Vlákno názorů k článku Tvorba a správa silných hesel: příručka pro každého od Ray - Ono je na jednu stranu vyrazne jednodussi se...

Ono je na jednu stranu vyrazne jednodussi se vykaslat na 'nahodna' hesla stylu Jn!@#($8Aza, neb jsou pomerne blbe zapamtovatelna. Sam jich par mam a nepamatuju si je... Umim je jen rychle napsat a tak staci, kdyz jsem za jinou klavesnici a... Je to prekerka.

Pokud mam heslo dlouhe 10 znaku (a to je hodne), rekneme 64 moznosti (a to uz nam dava asi 10 "humus" znaku), pak tak je to neco okolo 1e18 kombinaci. Pro stredne vzdelaneho cloveka tvori slovni zasoba asi 50K slov (tvrdi wikipedie :) tak at nezeru, rekneme 10K slov.

Pokud si hesla delam na urovni slov, treba 'slananynkanas­tudenepivnko' tak je to mnohem lepe zapamatovatelne.

Ikdyz pripustime, ze mame (rekneme) 5K beznych slov, vcetne zdrobnelin a tak, potom kombinaci cca 4-5 slov se taktez dostavame nekam k 1e18.

Pro lamani hrubou silou jsou tato hesla minimalne stejne velky orisek, jako ciste nahodne zmeti znaku. A kdyz clovek pouzije treba oblibenej shellovskej prikaz na nejakou peknou vec, pak jeste mnohem horsi :)

Osobne tento pristup uz nejakej patek pouzivam a co na to, ze heslo ma 30 znaku, napisu se rychle, nezalezi mi na klavesnici... Daleko hur se odposlechne pohledem na klavesnici a pokud clovek neni uplnej trotrl a nepouzije nejakou beznou frazi atp. pak je takove heslo stejne silne jako nahodna balast, ale mnohem snaze zapamatovalne i ve vetsim mnozstvi hesel. Driv jsem si s oblubou jeste pridalval nekam , nebo . pripadne MaLaVeLkA pismenka, ale zjistil jsem, ze to se pamatuje uz blbe a v podstate je to k h... pocet kombinaci uz je sam o sobe na takove urovni, ....

A pak neni treba pouzivat SPOF trezor hesel, kde pokud se k nemu nekdo dostane, tak se dostal uplne vsude....

Da se okolo toho na netu najit i celkem prorpacovanej propocet pravdepobnosti (pro EN, pro CZ to bude jeste lepsi), ale uz nevim, kde jsem to kdysi cetl a jsem linej to hledat...

Toz asi tak :) A kdyz si ted nemuzu na neco vzpomenout, je porad jednodussi vzpominat na to, kam nanynka sla, nez se dohadovat, jesli tam byl ! nebo % :) Pripadne kdyz si kernel vzpomene, ze chce heslo na root pri bootu a nikde neni moznost se podivat, co tam je nastaveny za klavesnici, tak to je pak fakt porod...

R.

I xkcd do toho rejpalo: http://i.agilebits.com/blog/xkcd-936-password_strength.png :)

Svatá pravda.

enomže tenhle způsob je na houby třeba ve spořce, kde byla omezená maximální délka hesla na tuším 12 znaků... Aspoň, že tam byla dvoufaktorovka a login nebylo šáslo účtu. Jsou i horší banky z tohoto pohledu... Jak je to teď netučím, dal jsem jinde přednost PKI a generovaným certifikátům.

Btw, zdá se, že taková délka vede na ukládání v plaintextu na straně banky...

Ano, to je dorby postreh, sam jsem to chtel napsat.

Bud je to plaintext a nebo jde o sifrovani typu AES, takze fakticky znaji konkretni hesla uzivatelu.

Jasně že je znají, vždyť jim je při každém přihlášení posíláš! To by bylo fakt divné kdyby je neznali.