Přehnané požadavky na hesla? Zbytečné a kontraproduktivní, říkají experti

Ech, musel jsem pročíst celou diskusi, než jsem narazil na poslední příspěvek, jediný, s nímž dokážu souhlasit. Ale že je tu "odborníků", chjo.P.S. Pracoval jsem v jedné nejmenované auditorské firmě z velké čtyřky jako odborník na IRM, a když již jsem tedy byl v takovéhle rádoby-všechno-vím společnosti, zkusil jsem, jak máme zabezpečený vnitřní informační systém. Jak šlo asi čekat, hesla se ukládala v *.mdb přímo v nativním kódování tohoto formátu, což je XOR jednoho konkrétního řetězce. Musím přiznat, že při čtení všech 500+ hesel jsem se opravdu dost nasmál.

To sice jo, ale komu se chce vymýšlet něco takového třeba každé dva měsíce? A ještě u tak paranoidních systémů, které každé heslo nespolknou, protože se jim zdá moc jednoduché (osobní zkušenost). Pak při každé změně hesla tvořím tři, čtyři varianty, aby ten šmejd byl konečně spokojený.

Oni sice píší, že stačí jednoduché, zároveň dodávají, že je potřeba heslo dlouhé. Zjednodušeně - náročnost louskání jednoduchého delšího hesla je větší, než kratšího složitějšího.Obecně nejlepší je používat krátké fráze.

Proboha ještě čeština … Já se vyhýbám i "z" a "y" kvůli QWERTY/QWERTZ, a dát tam češtinu, tak heslo nezadám snad ani na svém počítači, natož na cizím …

A proč jako byste měl zadávat heslo do IB nebo firemní heslo do domény na cizím počítači??
Snad jsem napsal jasně, že to je pro některé případy.
Sám používám rád hesla typu:
Tetička měla ráda Šlitra.
Zkuste takovéhle heslo hacknout.

U diskuznich for v naprosty vetsine souhlasim, ale u Eshopu, ktery operuje se jmenem, adresou a vetsinou i cislem karty nebo bankovniho uctu to fakt zbytecny neni :)

V eshopu, kde nakoupím jednou nebo max. párkrát za život, nechci být absolutně otravován nějakým username nebo hesly - prostě rychle nakoupit a vypadnout bez jakéhokoliv přihlašování, platím zásadně na dobírku, v případě Zásilkovny apod. uvádím zásadně falešnou adresu - na co ostatně potřebují moji adresu, když to jde jen do Zásilkovny?

Jasne, tohle dava smysl. Taky spousta e-shopu nabizi nakup bez prihlaseni...Vlastne nechapu, proc nejake ne

No, nesmí se ten systém profláknout. Pokud někdo odhalí, podle jakého systému se ty hesla tvoří, snadno se dostane k různým službám.
Ono je to vždycky o nějakém poměru ceny, času a případného zisku. Heslo k živě je asi samo o sobě bezcenné, ale uživatelé by mohli použít stejné heslo třeba k bankovnictví nebo něčemu jinému, co už má nějakou hodnotu.

Takhle jednoduchy system je naprd, protoze kdyz nekdo odcizi heslo od jedne sluzby (vykradena databaze hesel na strane poskytovatele sluzby), ziska diky jednoduchosti systemu hesla ke vsemu co pouzivas. Davat do hesla nazev sluzby je imho taky dost nerozum.

Systém ano, ale složitější, aby bylo potřeba více uniklých hesel k jeho zjištění. S názvem služby či domény lze pracovat, ale ne takto zjevně.Např. schéma 03k*58m#, kde
* je počet znaků domény +2 mod 7
# je předposlední písmeno znaku domény +1 a velkétj.
03k658mW pro Živě ((4+2) % 7; v->W)
03k158mB pro Seznam ((6+2) % 7; a->B)Nejčastěji používaná hesla si člověk zapamatuje a když některé náhodou zapomene, stačí znát schéma a systém pro výpočet.

Mít jedno heslo je věc jedna. Mít sto hesel je zase něco jiného. Logicky to pak směřuje k tomu, že uživatel má všude stejné - a to je pak skutečně bezpečnostní díra.

JJ souhlas, jaky jsem dělal ve firmě, kde se měnilo heslo každý měsíc, naštěstí bylo rozumný vedení a po tom, co jsem jim ukázal, že většina zaměstanců má heslo název měsíce s velkým na začátku a rok číslem, tak od té politiky ustoupili

tak jestli ses mohl koukat zaměstnancům na nešifrovaná hesla, tak tam bude mnohem větší problém než změna každý měsíc

Nemohl jsem se koukat, přihlásil jsem se přes ně

Pokud jste správce, tak stačí nadzvednout klávesnici a v hodně případů tam ty hesla jsou na papírku.

To mi připomíná na střední hodinu počítačů, kdy ještě 20 minut od začátku hodiny lidi zjišťovali jaký maj heslo protože jsme prostě ňáký vyfasovali a nemohli ho změnit, samozřejmě si to nikdo nepamatoval. Já si ho pamatuju teď, ale tenkrát ne.

'Některé systémy po půl roce, některé po 3 měsících a některé dokonce každý měsíc.'
Cim casteji, tim lepe. Uvedom si, ze v okamziku, kdy hacker zcizi hesla, treba pres odchytavani klaves, tak je jen otazkou casu, nez je on nebo nekdo, komu je proda, pouzije. Coz je treba do 14 dni, ale i po roce. Pokud za mesic heslo zmenis, pak tve heslo nezneuzije po roce. A navic, s tou zmenou, se muzes zrovna trefit do obdobi zcizeni, takze hackerovi uz treba druhy den tve heslo bude k nicemu.
Nicmene, souhlasim s tim, ze je mi to neprijemne delat casto a melo by se vymyslet neco lepsiho tak, aby se heslo zmenilo kazdy den samo a ja se nalogovat tak, abych si nemusel nic pamatovat. Treba, at mi ajtak prideli kazde rano nove heslo.'nejsem schopen zapamatovat aktuálně používané heslo'
:) Hlavni problem je, ze se lide snazi hesla vymyslet. Nech to na nahodny generator. Ja takhle vyklikam treba 5 hesel nez najdu takove, ktere se mi zda, ze si zapamatuji. Nemusim si napsat hned to prvni, co vidim. Zasadne ale nepouzivej online stranku na inetu. Mohou si ukladat tvou ip a heslo.

Resp, s tim It, jeste bych to rozvedl. Treba logovaci karticka. Rano u vratnice si ji projedu cteckou, tam mi prideli heslo a pak plati cely den. ta ctecka by nejakym zpusobem overovala mou identitu, pripade pani na vratnici.

Pokud si někdo nechá nainstalovat sw na odchytávání kláves, tak mu nepomůže i kdyby si měnil heslo každých 10 minut.
Pokud je heslo dostatečně dlouhé a uživatel dodržuje minimální zásady bezpečnosti, tak je rok tak akorát doba - a možná ani to ne. Pokud totiž dojde ke kompromitaci bankovních systémů, tak je to věc banky. A pokud se někdo hlásí do IB řekněme jednou za měsíc, není důvod proč po každém přihlášení měnit heslo.

To je jasná ukázka pohledu neznalého. Pokud někdo zjistí tvoje heslo odchytáváním znaků z klávesnice apod., tak znalost hesla je tvůj poslední problém .
A to s tím vyklikáním 5 pokusů o přihlášení je také dost vtipné, obzvlášť v případě, kdy spousta systémů má by default lock uživatele po 3 neplatných pokusech, některý po 5. Takže nedáš a musíš volat na support, aby ti účet odblokovali.
A to ani nemluvím o systémech, co mají delay time mezi pokusy o zadání hesla.Vymyslet něco lepšího? Kolo vymýšlet nemusíš, to už existuje . Říká se tomu certifikát . A ten certifikát samozřejmě musí být na tokenu.
Problém je pak ale jinde, cena a logistická náročnost.
Zdar Max

U nás se musí měnit heslo každé 3 měsíce, já to řeším tak, že mám jedno a pokaždé změním číslo na konci, aspoň vím, jak dlouho tam pracuji. Někdy se dá použít finta, že se heslo změní třeba 10x a pak se dá to původní, to vyřešili tak, že se dá změnit jenom jednou denně. Což má tu "výhodu", že pokud si někdo změní heslo a náhodou dojde k tomu, že by se ho dozvěděl útočník, tak už to heslo ten den změnit nejde.