Vlákno názorů k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od agent008 - Proc zmena hesla? Kdyz nekdo to heslo muze...

Proc zmena hesla? Kdyz nekdo to heslo muze odchytit, tak tam muzu mit i 128 znakove nahodne heslo a muzu ho menit kazdou hodinu a utocnik jej vyuzije. Dulezite je pouzivat password manager a pak kompromitace jednoho hesla = kompromitace jedne stranky. A ta nikoho nezajima.

U internet bankingu sa robia velke kradeze kvoli vacsej vytaznosti a typicky sa ani neda zmenit heslo cez web.

Zmena hesla nedava zmysel a ludia co minuskuju ani nemaju argumenty iba nejaku vieru, ako je to lepsie, aj ked to tak lepsie nie je. Pozrite sa na pocet reakcii.

Internetove bankovnictvi, kde nejde zmenit heslo??? :-O Tak to uz jsem dlouho nepotkal....

Taky to tak mám, heslo jsem zadával při generování RSA certifikátu a pokud nebudu generovat certifikát znovu, heslo nezměním. Takže změna je možná, ale hodně pracná.

Navíc je celkem běžný, že nejde měnit heslo na mobilu...

Ještě jedna věc. Aktuálně většina webů používá SSL připojení které šifruje všechny data mezi webem a uživatelem k tomu ještě se tyto data posílají v POST požadavku a nejdou najít v URL jelikož SSL tyto data zašifruje nemůže logicky dojít k odchycení hesla.

Myslím, že Agent008 to myslel takhle:

- Pokud jde heslo v plaintextu, je veškerá snaha marná, prostě si to přečte třeba pomocí WireSharku a hotovo. Nepomohla by libovolná délka hesla, ani libovolná frekvence změn.
- Pokud tam nějaké ochrana přenosu hesla je, je to nejrozumnější mít vygenerovaný silný hesla někde v DB a navíc pro každou službu jiný.
- Služba by neměla řešit vlastní lemplovství obtěžováním uživatelů, ale správnou prací s heslem - šifrovaný přenos, POST požadavek, HASH + sůl, ....
- Preventivní změna hesla po nějaké době nedává smysl. Minimálně ne z pohledu pravděpodobnosti uhodnutí hesla.

Prosím pěkně, v ideálním světě žádný POST plaintextu, ale když už tak SRP nebo podobný protokol.