Třeba u systémů typu Datové schránky nebo kde uživatel přistupuje z dynamických IP?

Jistě. Hodně pomůže omezit přístup ze zahraničí a ze známých anonymizérů, pokud to uživatel explicitně nezmění (podobně, jako se bance předem oznamuje cesta do zahraničí).

Mimochodem, u dynamické IPv4 adresy se typicky mění jen poslední dva bajty. I kdyby daný provider měl těch rozsahů víc a přiděloval je naprosto náhodně, tak jich bude omezený počet, a whitelist by stále byl uskutečnitelný. Ne, že by to bylo zvlášť praktické.

Nic neřeší, pokud ty logy někdo nebude realtime kontrolovat a problémy řešit

Opět zoufale malá představivost a nezkušenost. Ty logy si kontroluje sám uživatel. Z existujících služeb to umí např. Facebook – tam je hlavním nedostatkem to, že je to zahrabené někde v nastavení a většina lidí o tom neví. Mělo by to být víc na očích. Dále pak třeba Google, který při každém novém přihlášení posílá e-maily.

Souhlas, ale ne vždy jde použít a i pak je stejně nutné řešit bezpečnost hesla, jen ne tak intenzivně.

Lze ji použít téměř vždy. Bezpečnost hesla si řeší uživatel.

Dokážete tohle udělat třeba ve Windows?

Jako kus JavaScriptu, který při pravděpodobně slabém heslu zobrazí varování, ale umožní uživateli na vlastní riziko pokračovat? Ano.

Vinu nese provozovatel systému, on to bude muset řešit (špatná pověst, pokuta GDPR, atd.) O tom to celé je.

Provozovatel systému stěží může nést vinu za to, že si uživatel zvolil slabé heslo, které někdo po pěti pokusech uhodl a přihlásil se.

Stejně tak může někomu poslat půjčit svůj token s druhým faktorem. Proto insiderovi se moc bojovat nedá.

Bojovat se dá přinejmenším tím logováním historie přihlášení (a v krajních případech inteligentním systémem učícím se „office hours“ uživatele, délku sezení, aktivitu, vzorce chování apod.).

Samotnému průniku do systému to (technicky) nezabrání, ale pomůže jej to alespoň zpětně odhalit. Zároveň to ale plní preventivní úlohu – s vědomím, že se na to přijde a bude se to vyšetřovat, si to část „útočníku“ rozmyslí (a druhá si dá větší pozor; ale stále je to obecně výhodnější situace než to nemít vůbec).

Mimochodem: Pokud se jedná o firemní účet a vinu v konečném důsledku nese zaměstnavatel, pak má právo do nastavení hesla mluvit. To už je jejich věc. Ale primitivní pravidlo na počet a skupiny použitých znaků (nebo dokonce jeho pravidelné změny) nebude nikdy dobrý nápad. To už je mnohem lepší třeba ten Yubikey, který navrhuje Bystroushaak.

Pokud už by fakt bylo nutné s nějakou takovou politikou přijít, protože bys měl firmu plnou sekretářek, které prostě nedokážeš přimět k tomu, aby si nastavili rozumná hesla, tak bych uvažoval nad nějakou heuristikou. Více slov, převést je do základního tvaru a podle Markovovo řetězců natrénovaných na daný jazyk určit pravděpodobnost, že se slova vyskytnou v daném pořadí (přičemž by to měl být zdánlivě nesmysl, tj. pravděpodobnost by měla být co nejnižší). Jenže tím se část té entropie v podstatě ztrácí – validní věty jako „Dobrý den, pane počítači.“ najednou nebudou platným heslem. Jak moc velkou má útočník šanci uhodnout celou jednu libovolnou větu? U hesel se říkalo, že nemáte volit jména domácích mazlíčků apod. Tady by asi lidi mohli mít tendence volit věty jako „můj pes je ťapka“ – potíž je v tom, že to heslo může být naprosto bezpečné v případě, že dotyčný žádného psa nemá a bude implementovaná ochrana proti bruteforce útokům (viz JiK) a není to natolik profláklý pattern, aby každý útok začínal s tímhle typem věty pro všechna běžná jména psů.

Mimochodem: Bylo by bezpečné heslo, které střídá malá/velká písmena a speciální znaky a je to cheat do nějaké hry, která se pár dnů po implementování naší skvelé security-policy masově rozšíří a bude to za chvíli zrovna tak profláklé, jako dnes jsou IDDQD a IDKFA? Hmmm...