Vlákno názorů k článku Nepoučili jsme se, za většinou útoků stojí uživateli běžně používaná hesla od K> - z clanku: "„sekretářka Boženka“ používající posledních 30 stejné...

z clanku: "„sekretářka Boženka“ používající posledních 30 stejné heslo,"

No to je pristup z minuleho stoleti. Muset menit heslo kazdych 30 dni, tak sekretarka Bozenka s praci sekne a jde delat jinam. Anebo bude vymyslet prave ta jednoducha a snadno zapamatovatelna hesla proti kterym ma clanek varovat.

Taky mi vadi ten alibizmus kdy nekozame vymyslet lepsi zpusob tak hazeme na uzivatele dalsi a dalsi pozadavky na hesla. Pritom kolik z nas se ridi doporucenim ostatnych oboru?

Lekar, automechanik, instalater, kominik, ... ti vsichni vam daji doporuceni ktere jsou stejne pitoma jako zadost na heslo o 30 znacich ktere si musite menit kazdy mesic.

Ale takovou pitomost nikdo nechce. Chci rozumné heslo, které má někdo v password manageru a nemusí ho měnit nikdy.

Ale chce, mate na to dokonce i vyhlasku.

To je presne ono - sluzby, ktere po me chtely menit kazdou chvili heslo, uz nepouzivam. Typicky pripad byla VISA. Chodil jsem na ten site jednou mesicne, vzdycky na konci mesice, abych zjistil, kolik budu platit. Heslo se muselo menit minimalne jednou za mesict. Navic nesmelo byt stejne, jako jedno z poslednich 5 hesel. Takze naprosto pravidelne to vsechno koncilo tak, ze po nekolika neuspesnych pokusech o odhadnuti vlastniho hesla to vedlo k resetu hesla, coz je operace, pri ktere je ucet potencialne nejzranitelnejsi. Hadal jsem se s nimi o tom asi rok, pak jsem kartu zrusil. Nemelo to cenu.

jak se stane ze password manager nezna posledni vygenerovany? muj teda ani za mnoho pokusu nevygeneruje stejny, natozpak za 5 :)
pod clankem o spatnem pouzivani hesel je prinejmensim usmevne se k tomu tak trochu priznat.

Password managery jsou rozšířené a bězně používané maximálně 5 let. Pokud tu služby zrušil před více jak pěti lety, password manager nemusel být možnost. Navíc, služba, která vyžaduje neustálé měnění hesla... Při každém přihlášení absolvovat orgie se změnou hesla... no to potěš koště.

Bývá ošidné generalizovat svoje chování na všechny. To, že vy jste začal používat password manager před pěti lety, neznamená, že jsou rozšířené a používané maximálně pět let. Například jakési password managery jsou součástí prohlížečů už podstatně déle, než pět let. A běžně používané podle mne nejsou ani dnes, a nemyslím si, že by jejich používání nějak raketově rostlo.

Tak jestli mluvime o bezpecnosti pak password manager je obri bezpecnostni dira. Staci vedet jedno heslo abych mel vsechy dalsi. Jo a idealne sdilet do cloudu.

Je a není. Když budete místo správce hesel používat jedno heslo všude, výsledek bude ještě o dost horší. A ne, fakt nemůžu mít pro těch dvacet základních služeb co používám a mnoho desítek dalších (minimálně) dvacet různých hesel, to bych ani omylem nedal. Takže bych je musel zaspat do nějakého... password manageru?

nic ti nebrani to posilnit otpckem, tokenem, biometrii.. urcite mnohem spis uvidis nabourali ho skrz slaba hesla, nez skrz password managerem. pokud to je sifrovany na klientovi tak nevidim nic hroznyho ani na tom cmoudu, i kdyz preferuju vlastni vps..

Tak vdaka opakovanemu zadavaniu do password manageru sa lahsie zapamata jedno heslo aj ked je nahodne vygenerovane a ma 20 znakov. Aby si clovek pamatal 50 roznych hesiel a kam patria, tak musia byt znacne jednoduchsie.

Ne, není. Nesrovnatelně větší bezpečnostní díra je nepoužívat password manager. Podstatné je totiž to „stačí vědět jedno heslo“. Uchránit jedno bezpečné heslo není zas tak složité. A nestačí vědět jedno heslo, musel byste mít přístup k datům toho password manageru a k tomu ještě znát to heslo. A pokud jde o data uložená v cloudu, tam klidně může být pro přidání nového zařízení požadována další ochrana, než jen to jedno heslo – jednorázové heslo nebo nějaký klíč.

Tahle změna hesla za x dní vždy vyplave od nějakého "security" experta a pak člověk musí obhajovat, že je to blbost a vlastně to bezpečnosti nepomůže spíš naopak. On totiž skoro nikdo to heslo nemění, ale mění třeba číslice atp. v lepším případě. Horší je, že někteří uživatelé pak ty hesla nalepí na monitor a to je fakt průser.

Jj. Copak se asi stane, pokud si někdo musí do N systémů každých X měsíců nastavovat nové heslo ... Pak jsou nakonec daleko bezpečnější statická hesla, které nikdo dlouho nemění a to proto, že pro každý systém si člověk dokáže zapamatovat unikátní a pokud útočník jedno prolomí, nedostane se všude. Pokud si musí uživatel něco pravidelně měnit, tak tam je stejné heslo pro víc takových systémů a pokud nové heslo musí být jiné, tak se iteruje číslo, měsíc atp. Vyžadování určitých speciálních znaků je další hovadina.

Že Vy jste asi nečetl ta veselá doporučení NÚKIBu?

z clanku: "„sekretářka Boženka“ používající posledních 30 stejné heslo,"
Z vaší citace mi bylo jasné, že vypadlo slovo „let“. Nevím, zda chybělo v článku, každopádně teď tam je – a je tam „let“.