Hlavní navigace

Názor ke zprávičce Dnes je světový den hesel, slabá hesla používá 95 % lidí v Česku od Filip Jirsák - Zabránit tomu, aby se heslo u webové služby...

  • 7. 5. 2019 21:11

    Filip Jirsák

    Zabránit tomu, aby se heslo u webové služby dalo hádata rychlostí 1,6*10^20 hesel za sekundu, se dá tak, že to lidský uživatel nebude mít šanci poznat.
    Jak? Mimochodem, pořád není problém hádání hesel přes tu webovou službu, ale únik hashů – pak webová služba nemá vliv na rychlost hádání, resp. ovlivňuje to jen použitá hashovací funkce.

    Můj spor je především s přehnaným důrazem na kombinatorickou složitost hesla.
    Jenže kombinatorická složitost je to jediné, co brání uhodnutí hesla v případě, kdy údaje pro ověření hesla má i někdo jiný, než uživatel (s čímž dnes musíte počítat prakticky u všech webů používajících hesla).

    To vede často ke zbytečným požadavkům na uživatele.
    Nikoli, zbytečné požadavky na uživatele vznikají tehdy, pokud je bezpečnost řešená špatně. Bezpečné heslo je dnes jenom takové, které je náhodně vygenerované, tedy to znamená použití správce hesel. Na požadavek na takovou bezpečnost jsem ještě nenarazil. Pokud jsou požadavky typu velká malá písmena, číslice, symboly apod., pořád těm požadavkům vyhoví i hesla vymyšlená uživatelem. Taková hesla jsou bezpečná jen tehdy, pokud může provozovatel webu limitovat rychlost hádání hesel, nebo-li pokud dokáže efektivně zabránit úniku hashů včetně všech náležitostí. To sice může provozovatel služby se slušnou pravděpodobností zajistit, ale já jako uživatel služby nemám šanci zjistit, zda to tak je.