu, je téměř jakékoliv delší heslo dostatečně bezpečné. Na webu se k 33 miliardám kombinací za sekundu jen tak nedostanete. Navíc po pár (desítkách) špatných pokusů dostanete třeba capchu, nebo se prodlouží interval mezi jednotlivými pokusy.
Přihlašování pomocí certifikátu má určité výhody, o tom žádná, ale že by to chránilo před XSS nebo SQL Injection, to snad nemyslíte vážně - mimo jiné i proto, že tyto útoky s autentizací vůbec nesouvisejí, takže schopnost sebelepšího autentizačního mechanismu proti nim chránit je velmi pochybná.
A nebo můžete použít alternativní a bezpečnější přihlašování pomocí certifikátu.
Nyní jsem spustil novou službu online certifikační autority, kde je možné si nechat vydat klientský nebo serverový certifikát zdarma a využít ověřovací službu.
Implementace do různých systémů je jednodušší než veškeré podobné služby a popis API je na stránce http://cert.mojeit.eu
mezi výhody patří:
omezení prolamování různými roboty
lepší účinnost než kterákoliv captcha
ochrana před XSS nebo SQL injection
absence hesla a pamatování si různých více hesel
odolnost proti BFU heslům typu 12345 nebo heslo
absence robustních ověřovacích mechanismů, jež je vázáno na hardware
Do budoucna se přidá více návodů na wiki.