abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 07:00 | Komunita

Příspěvek na blogu společnosti Yubico informuje o začlenění podpory bezpečnostních klíčů FIDO U2F do Firefoxu Nightly. Dosud bylo možné dvoufázové ověření pomocí FIDO U2F ve Firefoxu zajistit pouze pomocí doplňku.

Ladislav Hagara | Komentářů: 3
dnes 06:00 | Humor

Adobe PSIRT (Adobe Product Security Incident Response Team) neúmyslně zveřejnil (archive) na svém blogu svůj soukromý OpenPGP klíč. Klíč byl revokován a vygenerován nový. Nelze nezmínit xkcd 1553 - Veřejný klíč.

Ladislav Hagara | Komentářů: 1
včera 20:00 | Nová verze

Byla vydána (cgit) verze 0.99 svobodného nelineárního video editoru Pitivi. Jedná se o release candidate verze 1.0. Přehled úkolů, které je nutno ještě dodělat, na Phabricatoru. Pitivi je k dispozici také ve formátu Flatpak.

Ladislav Hagara | Komentářů: 0
včera 17:11 | Komunita

Microsoft s Canonicalem představili linuxové jádro Ubuntu optimalizováno pro cloudové služby Microsoft Azure (linux-azure). Jako výchozí je toto menší a výkonnější jádro použito již v Ubuntu Cloud Images for Ubuntu 16.04 LTS. Canonical zatím nenabízí patchování tohoto jádra za běhu systému (Canonical Livepatch Service).

Ladislav Hagara | Komentářů: 1
včera 14:55 | Komunita

Facebook oznámil, že přelicencuje open source projekty React, Jest, Flow a Immutable.js ze své vlastní kontroverzní licence BSD+Patents na licenci MIT. Stane se tak tento týden s vydáním Reactu 16. Jedním z důvodů přelicencování bylo oznámení nadace Apache, že software pod Facebook BSD+Patents licencí nesmí být součástí produktů pod touto nadací [Hacker News].

Ladislav Hagara | Komentářů: 0
23.9. 21:44 | Nová verze

Po půl roce od vydání verze 9.0 byla vydána verze 10.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
22.9. 18:11 | Nová verze

Společnost Oracle oficiálně oznámila vydání Java SE 9 (JDK 9), Java Platform Enterprise Edition 8 (Java EE 8) a Java EE 8 Software Development Kit (SDK). Java SE 9 přináší více než 150 nových vlastností.

Ladislav Hagara | Komentářů: 0
22.9. 12:11 | Komunita

Na Humble Bundle lze získat hororovou počítačovou hru Outlast (Wikipedie) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 2
22.9. 10:33 | Humor

Mozilla.cz upozorňuje na Knihu Mozilly (Wikipedie), tj. velikonoční vajíčko ve Firefoxu. Zobrazit jej lze zadáním about:mozilla do adresního řádku. Aktuální verze Firefoxu obsahuje proroctví 15:1 "Dvojčata Mamonu se rozhádala a jejich souboje uvrhly svět do nové tmy. Zvířeti se ale tma hnusila. A tak se stalo mrštnější a silnější, šlo vpřed a jeho počty rostly. A zvíře přineslo oheň a světlo do tmy". Firefox 57 bude obsahovat proroctví 11:14. To je zatím jenom v angličtině. Pomoci lze s překladem do češtiny.

Ladislav Hagara | Komentářů: 10
22.9. 01:22 | Zajímavý projekt
Před měsícem byla spuštěna kampaň na podporu chytrého telefonu Librem 5, jenž by měl respektovat bezpečnost, svobodu a soukromí uživatelů. Cílem kampaně je vybrat alespoň milion a půl dolarů. Aktuálně je vybráno přes 600 000 dolarů, tj. 40 %. Kampaň poběží ještě další měsíc. Podporu projektu oznámilo KDE i GNOME.
Ladislav Hagara | Komentářů: 46
Těžíte nějakou kryptoměnu?
 (5%)
 (3%)
 (17%)
 (75%)
Celkem 569 hlasů
 Komentářů: 23, poslední včera 18:12
    Rozcestník

    Je politika hesel založená na entropii dobrý nápad?

    31.8. 16:21 | Opensource

    Představte si situaci, že za vámi přijde váš nadřízený, že si přečetl na Technetu, že se změnil přístup k heslům a vaše současná heslová politika (heslo min. 8 znaků a alespoň dva ze tří znaků komplexity - velká písmena, čísla nebo speciální znak) je zastaralá.

    Jako náhradu navrhl, že by se měla měla kontrolovat minimální entropie (třeba 50 bitů) a slovník zakázaných hesel.

    A teď otázka:        

    Hodnocení: -

    zatím nehodnoceno
            špatnédobré        

    Anketa

    Je podle vás politika hesel založená na entropii dobrý nápad?
     (44 %)
     (56 %)
    Celkem 18 hlasů

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Fluttershy, yay! avatar 31.8. 16:54 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Fluttershy, yay! avatar 31.8. 17:06 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    O čemž je slušná diskuze třeba tady.

    tl;dr slova musí být náhodně zvolená
    Acci avatar 31.8. 18:47 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Právě. A dokážu toto nějak jednoduše zaručit technicky? Napadá mě jen obrovský slovník, vůči kterému bych nově zadávaného heslo ověřoval.
    Fluttershy, yay! avatar 31.8. 19:34 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Slovník, ze kterého by se hesla generovala.

    Člověk je obvykle dost špatný generátor náhodných dat.
    Petr Tomášek avatar 5.9. 14:21 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    opakovaný vtip není vtipem.

    tohle je hodně starý...
    pavlix avatar 5.9. 17:25 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A pořád stejně dobrý.
    mirefek avatar 31.8. 18:46 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    To trochu zní, jako by si nadřízený přečetl článek bez toho aby pořádně chápal, o co se jedná. Entropie hesla prostě není objektivní faktor, který se dá přiřadit k nějakému stringu. Ono i to heslo '123456' je svým způsobem náhodný řetězec unikódových znaků, který z tohoto pohledu nejde uhodnout. Jako jo, umím si představit software, který se snaží odhadovat, jak heslo vzniklo a na základě toho určovat jeho neuhodnutelnost. Zásadní problém pak vidím v tom, že nejenom, že systém odmítne heslo uživatele, ale neposkytne mu jasné vysvětlení, co vlastně vyžaduje. Takže se pak s tím systémem bude uživatel dohadovat ještě déle než v jednom legendárním vtipu.

    Navrhovaná změna: Mít takový intuitivní "kontroler" hesla jen jako pomocný ukazatel pro uživatele a každé heslo přijmout. Na druhou stranu upozornit uživatele na zodpovědnost za bezpečnost jejich hesla a poskytnout jim rady, jak zvolit zapamatovatelné a těžko uhodnutelné heslo (jako je ten článek na Technetu).
    Acci avatar 31.8. 18:54 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Představ si systém podobný Datovým schránkám – důležitý systém, ale zároveň s ním pracují uživatelé, které nemůžeš kvalitně proškolovat a musíš tedy nastavit technické opatření, aby si volili kvalitní hesla. Co pak?
    mirefek avatar 31.8. 19:05 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nastavit technické opatření není nikdy nutné. Každý má mít svůj konečný úsudek, jak moc bezpečné heslo chce. A ty rady jako "doporučujeme zvolit jako heslo čtyři náhodná česká slova" a "jste zodpovědný za bezpečnost svého hesla, pokud se pod vašim heslem přihlásí útočník, jste zodpovědný za jeho aktivity provedené z vašeho účtu" nejsou žádné velké proškolování.

    Mimochodem, když mi stránka odmítne heslo, na truc volím '11qq!!QQ' to se snadno píše a má vysokou šanci projít podmínkami, co si programátoři navymýšleli.

    Je možné, že se neshodneme, já se na to dívám z pohledu uživatele -- ten nechce být pruzen.
    Acci avatar 31.8. 19:22 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Jenže já se na to dívám z pohledu správce systému. Zkusím jiný příklad: v souvislosti s GDPR budou firmám hrozit za únik osobních údajů pokuty v řádu desítek milionů. Opravdu pak necháš člověku co např. vyřizuje objednávky v e-shopu, který má přístup k databázi s stovkami tisíc uživatelů, zvolit si heslo, jaké on uzná za vhodné? Když to heslo nějakdo zneužije, maximálně ho pak můžeš vyhodit a chtít p něm 4,5 násobek jeho hrubé mzdy.

    A v principu téměř každá bezpečnostní funkce prudí uživatele.
    mirefek avatar 31.8. 19:38 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    I tak budou imho lépe psychologicky fungovat jen chytrá doporučení a tlak na zodpovědnost. Systémem nezabráníte uživateli, aby si heslo psal na papírek a ukládal do počítače.

    Za ještě přijatelnou formu pruzení bych snad považoval následující: V případě detekce slabého hesla dialog s výstražným trojúhelníčkem: "Toto bylo vyhodnoceno jako slabé. Doporučujeme si jako heslo zvolit sekvenci čtyř náhodných slov. Zkuste se prosím zamyslet nad jiným heslem.", pak podsvícené tlačitko "zvolit jiné heslo", check button "Beru na sebe zodpovědnost v případě prolomení právě zadaného hesla", který teprve odemkne jinak zablokované tlačitko "Pokračovat". (mimochodem, nemyslím si, že by to mělo právní následky, ale volba dobrých hesel je o psychologii)
    Bystroushaak avatar 31.8. 23:05 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Jenže já se na to dívám z pohledu správce systému. Zkusím jiný příklad: v souvislosti s GDPR budou firmám hrozit za únik osobních údajů pokuty v řádu desítek milionů. Opravdu pak necháš člověku co např. vyřizuje objednávky v e-shopu, který má přístup k databázi s stovkami tisíc uživatelů, zvolit si heslo, jaké on uzná za vhodné? Když to heslo nějakdo zneužije, maximálně ho pak můžeš vyhodit a chtít p něm 4,5 násobek jeho hrubé mzdy.
    Nebylo by lepší tohle řešit dvoufaktorem? Například tokenem jako Yubikey? Tu tisícovku bych za to asi dal v tomhle případě.
    JiK avatar 31.8. 19:23 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Mimochodem, když mi stránka odmítne heslo, na truc volím '11qq!!QQ' to se snadno píše a má vysokou šanci projít podmínkami, co si programátoři navymýšleli.
    Tohle nemohl vymyslet programator, ale musel to byt nejaky manazersky debil, ktery nema ani znalosti, ani respekt k znalostem ostatnich. Nejaky takovy ten typ, co by jinak delal u kolotocu, nebo v teplakove bunde a zlatem retezu prodaval ojetiny, ktere jsou "po duchodkyni co s tim vubec nejezdila, pane" a byl by schopen presvedcit i sam sebe, ze ten plech na kapajici olej proste k dobremu auto patri.
    pavlix avatar 31.8. 23:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A ty rady jako "doporučujeme zvolit jako heslo čtyři náhodná česká slova"
    Kolik lidí by si asi dalo heslo čtyřináhodnáčeskáslova? :)
    mirefek avatar 1.9. 08:51 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    To není až tak marné heslo :-)
    pavlix avatar 1.9. 10:35 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nesplňuje ani jedno ze základních pravidel českého člověka pro tvorbu hesla.

    1) Nesmí obsahovat diakritiku

    2) Nesmí obsahovat Y ani Z.
    mirefek avatar 31.8. 19:16 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ještě mě napadlo použít ty další alternativy zmíněné v tom článku na Technetu, konkrétně "přihlášení skrze platformu" (mojeid, Google, Facebook, ..., vaše služba zaručeně není jediná, která chce po uživatelích si pamatovat hesla), případně dvoufaktorové zabezpečení (jako internetové bankovnictví), pokud má být ta služba jó bezpečná.
    Acci avatar 31.8. 19:24 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Přihlašování pomocí jiné služby problém neřeší (protože nedokážu zaručit, jaké heslo používá tam) a s vícefaktorovou autentizací samozřejmě počítám, ale ne vždy jde použít.
    mirefek avatar 31.8. 19:48 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Přihlašování pomocí jiné služby problém neřeší .
    Přihlašování pomocí jiné služby řeší problém pro uživatele, protože si nemusí pamatovat mnoho složitých hesel, ale stačí mu jedno. I když to nedává správci žádnou záruku, že to bude bezpečnější, v důsledku to dost možná bezpečnější bude.
    Petr Tomášek avatar 5.9. 13:38 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Zato přináší daleko zásadnější problém, že totiž ta cizí služba může velmi jednoduše šmírovat jednak uživatele, kdy se kam přihlašuje a jednak mě jakožto provozovatele služby, kdo se kdy ke mně přihlašuje. Takže jedině na*rat!
    Acci avatar 5.9. 14:21 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Opravdu by ses přihlašoval třeba do datových schránek přes FB nebo Google? :)
    JiK avatar 5.9. 15:52 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ja si myslim, ze by evropska unie mela naridit povinny keylogger na vsech zarizenich ktere pouzivaji elektrinu a maji HW nebo SW klavesnici. Data, spolu s cislem obcanky a vzorkem krve, moci a DNA by se posilala konzorciu komercnich firem, kde bude google, FB, uber, microsoft a apple, a kdokoliv, kdo politikum tucne zaplati. Bude to

    What can possibly go wrong? Jeste porad muzou existovat kousky dat, ktere o nas nemaji. :)
    Fluttershy, yay! avatar 5.9. 19:25 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A proto EU zavádí GDPR, že?

    Houby s octem. EU chce data, když už, tak pro sebe, nikoliv cizí korporace.

    A to ještě zlatá EU oproti tuposti Chovance [čertvíkterého ústavu].
    mirefek avatar 7.9. 18:53 mirefek | skóre: 6 | blog: proc_dalsi_nazev
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Přes MojeID klidně. A připadalo by mi to přirozené.
    pavlix avatar 7.9. 20:43 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    To ne, musíš myslet politicky, nemůžeš přesouvat klíčovou agendu směrem od darmožroutů z české pošty směrem k odborníkům v CZ.NIC.
    Acci avatar 7.9. 21:07 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ano, musíš myslet politicky. Lidé v CZ.NIC odvádějí skvělou práci, ale nechci aby soukromá společnost měla přístup ke všem informacím, které se nachází např. v datových schránkách prakticky bez jakékoliv možné kontroly. A navíc aby měla možnost data přes ni zasílat. Už jenom co když by se změnilo její vedení a majitelé, podobně jako se stala na Slovensku?
    pavlix avatar 7.9. 22:16 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Dává smysl. Ale já osobně si o české poště, státním podniku, iluze nedělám ani tak.
    JiK avatar 31.8. 19:19 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nevim, je-li spravne heslo nebo spis passphrase z obycejnych slov.

    Ale zcela urcite neni spravne soucastna debilita, 8 a vic znaku, a silou vynuceny male & velke pismena, cisla, paznaky, a to vse pokazde jinak.

    Naprosto to nenavidim.

    Korunu tomu daj kdyz si kazdych 8 tydnu vynucuji zmenu.

    To je pak skutecne na ranu pesti. Kdo tohle vymyslel, nemohl byt normalni. Ani funkcnejsi autista by nevyslovil neco podobneho nahlas.

    Acci avatar 31.8. 19:24 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A máš teda lepší, technicky vynutitelné řešení?
    JiK avatar 31.8. 19:31 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Vybrat si vetu, nejmene 4-5 slov, kdyz bude cesky s diakritikou, nemel by to byt problem. V podstate ani kratke heslo v anglicke abecede [26 pismen] by nemel byt problem, ne?

    Nejak si neumim realne predstavit slovnikovy utok nebo bruteforcovani sluzby, ktera je nabizena online. Banka, obchod, pojisteni, cokoliv...?

    Copak je problem detekovat vic nez 5-7 opakovanych pokusu neuspesnych o prihlaseni? behem treba 1 minuty, a dat uzivateli pak na 30 nebo 60 minut ban? Ziveho cloveka to myslim postihnout nemuze, a robot to neda. Problem vyresen.

    Acci avatar 31.8. 19:46 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Jenže online útok je jen jeden ze způsobů, jak se dostat do systému. Taky můžou uniknout hashe hesel a i při použití pomalého hashovacího algoritmu a soli se heslo dá prolomit.

    A blokování účtů je taky problém, robot klidně může po odblokování vyzkoušet zase další hesla a tak třeba na několik hodin zablokovat všechny účty v systému.
    JiK avatar 31.8. 19:51 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    pokud to bude zkouset rychlosti 7 pokusu za hodinu, je dostatecne bezpecne i ctyrciselne lomitko rodneho cisla, ne?
    JiK avatar 31.8. 19:56 JiK | skóre: 8 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    kdyz mas 10,000 moznosti, a budes mit stesti, ze to typnes v polovine, zabere to 5,000 pokusu, a kdyz jich bude 7 do hodiny, je to 700 hodin, to je cca 30 dnu. Za 30 dnu takovehle aktivity by si toho snad mel vsimnout nejaky sledovaci system, ne?
    31.8. 20:46 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A blokování účtů je taky problém, robot klidně může po odblokování vyzkoušet zase další hesla a tak třeba na několik hodin zablokovat všechny účty v systému.
    To je tak zoufale malá představivost, že se mi fakt chce brečet.
    31.8. 20:39 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Už jsem se bál, že to nikoho nenapadne. Z příspěvků Acci se mi dělá temno před očima, protože „technicky vynutitelná“ pravidla pro hesla jsou na ránu pěstí do rypáku. Je to projev naprosté zoufalosti a ignorance; existuje celá řada bezpečnostních mechanismů, které lze uplatnit, a jsou řádově účinnější.

    Ty jsi naznačil jednu cestu. Dále lze zmínit logování historie přihlášení, omezení přihlášení podle IP adresy, nebo rovnou jen z určité sítě (je třeba volit dle okolností), vícefaktorovou autentizaci a kdyby se zapojila fantazie, tak mnoho dalších.

    Formulář při vyplňování hesla má fungovat nějak tak, jak naznačil mirefek.

    Za slabé heslo vždy nese vinu uživatel, a to i v případě, že to prošlo (často neskutečně primitivním) filtrem, který si retardovaní „programátoři“ navymýšleli.

    Už jsem se setkal i s tím (tuším, že to bylo u Forpsi, ale nejsem si jistý), že mě systém donutil navymýšlet si brutálně složité heslo, přičemž pravidla pro jeho tvorbu byla nedostatečně dokumentovaná, a nakonec to po přihlášení vygenerovalo ID a výchozí heslo pro přihlášení do jiné sekce. Hádejte co: to výchozí heslo (jehož změna nebyla povinná) těm jejich zkurveným pravidlům také nevyhovovalo, a to ani přesto, že mi přislo v kopii e-mailem. Ale co, bezpečnost přece musí být. A proto součástí těch pravidel bylo nejen vyžadování více druhů znaků, ale zároveň omezení abecedy, tj. některé znaky jsem zadat nemohl. Mimořádně příjemný zážitek; napsal jsem o tom ragepost o délce několika normostran.

    Jednu extrémně chybnou demonstraci pochopitelně nelze objektivně použít jako důkaz, že je vynucování formy hesel samo o sobě špatně.

    Ten finální argument je mnohem prostší: Je mimořádně těžké najít algoritmus, který správně rozhodne, které heslo je bezpečné. Pokud treshold pro bezpečnost hesla bude stanovený příliš vysoko a uživatel neuspěje s prvotními pokusy heslo vymyslet, vyústí to buď tím, že to nějak bypassne (viz 11qq!!QQ výše), nebo zadá něco tak složitého, že si to nebude schopný zapamatovat. Password managery používají jen technicky zdatnější uživatelé a navíc je opravdu nelze považovat za optimální. V běžném kancelářském prostředí si to lidi napíšou někam na papírek, pošlou si to sami sobě e-mailem apod. Namítat, že to stále eliminuje přístup zvenčí a bez např. fyzického přístupu k notesu s poznámkami a hesly to účel plní, je bláhové. Implementací těch opatření, které jsem zmínil výše (logování historie přihlášení, blokování podezřelých IP adres, nebo vícefaktorová autentizace), je mnohem bezpečnější, uživatelsky pohodlnější a je to rezistivní i vůči přístupu zevnitř, tj. do systému se tajně nepřihlásí ani kolega nebo uklízečka.

    Namítat, že průnikem do systému v důsledku slabého hesla lze způsobit obrovskou škodu, za kterou zaměstnanec neručí, je opět chybná úvaha – zaměstnanec by to super-bezpečné heslo mohl někomu říct a situace bude naprosto stejná. Tedy je potřeba to řešit jinak.
    Acci avatar 31.8. 22:50 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Tak si to vezeme popořádku:
    omezení přihlášení podle IP adresy, nebo rovnou jen z určité sítě (je třeba volit dle okolností)
    Třeba u systémů typu Datové schránky nebo kde uživatel přistupuje z dynamických IP?
    logování historie přihlášení
    Nic neřeší, pokud ty logy někdo nebude realtime kontrolovat a problémy řešit
    vícefaktorovou autentizaci
    Souhlas, ale ne vždy jde použít a i pak je stejně nutné řešit bezpečnost hesla, jen ne tak intenzivně.
    Formulář při vyplňování hesla má fungovat nějak tak, jak naznačil mirefek.
    Dokážete tohle udělat třeba ve Windows?
    Za slabé heslo vždy nese vinu uživatel, a to i v případě, že to prošlo (často neskutečně primitivním) filtrem, který si retardovaní „programátoři“ navymýšleli.
    Vinu nese provozovatel systému, on to bude muset řešit (špatná pověst, pokuta GDPR, atd.) O tom to celé je.
    Namítat, že průnikem do systému v důsledku slabého hesla lze způsobit obrovskou škodu, za kterou zaměstnanec neručí, je opět chybná úvaha – zaměstnanec by to super-bezpečné heslo mohl někomu říct a situace bude naprosto stejná. Tedy je potřeba to řešit jinak.
    Stejně tak může někomu poslat půjčit svůj token s druhým faktorem. Proto insiderovi se moc bojovat nedá.
    1.9. 01:10 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Třeba u systémů typu Datové schránky nebo kde uživatel přistupuje z dynamických IP?
    Jistě. Hodně pomůže omezit přístup ze zahraničí a ze známých anonymizérů, pokud to uživatel explicitně nezmění (podobně, jako se bance předem oznamuje cesta do zahraničí).

    Mimochodem, u dynamické IPv4 adresy se typicky mění jen poslední dva bajty. I kdyby daný provider měl těch rozsahů víc a přiděloval je naprosto náhodně, tak jich bude omezený počet, a whitelist by stále byl uskutečnitelný. Ne, že by to bylo zvlášť praktické.
    Nic neřeší, pokud ty logy někdo nebude realtime kontrolovat a problémy řešit
    Opět zoufale malá představivost a nezkušenost. Ty logy si kontroluje sám uživatel. Z existujících služeb to umí např. Facebook – tam je hlavním nedostatkem to, že je to zahrabené někde v nastavení a většina lidí o tom neví. Mělo by to být víc na očích. Dále pak třeba Google, který při každém novém přihlášení posílá e-maily.
    Souhlas, ale ne vždy jde použít a i pak je stejně nutné řešit bezpečnost hesla, jen ne tak intenzivně.
    Lze ji použít téměř vždy. Bezpečnost hesla si řeší uživatel.
    Dokážete tohle udělat třeba ve Windows?
    Jako kus JavaScriptu, který při pravděpodobně slabém heslu zobrazí varování, ale umožní uživateli na vlastní riziko pokračovat? Ano.
    Vinu nese provozovatel systému, on to bude muset řešit (špatná pověst, pokuta GDPR, atd.) O tom to celé je.
    Provozovatel systému stěží může nést vinu za to, že si uživatel zvolil slabé heslo, které někdo po pěti pokusech uhodl a přihlásil se.
    Stejně tak může někomu poslat půjčit svůj token s druhým faktorem. Proto insiderovi se moc bojovat nedá.
    Bojovat se dá přinejmenším tím logováním historie přihlášení (a v krajních případech inteligentním systémem učícím se „office hours“ uživatele, délku sezení, aktivitu, vzorce chování apod.).

    Samotnému průniku do systému to (technicky) nezabrání, ale pomůže jej to alespoň zpětně odhalit. Zároveň to ale plní preventivní úlohu – s vědomím, že se na to přijde a bude se to vyšetřovat, si to část „útočníku“ rozmyslí (a druhá si dá větší pozor; ale stále je to obecně výhodnější situace než to nemít vůbec).

    Mimochodem: Pokud se jedná o firemní účet a vinu v konečném důsledku nese zaměstnavatel, pak má právo do nastavení hesla mluvit. To už je jejich věc. Ale primitivní pravidlo na počet a skupiny použitých znaků (nebo dokonce jeho pravidelné změny) nebude nikdy dobrý nápad. To už je mnohem lepší třeba ten Yubikey, který navrhuje Bystroushaak.

    Pokud už by fakt bylo nutné s nějakou takovou politikou přijít, protože bys měl firmu plnou sekretářek, které prostě nedokážeš přimět k tomu, aby si nastavili rozumná hesla, tak bych uvažoval nad nějakou heuristikou. Více slov, převést je do základního tvaru a podle Markovovo řetězců natrénovaných na daný jazyk určit pravděpodobnost, že se slova vyskytnou v daném pořadí (přičemž by to měl být zdánlivě nesmysl, tj. pravděpodobnost by měla být co nejnižší). Jenže tím se část té entropie v podstatě ztrácí – validní věty jako „Dobrý den, pane počítači.“ najednou nebudou platným heslem. Jak moc velkou má útočník šanci uhodnout celou jednu libovolnou větu? U hesel se říkalo, že nemáte volit jména domácích mazlíčků apod. Tady by asi lidi mohli mít tendence volit věty jako „můj pes je ťapka“ – potíž je v tom, že to heslo může být naprosto bezpečné v případě, že dotyčný žádného psa nemá a bude implementovaná ochrana proti bruteforce útokům (viz JiK) a není to natolik profláklý pattern, aby každý útok začínal s tímhle typem věty pro všechna běžná jména psů.

    Mimochodem: Bylo by bezpečné heslo, které střídá malá/velká písmena a speciální znaky a je to cheat do nějaké hry, která se pár dnů po implementování naší skvelé security-policy masově rozšíří a bude to za chvíli zrovna tak profláklé, jako dnes jsou IDDQD a IDKFA? Hmmm...
    2.9. 19:08 petr
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Jo, omezit pristup ze zahranici... za to bych pokazde urval nekomu koule. Treba ja jsem v zahranici casto, stridam dle nalady a pocasi sve bydleni. Ze me seznam nasiral s tou jejich politikou blokovani pristupu ze zahranici chapu, ale aby treba gov chtel po me pristup do datove schranky a zaroven mi ho omezoval ze zahranici fakt nepochopim. Ano, mam moznost vpn ale co kdyz nejakeho blbce napadne jeste blokovat komercni vpn?
    2.9. 20:06 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Si to vypni. Zmíněné to bylo, takže tvůj komentář je úplně zbytečný.
    pavlix avatar 31.8. 23:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Copak je problem detekovat vic nez 5-7 opakovanych pokusu neuspesnych o prihlaseni? behem treba 1 minuty, a dat uzivateli pak na 30 nebo 60 minut ban?
    To bude mít uživatel radost, až se kvůli nějakému vtipálkovi nepřihlásí, protože dostal ban!
    1.9. 01:33 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nebudeš blokovat účet, ale přístup z dané adresy. Než dojde k úplnému banu, postupně bych prodlužoval dobu odpovědi serveru (i v případě zadání platného hesla). Dále je ve hře vyžadovat po určitém počtu neplatných pokusů vyplnění captchy – to se může klidně vztahovat i na účet jako takový, protože to legitimnímu uživateli sice přidá krok navíc, ale přihlásí se.

    Další možnost: Server bude před každým pokusem o přihlášení vyžadovat vyřešení výpočetně těžké úlohy. Legitimnímu uživateli to na pár desítek vteřin / jednotky minut zatíží CPU, ale přihlásí se. Útočníkovi to na druhou stranu útok výrazně komplikuje/prodražuje a server to nic nestojí – ověření úlohy by bylo levné a nemusí ani držet otevřené spojení, lze to dělat bezstavově.

    Lze kombinovat.
    pavlix avatar 1.9. 10:37 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nebudeš blokovat účet, ale přístup z dané adresy.
    To už je jiné téma.
    Acci avatar 1.9. 15:07 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Další možnost: Server bude před každým pokusem o přihlášení vyžadovat vyřešení výpočetně těžké úlohy. Legitimnímu uživateli to na pár desítek vteřin / jednotky minut zatíží CPU, ale přihlásí se. Útočníkovi to na druhou stranu útok výrazně komplikuje/prodražuje a server to nic nestojí – ověření úlohy by bylo levné a nemusí ani držet otevřené spojení, lze to dělat bezstavově.
    Tohle je dost zajímavá myšlenka, o které sem předtím ještě nikdy neslyšel. Díky, budu nad tím přemýšlet.
    1.9. 01:04 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Jako náhradu navrhl, že by se měla měla kontrolovat minimální entropie (třeba 50 bitů) a slovník zakázaných hesel.
    Realistický příklad: jsem BFU a vysvětli mě teďka jaký heslo si mám teda vymyslet
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    Fluttershy, yay! avatar 1.9. 01:20 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Dadaismus: otevři knížku na několika náhodných stranách a zabodni prst nahodile do textu; co bude pod prstem za slovo, to přijde do hesla.
    Bystroushaak avatar 1.9. 11:57 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    A pokud to takhle bude praktikovat každá služba, tak si dej vedle počítače notýsek se všema heslama, nebo rovnou ještě lépe, na plochu soubor hesla.txt, kam si je všechny napíšeš, protože kdo si kurva má tuhle demenci pamatovat.
    Bystroushaak avatar 1.9. 12:15 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ono vůbec, co většině adminů nedochází je, že na uživateli není si pamatovat jedno super heslo, které si na uživatele vymyslí, ale asi dvacet hesel do všeho možného. Zcela logickým krokem pak je si vytvořit jedno univerzální heslo, které bude používat všude, nebo nějaký jejich seznam. Když pak leakne databáze jako ten nedávný Mall.cz, tak je to pak v prdeli

    Osobně rozhodně nejsem BFU a řekl bych, že mám dobrou paměť, přesto si nepamatuju víc jak asi 10 hesel a to ani nejsou náhodná a často neprojdou různými filtry, přestože se jedná o 20+ písmen kompletně vymyšlených slov. A to úplně vynechávám věci jako že heslo u „kritických“ služeb se musí měnit jednou za čtvrt roku. Pak to končí tak, že celý team lidí v práci používá heslo Sever1 a po čtvrt roce z toho udělají Sever12 až k 123456 a pak to změní zpět na Sever1, protože kdo si má tyhle hovna pamatovat.

    Ať se na to dívám jak chci, tak požadavek složitých hesel fakt není dobrá metodika. Lidi nejsou roboti a už taky nejsou uživatelé jen jednoho webu. Pokud chcete fakt bezpečnost, tak mobilní dvoufaktor, nebo token jako Yubikey.
    Fluttershy, yay! avatar 1.9. 12:30 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Správce hesel (aka klíčenka). Neslyšeli? Nikdy?!
    pavlix avatar 1.9. 16:05 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Rovnák na vohejbák. Ale funguje to. :)
    1.9. 09:02 Ondřej J
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Kvalitní heslo si nikdo nevytvoří jen tak, bez pořádného proškolení. Spousta lidí nechápe, jak to funguje. Na kritické věci pro zaměstnance rozhodně hardwarové tokeny. Umožnit zadat lidem jakékoliv heslo. Emoji v hesle jsou super. Lidi si je snadno pamatují, z mobilů jsou zvyklí je používat.
    Bedňa avatar 1.9. 16:00 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Zložité heslo znamná, že to všetci budú mať prilepené na monitore, ako to už býva na úradoch.

    Ja by som bol za harverový kľuč, aj tu už nejaké blogy o tom boli.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Fluttershy, yay! avatar 1.9. 18:31 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Kolik to stojí? Co když se to ztratí?

    Z bláta do louže.
    Acci avatar 1.9. 18:52 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ale ne, hardwarový klíč je asi to nejlepší řešení. A když se ti ztratí, tak samozřejmě je to jen druhý faktor a vyžaduje použití hesla nebo PINu. Akorát není jej možné vždy použít.
    Fluttershy, yay! avatar 1.9. 23:03 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Tak záleží, kdo je cílová skupina. To jsem ze zápisku moc nepochytil.
    Bedňa avatar 1.9. 21:33 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Môžeš stratiť aj kľúče od bytu a počítam, že aj tak ich používaš. Pár stoviek na užívateľa sa pri citlivých údajoch určite vyplatí.

    Keď to zoberiem o čo príde firma, keď stratím HW kľúč, tak väčšinou nič, pretože používam klienta a aj tak je všetko na serveri. Prídem len o dáta ktoré mám lokálne, ak som si ich nezálohoval na server, tak zrejme nemali cenu. Takže len reinštal a nový HW kľuč.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Bystroushaak avatar 1.9. 20:22 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    1.9. 21:45 dumblob | skóre: 9 | blog: dumblog
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    https://github.com/dropbox/zxcvbn

    Doporučuji přečíst linkované články apod. pro získání alespoň minimálních znalostí o "kvalitě hesel". A pak to dát přečíst a následně pečlivě vysvětlit šéfovi z modelového případu.

    zxcvbn je dostupný pro většinu nejrozšířenějších programovacích jazyků, takže nasazení je dokonce bez práce.
    Refundace za Windows 7 od Lenovo obchodníka - soud rozhodl, že je zákazník v právu!
    8.9. 13:23 Chulda
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Překvapilo mě, že nikdo nezpochybňuje požadavek na změnu hesla. Proč je potřeba změnit heslo? Aby ho někdo nestihl uhádnout. Ale pokusy o uhádnutí se logují a není problém jej zablokovat. Navíc jsem požadavek na změnu hesla viděl pouze v interní doméně (windows), nikde jinde.

    A pokud to zablokovat nejde (přístup do eshopu), tak tam mě to vůbec netrápí - hesla mám dostatečně různá.

    V jedné diskuzi jsem narazil na koment, že požadavek na 90 dní vychází z dokumentu CSC-STD-002-85 z roku 1985, kde doporučuje změnu po 90 dnech, protože 1200 baudovým modemem trvá 60 dní uhádnout 8 znakové heslo. Jiný důvod pro to prý není. Nebo se plete?
    8.9. 15:34 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    +1. Jinak:
    V jedné diskuzi jsem narazil na koment, že požadavek na 90 dní vychází z dokumentu CSC-STD-002-85 z roku 1985, kde doporučuje změnu po 90 dnech, protože 1200 baudovým modemem trvá 60 dní uhádnout 8 znakové heslo. Jiný důvod pro to prý není. Nebo se plete?
    8znakové heslo (ASCII písmena a číslice) představuje 209×109 kombinací. To by bylo nereálné za tak krátkou dobu cracknout (musel bys dělat zhruba 42 pokusů za milisekundu).
    Bystroushaak avatar 8.9. 17:26 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Co je nereálné na 42 pokusech za milisekundu?
    8.9. 17:30 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Rok 1985 a 1200 baudový modem.
    Bystroushaak avatar 8.9. 18:18 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Hm. V té době bys to z nich přes timing side channel attack vyrazil asi tak za půl hodiny.
    8.9. 18:56 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Sice zajímavý postřeh, ale to už bych považoval přímo za chybu implementace a stěží to opodstatňuje požadavek na změnu hesla každých 90 dnů (především ta doba 90 dnů nemůže být odvozena ze žádného výpočtu jak byl naznačeno v původním komentáři od Chuldy).

    Kromě toho si nejsem jistý, zda režie requestu bude natolik stabilní, aby timing attack měl šanci na úspěch. Bylo by potřeba umět to rozlišit s přesností jednotek instrukcí (vykonaných na cílovém stroji).
    Bystroushaak avatar 9.9. 16:51 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Kromě toho si nejsem jistý, zda režie requestu bude natolik stabilní, aby timing attack měl šanci na úspěch. Bylo by potřeba umět to rozlišit s přesností jednotek instrukcí (vykonaných na cílovém stroji).
    To ti odfiltruje statistika.
    9.9. 19:18 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Docela bych se divil...
    Bystroushaak avatar 10.9. 00:34 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Timing attacks bez statistiky vůbec nefungují, takže ano, vyfiltruje.
    10.9. 00:56 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Fakt jsem silně skeptický. Těch faktorů je tam strašně moc. Zvlášť když počítají s 8,5 pokusy za minutu, tj. cca 7 vteřinami na každý. Tam se těch pár instrukcí navíc ztratí jako nic. Ani si nejsem jistý, že počítače v roce 1985 (zvlášť lowend) měly dostatečně přesné hodiny. Představa, že by se to dalo dělat s nějakou vysokou přesností/spolehlivostí (a natož v tak krátkém čase, jako jsi prezentoval) je už podle mě úplně nereálná.
    9.9. 19:33 Chulda
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Pardon, mám tam překlep - 1200 baudovým modem šlo uhádnout heslo za 6 měsíců. 600 baudovým za rok.

    viz ten dokument https://fas.org/irp/nsa/rainbow/std002.htm
    C.3 Password Lifetime

    All other things being equal, the shorter the lifetime of a password, the fewer the number of guesses that can be made and thus the greater the degree of password security. As stated in 4.2.2.1, the maximum password lifetime should not exceed one year.
    Výpočet uhádnutí 8 znakového hesla je uveden dále.
    9.9. 19:57 ehm
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Nevím, jak moc dává smysl brát to přes pravděpodobnost, ale úvaha je to zajímavá. Ad rychlost hádání:
    R is set at 8.5 guesses per minute (guess rate possible with 300-baud service)
    12.9. 11:50 Chulda
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    O to nejde, ale že i dnes se stále trvá na časové expiraci hesla po 90 dnech. Přičemž původ toho je pravděpodobně v tomto 32 let starém dokumentu...
    Acci avatar 12.9. 15:38 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Tak ono to má i jiné důvody, i když je fakt, že v dnešní době se přístup k pravidelné změně hesla přehodnocuje a to kvůli výzkumům, které ukazují, že uživatelé pak můžou volit slabší hesla a nové heslo často volí snadno odvoditelné od hesla starého.

    A teď nastává otázka, který přístup bude zaručovat větší bezpečnost...
    Bedňa avatar 9.9. 18:19 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Timeout medzi pokusmi o prihlásenie.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Bystroushaak avatar 10.9. 00:33 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Ten nemají na spoustě míst ani dneska, natožpak v roce 1985.
    Bedňa avatar 10.9. 03:06 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Je politika hesel založená na entropii dobrý nápad?
    Mno ja to beriem za štandard už kopec rokov. Nieje to samozrejme 1985, ale od kedy som sa zamyslel nad bezpečnosťou, čo je 2000+
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.