Názory k článku Měřičům síly hesla nemůžete věřit. Ani tomu od Seznamu

Co mě vytáčí je omezení hesla ať už na délku nebo použité znaky, které není při zadávání vidět. Registroval jsem se zrovna nedávno u jednoho virt. operátora, reg. ok, ale nešlo se přihlásit. Dám že jsem zapomněl heslo a přišlo mi mailem zpět původní! Ukládat plaintext, to jsem myslel, že nedělá už snad nikdo. Každopádně moje heslo přišlo zpět o 1 znak kratší, takže klidně heslo usekli na max. délku (btw 19zn) a vůbec nedali při zakládání vědět, že 20 je moc (i když nechápu proč).

Problém je, že pro běžného uživatele je už situace v podstatě neúnosná - co vytvoří a zapamatuje si, to se dá lousknout a co je dostatečně silné, to si nezapamatuje + počet potřebných hesel pořád roste. A navíc se situace v tomto ohledu stále zhoršuje - metody pro louskání hesel se stále zdokonalují (+ roste dostupný výpočetní výkon). Odborníci svá hesla zatím ještě zvládají ukočírovat, otázka je, jak dlouho.

Predpoklada se, ze (napriklad) 1,2,3 ... pismeno ve slove bude velke (podle poradi/vasi pameti/...), misto cisel pouzijete treba shift ... a mate tam neciselne znaky ...

Pr:

Moje!mAla@veVerka#

Mate prakticky dokonale heslo. Snadno se pamatuje, je dost dlouhe a lustit snadno nepujde ani se slovnikem. Mate tam tri slova, kazde Nte pismeno Nteho slova je velke, a za kazdym slovem nasleduje cislo vyjadrujici jeho poradi napsane se shiftem. Podobnych generujicich algoritmu se daji vytvoriit tisice.

Jenze viz predchozi, naco takova hesla na web, kde si to heslo ulozi do databaze, ktera je verejne dostupna?

Nojo, jenomže tady pak člověk narazí na to, že třeba služba nepovoluje v heslu nějaký znak, který je ve vygenerovaném heslu, nebo zakazuje hesla delší než xx. Tady mě celkem nasral seznam, jelikož vynucuje změnu hesla, ale nepovoluje mezeru (ač ji ve starém hesle používám). Takže pak člověk musí pořád upravovat generátor, což je taky otrava.

Zkuste si spravce hesel nahrat treba na iPad.

Je potřeba i běžné provozovatele serverů naučit používat jinou metodu ověření, než je unikátní heslo pro ten daný server.

ten dokonce funguje i na smartphone platforme

Ve chvili kdy se takto pripojite do cizi spolecnosti, je vam to houby platne, abychtak rekl :-)

to máš teda ještě tu lepší variantu, kdy si ty hesla můžeš volit :-D, vím, někdy to je boj s větrnými mlýny...

Kde jste to video vyhrabali? V LastPass ke kteremu to video nabada bylo posledni dobou nekolikrat s brutalnima chybama dosti ocerneno!
PS: Opravte si prihlaseni pomoci MojeID, ukazuje to 500 :-).

Každé heslo, úplně stejne jako zámek ve dveřích má dva základní úkoly:
1) znemožnit co nejvíce přístup ostatním
2) umožnit co možná nejpohodlnější přístup majiteli

Je logické, že tyto požadavky jdou proti sobě. Ono je také něco jiného heslo do soukromého e-mailu nebo účtu na sociální síti oproti třeba heslu do internetového bankovnictví. Ale vždy musí být to heslo zapamatovatelné a použitelné. Nesmí se prostě zapomínat na to, že předně má umožnit uživateli pohodlný přístup někam.
Ano, lze vymyslet složité zásady pro hesla. Slyšel jsem o firmě, kde musí mít heslo aspoň 15 znaků ze tří různých skupin, nesmí být stejné jako 10 předchozích a platí dva měsíce. K čemu je takové heslo, když si ho stejně musí uživatel někam napsat a namísto složitého prolamování stačí vědět kam (o ukládání do prohlížeče ani nemluvim).
To že seznam.cz považuje za velmi silné heslo abc123XYZ ani nekomentuju (abc123 naopak za slabé), na druhou stranu, na kolikátém místě je takové heslo na pozici kandidátů hloupých hesel...

jdeš moc do extrému a jsi z oboru, nějak si určitě poradíš. Single sign on je řešení. AD, kerberos fungují i přes RDP, ne všechny společnosti to ale umí používat

Nemuzu souhlasit. Pokud jsem nekam pripojeny pres VMware Horizon a tam potrebuju treba jeste pustit RDP - coz je priklad ktery mam prave ted 'na desktopu', tak tam nedostanete vubec nic. Proste to musite natukat.

pritom staci pouzit obycejnou frazi, takovu, aby sis ji zapamatoval: "Dnes pujdu koupit 2 jablka." a mas silne heslo bez zbytecnych kravovin.

To už dneska právě neplatí - softy na louskání hesel s těmito algoritmy počítají

Problem je, ze nektera hesla jsou potreba prilis casto na to, aby je clovek lovil ve spravci hesel..

A není to blbost? Máte "slabé" krátké heslo do e-mailu a útočník vaše slabé hleslo prolomí... Otázka zní jak? Když na to má jen několik málo pokusů? Hrubou silou zkoušením kombinací nebo slovníku to asi nepůjde... když po třetím nebo pátem pokusu jeho snaha na několik desítek minut skončí...

...o obcasne nutnosti prebihat mezi stanicema, nebo nedejbuh nekam pristupovat pres mobil ani nemluve. Toto reseni proste neni pro kazdeho, i kdyz vetsine treba vyhovovat muze.

pokud budou tvoje 20 znaký heslo akceptovat, je to v pořádku, kromě toho, že 19 znaků je málo.

V php se doporučuje používat bcrypt na ukládání hesel, ten také seká někde kolem 60 znaků (nevím už z hlavy přesně).

Neakceptovali, musel jsem si poslední písmenko v password manageru odmazat.

Těch 60 znaků je délka hashe co leze z bcryptu, vstup seká na 72zn. (našel jsem si, myslel jsem, že vstup může být libovolný).

podobně se k heslům chová i česká datová schránka, na vstupu vezme nějaké heslo, ale poté se s ním už nemohu přihlásit a musím jít na checkpoint a uplatit je dvoukilem, grrr.

Ono to bude záležet na každé implementaci bcrypt a časem se délka osekání bude prodlužovat, důvod je nejspíš, aby nemohlo dojít k DoSu služby na ověřování hesla.

Ono ovšem takový správce hesel taky není dokonalý, kolik už bylo článků na téma že v tom a tamtom byla nalezena zranitelnost či rovnou něco uniklo. Není nad to mít všechna hesla pěkně pod jednou střechou, to je pak lákadlo pro zlodějíčky... :-)

Jinak zatim to resim tou blbou metodou, ze mam vsechna hesla sice silna ale dlouhodobe vicemene stejna. Maximalne s malou odchylkou, kterou jeste v hlave udrzim.
Takze jsem vlastne cekatel na pruser :-)

Je potřeba i běžné uživatele naučit používat správce hesel. Odpadne jim problém s vymýšlením i pamatováním.

Tak davat hesla na smatphone(totalne zabugovane OS) muze snad jen idiot.

Proc? Nac potrebujete stovky hesel na stovky nesmyslnych webu (nebot o webech je rec predevsim)?

Realita pritom je, ze rekneme 50% uzivatelu si dobre uvedomuje "silu" hesla, ale stejne dobre si uvedomuji, ze heslo na webu nema vubec zadny vyznam. K cemu je vam "bezpecne" heslo, ktere si provozovatel uklada jako text?

Mnohe weby se pak dokoce "v ramci bezpecnosti" brani vkladani kopirovanych hesel. Je vskutku povznasejici opisovat 16 nahodne vygenerovanych znaku.

Co hure, ve skutecnosti ani nevite(natoz jako BFU), zda vubec ona sluzba to heslo pouziva. Kuprikladu Microsoft dlouhe roky sice umoznoval zadat velmi dlouhe heslo, ale ve skutecnosti z nej pouzil jen prvnich nekolik (tusim nejdrive 6 a pak 8) znaku.

A jak je zmineno, kazda sluzba nejak (naprosto nesmyslne) omezuje pouzitelne znaky, takze bud budete pokazde ladit, nebo nastavite generator na nehorsi spolecny jmenovatel, coz je heslo z pismen a cisel o 6 znacich.