Vlákno názorů k článku Jak se Češi s hesly potýkají: analýza 16 tisíc ukradených hesel od bezpecak - Díky za zajímavé statistiky. Dovolím si však výrazně...
-
bezpecak (neregistrovaný)
Díky za zajímavé statistiky. Dovolím si však výrazně upozornit na jednu nepěknou věc z textu.
Tvrzení „Češi se zdráhají v heslech používat diakritiku (což je možná škoda)“ zcela chybně nabádá neznalé čtenáře k používání diakritiky, což však má dva zásadní problémy (viz. výzkumné papery na téma hesel):
a) Použití diakritiky sílu hesla zvýší zcela zanedbatelně (oproti tomu mnohem výrazně zvýší bezpečnost přidání jednoho ASCII písmene k celkové délce hesla).
b) Způsobuje to nekonečné problémy při přihlašování z jiného než osobního počítače kvůli různícím se klávesovým layoutům (které např. v zahraničí často nebývají dostupné na přihlašovacích obrazovkách), nedostupnosti znaků (různá mobilní zařízení tím trpí) či hloupé systémy, které diakritiku interně ukládají chybně a validace hesla je poté nemožná.
Mimochodem hochům z CSIRT bych důrazně doporučil prostudovat https://github.com/dropbox/zxcvbn (soudím, že na zxcvbn hoši ještě nenarazili, protože jinak by tento „kolůsek, který Národnímu bezpečnostnímu CSIRTu pomohl vyvinout lepší způsob regulární analýzy nad množinou dat“, jak autor uvádí, CSIRTu příliš nepomohl).
(tento komentář jsem původně uvedl pod https://blog.nic.cz/2016/12/15/jak-se-cesi-s-hesly-popasaji/comment-page-1/ )
-
> nabádá neznalé čtenáře k používání diakritiky
Děkuji za velmi cenný příspěvek. Plně s Vámi souhlasím a připravím update. Můj údiv, že lidé nepoužívají diakritiku, byl nemístní; navíc uživatelé ani diakritiku používat nemohli – zkusil jsem si založit několik freemailů a se zlou jsem se potázal při pokusu o každé drobné nabodeníčko.> Použití diakritiky sílu hesla zvýší zcela zanedbatelně oproti ... přidání jednoho ASCII
Zajímalo by mě, kdybyste byl tak laskav a rozvedl toto tvrzení. Snažil jsem se načerpat více informací, nikde jsem však hodnověrnou zmínku o ne/zanedbatelnosti input-prostoru nenalezl.
Přijde mi, že čím větší prostor vstupu, tím lépe. Udělal jsem si laický výpočet, kde mi přijde, že bezpečnost zvýší více naopak diakritika.
40 možných znaků * 7 písmen = 280 kombinací
50 možných znaků * 6 písmen = 300 kombinací
Zdá se mi tedy, že pokud by uživatelé nepoužívali diakritiku zcela předvídatelně, je diakritika jednoznačné plus. Navíc je výhoda diakritiky v kratším hesle, což oceníme, pokud nepoužíváme password manager.> problémy při přihlašování
Souhlasím. Problematiku jsem si nastudoval, nad RFC 7613 uronil slzu dojetí, ale přestože já osobně mám na klávesnici různý ezoterický unicode, o kterém naivně věřím, že kdybych se ho rozhodl používat, ubránil bych se leckterému pokusu o dehashování, chápu, že nemáme ideální svět.> zxcbn ... CSIRTu příliš nepomohl
Lepším způsobem regulární analýzy nad daty jsem mínil .ipdb jupyter notebook, který mi pomáhá nalézat zajímavé, a ne předem definované vztahy v datech. S projektem zxcvb nekonkuruje. Nicméně otevřeně děkuji za tip, estimátor jsem skutečně neznal, nadšeně jsem si pohrál a v některých aspektech analýzy by mi byl mohl ušetřit práci. :)Pěkný den,
E2rd
