Vlákno názorů k článku (R)evoluce v OpenSSH 7.0 aneb velké zastarávání od Kolemjdoucí - "Mám pocit, že všichni cítí, že toto na...

Podstatně lepší je ta písmena přidat k heslu. Protože heslo je opravdu tajná informace, na rozdíl od přihlašovacího jména, které se považuje za veřejnou informaci a tudíž obvykle existuje mnoho způsobů, kterými může jméno „uniknout“. Navíc když ta písmena přidáte k heslu, obtížnost původního hesla a přidaných písmen se násobí. Pokud z těch písmen uděláte login a útočník dokáže zjistit, zda jím zadaný login existuje (pokud si ho náhodou rovnou nedokáže zjistit), obtížnost se pouze sčítá.

"Pak pri utoku hrubou silou bude zapotrebi uhodnout login A heslo..."

Problém je v tom A. Pokud mám "náhodné" jméno o délce 10 znaků a abecedě 27 znaků, tak mám 27^10 možností. Pokud mám stejně dlouhé heslo, tak mám dalších 27^10 možností. Musím tedy 2x uhádnout 27^10, 2x27^10. Sílu jsem zvýšil jen 2x.

Jestliže těch 10 znaků jména přidám k heslu, mám 20 znakové heslo. 27^20 je mnohem víc, než 2x27^10. (Asi tak 100*10^12.)

Nehledě na to, jak píše Filip, že jméno se nepovažuje za tajné a také se s ním tak většinou ani nezachází.

Ano, a tak to se jménem chodí. Existují služby reagující pouze na jméno (za všechny smtp a to ani nemusí být povolený příkaz vrfy), nehledě na to, že snad v žádném os není jméno uživatele nijak zvlášť chráněno a ostatní uživatelé jej vidí ve výpisech procesů, pomocí příkazu id, nebo si rovnou vylistuje /etc/passwd. Existují tedy možnosti, jak na jméno přijít bez nutnosti současně s ním posílat heslo. A to buď přímo, čímž se první fáze hádání jména smrskne na konstantní složitost, nebo postupně a tím se složitosti jen sčítají.

Takže nápad učinit ze jména a hesla jednu passfrázi (čím by složitost vzrostla exponenciálně a nikoliv jako součet) v reálném systému naráží na mnoho překážek. Mnohem jednodušší je se jménem zacházet jako s veřejným údajem a příslušné náhodné znaky přidat k heslu (pokud nelze použít klíč).