Nařizuje vám zaměstnavatel neustále měnit hesla? Může to být cesta do pekel!

md5 VelkejRumcajs1 je cf5425545f8f67869d8f1750daea44e3
md5 VelkejRumcajs11 je fa12f986af552d08d77f89c2df4120e9
md5 VelkejRumcajs2 je 175778ccf153b784852846ea58b14217
Řekni mi jak ten tvůj kvalitní systém pozná, že se zdroj těch hashů liší o jeden znak.

U nas tohle system nepovoli. Je mi jedno, jak to dela, ale je to fakt. Az budes na krizovatce, nezapomen se rozhlednout na vsechny strany, ne jen doleva.

Nebylo by mi jedno, jak to dělá. Jestliže to pozná, znamená to, že má někde uloženou původní podobu hesla v textové podobě a to je riziko samo o sobě.

Pokud bude slusne sifrovane, tak mi to zily netrha. Porad lepsi nez Rumcajs1, Rumcajs2....

Jo, to je fakt. V první řadě si to má IT oddělení zajistit tak, aby se ty hesla měnit nemusely (hashovat hesla v úložišti algoritmem neumožňujícím tabulkové porovnání, omezený počet pokusů zadání hesla a pak zablokování účtu, atd...).
Nutit uživatele měnit heslo v pravidelných intervalech je na prd. Stačí mít jedno silné (ne 12345) a může sloužit po celou dobu, co zaměstnanec stráví ve firmě. Ale aby měl zároveň i možnost si jej kdykoliv změnit, když bude chtít.

Tak toto je "the best of" :D

Hehe, mám to stejně, akorát u nás to chtějí měnit každých 42 dní. Tak jedu po měsících... Srpen2016, Zari2016,...

Konečne se našla základní otázka života, vesmíru a vůbec.

Jo, taky máme do jedné db heslo dle pravidla pouze číslice a délka právě 8 číslic. Nabízí se samozřejmě DDMMRRRR, akorát to člověk musí měnit k určitému dni v měsíci, za života není šance, že by se heslo opakovalo.

Šmarjá, kdo tomu magorovi dává plusy?

jo ...... není v lidských silách zapamatovat si pár hesel

Vy musite byt tak staastne jednoduchy clovek, ze vam opravdu uprime zavidim.
V praci zcela bezne pozivam asi 30 az 50 ruznych pristupu k ruznym databazim ve vsech projektech, na kterych delam.
A pak tu mame jeste soukromy zivot, kdy se bavime o emailu (vetsinou nekolika), bankovnictvi, fora, hry, atd atd atd.

zatímco ty jsi tak složitý že tady onanuješ na fórech

Moje přítelkyně by řekla: "Ach to EGO".

Ne, opravdu není, když ta hesla mají různou periodicitu, různé požadavky na délku a složitost a ne každý systém používá každý zaměstnanec každý den. Objektivně není možné si zapamatovat všechna hesla, takže to končí právě těmi papírky.

A proc proboha nepouzivate single sign-on?

Součástí každé takové politiky by měla být možnost změny hesla třeba jen jednou za den. Alespoň windows to umožňují...

To jsem taky používal. Do doby, než zakázali změnu hesla více jak 1x denně. Pak je problém v tom, že pokud člověk heslo změní a nějak by došlo k jeho prozrazení, tak už si ho ten den změnit nemůže.

heslo se dá vždycky resetovat, stačí kontaktovat admina

jo, presne takhle jsem to delal na univerzite
ale v praci bych to zkouset zrovna nechtel...

hlavně pro přihlášení do systému je to optimální řešení

Na přihlašování do systému je to k prdu, ale jinak je to myslím použitelné.

Názor byl 1× upraven, naposled 03. 08. 2016 21:49

KeePass ti nebude u školního/firemniho PC k ničemu, pokud teda s sebou nehodlás tahat tablet nebo notebook.

Stačí flashka :) Každopádně záleží jak moc to chce mít člověk bezpečné. Pokud je flashka moc práce, tak klidně stačí slabší heslo pro lepší zapamatování, pokud nevadí snížená bezpečnost.

Názor byl 1× upraven, naposled 03. 08. 2016 21:51

KeePass appka v mobilu + synchronizace databáze.

Tak když svobodné informace, tak svobodné informace!

Jasně, tím že tohle zakážete tak totiž máte problém vyřešen, že? Nejenže si naserete více lidí, protože jim znemožníte tuhle klasickou ojebávku, ale výsledek bude ten, že tam budete mít třeba A1tucnyovar, 2Btucnyovar a podobně. Osobně to taky dělám taky, protože politika, která mne nutí mít heslo delší než 12 znaků, mít jeden znak malé písmeno, velké písmeno, číslo a speciální znak si nic jiného nezaslouží. Nehodlám se učit nová hesla každých 90 dnů jenom proto, že si to nějaký imbecil v IT oddělení vymyslel (ano to říkám jako IT člověk). Osobně je mi totiž fuk, co si kdo dá za heslo, pokud nekdo chce mít heslo password, tak si ho klidně má. Koneckonců když ho někdo hackne, tak za to odpovídá on.

Pokud si nejaky THP zamestnanec neni schopny pamatovat kazde 3 mesice jine heslo tak opravdu nechapu co dela na THP pozici.A k te zodpovednosti. Pokud pres nejaky hacknuty ucet vznikne skoda treba 50 milionu, muze za to byt ten pracovnik odpovedny jak chce, ale jsem zvedavej, jak to z neho dostanete.

Ak po mne chcu 12 miestne heslo, ktore vypada napriklad ako Go94ApofW712 (kludne pouzi ak chces) a kazdych 90 dni si mam vymysliet a zapamatat rovnako komplikovane heslo, tak ako sorry, ale su snad vacsi tupci ako BFU. Clovek nie je stroj, a nevie si take heslo zapamatat. Bud bude mat JardaJeBlbec1 alebo to bude mat napisane na listocku pri PC.

Já bych byl schopný si ho i zapamatovat, ostatně tak jsem to musel udělat s prvním před generovanou variantou. Ale proč bych to dělal? Je pro mne mnohem jednodušší si zapamatovat jenom to, jestli mám zrovna na 6. místě tečku, čárku, dvojtečku, středník, podtržítko, rovná se nebo pomlčku. A tohle jedu krásně dokola a jsme všichni spokojení.

Je to nehorázná krávovina. Mám tři pracovní stanice. Na každé heslo pro rozšiřování disku. Login do systému. Server ví které stanice jsou moje a nedovolí mi mít stejné heslo pro všechny stroje. Heslo do mailu "musí byt jiné než do systému". Heslo pro bezpečnostní token pro připojení do VPN. Plus další logiky do koncernových aplikací plus SAP, atd.. A každé tři měsíce musím měnit heslo do všeho. Samozřejmě ne v jeden den. Takže cca. jedno či dvě hesla za měsíc. A jak to dopadá. V šuplíku zamčeny papír a napsané hesla. Sválně kdo z Vás si pamatuje z hlavy tel. číslo na manželku a to se nemění! Tohle nucení je naprosto na palici!!!

Číslo na manželku si pamatuju, ale jinak naprosto souhlasím :)
BTW kde děláte, abych se tam omylem někdy neucházel o místo? To zní docela strašlivě - lidem dělá problém změna hesla jednou za 3 měsíce, ale tolik hesel měněných v různých intervalech, to prostě nemůže nikdo zvládnout (leda mít něco jako NejakeHeslo1System, NejakeHeslo1Mail, NejakeHeslo1SAP... a to číslo měnit třeba podle čtvrtletí :))

To je to najhorsie co moze administrator urobit. Vymysliet nezmysel a silou ho presadzovat. Ty tiez dodrzujes vsetky navody a adoporucenia? Neverim.

Problém není s jedním heslem. Problém nastává ve chvíli, kdy je těch hesel třeba deset. Ony ty THPčka maj přece jen trochu jiný věci na práci, než řešit takovýhle ptákoviny.

Pokud by byla povinnost mít každej měsíc nějaký opravdu bezpečný heslo, shoří to na žlutých papírkách v pravém horním rohu monitoru.

Ne ne, tak to není...
pravý DOLNÍ roh...

Dle preferencí.

Jojo, samý bezpečnostní expert tady. Takže taky ukládáš hesla v textové formě, aby to případný pachatel mohl ukrást všechno hezky najednou? :) Protože jinak tomu co říkáš zabránit nejde.

souhlasim s delkou znaku, na druhou stranu bych rekl ze jednou za rok by se heslo zmenit mohlo take

dobrovolně ano, nuceně to však postrádá smysl.

ne, nucene - dobrovolne to nikdo neudela

Menit heslo ma smysl pouze, pokud bylo kompromitovano.

kdyz je heslo kompromitovano byva uz pozde

Tam, kde je požadavek na minimální délku dávám kratší heslo 2x po sobě .

to asi každej

Tak nadnárodní nebo dánskou?

Takže by teď už neměl být problém se přihlásit do interní sítě G*****s M*****t? Tedy pro ty, co to četli a mají zájem? Já si nemyslím, že je dobrý nápad takovéto komenty psát do diskuzí na webu, kde tak přibližně 100% lidí umí používat Google.

Když se dostaneš dovnitř naší firmy a fyzicky na firemní počítač, pak by ses možná přilogoval. Z venku samozřejmě ani náhodou, VPN-ka běží na principu certifikátů, resp. vyžaduje dvoufaktorovou autentizace z počítačů, kterým certifikát chybí. Výše popsaný problém s hesly je dírou zneužitelnou zevnitř firmy, ale zvenku nikoliv -- a odhaduji, že se týká drtivé většiny firem, ne jen té naší.

Názor byl 2× upraven, naposled 04. 08. 2016 15:02

Vis ze ted nekdo muze dohledat kde pracujes... a zacit skodit ?

Když se ten někdo dostane dovnitř naší firmy a fyzicky na firemní počítač, pak by ses možná přilogoval. Z venku samozřejmě ani náhodou, VPN-ka běží na principu certifikátů, resp. vyžaduje dvoufaktorovou autentizace z počítačů, kterým certifikát chybí. Výše popsaný problém s hesly je dírou zneužitelnou zevnitř firmy, ale zvenku nikoliv -- a odhaduji, že se týká drtivé většiny firem, ne jen té naší.

Názor byl 2× upraven, naposled 04. 08. 2016 15:02

Aby ses nedivil, do lokalni site se da vzdy nejak dostat...
Vetsinou staci prvni vysici UTP z baraku firmy nebo wifna

Firemní LAN má zabezpečení pomocí protokolu IEEE 802.1X, firemní Wi-Fi má zabezpečení pomocí certifikátů (WPA2-Enterprise). Takže je mi líto, ale do lokální sítě se lze dostat skutečně jedině z vnitrofiremních počítačů. Ale souhlasím, že u mnoha jiných firem by to asi byla cesta.

Názor byl 2× upraven, naposled 05. 08. 2016 07:05

To mi prijde trochu na hlavu mit politiku na zmenu hesla 90 dni, ale pritom povolovat aby heslo bylo tolik podobne jako to puvodni.

A jak chceš zajistit aby podobné nebylo? Ukládat hesla v plaintextu? Bezpečnostní průšvih. Při normálním ukládání hashe hesla máš šanci jen zjistit jestli je nebo není stejné jako heslo minulé (případně mít tu historii trochu delší)

Presne tak. http://blog.root.cz/trsek/znova-hesla-a-maju-... ...