Názory k článku Nekomplikujte lidem přihlášení, jinak začnou být kreativní, říká Jim Fenton

Opět strašák v podobě papírku s heslem nalepeným na monitoru :-) Ok, pokud nějaký hacker dokáže zjistit heslo, které mám nalepené na monitoru, dobrovolně mu převedu celý obsah svého bankovního účtu na jeho konto :-)) Samozřejmě, ve firmě nebo v úřadě nemají papírky s hesly co pohledávat, tam bych s tím souhlasil.

Heslo je můj osobní identifikátor. Jakmile si ho nalepím na monitor, ztrácím nad ním kontrolu. Vidí ho kolegové, návštěvy, cizí lidé a uklízečky. Může spadnout, být někým vyhozen do koše, nebo se třeba objeví na fotce. Jak pak může takové heslo sloužit k osobní identifikaci?

Mnohem lepší nápad je mít heslo ve správci hesel, kde je skryté před očima zvědavců a nikdy se nemusí objevit na obrazovce ve viditelné podobě.

Osobně mám problém se správci hesel. Všude se píše že je mám používat. Jenže který? Jak zjistím že daný správce hesel je dostatečně dobrý? Jak vím, že správce hesel je neposílá někam do tramtárie? Jak vím, že článek a recenze správců hesel na uzasny-technicky-web-pro-bfu.com je dostatečně dobrý? Měl autor článku dostatečné znalosti nebo to je jen jeden z miliónů pisálků píšících o něčem čemu nerozumí?

Tady heslo v papírovém zápisníku pomáhá.

(Jasně, zapsání hesla do prohlížeče může taky vést k tomu, že prohlížeč hesla ukradne. Ale řekněme že se spolehnu na schopnost firmy (Google, Mozilla), stejně jako se spoléhám na schopnost banky udržet mé peníze.)

Já třeba věřím PGP, proto si hesla ukládám do textových souborů zašifrovaných pomocí PGP, které ukládám v Git repozitáři.

A pak jsem zjistil, že přesně toto dělá nástroj pass, takže výběr správce hesel mám vyřešený ;)

Nemluve o tom ze se nachazi v Gentoo Portage :D

Mno mám i něco podobného. Jenže pan Krčmář zmiňoval tohle: "a nikdy se nemusí objevit na obrazovce ve viditelné podobě". Tedy heslo v souboru musíte zkopírovat a vložit do browseru, to asi jde vidět na obrazovce snadno. Navíc tady mizí předpokládaná pohodlnost správce hesel že vyplňuje políčko s heslem za uživatele.

Netvrdím že toto řešení je pro každého. Ale pokud někdo bydlí sám, nechodí k němu často návštěvy, nedává fotky svého monitoru na internet a neháže bezmyšlenkovitě věci do koše, může to být relativně bezpečné řešení. Ale je to samozřejmě varianta, pokud někdo raději používá správce hesel, proč ne :-)

Jasně, máš pravdu, ale kolik takových hesel se ti na ten papírek vleze...

Zde vynecháváte faktor motivace i technické proveditelnosti.

Kolegů a uklízeček je jen omezený okruh a nejsou anonymní. U většiny duševně zdravých lidí funguje autoregulace, prostě si netroufnou heslo na lístečku zneužít.

Proti tomu správce hesel může být zvesela podrobován anonymním útokům a mnohem rychleji. Jakmile podlehne, útočníka nebrzdí žádné společenské zábrany; útočník ví, že je prakticky nevystopovatelný.

Je tedy velmi obtížné objektivně srovnat, co je bezpečnější. Osobně si dovolím odhadovat, že daleko víc škod je z ukradených hesel z počítačů, než z lístečků na monitorech.

V podstatě souhlasím. Jen bych doplnil, že ten lísteček samozřejmě nemusí být nalepen na monitoru, ale může být schován např. v uzamykatelném šuplíku pod stolem nebo v peněžence. :-)

Dneska je vyžadována registrace snad úplně všude na každou banalitu. Nejvíce nesnáším povinné registrace pro stažení testovací verze produktu, protože to pak musím vyplňovat pět minut fake údaje o firmě a podobné hovadiny.

V podstatě je moje aktuální taktika taková, že použiji některou ze služeb pro dočasné emaily a k tomu jedno náhodné heslo. Vyřídím co potřebuji a ani si údaje nezapíšu.

To je bohužel pravda, ovšem takové přístupové údaje nemá cenu chránit. Tady jde hlavně o skutečné účty, u kterých běžný uživatel očekává, že se mu tam nikdo jiný „nenabourá“.

Zde by mělo v dlouhodobějším horizontu zafungovat GDPR. Vyžadovat registraci je i pro poskytovatele služby zbytečná zátěž. Musí Vaše data chránit. Tipuji, že bude čím dál víc přibývat služeb, které umožní registraci konta aniž by bylo spojeno s e-mailem či telefonním číslem. Tyto indentifikující údaje se budou vyplňovat buďto k jednorázovým úkonům, nebo na základě skutečně dobrovolného souhlasu. V současné době vídáme jen parodie na skutečné souhlasy; situace je prakticky vždy postavena na úroveň: musíš souhlasit, nebo odejdi. To je samozřejmě špatně.

Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.

jsou služby kde je mi jedno jakou délku hesla použiji ( většinou e-shop atp...) Ale přesto mne správce nutí vymýšlet bůh ví jak dlouhé heslo a pak to končí většinou takto.

Zadejte nové heslo:

zelí

Heslo musí obsahovat více než 8 znaků

kyselý zelí

Heslo musí obsahovat alespoň jednu číslici

3 kyselý zelí

Heslo nesmí obsahovat diakritiku

3 kysely zeli

Heslo nesmí obsahovat mezery

3blbykyselyzeli

heslo musí obsahovat alespoň jedno velké písmeno

3BLBYkyselyzeli

Heslo nesmí obsahovat více velkých písmen jdoucích po sobě

3BlbyKyselyZe­li,DejMiTenBlbej­Pristup

Heslo nesmí obsahovat interpunkci

TakTedJsemSeA­leUzFaktNasral3Blby­KyselyZeliDej­MiTenBlbejPris­tup

Omlouváme se, ale toto heslo už někdo používá. Vymyslete jiné!

Ano a přesně o tom je celý ten článek :-).

Jsem moc rád, že to konečně napsali do NISTu, takže to končeně ti co umí jen opisovat, také převzali. Mám na myslí náš ZoKB a hlavně vyhlášky - 316/2014 a 82/2018. Když se projednávala ta původní (v roce 2011-13), tak jsem naprosto marně argumentoval zcela stejně, jako je dnešní článek a pasáže o tom, jak musí být heslo "komplexní", bylo doplněno perlami o minimální délce 8 znaků a omezení max. délky na 16. Nemyslící opisovači prostě opsali původní NIST (resp. ISO 27001) do zákona bez ohledu na to, že v českém prostředí se nemusí používat jen ASCII apod.
Konečně tedy v 82/2018 je už uvedeno, že omezení na max. délku nesmí být kratší než 64 znaků, minimální délka je už na 12 znacích (lépe 14 či 16, ale aspoň tak) a už není nic o komplexitě. Bohužel než se to prosadí do firem a do politik v MS AD, které se běžně nastavují se zastaralými omezeními a 90ti denní platností hesla, tak to bude trvat dalších 10 let a možná déle.

1) Proč je problém definování minimální délky hesla?
2) Ve „staré” vyhlášce nebyla definována maximální délka hesla.
3) I ve staré byla definována délka hesla pro administrátory KII na patnáct znaků.
4) V nové je 12 znaků pro uživatele, 17 pro administrátory.

Moje dcera ma hodne podobny username u guglu. Clovek nemuze mit telefon bez toho, aby mel ucet u guglu. Tak jsem byl nucenej ji ho zalozit. Vypadalo to podobne jak tady - jakekoliv jmeno, ktere jsem byl schopnej si vymyslet, uz existuje. Bodejt, kdyz uzivatelu guglu je vic nez lidi na Zemi. Takze nakonec ma neco takovyho podobnyho jak TakTedJsemSeA­leUzFaktNasral3Blby­KyselyZeliDej­MiTenBlbejPris­tup@gmail.com :-)

Zaujímavé, ja u Googlu mám opačnú skúsenosť... asi si viem vymyslieť jedinečné meno na prvý pokus... mám celkovo 4 účty (z veľa dôvodov prečo až toľko). Jeden účet je len so 4 obyčajnými písmenami `[A-Z][a-z]{3}` bez diakritiky pred zavináčom. Ďalšie 3 taky pri registrácii prešli na prvý pokus. U posledného síce mám navyše číslicu 9, ale to preto že ten som chel mať názov účtu zhodný s účtom na inej stránke, kde bol ten username bez číslice obsadený. Takže tak.

„Clovek nemuze mit telefon bez toho, aby mel ucet u guglu.“

Opravdu??? To jsem nevěděl...

Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.
Pokud tohle uživatel řeší, asi používá pro každou službu unikátní heslo, a tím pádem používá správce hesel. Pak je jen zbytečná komplikace přenastavovat parametry pro generování hesla a nejjednodušší je tedy používat všude silná hesla. Samozřejmě je pak ale potřeba, aby příslušná aplikace to silné heslo akceptovala a nestěžovala si, že je moc dlouhé nebo obsahuje špatné znaky.

Zaujimave ze sa nikde nepise o integracii s centralnymi ID technologiami ako SAML, OAuth, OpenID.

Protože to s tím přímo nesouvisí. Problematika hesel se tím odsouvá na jiné místo, ale zůstává stejná.

Tak ciastocne ano lebo napr v Google mam siroku moznost nastavenia svojej autorizacie 2 Faktora v podobe SMS/Hovoru/Ge­nerovanehoToke­nu/HWTokenu/Pho­nePrompt/OneTi­mePassword... takze nemusim na kazdej sluzbe vymyslat nove hesla a bat sa o duplicitne hesla/komplikovane hesla/ulozenie hesla v sluzbe/....

Nehledě na to, že spousta firem si integraci s centrálními ID technologiemu představuje tak, že mají centrální LDAP, proti kterému jsou otočené všechny služby. Včetně třeba bezdrátové sítě, která se ověřuje PAPem a tak není problém uživatelské heslo vyčíst na dálku a následně zneužít v jiných službách.

Ale řeší, aspoň někteří.
Třeba Root :-) - i když přihlásit se pomocí MojeID na mobilu je vyšší dívčí (je třeba zadat alespoň jedno písmeno přihlašovacího jména, stisknout "Přihlásit" a po neúspěchu teprve lze zvolit MojeID).
A je to důvod, proč služby umožňují přihlášení přes FB - uživatel nemusí nic vymýšlet, ani ten, kdo má FB jen z nutnosti kvůli něčemu, třeba messengeru.
Příklad: supraphononline.cz - lze se přihlásit i přes Google. Já si nemusím nic extra pamatovat, oni nemusejí skladovat citlivé údaje, krásný win-win případ.

Mno, ale win-win to úplně není. Když ti hacknou centrální účet, tak se dostanou i na navázané služby. A navíc jsi takhle snadno sledovatelný tou centrální službou.

Sleduju vas cez trackre uplne paradne na to nepotrebuju ten ucet. A hacknut uz 2FA si vyzaduje omnoho vacsie usilie a je sledovatelne tou centralnou autoritou ktorej sa niekto plne venuje.

Je dobře, že se to řeší formou standardizace, která asi bude (zatím alespoň v USA) závazná třeba pro vládní sektor (jestli to chápu správně). To dává jistou naději, že se tím inspiruje třeba NÚKIB a zruší třeba požadavek na pravidelnou změnu hesla z vyhlášky o kybernetické bezpečnosti.

Bude třeba ale ještě tak deset let počkat, teď se perou s Čínou :-) jsou "busy". To že ten původní požadavek NIST byl nesmyslný bylo jasné od začátku.

Nedávno jsem správcům portálu Můj Conseq - Daně hlásil, že mi jejich portál neumožňuje mít v hesle znak čárka ",". Odpověděli mi, že na mě hází bobek. Je nějaká možnost, jak tyto a podobné veřejně dehonestovat, aby taková zvěrstva nedělali?

Pokiaľ ukladajú heslo v plaintexte tak im to niečo môže rozbiť.

Jestli ukladaji hesla v plaintextu, tak nezadatelna carka je ten nejmensi problem :-)

Je nějaké právo na to mít čárku v heslu? Co brání v použití delšího hesla s jinými znaky? Subjekt jste upozornil, pokud Vám jejich služba nevyhovuje, můžete ji změnit.

Nebrání nic. Jenom je otravné nechat si vygenerovat bezpečné heslo, to neprojde, nechat si vygenerovat jiné, to možná také neprojde, takže ho musíte ručně upravovat, hledat, které znaky se tomu nelíbí… Je to otravné a uživateli to zbytečně přidělává práci.

Já osobně nesnáším, když mi stránky vnucují, jak má heslo vypadat. Že musí mít alespoň jedno velké písmeno, alespoň jeden speciální znak a pod. Myslim, že i to vede k tomu, že lidé pak vymýšlejí hesla, která si nepamatují. Obecné si myslím, že snímat z uživatelů čím dál víc odpovědnosti je špatně. Pokud je někdo tak hloupý a dá si heslo HESLO, tak pardon, ale je to jeho boj. Stejně jako když si někdo dá k bankovní kartě na papírek PIN. Lidé si zvykli, že webovky řeší mnoho věcí za ně, nicméně občas je to až obtěžující. Já osobně bych chtěl mít občas trochu větší kontrolu nad tím, co na webu chci nebo nechci. Různá vyskakovací okna s nabídkami, operatorskymi chaty apod. Mě osobně to dost obtěžuje. Když se chci na něco podívat a první co při návštěvě webu musím udělat je to, že pozavíral kolikrát i pět oken, která tam na mě vyskočí, včetně hlášky o cookies.