Jsem toho názoru, že heslo, které bez KeePassu apod. nezadáte, stojí zavyližprdel úplně stejně jako jakékoli jiné uhodnutelné heslo, protože ke všem je přístup přes jedno jediné heslo - heslo ke správci hesel.
Bohužel vládní mamrdi, co schvalují kreténštiny typu zákon o kybernetické bezpečnosti, tomuhle stavu jen nahrávají. Zrovna teď v naší firmě řešíme zabezpečení některých platforem podle tohoto zákona (což už mimochodem mělo být) a má to dva efekty: kurevsky to komplikuje práci a vůbec nic to nepřináší.
Co mě vytáčí je omezení hesla ať už na délku nebo použité znaky, které není při zadávání vidět. Registroval jsem se zrovna nedávno u jednoho virt. operátora, reg. ok, ale nešlo se přihlásit. Dám že jsem zapomněl heslo a přišlo mi mailem zpět původní! Ukládat plaintext, to jsem myslel, že nedělá už snad nikdo. Každopádně moje heslo přišlo zpět o 1 znak kratší, takže klidně heslo usekli na max. délku (btw 19zn) a vůbec nedali při zakládání vědět, že 20 je moc (i když nechápu proč).
Problém je, že pro běžného uživatele je už situace v podstatě neúnosná - co vytvoří a zapamatuje si, to se dá lousknout a co je dostatečně silné, to si nezapamatuje + počet potřebných hesel pořád roste. A navíc se situace v tomto ohledu stále zhoršuje - metody pro louskání hesel se stále zdokonalují (+ roste dostupný výpočetní výkon). Odborníci svá hesla zatím ještě zvládají ukočírovat, otázka je, jak dlouho.
Predpoklada se, ze (napriklad) 1,2,3 ... pismeno ve slove bude velke (podle poradi/vasi pameti/...), misto cisel pouzijete treba shift ... a mate tam neciselne znaky ...
Pr:
Moje!mAla@veVerka#
Mate prakticky dokonale heslo. Snadno se pamatuje, je dost dlouhe a lustit snadno nepujde ani se slovnikem. Mate tam tri slova, kazde Nte pismeno Nteho slova je velke, a za kazdym slovem nasleduje cislo vyjadrujici jeho poradi napsane se shiftem. Podobnych generujicich algoritmu se daji vytvoriit tisice.
Jenze viz predchozi, naco takova hesla na web, kde si to heslo ulozi do databaze, ktera je verejne dostupna?
Nojo, jenomže tady pak člověk narazí na to, že třeba služba nepovoluje v heslu nějaký znak, který je ve vygenerovaném heslu, nebo zakazuje hesla delší než xx. Tady mě celkem nasral seznam, jelikož vynucuje změnu hesla, ale nepovoluje mezeru (ač ji ve starém hesle používám). Takže pak člověk musí pořád upravovat generátor, což je taky otrava.
To si asi nerozumíme. Osobně považuju KeePass za jeden z těch lepších. Ovšem aby ta bezpečnost skutečně za něco stála, tak to master heslo musí být brutal, jinak je to nejslabším článkem všeho. Zároveň to musíte spouštět jen tehdy, když nějaké heslo opravdu potřebujete. Takže tak jako tak musíte prostě někam zadávat heslo. Jinak to jde z bezpečností ještě do větší pr**e, než by to tam bylo, kdyby se ty buzerační restrikce nezaváděly.
Každé heslo, úplně stejne jako zámek ve dveřích má dva základní úkoly:
1) znemožnit co nejvíce přístup ostatním
2) umožnit co možná nejpohodlnější přístup majiteli
Je logické, že tyto požadavky jdou proti sobě. Ono je také něco jiného heslo do soukromého e-mailu nebo účtu na sociální síti oproti třeba heslu do internetového bankovnictví. Ale vždy musí být to heslo zapamatovatelné a použitelné. Nesmí se prostě zapomínat na to, že předně má umožnit uživateli pohodlný přístup někam.
Ano, lze vymyslet složité zásady pro hesla. Slyšel jsem o firmě, kde musí mít heslo aspoň 15 znaků ze tří různých skupin, nesmí být stejné jako 10 předchozích a platí dva měsíce. K čemu je takové heslo, když si ho stejně musí uživatel někam napsat a namísto složitého prolamování stačí vědět kam (o ukládání do prohlížeče ani nemluvim).
To že seznam.cz považuje za velmi silné heslo abc123XYZ ani nekomentuju (abc123 naopak za slabé), na druhou stranu, na kolikátém místě je takové heslo na pozici kandidátů hloupých hesel...
A není to blbost? Máte "slabé" krátké heslo do e-mailu a útočník vaše slabé hleslo prolomí... Otázka zní jak? Když na to má jen několik málo pokusů? Hrubou silou zkoušením kombinací nebo slovníku to asi nepůjde... když po třetím nebo pátem pokusu jeho snaha na několik desítek minut skončí...
podobně se k heslům chová i česká datová schránka, na vstupu vezme nějaké heslo, ale poté se s ním už nemohu přihlásit a musím jít na checkpoint a uplatit je dvoukilem, grrr.
Ono to bude záležet na každé implementaci bcrypt a časem se délka osekání bude prodlužovat, důvod je nejspíš, aby nemohlo dojít k DoSu služby na ověřování hesla.
Proc? Nac potrebujete stovky hesel na stovky nesmyslnych webu (nebot o webech je rec predevsim)?
Realita pritom je, ze rekneme 50% uzivatelu si dobre uvedomuje "silu" hesla, ale stejne dobre si uvedomuji, ze heslo na webu nema vubec zadny vyznam. K cemu je vam "bezpecne" heslo, ktere si provozovatel uklada jako text?
Mnohe weby se pak dokoce "v ramci bezpecnosti" brani vkladani kopirovanych hesel. Je vskutku povznasejici opisovat 16 nahodne vygenerovanych znaku.
Co hure, ve skutecnosti ani nevite(natoz jako BFU), zda vubec ona sluzba to heslo pouziva. Kuprikladu Microsoft dlouhe roky sice umoznoval zadat velmi dlouhe heslo, ale ve skutecnosti z nej pouzil jen prvnich nekolik (tusim nejdrive 6 a pak 8) znaku.
A jak je zmineno, kazda sluzba nejak (naprosto nesmyslne) omezuje pouzitelne znaky, takze bud budete pokazde ladit, nebo nastavite generator na nehorsi spolecny jmenovatel, coz je heslo z pismen a cisel o 6 znacich.