Vlákno názorů k článku Nekomplikujte lidem přihlášení, jinak začnou být kreativní, říká Jim Fenton od LivingLegend - Tak podle mne by si sám uživatel měl...

Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.

jsou služby kde je mi jedno jakou délku hesla použiji ( většinou e-shop atp...) Ale přesto mne správce nutí vymýšlet bůh ví jak dlouhé heslo a pak to končí většinou takto.

Zadejte nové heslo:

zelí

Heslo musí obsahovat více než 8 znaků

kyselý zelí

Heslo musí obsahovat alespoň jednu číslici

3 kyselý zelí

Heslo nesmí obsahovat diakritiku

3 kysely zeli

Heslo nesmí obsahovat mezery

3blbykyselyzeli

heslo musí obsahovat alespoň jedno velké písmeno

3BLBYkyselyzeli

Heslo nesmí obsahovat více velkých písmen jdoucích po sobě

3BlbyKyselyZe­li,DejMiTenBlbej­Pristup

Heslo nesmí obsahovat interpunkci

TakTedJsemSeA­leUzFaktNasral3Blby­KyselyZeliDej­MiTenBlbejPris­tup

Omlouváme se, ale toto heslo už někdo používá. Vymyslete jiné!

Ano a přesně o tom je celý ten článek :-).

Jsem moc rád, že to konečně napsali do NISTu, takže to končeně ti co umí jen opisovat, také převzali. Mám na myslí náš ZoKB a hlavně vyhlášky - 316/2014 a 82/2018. Když se projednávala ta původní (v roce 2011-13), tak jsem naprosto marně argumentoval zcela stejně, jako je dnešní článek a pasáže o tom, jak musí být heslo "komplexní", bylo doplněno perlami o minimální délce 8 znaků a omezení max. délky na 16. Nemyslící opisovači prostě opsali původní NIST (resp. ISO 27001) do zákona bez ohledu na to, že v českém prostředí se nemusí používat jen ASCII apod.
Konečně tedy v 82/2018 je už uvedeno, že omezení na max. délku nesmí být kratší než 64 znaků, minimální délka je už na 12 znacích (lépe 14 či 16, ale aspoň tak) a už není nic o komplexitě. Bohužel než se to prosadí do firem a do politik v MS AD, které se běžně nastavují se zastaralými omezeními a 90ti denní platností hesla, tak to bude trvat dalších 10 let a možná déle.

1) Proč je problém definování minimální délky hesla?
2) Ve „staré” vyhlášce nebyla definována maximální délka hesla.
3) I ve staré byla definována délka hesla pro administrátory KII na patnáct znaků.
4) V nové je 12 znaků pro uživatele, 17 pro administrátory.

Moje dcera ma hodne podobny username u guglu. Clovek nemuze mit telefon bez toho, aby mel ucet u guglu. Tak jsem byl nucenej ji ho zalozit. Vypadalo to podobne jak tady - jakekoliv jmeno, ktere jsem byl schopnej si vymyslet, uz existuje. Bodejt, kdyz uzivatelu guglu je vic nez lidi na Zemi. Takze nakonec ma neco takovyho podobnyho jak TakTedJsemSeA­leUzFaktNasral3Blby­KyselyZeliDej­MiTenBlbejPris­tup@gmail.com :-)

Zaujímavé, ja u Googlu mám opačnú skúsenosť... asi si viem vymyslieť jedinečné meno na prvý pokus... mám celkovo 4 účty (z veľa dôvodov prečo až toľko). Jeden účet je len so 4 obyčajnými písmenami `[A-Z][a-z]{3}` bez diakritiky pred zavináčom. Ďalšie 3 taky pri registrácii prešli na prvý pokus. U posledného síce mám navyše číslicu 9, ale to preto že ten som chel mať názov účtu zhodný s účtom na inej stránke, kde bol ten username bez číslice obsadený. Takže tak.

„Clovek nemuze mit telefon bez toho, aby mel ucet u guglu.“

Opravdu??? To jsem nevěděl...

Tak podle mne by si sám uživatel měl určit jak je pro něj služba důležitá. A nastavit si sám délku hesla ( na obě strany) tak jak chce.
Pokud tohle uživatel řeší, asi používá pro každou službu unikátní heslo, a tím pádem používá správce hesel. Pak je jen zbytečná komplikace přenastavovat parametry pro generování hesla a nejjednodušší je tedy používat všude silná hesla. Samozřejmě je pak ale potřeba, aby příslušná aplikace to silné heslo akceptovala a nestěžovala si, že je moc dlouhé nebo obsahuje špatné znaky.