.. největším zločinem je, uložit heslo jako plain text ... :-O 3-[Toto by mělo být řešeno jako první .. potom ten zbytek.
Plne souhlasim, bohuzel uzivatele casto vyzaduji, aby jim bylo jejich heslo zaslano, a nedokazou pochopit, ze ani administrator jeich heslo nezna a nemuze se "jen podivat do databaze".A kdo ma porad poslouchat stiznosti na neochotu, n'est-ce pas? 🙂
Něco takového ještě existuje?Apropos když user chce plaintext heslo, tak se vygeneruje nové dočasné. Ale normální je posílat jednorázový token do mailu, který následně umožní uživateli zadat si nové heslo po zadání tohoto tokenu. U poskytovatele služby by heslo mělo být vždycky uložené s dostatečně silnou jednosměrnou šifrou, tak aby heslo nikdy neznal, v jeho vlastním zájmu. B-]
Výborně, tak by to chtělo ještě nějaké kvalitní API, a můžeme se při troše trpělivosti vlomit kamkoli chceme (běžné instituce a BFU). Kdo o zabezpečení nedbá, může být po právu potrestán a tak je to správně 😀
když ti někdo ukradne auto bude to správně, protože jsi trouba co si ho málo zabezpečil?
Pokud ho budu zamykat uvázáním tkaničky, což by mohl být ekvivalent "123456", tak skoro i jo.
Neveril bys, na kolika mistech mam podobne heslo. A to me IT bezpecnost uz docela dlouho slusne zivi...
Hmm, pokud to heslo bude extra dlouhý a nezáživný tak možná. Ale jinak je to pitomost (a přitom by stačila drobná variace v několika znacích a je to zasychrovaný). A možná že tak jste to ve skutečnosti myslel, že ;)
Ne, neni to pitomost. Myslel jsem presne heslo "123456", nebo nejake podobne. Sila hesla muze odpovidat velikosti rizika pri jeho prozrazeni. Silnejsi samozrejme nevadi, ale nevidim zadny problem pouziti hesla "123456" (nebo podobneho) v mistnim systemu na rezervaci tenisoveho kurtu, nebo firemnim systemu pro zjistovani zustatku na stravovaci karte (kde nejsou zadne jine udaje).Obdobne heslo pouzivam pro uzivatele na testovacich strojich, ktere potrebuju (a startuju jako virtualni masiny) v prumeru dvakrat do roka.
Tak v tom se shodnem, taky mám své oblíbené krátké heslo, které používám na lokální účely, pochybné a méně důležíté sajty. Pokud je nutné prokázat se nebo zadat kartu, tak to heslo ale pak vždy nahrazuji jedinečným a aktivuju vícefaktorovou autentizaci... Takže případné prosáknutí krátkého hesla by bylo včasnou známkou kompromitace některého z takových sajtů a proto poměrně důležitá informace pro budoucnost... Nicméně doporučuji tohle heslo měnit cca po 5 letech, aby se to při případné kompromitaci dalo omezit na přijatelné (prozkoumatelné) množství cílů 🙂
https://haveibeenpwned.comZdar Max
Kde je link? ☺
Na reddite 😃
Dobra otazka. Zacal bych s hledanim na DarkNetu (tor)Koukej po necem jako: imported.log (vevnitr 255 slozek 1-9a-z, plus read.me s navodem). Dalsi info viz:https://medium.com/4iqdelvedeep/1-4-billion-... (a nezapomen se podelit ;))TIP pro ostatni:poslete prazdny mail na: verification@4iq.coms predmetem: Password Exposure Checka vrati se vam mail s tim, co k vasemu mailu tam bylo (poslednich par znaku z hesla pro vasi kontrolu).
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.