Vlákno názorů k článku Regulace podle NIS2: Dvoufaktorová autentizace bude standardem, dočasně ji půjde nahradit složitějším heslem od Filip Jirsák - Nevím, jestli přidávat tam rovnou zkratku „celkem zk…ené“...
-
NIS2 nic takoveho ale nerika, takze na tom opravdu netrva - aneb podlehl jse pabeni, ze za vsechno zle muze EU :-) Jenze v NIS2 o periodicky vynucovanych zmenach hesel neni ani carka. Periodicka zmena hesel je lokalni vymysl NUKIBu, ktery to vicemene opsal ze starych vyhlasek o kyberneticke bezpecnosti (mj. treba uz vyhlaska c. 316/2014) - aneb na NUKIBu se viditelne vubec nesnazi do pripravovane nove legislativy promitnout nejnovejsi poznatky v teto oblasti v duchu hesla fungovalo to doted, tak proc to menit. A kdyz je nejhur, tak ty poznatky ze sveta na NUKIBu proste zpochybni tim, ze prece databaze s hesly muze uniknout a nekdo na ni muze offline utocit, ze? :-) To, ze v ten moment mate podstatne vetsi problem, ktery periodicka zmena hesel nezachrani se ale uz neresi.
-
...ale zároveň víte, že můžete vyloučit všechna hesla kratší, než 14 znaků.
Tedy: množina minimálně čtrnáctiznakových hesel bez pravidel bude větší, než množina minimálně čtrnáctiznakových hesel s pravidly. (Bez ohledu na to, že bude řádově mnohem větší, než množina desetiznakových hesel - až už s pravidly nebo bez nich.)
Ona právě tahle úvaha vede k onomu neustálému navyšování délky hesel. -
Takže snižování bezpečnosti pokračuje.
Vynucená pravidelná změna hesla bezpečnost snižuje, to vědí už všude, ale NIS2 na tom stále trvá. Uživatelé to obcházejí, ale místo toho, aby se ten nesmysl zrušil, prodlouží se doba, po kterou není možné změnit heslo. A to zase dále snižuje bezpečnost. Protože když si omylem nastavím špatné heslo (třeba mi správce hesel vytvořil heslo, ve kterém je problematický znak, který třeba neumím zadat) a všimnu si toho až po nastavení hesla, nemůžu už heslo změnit. Takže nejspíš příště budu muset absolvovat cestu přes reset hesla. A to se vyplatí.
