Odpověď na názor
Odpovídáte na názor k článku Heslo pro kamerový systém v pařížském Louvru bylo „Louvre“. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelVšimněte si, že Fantux zmínil dvě věci – speciální znaky a pravidelnou změnu hesla. Vy jste psal, že pravidla dávají smysl – a pak jste vyjmenoval pravidla, kde zrovna ta dvě pravidla (speciální znaky a pravidelná změna) nejsou.
Ano, aby dávalo použití hesel smysl, musí pro heslo existovat nějaká pravidla. Jenže jsou pravidla, která dávají smysl, a pravidla, která jsou hloupá nebo velmi hloupá. Vyžadovat speciální znaky a pravidelnou změnu hesla patří do té poslední kategorie.
Vynucení pravidelné změny hesla je nesmysl proto, že to chrání proti jedinému případu – když heslo nepozorovaně unikne. To pak může útočník nějakou dobu používat, než dojde k pravidelné změně hesla. No jo, ale pokud to heslo uniklo nepozorovaně jednou, nejspíš unikne stejným způsobem znovu i po změně.
Speciální znaky proto, že je často problém je napsat – a když heslo, které obsahuje malá a vleká písmena a číslice, prodloužíte o dva znaky, získáte tím silnější heslo, než když vynutíte použití speciálních znaků.
Bohužel s tímhle neumí pracovat většina validátorů síly hesla – mají nastavená nějaká pravidla (třeba že heslo musí obsahovat malá a vleká písmena a číslice), a pak jen ověřují délku hesla. Správná validace by měla být taková, že zjistím, kolik skupin znaků v hesle je použito, a podle toho přizpůsobím požadovanou délku hesla. Pokud někdo chce používat speciální znaky, ať je použije, a bude mu stačit kratší heslo. A pokud někdo nechce, ať je nepoužívá, jenom po něm budu chtít delší heslo.
Zrovna včera jsem na požadavky na heslo k API na razil u jedné velké české w/vebhostingové firmy. Vygeneroval jsem heslo správce hesel – heslo je příliš dlouhé. Zkrátil jsem ho – musí obsahovat speciální znaky. Vygeneroval jsem nové kratší i se speciálními znaky – heslo obsahuje nepovolený znak. No kdyby Cloudflare uměl registrovat domény z TLD .cz a .eu, utíkám od toho w/vebhostingu pryč…
Ta nesmyslná pravidla pro hesla ve výsledku bezpečnost hesel jenom oslabují. Protože uživatel má nastavenou nějakou míru toho, kolik práce je ochoten heslům věnovat. A když ho donutím používat speciální znaky nebo heslo pravidelně měnit, ta energie, kterou je ochoten heslům věnovat, se vyčerpá na tyhle nesmysly – a heslo je pak jednoduché a předvídatelné, i když splní ta pravidla. Kdybych tahle pravidla nevynucoval a místo toho poučil uživatele, jak hesla vytvářet a používat a proč jsou důležitá, a nechtěl p oněm nesmysly, tu energii použije na to, aby používal bezpečnější heslo.
