Vlákno názorů k článku Nový standard pro přihlašování: nenuťte uživatele měnit hesla od Rad - pomocne otazky jsou fajn. pokud nejsou vnucovany na systemu,...
-
Rad (neregistrovaný)
pomocne otazky jsou fajn. pokud nejsou vnucovany
na systemu, kde mi vnucuji 'rodni jsmeno vasi matky' - bud odpovim po pravde a tim padem (pokud mne utocnik zna) je to lehce odhalitelne, nebo absolutne netusim, co jsem odpovedel
takto jsem odesel od jedne banky, protoze jakakoliv zmena nebyla mozna, protoze po 4 letech jsem netusil, jak na to mam odpovedet. a osobni navsteva pobocky skoncila s tim, ze ok, smskou vam posleme nove prihlasovaci udaje. prisly - zadal jsem a ten system zas vyzadoval odpoved na kontrolni otazku.na systemu, kde si sam muzu zvolit vlastni otazky, si je zvolim tak, aby to byl zaroven hint pro odpoved. pro mne - pro utocnika naprosta dezorientace.
-
Filip JirsákStříbrný podporovatelJe dobré si to někam poznamenat. Pokud možno do nějakého jiného správce hesel, než kde máte to hlavní heslo. Ideální je, když je tenhle „správce bezpečnostních otázek“ off-line, někde na papíře, a použil by se jedině v případě, kdy přijdete o hesla z toho primárního správce hesel.
-
Filip JirsákStříbrný podporovatel
Takže kdokoli, kdo k tomu má přístup (přičemž tyhle odpovědi budou hashované ještě výrazně méně často, než hesla, protože se často očekává, že to v případě potřeby porovná člověk, jak moc jste se trefil), má rovnou přístup ke všem vašim účtům. A to se vyplatí!
-
Filip JirsákStříbrný podporovatel
Osobně vyplňuji bezpečnostní otázky vždy mezerou, nepotřebuji je.
Ještě k téhle informaci přidejte e-mail, ať rovnou víme, ke kterému účtu se máme přihlásit.Není podstatné, že vy to nepotřebujete – podstatné je, že je to způsob, jakým se může k účtu dostat útočník. A ten způsob může být mnohem snazší, než pokoušet se dostat k účtu přes vaše heslo – třeba pokud jako odpověď na bezpečnostní otázku uvedete mezeru.
-
Kokos99 (neregistrovaný)
Tak samozřejmě, že když budete znát přihlašovací údaje tak toho můžete využít, když zároveň budete znát čím konkrétně šulím bezpečnostní otázky. Nicméně když je budu šulit, ale nebudete vědět čím, tak je Vám to úplně k ničemu. Jaký je pak rozdíl mezi bruteforcováním hesla nebo bezpečnostních otázek?
-
Filip JirsákStříbrný podporovatel
Tak samozřejmě, že když budete znát přihlašovací údaje
Přihlašovací jméno je veřejný údaj, ve spoustě případů je to e-mail.znát čím konkrétně šulím bezpečnostní otázky
Vždyť jste to napsal – dáváte tam mezeru.Jaký je pak rozdíl mezi bruteforcováním hesla nebo bezpečnostních otázek?
Právě že žádný. Dal byste si jako heslo mezeru? -
Kokos99 (neregistrovaný)
S tím, že je to velmi často email nemohu souhlasit, osobně služby, které požadují email jako login nepoužívám až na pár výjimek, kde není zbytí.
Ano, já jsem to napsal. Kdybych to nenapsal, tak to nevíte a můžete si to louskat stejně jako heslo.
Nedal, protože většinou není možná. V případech že šulím hesla tak používám passw0rd, protože to projde většinou dementních pravidel. Bohužel v poslední době se totiž rozmohl nešvar, že abych si jednorázově z nějakýho webu něco stáhl nebo něco přečetl, tak si musím udělat účet a tam si to nic lepšího nezaslouží.
-
Filip JirsákStříbrný podporovatel
S tím, že je to velmi často email nemohu souhlasit, osobně služby, které požadují email jako login nepoužívám až na pár výjimek, kde není zbytí.
Z toho, zda vy nějaké služby používáte nebo nepoužíváte, nejde nijak odvozovat, jaké je zastoupení těch služeb.Ano, já jsem to napsal.
A napíšete také své heslo?Kdybych to nenapsal, tak to nevíte a můžete si to louskat stejně jako heslo.
Zkusil bych nejprve prázdný vstup, třeba server zadání nevaliduje. Po prázdném vstupu následuje vyzkoušení jednoznakových vstupů. Kontrolní znaky asi bude problém do toho pole napsat a bylo by to poněkud riskantní, takže bych začal prvním znakem nad kontrolními znaky – což je shodou okolností mezera. Získat přístup k vašemu účtu až na druhý pokus mi nepřipadá jako tak velký neúspěch.Nedal, protože většinou není možná.
A tam, kde je to možné?Bohužel v poslední době se totiž rozmohl nešvar, že abych si jednorázově z nějakýho webu něco stáhl nebo něco přečetl, tak si musím udělat účet a tam si to nic lepšího nezaslouží.
Tady se ale bavíme o tom, jak přístup zabezpečit co nejvíce. Pokud vy někam přístup zabezpečovat nechcete, je to vaše volba, ale je to jiné téma.
