Mám jako heslo rok kanonizace svatého Dominika papežem Rehořem IX. a jsem potěšen, jaké úctě se tento světec celosvětově těší 😀😀😀
Četl jsem rozhovor s autorem původní sady pravidel. Dostal to jako první úkol po škole a neměl s tématem větší zkušenosti. Tomu odpovídala i jeho práce.
Já jsem z oboru dávno pryč.Ale už před dvaceti lety jsem tu snahu o bezpečná hesla moc nechápal.Buď jsem obyčejný BFU, a v podstatě netuším, komu bych mohl stát za tu práci, aby zjišťoval heslo k mému účtu na nějakém mailovém serveru, netuším, koho by mohly zajímat mé přihlašovací údaje na nějaké sociální sítí, a vlastně jsem si s něčím podobným nedělal starosti ani v dobách, kdy jsem se vytáčenou linkou připojoval k BBS a pak k internetu. A v podstatě to neřeším dodnes.A korporáty, úřady, banky a podobné entity? Tam jsem v době, kdy jsem to dělal, zastával názor, že nějaké heslo je dobré maximálně k tomu, aby člověku do počítače, přesněji řečeno k té části dat za které nese přímou odpovědnost, nelezl soused od vedlejšího stolu. A někde ve sklepě, nebo v Pardubicích, nebo kde sedí někdo, kdo se postará o to, aby ten počítač byl z venčí buď neviditelný, nebo aby se heslem ‘Jana1' ten počítač přihlásil k místní síti, zatímco vše zvenčí narazí na DMZ a ten počítač, nebo databáze, nebo cokoli jiného se bude tvářit bude v podstatě nedostupné, protože to heslo bude naprosto neprůstřelné.Alespoň za dávných dob to tak fungovalo. Firemní NTB se odkudkoliv po světě přihlásil k firemnímu serveru, pozdravil a šup na jiné porty a na VPN.Jó, mělo to jistá omezení. Soukromé věci člověk musel řešit na svém soukromém HW. Z pracovního stolu se nedostal nikam jinam, nežli k pracovním věcem. Z hotelu to samé.Pravda, řešilo se to vcelku jednoduše, druhým OS, ale to opět musel udělat někdo z IT tak, aby z jedné instance OS nešlo přistoupit k diskovým oddílům z druhé instance. Třeba Windows NT to zvládaly v pohodě, pak se používaly jiné triky.Takže na co silná hesla? Těmi se řeší v podstatě nesmyslná situace, ve které jsme se ocitli. Z každého počítače (s výjimkou opravdu pečlivě střežených aplikaci) se dnes kdokoliv připojí k českému světu, od žákovské knížky dítěte až po porno.
Přirovnal bych to třeba k exkluzivní kolárně. Člověk slezl z kola, předal ho obsluze a dostal lístek. A obsluha to kolo strčila do zamčeného boxu někde v betonovém bunkru. (Samozřejmě přehráním.)Dnes řešíme, jak a čím ta kola zamknout a k čemu je přivázat.To je rozdíl mezi původní formou zabezpečení a dnešním požadavkem na hesla a jejich neprůstřelnost. Vcelku jednoduchý problém řeší národní autority.Smarjá, já se odkudkoliv dostanu do všech počítačů a ostatních věcí v baráku, ale jedna větev sítě (tedy rozsah adres) je tak uzavřena, že se do ní nedostanu zvenčí , jen z lokální sítě, a administrace možná právě jen zevnitř. A nepotřeboval jsem k tomu žádná hesla, žádné přihlašovacích údaje, nic. Jen vzpomínky na dobu, kdy jsme s kolegou dělali okresní poštu a dvě fabriky.
Proc? To je celkem jednoduche. Protoze vetsi cast hrozeb ve firmach, ktere popisujes (korporaty, banky, apod.) pochazi zevnitr. Od zamestnancu kteri bud maji znalosti a motivaci, nebo je nekdo uplatil, nebo jim nekdo vyhrozuje, nebo maji vazne financni obtize a hledaji reseni. Ve firme o par tisicich zamestnancich se s nenulovovou pravdepodobnosti nekdo takovy najde.A proc silne heslo? Predstav si tenhle scenar - poslu ti firemni mail, ktery obsahuje odkaz na nejaky interni firemni server. Ty ho ani nemusis zaznamenat, ale tvuj mailovy klient se pravdepodobne pokusi na ten server pristoupit. A aby to udelal, musi se tam prihlasit, tj. tomu serveru posle zasifrovanou verzi tveho hesla (hash).A pak uz zalezi JEN A JEN na sile tveho hesla, jak dlouho mi bude trvat, nez se mi povede hash cracknout a dostanu se k tomu heslu. Pokud to bude heslo "Jana1", nestihnu ani zvednout ruce z klavesnice, nez se mi objevi na obrazovce.
8 znaků třeba pouze z malých písmen je málo, ne?
Ano, pokud jsou bez diakritiky. Ja treba takove heslo lousknu nejpozdeji za den, pokud se ke mne dostane hash hesla z Windows (nebo obdobny algoritmus s "rychlou" hashi, jako MD5 nebo SHA1).A to v pripade, ze NEVIM, ze je heslo jen z malych pismen (obvykle to vedet nemohu). Kdybych vedel predem, ze jde jen o mala pismena, bude mi to trvat minuty.
Názor byl 2× upraven, naposled 1. 10. 2024 13:55
1. Spousta keců o speciálních znacích co prostě být musí. Když zkusíte diakritiku tak v naprosté většině případů nejde taková "mrkvičKa_strouhaná" bohatě stačí, ale neobtěžují se.2. Čím složitější heslo, tím spíš je na nálepce pod monitorem.
No konečně. 🙂👍
To jsou pravidla známá už 10 let. Ale povídejte to ajťákům v korporátu 😂
Ajťákům jak ajťákům, hlavně bezpečáci a auditoři bývají občas na přesdržku. 👎
Kéž by se tato novinka dostala i k nám a uživatel si směl zvolit vlastní heslo
souhlas. Tři povinné nápovědy při zakládání účtu ve Windows není bezpečnostní díra, ale tunel.
To je u dost věcí, včetně různých finančních služeb. Já tam ze zásady píšu něco, co s otázkou vůbec nesouvisí, akorát občas nevím, co jsem tam dal 🙂. To nejsou bezpečnostní otázky, ale bezpečnostní díra.
A co vám brání na ně odpovědět nějakým nesmyslem? Například Jméno vašeho prvního mazlíčka? Škvrk Biden 47po589ku.
Vždy je to o inteligenci člověka, pokud to prostého Pepíka donutí mít delší heslo, tak i přs nápovědu asi lepší než aby měl helso123 nebo 123456. Člověk co má trošku IT gramotnost, tak tu nápovědu naopak využije pro bezpečnost, dáte tam něco úplně jiného.
ta pravidla ale platí všechny uživatelé, vzdělané i nevzdělané. a že těch druhých je víc než dost, o tom svědčí bohatství prince z Nigérie.
Tak jestli si tam dá helso123, tak se tam zaručeně nedostane nikdo jiný, ani tedy on sám… 🙃
Konečně někdo přemýšlí a čte vyjádření odborníků. Pracuji v mezinárodních korporacích, povinnost změny hesla po určité periodě je stále vyžadována. V jedné z firem jsme dokonce na toto téma vedli diskuzi s vedením a závěr byl jednoduchý: my vás chápeme, my s vašimi podněty dokonce souhlasíme, ale jako veřejně obchodovaná akciovka musíme mít IT audit od jednoho z top 5 světových poskytovatelů, vybrali jsme si XYZ a ten změnu hesel požaduje, jinak nám auditorské osvědčení nedá. A bylo po diskuzi.
V jednom korporátu se to muselo měnit každý rok, pak to zkrátili na kvartál. Nešlo použít žádné z asi deseti předchozích hesel, takže stačilo heslo změnit desetkrát a použít původní. Časem to ovšem experti zablokovali a heslo šlo změnit jenom jednou denně. Což je super bezpečné - pokud si člověk změní heslo a náhodou dojde ke kompromitaci, tak už nemá možnost jej ten den změnit 🙂Takže nakonec jsem používal jedno heslo a za něj jako suffix dával rostoucí řadu čísel a písmeno. Výhoda byla, že člověk věděl s přesností na kvartál, jak dlouho tam pracuje 🙂.
Co kvartál? Závidím.V našem korporátu co měsíc, min. 13 znaků a samozřejmě včetně special chars.Měnit suffix občas systém pozná a nepustí, takže měním čísla uprostřed a také podle toho +- vím, jak dlouho ve firmě pracuji 😉
Pokud systém pozná, že jste jen změnili suffix hesla, tak z toho ale vyplývá, že hesla neukládá zašifrovaná (nebo existuje způsob, jak je dešifrovat), což mi teda připadá jako průšvih...
Nebo že by si ukládali i zašifrované heslo bez posledního znaku, zašifrované heslo bez posledních dvou znaků apod.?
Proč tak složitě - proces změny hesla obvykle vyžaduje zadání starého a nového hesla tj v té chvíli jsou k dispozici obě nezašifrované a je možné je porovnat.
dokáže to hlídat např. I posledních 10 hesel ...
Ještě jsem neviděl, že by se kontrolovala komplexita změny hesla oproti posledním 10 heslům. Rozdílnost to ano, ale na to ti stačí uložit 10 posledních hashů. Který systém kontroluje, zda se tvoje nové heslo liší od všech posledních 10 hesel jenom v číselném sufixu?
Taky jsem to v jedný firmě zažil, 90% zaměstnanců mělo heslo jméno aktuálního měsíce a aktuální rok
Je to tak. IT Audity vyžadují podobné blbosti, jinak člověk nedostane ISO ani nic dalšího. Výsledkem je, že každý má pak heslo napsané na papírku u PC. Prostě na palici. A nejlepší je, že některé systémy jsou nastaveny kvartálně, takže pokaždé, když jednou za čas potřebuji přistoupit do systému, tak si musím projít změnem hesla.
Všechno krásné, ale velice nekomfortní. Bezpečnosti lze dostáhnout pouze tak, že nejslabší článek řetězu (člověk = uživatel) např.: Pepa Novák bude používat heslo Pepa1976 či něco snadného, co si prostě pamatuje. Prakticky každý firemní počítač, notebook a telefon integruje své nástroje (jestli se to jmenuje Dell Vault, HP Protect Tools, … je ve finále jedno), umí prakticky to samé a Pepa Novák ať si používá své super heslo, které je útočníkovi dost dobře k ničemu, protože potřebuje token (konkrétně mám zavedené Yubikey s NFC) a bez toho je jakýkoliv útočník namydlený a ve finále je to 10x bezpečnější, protože komfort uživatele netratí. Napsat Pepa1976 a přiložit token (nosí ho na klíčích a slouží k přístupu, vypnutí alarmu, docházky, …), nebo starší SmartCard nikoho neotravuje jako opisování složitého hesla, zejména když se udělá překlep. V případě terénních řemeslníků (jo, mají velice kladný vztah k otravné IT) a zničení (zpravidla rozdrcení bednou, kufrem s nářadím, pračkou, …) Knox a ADDS umí virtuální token, tedy než vyfasuje nový, už je mu přidělen rezervní a používá virtuální (dočasný). Pak se to jen překlopí v ADDS a správě (integrované nástroje) a jede se dál.
Token je otravný. Další gadget. V současné firmě jsme přešli na Microsoft Authenticator — appka v mobilu pro two-factor-authentication. Na firemním počítači při prvním přihlášení, na BYOD počítačích jednou za 24 hodin. To už je samozřejmě otázkou nastavení firemní politiky, jak často to vyžadovat.Bohužel ale vynucenou pravidelnou změnu hesla každých X měsíců to neodstranilo.
Názor byl 1× upraven, naposled 1. 10. 2024 09:30
Pro mě není dostatečně univerzálně použitelný, natož komfortní. Podobně na tom jsou čtečky otisků prstů – v kanceláři fungují dobře, ale u řemeslníků (lidé, kteří ten telefon s notebookem používají v terénu např.: měření) je prostě čtečka otisků prstů nejméně spolehlivým řešením. Token (dříve SmartCard) sice je další věc na klíčích (neustále v kapse montérek), avšak nepřekáží a neotravuje život problémy – maximálně spolehlivé univerzální řešení (TPM/KNOX + ADDS) a nevadí, že mají ruce od řezného oleje, ušpiněné stavebním prachem, vyhlazené od vodičů (rovnání) apod. Yubikey/GoTrust přežvýká cokoliv, což se o MS/Google Auth v průmyslovém světě opravdu říci nedá.
To sú veľmi rozumné pravidlá. Sám používam tam, kde je to možné, ľahko zapamätovateľné vety. Často aj z gramatickými chybami alebo v nárečí.
Pokud heslo bude vychodňársky, tak ho ani AI jen tak nerozluští 😁
Názor byl 1× upraven, naposled 30. 9. 2024 15:25
Žijem v oblasti, kde je nárečie veľmi blízke češtine.
Problemem je, ze vetsina systemu neumozni pouzit dlouhe heslo a tak napriklad pw: Borrowed-Arrow-Limits-5Street-Acommodation-Morning je nerealne.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.