Názory k článku Nepoučili jsme se, za většinou útoků stojí uživateli běžně používaná hesla

Pokud je bezpecnost uctu postavena jen na znalosti hesla tak je to spatne. Pokud nekomu dame moznost zkusit 8 miliard hesel tak je chyba u nas. Mfa, tokeny, certifikaty, cokoliv jineho nez jenom znalost hesla a kombinovat to s blokovanim pokusu o prolomeni hesla.

s tím souhlasím, házet vinu na slabá hesla je strašně alibistické. Nemůžeme chtít po většina uživatelů, aby použivali velice složitá a unikátní hesla, to problém jen oddaluje. Pamatuji dobu, kdy se doporučovalo 6 znaků, dnesk Avast nedoporučuje nic kratšího než 15 znaků.

Skoro každé heslo může být slabé, pokud se objeví ve větší míře v databázích úniků.

V roce 2022 vubec provozovat SSH s PasswordAuthen­tication... proc? To ma byt prvni vec, co kazdy proste vypne.

Narážím na to často, lidi mají obří a (IMHO) iracionální odpor k používání klíčů. Některým vadí odlišná logistika – že distribuce práv je oproti heslu obráceně, tj. nepřiděluji někomu heslo ale naopak od nich žádám veřejný klíč. Jiným vadí nutnost si nosit něco s sebou, místo hesla v hlavě... přestože se většinou přihlašují nanejvýš ze 2-3 strojů.

Jiným vadí nutnost si nosit něco s sebou, místo hesla v hlavě... přestože se většinou přihlašují nanejvýš ze 2-3 strojů.

Ono je dost znepokojivé i to, kolik lidí nevidí problém v tom, že se přihlašují - a to i samotným heslem - z cizího počítače. Já třeba používám openpgp token, který má zásadní výhodu, že tam po mně nezůstane nic, co by šlo použít k opětovnému přihlášení, ale i tak bych si to zatraceně rozmyslel.

u ssh klíče nelze vynutit použití hesla a je tedy možné, že útočník spuštěním kódu na počítači oběti automaticky získává přístup kamkoliv bez potřebné znalosti čehokoliv, protože klíč je nechráněn.

Často se hesla pro ssh používají v kombinaci s použití ssh jump hostu a třeba MS AD v podobě auth backendu, kde si někdo nedal práci, aby tam doplnil podporu pro ssh klíče.

Uživatelé na Windows dost výrazně s klíči bojují, putty má svůj vlastní formát, bezpečné uchování je složité, AD jejich bezpečnou distribuci nepodporuje a použití domény a kerberosu s ssh je zase něco čeho se admini prostě bojují a nepoužívají to.

Neobhajuji tyhle postoje, pouze přeposílám argumenty securiťáků, s kterými se setkávám při realizacích.

Ty argumenty jsou dost zvláštní (chápu, že nejsou vaše). Když může útočník spustit kód na počítači oběti, může získat i heslo. Nemyslím si, že by uživatelé Windows s klíči bojovali – prostě používají Putty a vědí, jak z něj získat klíč, stejně jako uživatelé OpenSSH vědí, jak získat klíč z OpenSSH. A mimochodem v posledních verzích Windows 10 už je systémové OpenSSH bez problémů použitelné, s Windows Terminálem (který je standardně bohužel až ve Windows 11) už bude mít i použitelný terminál, takže spousta uživatelů Windows pravděpodobně přestane mít potřebu používat Putty.

po 22 letech existence Putty se tedy MS hodne rychle rozhoupal :)

No to i s tím terminálem. Ale v posledních letech se Microsoft docela snaží a najednou jde spousta věcí, které byly dříve nemyslitelné. Třeba celé WSL.

Když může útočník spustit kód na počítači oběti, může získat i heslo.

Ten argument pochopil tak, že pokud má útočník kontrolu nad počítačem, ze kterého se přihlašuji přes SSH (s klíčem v souboru), získá ten klíč, a tím pádem přístup na všechny stroje, kam se autentizuji daným klíčem, což jsou typicky všechny, kam mám přístup. Při autentizaci heslem získá přístup tam, kam se autentizuji daným heslem, které odposlechl, což je - nebo by aspoň měl být - jen ten jeden cílový stroj. Hesla mají samozřejmě spoustu jiných nevýhod, ale tohle trochu smysl má, i když bych to bral spíš jako argument pro to, abych měl ten tajný klíč k SSH v nějakém hardwarovém tokenu, kde ho útočník bude moci zneužít jen po tu omezenou dobu, kdy ho tam budu mít připojený.

Při autentizaci heslem získá přístup tam, kam se autentizuji daným heslem, které odposlechl, což je - nebo by aspoň měl být - jen ten jeden cílový stroj.
Ano, ale pokud může útočník na mém počítači spouštět kód, může postupně získat všechna hesla.

Je v tom rozdíl, útočníkovi sběr bude trvat déle, někam se třeba vůbec nepřihlásím a útočník mezi tím náhodou o přístup k mému počítači přijde.

Nicméně stav, kdy útočník může na mém zařízení spouštět libovolný kód a získal hesla k některým dalším zařízením já nepovažuju za něco, s čím bych se měl smířit. A to, že se na některá zařízení nedostal, nepovažuju za nic, čím bych se měl utěšovat.

Takže pokud bych se bál prozrazení nechráněného klíče a chtěl zvýšit bezpečnost, budu to řešit hardwarovým tokenem, přesně jak píšete.

Argument, že na serveru nelze politikou vynutit zaheslovaný klíč nebo klíč na hardwarovém tokenu, neobstojí. Politikou na serveru sice lze vynutit, aby heslo mělo třicet znaků a obsahovalo i egyptské hieroglyfy, ale už žádná politika nezajistí, že to heslo nebudu mít lokálně uložené v textovém souboru password.txt v domovském adresáři (nebo-li stejně nezabezpečeně, jako klíč bez hesla).

Já se přiznám, že to na vlastním serveru pořád používám. Mám zakázané přímé přihlášení na roota, takže útočník by musel uhodnout uživatele, přes kterého se přihlašuji, a dvě opravdu silná hesla, aby systém přes ssh ovládl. V kombinaci s tím, že mám nastavený fail2ban na 3 pokusy, mi to přijde dostatečné.

Tak tenhle model jsem zavrhl už dávno - a co teď na některých strojích používám pam_u2f, tak už by to tak vlastně ani dělat nešlo.

Riziko takového přístup není v tom, že je teoreticky těžké heslo uhádnout, ale v zanedbání a lehkovážnosti, jednou se přihlásíš odjinud, jednou heslo omylem nakopíruješ někam jinám, jednou budeš spěchat, protože server bude třeba přetížený a necháš se nachytat. Pokud heslo zadáš někam jinám, dozvíš se to až pozdě, naopak použití klíče tě varuje okamžitě a nedojde ke kompromitaci. Stačí jedna chyba, jedno zaváhání.

Použití pki, 2fa či tokenu dává jistotu, že postup nelze snadno obejít ani pro tebe a vždy ho dodržíš. V tom je ta síla bezpečnosti a nikoliv v tom, jestli heslo lze odposlechnout, uhádnout nebo hrubou silou zjistit.

Víceméně souhlasím. Hardwarový token zvažuju, protože ho používám všude jinde. Jen tady mám trochu blok, jestli se na OTP/FIDO nemůže něco rozbít. Přece jenom když se nelognu přes ssh, jsem v háji... no, budu si to muset pořádně osahat na testovací mašině.

Vždycky je asi dobré mít pro všechny případy někde schovaný i klasický klíč v souboru.

Já tedy používám pro ssh openpgp, ne FIDO2, hlavně proto, že openpgp používám i jinak. S FIDO2 je to asi jednodušší na konfiguraci (aspoň na straně klienta), ale funguje to až od nějaké relativně nedávné verze openssh a taky nejde tajný klíč sdílet, takže když chci mít dva tokeny (jako zálohu nebo proto, že občas používám desktop i notebook současně), musel bych na všech serverech povolit dva různé klíče.

Kdyz jsem analyzoval ceske emaily z Cit0day:
https://pastebin.com/J9nHVFv4

jako nepřekvapilo mne vitězství "123456", ale úplně nechápu umístění
hesla "b17e67c5630c­9aba408158e838­c7f2b705d3ef7d" ;)

Odhaujem, že bolo niekde použité ako príklad. Na s príkladmi je to tak, že sa používajú.

Tak kdo to první zbruteforcuje a zjistí, čeho je to SHA-1 hash?

Proč ze všech možností zrovna SHA-1 ?

Protože SHA-1 má výstup délky právě 40 hexadecimálních znaků.

Třeba jedno z dalších hesel z toho seznamu 827ccb0eea8a706c4c34a­16891f84e7b, jehož délka odpovídá výstupu z md5, je pro vstup 12345. Viz https://md5.gromweb.com/?md5=827ccb0eea8a706c4c34a16891f84e7b :-)

Protože to má přesně 40 znaků a všechny jsou šestnáctkové číslice.

Ten perex je snaha o senzaci, nebo jenom hruba chyba v logice?

"Stačí znát jen půl miliónu hesel ze seznamu RockYou2021 a přihlásíte se úspěšně k 99 997 účtům ze 100 tisíc"

Zjisteno na zaklade toho, ze utocnici zkousi hesla z toho seznamu.

96.72% statistických závěrů je vycucaných z prstu. :-) Podobně jsem se nedávno někde dočetl, že přibližně polovina podvodných telefonátů je úspěšných. Ve skutečnosti to bylo spíš tak, že z oznámení, která příslušný útvar PČR dostane, je polovina od těch, kdo se nechali podvést. Když jsem to tvrzení v diskusi zkoušel zpochybnit, dozvěděl jsem se, že to dá přeci rozum, že nemůžou počítat ty pokusy, které jim nikdo nenahlásí...

A tady už je to tvrzení zase:

Problém je navíc i to, že se zvyšuje úspěšnost útoků. Téměř každý druhý podvodný telefonát v současné době končí škodou pro klienta. Průměrná částka, o kterou klienti při vishingových útocích přijdou, se na jednoho klienta pohybuje kolem 250 tisíc korun, ukazují data ČBA.

Dopoledne to dokonce měli i v nadpisu, ten už naštěstí změnili (stopa po původním přetrvala v URL), ale tvrzení v článku je pořád.

Data CBA? Kazdy druhy podvodny telefonat? Kolem 250tis? Chtel bych videt tu metodiku vypoctu.

z clanku: "„sekretářka Boženka“ používající posledních 30 stejné heslo,"

No to je pristup z minuleho stoleti. Muset menit heslo kazdych 30 dni, tak sekretarka Bozenka s praci sekne a jde delat jinam. Anebo bude vymyslet prave ta jednoducha a snadno zapamatovatelna hesla proti kterym ma clanek varovat.

Taky mi vadi ten alibizmus kdy nekozame vymyslet lepsi zpusob tak hazeme na uzivatele dalsi a dalsi pozadavky na hesla. Pritom kolik z nas se ridi doporucenim ostatnych oboru?

Lekar, automechanik, instalater, kominik, ... ti vsichni vam daji doporuceni ktere jsou stejne pitoma jako zadost na heslo o 30 znacich ktere si musite menit kazdy mesic.

Ale takovou pitomost nikdo nechce. Chci rozumné heslo, které má někdo v password manageru a nemusí ho měnit nikdy.

Ale chce, mate na to dokonce i vyhlasku.

To je presne ono - sluzby, ktere po me chtely menit kazdou chvili heslo, uz nepouzivam. Typicky pripad byla VISA. Chodil jsem na ten site jednou mesicne, vzdycky na konci mesice, abych zjistil, kolik budu platit. Heslo se muselo menit minimalne jednou za mesict. Navic nesmelo byt stejne, jako jedno z poslednich 5 hesel. Takze naprosto pravidelne to vsechno koncilo tak, ze po nekolika neuspesnych pokusech o odhadnuti vlastniho hesla to vedlo k resetu hesla, coz je operace, pri ktere je ucet potencialne nejzranitelnejsi. Hadal jsem se s nimi o tom asi rok, pak jsem kartu zrusil. Nemelo to cenu.

jak se stane ze password manager nezna posledni vygenerovany? muj teda ani za mnoho pokusu nevygeneruje stejny, natozpak za 5 :)
pod clankem o spatnem pouzivani hesel je prinejmensim usmevne se k tomu tak trochu priznat.

Password managery jsou rozšířené a bězně používané maximálně 5 let. Pokud tu služby zrušil před více jak pěti lety, password manager nemusel být možnost. Navíc, služba, která vyžaduje neustálé měnění hesla... Při každém přihlášení absolvovat orgie se změnou hesla... no to potěš koště.

Bývá ošidné generalizovat svoje chování na všechny. To, že vy jste začal používat password manager před pěti lety, neznamená, že jsou rozšířené a používané maximálně pět let. Například jakési password managery jsou součástí prohlížečů už podstatně déle, než pět let. A běžně používané podle mne nejsou ani dnes, a nemyslím si, že by jejich používání nějak raketově rostlo.

Tak jestli mluvime o bezpecnosti pak password manager je obri bezpecnostni dira. Staci vedet jedno heslo abych mel vsechy dalsi. Jo a idealne sdilet do cloudu.

Je a není. Když budete místo správce hesel používat jedno heslo všude, výsledek bude ještě o dost horší. A ne, fakt nemůžu mít pro těch dvacet základních služeb co používám a mnoho desítek dalších (minimálně) dvacet různých hesel, to bych ani omylem nedal. Takže bych je musel zaspat do nějakého... password manageru?

nic ti nebrani to posilnit otpckem, tokenem, biometrii.. urcite mnohem spis uvidis nabourali ho skrz slaba hesla, nez skrz password managerem. pokud to je sifrovany na klientovi tak nevidim nic hroznyho ani na tom cmoudu, i kdyz preferuju vlastni vps..

Tak vdaka opakovanemu zadavaniu do password manageru sa lahsie zapamata jedno heslo aj ked je nahodne vygenerovane a ma 20 znakov. Aby si clovek pamatal 50 roznych hesiel a kam patria, tak musia byt znacne jednoduchsie.

Ne, není. Nesrovnatelně větší bezpečnostní díra je nepoužívat password manager. Podstatné je totiž to „stačí vědět jedno heslo“. Uchránit jedno bezpečné heslo není zas tak složité. A nestačí vědět jedno heslo, musel byste mít přístup k datům toho password manageru a k tomu ještě znát to heslo. A pokud jde o data uložená v cloudu, tam klidně může být pro přidání nového zařízení požadována další ochrana, než jen to jedno heslo – jednorázové heslo nebo nějaký klíč.

Tahle změna hesla za x dní vždy vyplave od nějakého "security" experta a pak člověk musí obhajovat, že je to blbost a vlastně to bezpečnosti nepomůže spíš naopak. On totiž skoro nikdo to heslo nemění, ale mění třeba číslice atp. v lepším případě. Horší je, že někteří uživatelé pak ty hesla nalepí na monitor a to je fakt průser.

Jj. Copak se asi stane, pokud si někdo musí do N systémů každých X měsíců nastavovat nové heslo ... Pak jsou nakonec daleko bezpečnější statická hesla, které nikdo dlouho nemění a to proto, že pro každý systém si člověk dokáže zapamatovat unikátní a pokud útočník jedno prolomí, nedostane se všude. Pokud si musí uživatel něco pravidelně měnit, tak tam je stejné heslo pro víc takových systémů a pokud nové heslo musí být jiné, tak se iteruje číslo, měsíc atp. Vyžadování určitých speciálních znaků je další hovadina.

Že Vy jste asi nečetl ta veselá doporučení NÚKIBu?

z clanku: "„sekretářka Boženka“ používající posledních 30 stejné heslo,"
Z vaší citace mi bylo jasné, že vypadlo slovo „let“. Nevím, zda chybělo v článku, každopádně teď tam je – a je tam „let“.

Nejnebezpečnější ale je, když něco nechá útočníka heslo hádat neomezeně dlouho. To je důvod všech těch problémů.

To máte těžké, když to omezíte, dá se to zase zneužít jako forma DoS útoku.

Když se to udělá dobře, tak žádná forma DoS útoku být nemusí. Můžete blokovat třeba počet pokusů z jedné ip adresy, jednoho prohlížeče a podobně.

Tím ovšem umožníte hádat hesla botnetům.

Dobrý den, bylo by prosím možno rozvést jakým způsobem umožní blokace IP adresy ze které jdou útoky hádání hesel bootnetům ?

Já už řady let používám pass od zx2c4, passff (integrace pass pro firefox), browserpass (integrace s brave, chromium browsers), Password Store + OpenKeychain (integrace pass na android). Úložiště v privátních git repos s gpg encryption.

V počítači pak funkční integrace přes dmenu, rofi, nebo jednoduše v cli. Gui aplikace taky jsou, ale nejsou potřeba. Pass zatím hodnotím jako nejlepší oproti všem veřejným "bezpečným" správcům hesel. Používal jsem dříve dlouho Enpass, ale tohle řešení je daleko flexibilnější, hlavně organizace ve standardní file repository s adresáři je k nezaplacení.

browserpass je i pro firefox, akorát v posledních verzích firefoxu (asi od 100+) mi nějak nefunguje - neukáže okno pro zadání hesla.

Super! Malokdo napise co konkretne a jak pouziva. Vetsina clanku jen napise pouzijte nejaky password manager, pripadne vypise tolik variant, ze stejne clovek nevi co si vybrat (a vyber v clanku nejspis byl proveden jen nahodnym googlenim).

Dobrý den,
Když už se to tady tak hezky rozjelo, zeptám se . Potřebuji se přihlašovat k serverům přes ssh ze svého PC v práci, doma a občas i z notebooků v konferenčních místnostech.
Co byste mi doporučili jako bezpečné řešení?

Pokud se potřebujete přihlašovat i z počítačů, které nemáte plně pod kontrolou, tak skutečně bezpečné nebude nic. Je potřeba mít na paměti, že SSH (nebo SSL/TLS obecně) řeší zabezpečení komunikace mezi dvěma bezpečnými koncovými body přes potenciálně nebezpečnou síť. Pokud nemůžete důvěřovat těm koncovým bodům, SSH vám nepomůže. Relativně nejmenší riziko bude při použití klíče uloženého v hardwarovém tokenu (openpgp, s novějšími verzemi openssh lze použít i FIDO2 token), protože pak případný útočník bude moci ten tajný klíč zneužít jen po dobu, kdy je token fyzicky připojený. Osobně bych to doporučil jako nejpraktičtější řešení i tomu, kdo se přihlašuje jen ze "svých" počítačů.

'Lepsi' FIDO token vyzaduje nejaku formu potvrdenia napriklad pomocou odtlacku prsta takze to ze je ten kluc niekde strceny nestaci, kazde pouzitie sa musi potvrdit.
Pripadne sa da pouzit One Time Password (OTP) generovany napriklad v mobile. To vyuzivaju niektore komercne riesenie ze zadate HESLO + OTP.
Je mozne zneuzit tu prislusnu session ale v ziadnom pripade nie je mozne ukradnut nejake udaje ktore je mozne pouzit znovu na prihlasenie.

Když útočník ukradne session, může si třeba přidat svůj vlastní klíč. Nebo spustit svůj vlastní server. Zejména pokud se přihlásíte na roota, má útočník dost možností. Ale samozřejmě, útočníkovi to komplikuje situaci – zkopírovat klíč bez hesla z flashky je samozřejmě podstatně jednodušší a nevyžaduje to žádnou zvláštní přípravu.

'Lepsi' FIDO token vyzaduje nejaku formu potvrdenia napriklad pomocou odtlacku prsta takze to ze je ten kluc niekde strceny nestaci, kazde pouzitie sa musi potvrdit.

O tom se dá uvažovat v jednoduchém případě, kdy mi jde opravdu o navázání jednoho (nebo několika málo) SSH spojení. Používat to tomhle režimu pro komplikovanější práci, kde se postupně těch spojení budou navazovat desítky nebo stovky, si moc dobře nedokážu představit.

Neviem kolko mate ruk ale mne na 2 staci jedna SSH session.

Vedle toho, co píše Michal Kubeček, bych ještě doporučil mít pro každého klienta jiný klíč (tedy jiný doma, jiný v práci a jiný „cestovní“). Pokud byste měl podezření na kompromitaci jednoho klíče, rychle ho všude zakážete a pořád máte přístup pomocí těch ostatních. Takže se budete moci věnovat zjišťování, zda a kam se útočník dostal a ne řešit, abyste se na svá zařízení vůbec dostal sám.

A pro ty notebooky v konferenčních místnostech bych doporučil mít na flashce vlastního klienta s vlastní konfigurací. Někde to nepůjde použít, ale tam, kde ano, zase snížíte riziko, že klient předinstalovaný na daném zařízení je podvržený, starý nebo špatně nakonfigurovaný.

Samozřejmě, pokud je bezpecnost uctu (u kritických nasazení) postavena jen na znalosti hesla tak je to spatne a pokud nekomu dame moznost zkusit 8 miliard hesel tak je chyba u nas, jak se píše v prvním příspěvku.
Nicméně ta databáze (RockYou2021) může být užitečná – sám bych třeba rád nasměroval členy své širší rodiny, aby si svá hesla prověřili (mohlo by mi to v budoucnu ušetřit práci ;) ). Nejsem si ale jistý, jak to zařídit. Postup „pošlete mi hesla a já vám je ověřím“ bych považoval za zásadně špatný (a nechci to tak dělat). Jsem myslím schopný dostat tu databázi (on je to textový soubor, chápu-li správně) na každý z jejich počítačů, ale jak na běžném desktopu nebo laptopu rozumně ověřit, jestli tam nějaké heslo je nebo není? Ten soubor bude mít velké desítky GB (je to skoro 13 GB v 7z kompresi), to už není úplně legrace; co byste doporučili, aby to zvládl desktop nebo laptop třeba s 4 GB RAM (na všech je Linux) a netrvalo to hodinu? A pokud možno aby to bylo stravitelné pro běžného uživatele, který zvládá shell tak na úrovni „pgrep něco, pkill něco, atp.“?

udelej si vlastni web na kontrolu. tomu snad muzes verit

Asi jsem se v původním příspěvku špatně vyjádřil - když jsem psal, že nechci postup „pošlete mi hesla a já vám je ověřím“, myslel jsem tím, že nechci vést ty uživatele k tomu, aby svoje hesla (byť v dobrém úmyslu) kdykoli sdělovali komukoliv jinému (včetně mne) nebo zadávali někam jinam, než kam patří. To je podle mne (pro běžného uživatele zejména) cesta do pekla, když si na to člověk zvykne. No, a když vyrobím vlastní web, kam ti lidé hesla budou moct zadat k ověření, tak to je přesně ono. (Přijde mi, že zkusit najít svoje heslo v textovém souboru, který mám na svém počítači, nebezpečný návyk nevytváří.)

Importovat hesla do sqlite a zaindexovat (databáze bude velká a import náročný). Nebo zůstat u grep a čekat, ale na SSD to nebude tak zlé.

A nestačilo by porovnávat jen nějaký otisk těch hesel? Pokud bych měl tedy nějaké opravdu bezpečné ale přitom dobře zapamatovatelné heslo, které v databázi ještě nemají, nemohl by si ho někdo jen tak uložit. Tedy zůstalo by bezpečné.

29. 10. 2022, 17:14 editováno autorem komentáře

Ano, to by obecně bylo dobré – ale jak to důvěryhodně zařídit (aby se k porovnání dostal jen unikátní otisk hesla)?
Kromě toho, pro konkrétní případ, o kterém píšu, bych ani tohle nechtěl použít, pokud možno – prostě bych nerad učil laiky, aby hesla zadávali někam jinam, než kam patří, jak o tom píšu výš.

Web ';--have i been pwned? to takhle dělá, že se tam posílá jen otisk hesla.

Ten odkaz nefunguje. A na https://haveibeenpwned.com/Passwords Chtějí zadat heslo ne otisk, aby mi řekli jestli je heslo na seznamu.

Ano, nevložil jsem do odkazu URL, ale znovu název, omlouvám se.

Na té stránce zadáte heslo, ale to zpracuje JavaScript a na server se odešle jeno hash. Pokud tomu skriptu nevěříte, můžete použít API a to hashování si implementovat sám.

Mě třeba vadí, že si někde nemůžu dát heslo 123456. Kdejaký pitomý miniwebík si myslí, že je tak důležitý, že heslo musí splňovat extrémní vojenské standardy. Viz třeba root.cz - mě je fakt úplně jedno, že mi někdo "ukrade" registraci. Ani trošičku mě to nezajímá, proto na všech bezvýznamných místech, kde jde jen o diskuzi, komentáře, stažení souboru, apod. používám stejné hesla (12345678) a stejné loginy.
Silné unikátní heslo patří pouze na místa, kde to má význam (email, banka, ..) Je potřeba používat mozek, generování extrémních hesel pitomce stejně nezachrání, protože ho klidně zadají na fake login stránce.

29. 10. 2022, 08:41 editováno autorem komentáře

Jestli si dobre vzpominam, je to uz nekolikaty clanek ci zpravicka o tom jak uzivatele spatne resi sva hesla za poslednich par let.
Ale clanek o tom jak pouzit konkretni password manager, integraci do browseru, jak dobre resit klice pro ssh, jak hesla pro GUI programy, a jak to pripadne jeste vylepsit o fyzicky klic, takovy tu jeste nebyl. Akorat clanek z 2017 od p. Krcmare se tomu blizil.

Davide, ten problem je hodne rozsahly a ma i jine stranky, nez je vylozena blbost a nezajem uzivatelu, i kdyz ty hraji svou roly taky, to nepopiram.

Mam tim na mysly predevsim fakt, ze heslo a login si musis pamatovat. A kazdy si proste nezpamatuje :
login: P3Vala8
pass: 2$Ngt5%*ct5^7%xA

A dale k tomu pripocitej, ze dneska potrebujes heslo a uzivatelske jmeno skoro ke kazdemu prdnuti na internetu, a nejlepe na kazdy prd jine heslo a login. Ano jsou k dispozici klicenky a sam nevim co bych bez nich delal ale to ma take sva uskali. Dalsi login a heslo, nebezpeci odkoukani, a u tech sifrovanych jako pass jsi v totalne gebisu, kdyz zapomes heslo...

Dale utoky a uniky osobnich udaju z internetovych sluzeb, castejsi nez je zdravo k motivaci taky moc nepomuzou.

A co se tyce firemnich prostredi, tam je to casto z extremu do extremu: V jedne spolecnosti se na to vylozene kasle, zatim co v druhe spolecnosti jsou nastavena pravidla a zmeny tak tvrde, ze to nuti uzivatele je obchazet. Idioti, rekne si clovek. Ano, i ne. Ono neni nijak jednoduche nastavit vyvazenou bezpecnostni politiku, a ja spocitam na prstech jedne ruky spolecnosti co jsem osobne zazil, kde tomu tak bylo, ale i zde hraje urcitou roli blbost, lenost a ignorace.

Atd..

Je jednoduche vsechno svet na pitomost uzivatelu, a z pohledu ITika, to tak muze i vypadat, ale ja vidim svet obema pohledy a vim , ze to tak jednoduche neni a reseni je podle me naprosto v nedohlednu. Zas na druhou stranu - urcite se ho vyplati hledat....

31. 10. 2022, 13:06 editováno autorem komentáře