Vlákno názorů ke zprávičce Lze používat jednoduchá hesla a být přitom v bezpečí?

Z vlastní zkušenosti preferuji ve firmě hesla jednodušši, která si člověk pamatuje, před složitými hesly, které pak najdu napsaná na papírcích nebo vespod klávesnice :-D

Kazda firma by mela svoje zamestnance neustale zkouset jake maji heslo a kdyz ho maji typu „Jarda123“ tak jim udelat skoleni a postarat se o to, ze to zamestnanec bude respektovat. Je prinejmensim otravne, pokud si maji zamestnanci dostatecne bezpecne heslo pravidelne menit. Pokud ho maji treba „T0hl3_J3_M0j­3_H3sl0!“ tak chtit po nich aby si to porad menili je to nejhorsi co muze firma udelat. Bud to pak konci na papirku jakozto se vetsi pocet komplikovanejsich hesel spatne pamatuje, nebo to prinuti zamestnance prejit na jednoduzsi heslo cimz ohrozi bezpecnost sveho uctu. Bohuzel lidi co o tom rozhoduji takto neumi premyslet a tak jde bezpecnost cim dal tim vic do prd…

Musím souhlasit s nutností přesvědčit lidi. Cílem by mělo být, aby uživatel chápal důležitost hesla a sám si zvolil nějaké dobré. Nějaká algoritmicky vynucovaná pravidla jsou spíš ke škodě než užitku. Proč vyžadovat, aby v hesle byla číslovka, když existuje spousta velmi silných hesel, která číslovku neobsahují (třeba obskurní věta). Některým lidem dělá problém nalézt vhodné heslo, které splňuje požadovaná kritéria. Takže když ho vypotí, tak si ho nepamatují – je pro ně nepřirozené (různí lidé mají různé způsoby, jak si pamatovat). Stejně tak nutnost měnit heslo každý měsíc je hrozná, to se fakt nedá pamatovat.
Je lepší poradit nějaké triky, jak lze dobré a zapamatovalné heslo vytvořit. Pokud uživatel musí splnit kritéria, ale sám nechce, splní je nějakým hrozným způsobem.

Heslo je obsesí akorát pro informatika a podobné mastné hlavy s brýlemi. Stejně ho má každý lepenkou nalepené nebo fixem napsané na rámu monitoru. Když má kolega dovču, musím se k němu dostat. Když má sekretářka ošetřování člena rodiny, zastupuje ji každý, kdo je trochu gramotný.

Za jeden ze svých životních úspěchů považuji, že už se mi asi ve dvou firmách podařilo vysvětlit, že když je někdo na dovolené, není potřeba znát jeho heslo. I když je to „jeho“ počítač, pokud je v doméně, přihlásí se na něj v pohodě všichni. Navíc data na lokálních discích nemají co dělat. Data patří na sdílené disky, kde se na ně (podle nastavení práv) dostanou všichni a jsou zálohovaná…
Pokud jde o přístup do nějakých interních systémů – docházka, spisová služba, nějaký time management… a co já vím, co je ještě potřeba k zastupování sekretářky… tak je to opět jenom o nastavení správných práv do těchto aplikací…
Nebo vaše sekretářka nechává v práci i občanku, aby za ni nějaká podobně vypadající paní mohla přebírat některou poštu? :-)

Spojením „chápat důležitost hesla“ jsem myslel chápat míru, jak je určité heslo důležité, nikoliv že každé heslo je důležité. Uživatel by měl být poučen o možných důsledcích toho, že někdo jiný zná jeho heslo. Záškodník může uživatelovým jménem udělat škodu, kterou bude mít na triku uživatel. Komu se líbí, když někdo něco provede a hodí to na vás?
Jestliže si zaměstnanci musí sdělovat hesla, aby se dostali k datům, ke kterým se mají dostat, tak je to špatně. Když máte přinést něco ze skladu místo nepřítomného kolegy, tak přeci skladníkovi nepředstíráte, že jste ten kolega, ale vyzvednete to na sebe.

… ono je to tak. K účtu pracovnímu nebo školnímu se uživatel musí chovat jako by byl úplně veřejný. A neukládat tam nic, co nechce zveřejnit. Např. tam nestahovat porno, když nechce zveřejnit, jaké sexuální praktiky ho vzrušují.

Kdykoli do toho totiž může vlézt admin.

A jestli do těch dat uživatele vleze admin nebo cracker, to už mu může být prakticky jedno. Prolomení bezpečnosti je škoda pro firmu, hlavně pro admina, protože má práci navíc, ale uživatel z toho typicky žádnou škodu nemá.

BLEKu jestli si do tejdne nenechas prediagnostikovat poruchu ze schizoidni na spravnou diagnozu avoidantni tak zverejnim na rootu jake mas oblibene sexualni praktiky! :)

http://trsek.blog.root.cz/2009/11/19/znova%C2%A0hesla%C2%A0a%C2%A0maju%C2%A0vyznam/