Preto je taky rozumny kompromis normalne heslo (napriklad 8 znakov vratane cislic a velkych, malych pismen) a k tomu sekundarne overenie cez nejaky authentifikator v mobile. Mobil nosi kazdy so sebou a co sa tyka organizacii, tak este moze byt vyzadovane uzamknutie mobilu biometriou, lebo mozu vhodny mobil fasovat.

Co říkají mezi sebou. Píšou na polepky a lepí na monitor.

Celé je to na hlavu postavená kravina. I jednoduché heslo, které naklepe uživatel zpaměti je lepší, něž překombinovaný náhodný shluk znaků, který si normální člověk není schopen zapamatovat. Bohatě stačí, když to není shodné s přihlašovacím jménem, protože se stejně posílá hash. To, že by se posílalo heslo tak jak je a teprve tam nějak kryptovalo, už je dávno minulost.

A stejně tak je kravina i vynucování změny hesla.

Spíš by měl být pravidlem každoroční audit, který by otestoval jestli náhodou nezůstalo někde zapomenutý starý účet osoby co už je dávno mimo, který by mohl být zkompromitován. Osobně nevím o žádném případě, že by se někdo naboural tím způsobem, že by zkoušel kombinace hesla. Vždycky (a mě osobně se to stalo za posledních 12 let dvakrát) za tím byl zapomenutý dočasný účet s heslem stejným jako username. Ale nikdy to nebylo na produkčním stroji. Před dvanácti lety to byl zapomenutý virtuál, co vůbec neměl být spuštěný. A relativně nedávno se mi takovým způsobem nějaký trouba pokoušel počítat bitcoiny na notebooku přes zapomenutý účet kámoše, kterému jsem narychlo vytvořil před šesti lety účet na notesu aby ke mně nezavlekl nějaký bordel. A ten si pochopitelně duchaplně zvolil heslo stejné jako jméno. Mezi tím se pochopitelně v distrobuci politika hesel dávno změnila, takže dnes už to snad ani nelze. Nicméně účet existoval a protože máme veřejné adresy, jeden útočník zaznamenal úspěch. Asi tak na dvě hodiny, protože jsem byl mezi tím na obědě.

A jak jsem to zjistil? Hučel větrák. Zpočátku mi to nepřišlo divné protože se ni čas od času stává, že se zvencne stará opera, když mám otevřeno víc jak 50 tabů a navíc jsem ještě zrovna blbnul s grafikou. Ovšem když jsem se vrátil z oběda, větrák stále hučel, což bylo divné, jelikož jsem všechno zavřel. Stačilo vypsat procesy a bylo ihned vidět, že ten uživatel tam nemá co dělat. Ovšem, kdy se vám naskytne taková příležitost, sledovat v přímém přenosu jak se někdo snaží, že? Takže jsem chvíli číňánka nechal nerušeně v domnění, že jde o starý neudržovaný stroj ať se snaží vypočítat nějaký ten bitcoin, protože stejně žádnou škodu napáchat nemohl. A mezi tím jsem zkoumal odkud přilezl, kdy, jakým způsobem se o to snažil a jak dlouho, odkud, atp.