Jsem z branže - je sice hezké že již existují různé bezpečnější a zároveň pro uživatele jednodušší způsoby ověření ale bohužel toto je obrovský problém dostat masově do technologií tak aby to všude hezky, jednoduše, jednotně a funkčně fungovalo 😀.Jméno a heslo se používá odpradávna a tak to všichni výrobci softwaru prostě umí.Vše co vzniká následně je balast a každý si to pitlíkuje po svém. Následně vzniká přehršel různých řešení, nic není jednotné a tak z toho vzniklo například to že někdo se do banky přihlašuje certifikátem, někdo heslem, někdo telefonem - sms, různé authenticatory, rsa ...někdo obličejem a někdo prstem :-ú...je toho hodně. Mě osobně to přijde jako Babylon v IT. Pokud má být dnes něco "bezpečné" je nutná vícefaktorová autentizace a lidičky bohužel ani toto není stoprocentní. Technologie je všude mraky, dělají to mraky lidí a většina z nich tomu nerozumí natolik aby to bezpečné bylo před těmi kdo si říkají hackeři.Dřív bylo IT výsada menší sukpiny lidí, dnes to fakt dělá kdo má ruce nohy a podle toho to vypadá...je to jako se vším ostatním. Viděl někdo z vás v poslední době nějakého "schopného" řemeslníka? V IT je to stejné...vím o čem mluvím.
Aha, čiže byť hackerom a zlodejom je v poriadku, zlo sú len tie heslá.
Jak je při použití toho hw klíče, v komfortní variantě bez zadávání jména a hesla, zajištěno, že se prihlašujete ke službě, kterou vidíte na obrazovce, a ne k nějaké jiné?
Taky dobré jsou kontrolní otázky kvůli obnově hesla... kdy si při založení účtu člověk musí vybrat i z několika kontrolních otázek typu "Jméno matky za svobodna" či "město narození" nebo "jméno prvního mazlíčka" a nejde si zvolit otázku vlastní. Jakou úroveň zabezbečení si autoři myslí, že to poskytuje? Není nic jednoduššího než zjistit takovéto fakta a pokud někdo pravdivě vyplní odpovědi na tyto otázky, tak je to stejné, jako by toto zabezpečení vůbec neexistovalo.
Co si tak vzpomínám, tak když si někdo mohl zvolit kontrolní otázku, tak si tam někteří jedinci napsali místo kontolní otázky to heslo, které bylo platné. Když se takový jedinec přihlašoval a zapomněl heslo, tak se mu jako vlastní kontrolní otázka ukázalo to heslo, které má zadat. Spousta lidí tu vlastní otázku zadává takhle "originálně", aby to měli při případném zapomenutí hesla co nejjednodušší. V takovém případě se ovšem může snadno přihlásit pod jejich identitou i někdo jiný, kdo zadá napoprvé špatné heslo, a pak zkusí napodruhé jako heslo tu vlastní otázku, kterou mu to ukáže.
🙂 Klasika je, že júzři si dávají TOTOŽNÉ heslo na vše - na komp, mail-účty, bankovní účty (někdy to nejde), e-shopy...Ale klídek. B-] Statisticky více jak 90% procent skutečných bezpečnostních průšvihů dělají zaměstnaci a bývalí zaměstnanci a to není ve statistice zahrnuto mlčení bank.😉
To, co autor popisuje, se ve Windows v podnikové sféře používá 20 let. Dnes je aktuální různý způsob využití vašeho mobilního telefonu, což bohužel v článku vůbec není.
Drtivé většině lidí by stačilo jméno a heslo snadno zapamatovatelné, ale lidé jsou '....'. Až by šlo o utajované skutečnosti (NBÚ), pak lepší formu hesla.Jedné osobě říkám v práci, zadej si heslo UliceČíslo (teda vlastní adresu) - 'Květinová3364'. Na papírek si napiš pro jistotu heslo ve formě 'heslo = moje adresa'. Na druhý den mi říká, heslo je údajně neplatné nemohu se tam dostat. Hádejte, co bylo vkládáno do kompu?3-[
Připomnělo mi to tento vtípek:Při zřizování elektronického přístupu k vlastnímu účtu v bance:- Zadejte uživatelské jméno ! - logik2- Zadejte heslo ! - jablko- Lituji, heslo musí obsahovat minimálně 8 znaků ! - červenéjablko- Lituji, heslo musí obsahovat min. 1 číslici ! - 1červenéjablko- Lituji, heslo musí obsahovat min. jedno velké písmeno ! - 1VYJEBANÉčervené jablko- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo !- Lituji, heslo nesmí obsahovat znaky s diakritikou ! - VyjebaneSchnileCerveneJablkoAchcipniTyHajzleJestli AniTohleHesloNeprijmes- Lituji, toto heslo je již obsazeno !
Námitka "Lituji, heslo nesmí obsahovat znaky s diakritikou !" měla být hned po "červenéjablko" ... jinak dobré ...
Historická relikvie kódování písma, kam zmatek v češtině zanesla jistá firma M....t, jež nedodržovala ISO (Unix dodržoval, následně Linux dodržoval). Až s příchodem Unicode (v součinnosti s ISO; UTF) došlo k nápravě.Dnes by již neměl být problém. Ale zkuste českou diakritiku napsat na nečeských klávesnicích v zahraničí. Takže vhodnější je hacky/carky neužívat.🙂
Steam? Uplay? ... maximalni delka hesla 16 znaku.
Akorat ze "prichod Unicode" je obdobi napric operacnimi systemy neco pres deset let a v MS Win to dodnes nepracuje na 100%. Takze sice by to dnes uz nemel byt problem, ale realne to problem stale je.
Pouzivat biometrii mi prijde jako slepa ulicka, prave kvuli unikatnosti. Od doby, kdy existuji keyloggery je jen otazka casu, nez se zacnou objevovat i biologgery.
Anebo vyžadovat, aby účet při chybném zadání hesla třeba na patnáct minut nedovolil uživateli s daným uživatelským jménem další přihlášení. Nedá se to zvenčí nijak obelstít a můžete díky tomu používat třeba i heslo krátké 6 znaků.Lámací software může bušit jak chce, ale další kontrola hesla protidatabázi se umožní až za určitou dobu (třeba 15 min a více). Jaký to má smysl? Prolomit i jednoduché heslo s využitím slovníků vyžaduje tisíce pokusů. Jestliže snížíte počet pokusů o přihlášení na 96 za den (tj. těch 15 min), potom je dostatek času na změnu hesla na nějaké dlouhé, krkolomné. Systém by samozřejmě musel poslat zprávu, že se někdo pokouší na účet neustále přihlásit. Bez slovníku lze provést nutných 60 milionů pokusů o prolomení 5 znakového hesla za pár minut, ale v případě ochrany intervalem by 5 znaků dlouhé heslo trvalo prolomit i několik měsíců.Pro případ, že by někdo záměrně bušil na účet jen proto, aby zamezil přihlášení uživatele, lze provést spárování s cookies (pokud je paranoidní uživatel neblokuje). Potom přihlášení z označkovaného zařízení bude mít výjimku a například 3 pokusy za sebou.Proč však tento způsob ochrany nikdy nepřevládne a musí se na to složitě? Protože stačí, když se najde pár individuí, která se nedokáží přihlásit a začnou kvičet jako prasátka, co že je to za debilní systém, kde musí čekat patnáct minut, než jim to umožní zadat znova heslo. Jen pro úplnost dodávám, že naprogramovat tento způsob ochrany zvládne každý zkušenější programátor za pár minut.
Jenže to už dávno funguje. Pokud někde zkusíte slovníkový útok, za chvíli to po vás začne vyžadovat captchu. Skutečný problém je ten, když webům unikne databáze hashů hesel. Pak totiž lámete heslo offline. Dlouhá hesla před rainbow tables ochrání salt v hashi, ale fakt krátké heslo je imho nahrané pokud se ví, jaký je systém výpočtu salt.
Jste si jistý že IDO/FIDO2 má podporu ve VŠECH Windows? Nebo jen v desítkách?
Hesla zrusit muzete v okamziku, kdy se prestaneme bavit o soukromi, zrusite penize, vsichni budou ti hodni, a budou chtit pracovat na zlepseni zivotniho prostredi. Zatim to vypada tak, ze, kdo ma vetsi penize, ten rozhoduje, co je pro zivotni prostredi nejlepsi. Pripadne skodi tajne a ma na to podplacene lidi.Pokud existuji lide, kteri proti sobe bojuji, tak je vzdy treba ochranu. Treba netolerantni hlucni sousede urcite vsem lezou na nervy.No, a co se tyce vseho ostatniho v clanku, tak je mozne uplne vse naklonovat nebo padelat. Spousta techto odmitacu hesel se jen snazi nabulikovat lidem, ze vse ostatni je bezpecnejsi a pohodlnejsi.Dejte si na usb flash program na spravce hesel. Tak si ji nekdy pujcim, naklonuji a necham na superpocitaci dekodovat hlavni heslo do programu. Nikdy se to nedozvite a ja ziskam 1000 hesel do vasich sluzeb.Co se tyce dna, clovek kolem sebe trousi sve dna vsude, treba v kousickach stare odpadajici kuze a tak.Zkratka, cokoliv vymyslite, tak si hackeri daji tu praci to oblafnout. V pripade sloziteho hesla je to jen mirne slozitejsi. Ja bych take rad pouzival nejakou jednoduchou cestu. Treba kvuli bance, abych nepotreboval mobil na overovani ani nic jineho a stacil bych jen ja, ktereho nosim vsude. Ale to zkratka nejde. At uz si nasnimaji me oko, palec, zpusob chuze, tvary tela nebo dna...
Dalsi, kdo nepochopil, ale umi vyblit poradne dlouhy komentar.A to je, damy a panove, duvod, proc tak primitivni veci jako prihlasovani privatnim klicem uz 20 let nemame a jeste pekne dlouho mit nebudeme. Protoze prece hesla jsou oukej.Hlavne si pamatujte, ze kdo nedela nic spatneho, nema co skryvat.
Login a heslo maji vyhodu v tom, ze funguji vsude a nic dalsiho nepotrebuji. Me vic stve pozadavek kazdy kvartal heslo menit, v praci jeste navic asi 4x do ruznych systemu. Tak tam snad vsichni pouzivaji pattern, ze maji nejake heslo a na konci meni cislo, ja do kazdeho systemu davam stejne heslo. Kdyz chteli bezpecnost, tak to maji. Jedina vyhoda je, ze vim, kolik let tam pracuji a nemusim to pocitat 🙂
Jenom do ctyr?, to jste na tom jeste dobre. :)
No bývá to přes doménový účet nebo single sign on, ale holt je těch domén víc
Ve firme mame asi 100 ruznych systemu. K admin casti mam vetsinou unikatni heslo. k uzivatelske to sdruzujeme pod 1 heslo. K tomu zapocitej hesla peo externi mail, hry, diskuze a dostanes se k 200 systemum. Ale tam mam samozrejme vetsinou jedno heslo a snazim se to tlacit pres fb login. Tam mi nezalezi na tom, kdo to cte, ale abych ziskal nejake odpovedi, ktere by mi pomohly vyresit problem. A nebo to je pro zabavu.
Změnu hesel vyžadují firmy, kde management IT problematiku vyřešil už před lety zaplacením konzultanta a dál nechtějí nic investovat nebo měnit, přitom právě management je první komu se musí zaškrtnout "password never expire".Další možnost jsou firmy kterým to každý rok připomínají "experti" při ISO certifikaci - experti co jsem zažil byli teoretici s razítkem kteří mají vždycky pravdu a pokud možno nevycházejí ze své akademické věže ze slonoviny 😀
každej web dostane vlastní klíč, chápu to dobře?Místo hesel v lastpass teda budu mít sebou kolik klíčenek?Co když se bude chtít přihlásit na pc někdo jiný?Co když se budu chtít přihlásit v internetové kavárně?
Nechapes. Vis jak funguje univerzalni klic, kterym muzes otevrit nekolik ruznych zamku?
Mam systém hesel kterej je založenej na ňákym určitym vzoru a odlišnosti která je většinou daná jménem služby nebo serveru, heslo je to hodně dlouhý a na každej server unikátní a nehodlam na tom zatim nic měnit. Všechny ty otisky prstů a podobný věci jsou sice hezký ale já se ke svejm účtům potřebuju dostat odkudkoliv a ne jenom odtamtud kde je ňáká čtečka nebo webkamera.Přihlašování přes facebook už nedělam od tý doby co jsem tam párkrát dostal ban, opravdu nechci aby moje přihlačování někde záviselo na ňákym facebooku kde mi ten účet cukrberk může zrušit kdykoliv se mu zachce.Mam silný hesla podle tohohle vzoru na důležitý věci a pak na věci jako diskuzní servery a jiný kraviny mam jedno obyčejný heslo protože tam je mi to celkem jedno, o nic nejde, prostě se zaregistruju znova, to u banky nebo ani na tom FB neni tak jednoduchý. 🙂Ale ta myšlenka s tim klíčem v podobě USB přívěšku se mi docela líbí, ale zase bych měl deprese z toho že mi to někdo ukradne nebo to ztratim nebo zničim.
Názor byl 1× upraven, naposled 5. 11. 2019 23:54
Mam dojem, ze logovaci api facebooku neni zavisle na aktualnim banu. Ban znamena nemoznost komentovat a psat zpravy. I nadale je mozno likovat, spravovat svuj ucet, prohlizet jine a taky se prihlasit.
Já mam dojem že když jsem měl ban tak s tim byl ňákej problém, jako jo, lognout samozřejmě šlo, ale myslim že komentovat už nešlo, nebo to házelo ňákej error, už nevim. Ale prostě celkově nechci bejt závislej na Facebooku. Jak řikam, můžou mi ten účet kompletně smazat když se jim zachce a nebo mít přístup ke všem službám do kterejch se přesto přihlašuju a krást mi osobní data a prodávat je.
Názor byl 1× upraven, naposled 8. 11. 2019 10:42
Nehodlám řešit, tohle bude starost mých dětí, vnuků, snad pravnuků. Sám rozlišuji jen dva druhy přihlašování.1. Do důležitých služeb.2. Do těch, které může vzít čert.A podle toho přizpůsobuji hesla. Facebook a další sociální sítě, bezplatné cloudy, filmové databáze, softwarové záležitosti, hobby řeším hesly jednodušeji zapamatovatelnými a je mi naprosto jedno, kdo si účty ukradne, na skutečné jméno je nevedu, nic osobního na těchto místech nesděluji. V prvním případě, tedy byznys, banka, komunikace s úřady, privátní/obchodní citlivá komunikace vše řeším (pokud nevyžaduje přímo služba, typickým příkladem je bankovnictví) silnými hesly, které pravidelně měním, zapisuji je v komplikované formě, kterou si však pamatuji a zálohu hesel mám uloženu na bezpečném místě v tištěné formě/flešky (firemní záležitosti také v bezpečnostní schránce). Nikdy tato hesla nesynchronizuji se žádnou službou ani v prohlížeči.
Máto ale druhou stranu kloubouku, zatímco login+heslo je v podstatě anomynmí, když na sebe člověk nebonzne další údaje, jak se zaručí soukromí+anonymita u těhle věcí?A nejde místo předraženýho jednoúčelovýho yubofidokrámu používat něco běžného (obyč USB úložiště), tam samozřejmě otisk nebude.
Silna/kvalitní autentizace přece nijak nesouvisí s anonymitou. I při kvalitní autentizaci (že jste ten správný uživatel, který se přihlašuje k službě) lze zachovat anonymitu.
Nejspíš má na mysli, že pro sto služeb si mohl vymyslet sto různých jmen. A má obavu, že s hw tokenem bude pro sto služeb používat stejný veřejný klíč. Takže těch sto služeb, když budou kooperovat, může zjistit, že je tentýž uživatel.
Tak nebudu používat přihlašování na principu veřejného klíče. Jak prosté.Jsou přihlašovací algoritmy, kdy se můžete autentizovat vůči každé službě/serveru, ale nikdo vás nedokáže propojit mezi různými službami/servery mezi konkrétními účty.
Biometrie je sice pěkná věc, má ale jednu velkou nevýhodu - pokud vám dnes někdo ukradne klasický privátní klíč, tak ho prostě jednoduše znevalidníte a vytvoříte si nový. Ve chvíli, kdy použijete vae biometrická data jako privátní klíč jste nahraní, jelikož si jen tak nová už nevytvoříte.
Názor byl 1× upraven, naposled 5. 11. 2019 21:24
Ano, proto se to resi asymetrickou kryptografii certifikat-klic, nebo chtete-li, tedy verejna/privatni cast klice. Jenze to nutne otevira otazku zabezpeceni privatni casti (proti kradezi, proti okopirovani, proti neopravnemu pouziti). Coz je dost netrivialni problem vedouci casto na... heslo ;)
Dnes již není problém zabezpečit privátní klíč. Mohu ti půjčit třeba podepisovací token (nebo si ho můžeš pořídit zde: http://j.mp/2ria5Qh) a jestli z něj dostaneš privátní klíč, slávu máš zajištěnou na hodně dlouho. Stejně fungujou i ty Yubikey.
Samozrejme, z hardware typu hsm se klic nedostane, ale jak chcete lidi motivovat k nakupu neceho, co v zasade "nepotrebuji" bo maji heslo zadarmo? To je oc ty bezi. Bud pouzijete hardware za penize a bude dobry, nebo mizerny hardware a pak si nepomuzete.
A proč bys měl lidi nějak extra motivovat? Pokud pro ně není motivací to, že přihlašovaní jiným způsobem než klasické jméno+heslo je bezpečnější, tak ať si používají jméno+heslo. Jsou to jejich data, které jsou pak v ohrožení.Asi jako kdyby ses ptal, jak máš motivovat člověka, který si své celoživotní úspory schovává pod polštář místo do banky nebo aspoň do trezoru.Pokud ty, jako poskytovatel služby, nabídneš lidem možnost silné autentizace, tak je vše v pořádku. (a o to by mělo jít především) A pak už je na uživatelích, zda toho využijí.
Proto žádná biometrická čtečka nikam neposílá biometrické údaje. Co se neposílá, to nelze ukrást.
A co když si někdo koupí ňákou levnou z číny? Je to jenom na čestnosti výrobců, jako všechno. Jednou mi ten otisk prstu někdo ukradne a jsem doživotně v hajzlu.
Nemá si kupovat "ňákou levnou" z číny. Když chci Viagru, musím taky k doktorovi a ne lovit ve spam folderu po výhodné nabídce.Ano, o důvěře je to vždy. Stejně tak jako důvěřuješ výrobci webkamery a výrobci systému, že neumožní spuštění webkamery na displeji bez rozsvícení notifikační diody, aby tě natočili při masturbaci nad pornhubem.Nebo že výrobce mobilu trvale nenahrává mikrofonem tvé okolí a neposílá to pak v noci někam na servery...
To ale vysvětli těm miliardám lidí co to nechápou, jsou to lidi co si radši zajedou 10 km autem pro rohlíky ve slevě než aby je koupili o 20 halířů dráž, takovýmu člověku nevysvětlíš že si má koupit čtečku z alzy a ne z ali za 2 dolary. 😀
Každý svého štěstí tvůrcem. Asi tak. Můžeš vysvětlit jedno, podruhé a pak nad tím akorát tak mávnout rukou.Nemáš povinnost řešit zabezpečení někoho, kdo zabezpečit vlastně nechce.
Ano, biometricke udaje se sice nikam neposilaji ale posila se 'heslo' ktere lze podvrhnout. Pri pouziti biometriky (fingerprint reader, retina scanner, faceid etc.) se vygeneruje (silne) heslo a to se potom pouziva aniz by o tom uzivatel vedel. Uzivateli je to fuk pac veri ze je to bezpecne a je rad ze si nemusi pamatovat zadna hesla....
No, nevíte o tom vůbec nic. Žádné silné heslo se negeneruje. Zkuste si přečíst ten článek pořádně.A pokud zmiňujete FaceID (totéž platí i pro starší TouchID), tak to funguje naprosto jinak. Vygooglujte si FaceID/TouchID security white paper. Nebo třeba tady: https://www.apple.com/business/docs/site/iOS_Se... By mě zajímalo, jaké máte znalosti o bezpečnosti těchto věcí. (Ne)používejte si co chcete, ale rozhodně prosím nešiřte bludy. Myslíte si, že odborníci na bezpečnost jsou tak blbí, že vymyslí autentizační proces, kde nějaké "heslo" lze jen tak "podvrhnout"? To pak by tyhle lidi mohli rovnou pustit na pracák a zaměstnat Vás, ne?
"Myslíte si, že odborníci na bezpečnost jsou tak blbí," ... verte ze mnozi vic nez si dokazete predstavit 😃
Tim tvym FaceID bych se tu moc neohanel, da se ojebat celkem bez problemu. Staci clovek s dostatecne podobnym oblicejem ( https://www.youtube.com/watch ), nebo oblicej vytisteny na 3d tiskarne ( https://www.youtube.com/watch ). U androidu je to jeste jednodussi, tam staci akorat fotka obliceje na zakrivenem monitoru ( https://www.youtube.com/watch ). Muzes sem nahazet whitepaperu a kecu o odbornicich kolik chces, ale jako sry bro, realita je takova jaka je.
Jeden o voze, druhý o koze. Řešíme tu zpracování biometrických dat a jejich zabezpečení, ne technologii samotnou. Zkus příště pochopit, o čem je vlastně řeč. Nemusíš být pak hned za blba, bro. B-]
Všechny hlavní prohlížeče dnes podporují Web Authentication API (https://caniuse.com/), které právě slouží k tomu, aby si prohlížeč se serverem vyměnily příslušné klíče. Bohužel servery to, jak je uvedeno v článku, zatím nevyužívají. Asi se čeká na vzorovou implementaci nějakého velké hráče (Google, Apple, Facebook...).
Ta podpora je jeste dosti slaba na to aby to nekdo pouzival. Spousta webu nezacne pouzivat neco co nezvlada IE 11 a safari zacalo teprve nedavno.
"Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují"To je pravda, predstavme si tedy krasny svet bez hesel. Do banky se dostanete na jakekoliv konto, staci zadat jeho cislo. Maily i sms si prectete bez hesla nebo PINu na telefon. Nikdo preci nema pred svou manzelkou co skryvat, ...... 2FA je super vec, ale titulek, ten titulek.
Mam takovy pocit, ze jsi nepochopil pointu. Pointa neni o tom, ze je zabezpeceni zlo, ale ze hesla, ktera si musime vymyslet, pamatovat a neustale menit jsou jako druh zabezpeceni zlo a stim se neda nez souhlasit.
Jak dlouho ze existuje asymetricka kryptografie?Jo, hesla mela uz pred 20 lety temer zmizet a pouzivat se vylucne na odemykani klicu.
Tak jiste, ma to jen drobny problem, totiz jak zabezpecite klic. Muzete mit token, ze ktereho nepujde vyndat. OK, jenze to je vydaj, jak chcete lidi presvedcit, aby si neco takoveho kupovali?Muzete pouzit libovolnou flesku. Jenze odtamtud vam klic okopiruje kde kdo a pokud ho nebudete mit zabezpeceny (zrejme heslem 😃) tak jste druhy.Cimz se kruh uzavira.
Ano, v nejjednodussim pripade heslem. Pak mam pouze jedno dost bezpecne. Samozrejme pokud nad klicem ztratim kontrolu, je treba jej okamzite zneplatnit. Neni to dokonale, ale oproti heslu o vesmir jinde.
Jojo, zabezpečený flashky, obsahující klíč, jsou super 😀 Ale jen do chvíle než je začne vyrábět pátá garáž vlevo na předměstí Pekingu, bude je prodávat za 3,- Kč a lidi je budou kupovat, protože "mají pěknej web a jsou přece perfektně zabezpečený". (a to včetně vestavěnýho backdooru nebo keylogeru) 😀😀😀
Nevím jak vy, ale já mám svoje privátní klíče šifrované, takže flashka žádné šifrování nepotřebuje. Ale jo, může se stát, že váš token bude prostě s backdoorem, ne že ne, a to i když bude vypadat solidně.Pořád je to ale bezpečnější než to heslo. Neznám univerzální řešení, ale vím, že kde lze nasadit klíče, má smysl je nasadit.
Rozumim. Ten zasifrovany klic mate kryty cim? Heslem? ;)
Ano. Jeho bezpečnost zajišťuje heslo a fyzická dostupnost. Ani jedno není dokonalé.Klíčů mám několik, všechny schované pod master heslem s heslem pro každý z klíčů. Jeden z těch klíčů mi zajišťuje přístup pro více než 200 různých služeb. Pokud bych se měl držet hesel s tím, že nevím, jak jsou na druhé straně uchovávány, potřeboval bych obrovské množství vzájemně odlišných hesel. Takhle mi stačí zveřejnit veřejný klíč a znát od něj heslo, které tím pádem může být dostatečně složité.Samozřejmě mě to nechrání před keyloggery, slabinami šifer ani sociálním inženýrstvím. Ale zbavil jsem se problému s distribucí hesel (pokud někdo odposlechne handshake při odemykání klíčem, je mu to na nic), uchovávání hesel (někde jsou v plaintextu, někde v md5... veřejný klíč může ležet klidně v plaintextu) a jejich složitostí.Vedle mám samozřejmě ještě keepas s dalšími stovkami přístupů. K tomu všemu kdyby se někdo dostal, tak bude hořet u hodně zákazníků. Ale zatímco část můžu obvolat a upozornit je, ať mi zneplatní certifikát, jiná část bude muset měnit rootovská hesla, a ty pak zase distribuovat všude možně.
Asymetrická kryptografie se už používá komerčně zhruba 30 let. Byla použita pro autentifikaci, podepisování a šifrování třeba v produktu Lotus Notes verze 1.0 , která byla distribuována v prosinci 1989, aspoň podle článku: https://www.svetnotes.cz/sn/sn.nsf/c4036191b207fe7...
Jojo, dodnes se tím Domino chlubí, že je díky certifikátům bezpečné. A je fakt, že hloupě to udělané není.Chápu, že nějaký čas trvá, než se nová technologie zavede, ale prostě od roku 2000 jsou hesla v drtivé většině aplikací zastaralé řešení. A stojí to zejména na tom, že lidé jsou líní, a že práce s klíči pořád není tak pohodlná jako práce s hesly. Jsem si jistý, že kdyby se to začalo používat v širším měřítku, za pár let se to dost zjednodušší. Třeba tím, že mít vlastní token v mobilu by bylo běžné.
Ja pouzivam Lotus notes uz cca 12 rokov v dvoch roznych firmach - od verzie 7 myslim, naposledy premenovana na IBM Notes 10, a vzdy som sa do notesov musel prihlasit zadanim hesla
Tak to záleží na firemní politice, každopádně jestli se nepletu, i pokud se přihlašujete heslem, Notes používá interně certifikát. Akorát si ho při prvním přihlášení stáhne.Notes rozhodně ale přihlašování certifikátem umí a využívá se to. Dokonce to umí bez hesla, kdy se certifikát odemyká pomocí session ve widlích.
😳
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.