Vlákno názorů k článku
Heslo pro kamerový systém v pařížském Louvru bylo „Louvre“ od Fantux - Jo v práci nám změnili firmu pro správu...

Jo v práci nám změnili firmu pro správu IT, a nové koště chce dvanáctipismenové heslo s velkým, malým a speciálním. Největší legrace byla že vyžadovali speciální znak, ale ty nebyly dostupné při zamčeném počítači, takže se nikdo nedokázal přihlásit. Navíc to chtějí měnit každých pár týdnů, ale nejsou dostupní 24/7, takže pravidelně část userů tráví dny s uzamčeným počítačem. Za ty roky jsem poznal spoustu správců, a zajímavé je že tímhle trpí tak 10% správců sítě, zbytek ne. Psychiatři tomu říkají obsesivní porucha, případně pokud to dělá naschvál, tak psychopatie.

Tomu se odborně říká ode zdi ke zdi. Ani jeden z těch přístupů není správný, jak řekl Buddha (možná): „Struny, které vydávají melodický zvuk, nejsou příliš napnuté ani příliš volné.“ Je nesmysl na bezpečnost kašlat, stejně jako kvůli ní zastavit provoz.

Ono ovšem v praxi stačí poměrně málo k tomu, aby se ta bezpečnost dramaticky zvýšila. Nikdy není možné se zajistit proti všemu na sto procent, ale stačí dodržovat doporučované základní postupy, nedělat vědomě školácké chyby a bezpečnost vzroste o mnoho řádů.

Co se hesla tyce, tam te nekdy donuti legislativa. Aneb tech 12 znaku je ve vyhlaskach k ZoKB, a je strasna tragedie, kdyz uzivatele jednou za cas k te zmene nedokopes. Aneb pokud subjekt vi, ze bude v nejakem rezimu zregulovany, tak na vyber ani moc nema (a ze jich pribude)... Jak znamo, urednik na kontrole se ti pri kontrole radeji zameri prave na podobne veci, ktere se snadno kontroluji :-) Checklist, co si odskrtnes.

Já jsem teda ve vyhlášce našel, že systém musí umožňovat heslo alespoň 64 znaků dlouhé a také je povoleno používat klíče. Takže 12 znaků nikde napevno není a každá normální firma i úřad má čipové karty.

Prave ze je § 8, odst. 4, pismeno a)... v pripade subjektu v nizsich povinnostech, tedy u vyhlasky 410/2025 Sb. Pro subjekty ve vyssich povinnostech (409/2025 Sb.) je to ekvivalentne § 19. Zkopirovali to ze stare vyhlasky (vyhlaska 82/2018 Sb a predtim i 316/2014 - v te teda bylo jen 8 znaku, na 12 se to zmenilo v roce 2018). Plus nucena periodicita zmeny 18 mesicu (drive po 100 dnech) - to rovnou zkopirovali s argumentem, ze kdyz to bylo dobre pred lety, tak to musi byt dobre i dnes...

A abych ti ušetřil další komentář, tak ano, skutečně tam je i 12 znakové heslo, ale celý odstavec začíná:

"Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací..."

Kde ve 3 a 4 se píše o multifactor a dalších možnostech jako klíče.

Ta vyhláška je z roku 2018 a v té době již všichni měli klíče. Navíc už je pár dnů zrušená. Jestli si někdo do nové vyhlášky z letošního roku stále dal požadavek na hesla a jejich pravidelnou změnu, tak je nějakých 7 let pozadu :-)

A "a aplikaci" je genialni past, ta je tam dokonce nova :-) Aneb technicke ucty. Kazdych osmnact mesicu menit treba hesla uzivatelum treba u databazi (a nejen tam)... to bude velmi, velmi zabavne... ;-) Bude zajimave pozorovat ty nahodne vybuchy v situaci, kdy se ta zmena nekam korektne nepropise.

Mám obavy, že se dopouštíte stejné chyby jako autoři těchto zákonů, tj. neuvědomujete si, že informační systémy, potažmo výpočetní technika, to nejsou jen počítače v kancelářích. A zvláště, bavíme-li se o kritické informační infrastruktuře - kdy jde hlavně o různé řídící systémy technologických procesů. U těch opravdu nejde upgradovat software tak lehce jako u smartfounu - a už vůbec ne hardware. Stejně jako blbnutí s hesly je tu naprosto kontraproduktivní. Bezpečnost tu má poněkud jiné aspekty a tradičně se řeší jinak. To, co sem cpe legislativa o kybernetické bezpečnosti, naopak vede ke snižování bezpečnosti a spolehlivosti.

No tak jasně, protože v momentě, kdy ti někdo stanovil požadavky a ty z nich dokážeš udělat checklist povinných položek, tak máš průser papírově podchycen a už to není TVŮJ průser, nýbrž toho, kdo vydal požadavky nebo je nedodržel. A je úplně jedno, jaká je to blbost, klíčové je, že je na tom štempl a že ty máš papír, žes opravdu udělal to, co po tobě někdo chtěl, a žes to udělal TAK, jak ON chtěl. Nikdo po tobě totiž nemůže chtít, aby ses zodpovídal z něčeho, na cos neměl vliv a o čem jsi neměl pravomoc rozhodnout.

Ono to ve velkých společnostech snad ani jinak nejde, když se tam mění lidé, k tomu dovolené, nemoci, někdy jedna ruka neví co dělá druhá. Pak se to musí standardizovat nějakým oficiálním postupem, určit role a odpovědnosti. Možná je to někdy neefektivní (zejména když to zavádí někdo, kdo pořádně neví co dělá), ale s jedním pánem, který má celé IT v malíčku si holt ve větší firmě nevystačíte.

Člověk by doufal, že se tohle v roce 2025 už dít nebude. Ale ono houby. V okolních papírnictvích se zvýší prodej nalepovacích poznámkových papírků. To bude zhruba jediný efekt.

U nas je za papirek firmalni "dudek". Ja si hesla provokativne kolem pocitace obcas davam - ta spatna. I na platebni kartu jsem si napsal spatny pin aby ho zlodej vyzkousel jako prvni a vycerpal pokusy. Nebo kdyz maji prijit securitaci tak je taky trochu poskadlim - mam locking screen s fiktivnim obrazkem desktopu.

Bral jsem to také jako srandu, než jsem dostal pokutu za to, že jsem měl heslo na papírku nalepené na počítači a vysvětlení, že to není správné heslo nefungovalo (vítejte v ČS; opravdu mají ve vnitřníh předpisech zákaz lepení hesel, už se tam ale nepíše nic o tom, že to musí být ta správná hesla). Od té doby si dávám pozor i na tohle a raději po vzoru Elona říkám, že to je jméno mého psa.

Dělám to ale stejně, také mám falešné piny, falešná hesla jen, abych někoho přesvědčil, že to má zkusit a pak měl aspoň ten záznam o neúspěchu.

To u nas nastesti neni ale diky za tip. Napisi si heslo co nevypada jako heslo. Napriklad Uzivatel ve fronte: Soudek69. I kdyz jako IT firma jsme pomerne progresivni v passwordless a ruznych metodach ktere hesla uz nevyzaduji nebo se na to migruji - premyslim kdo prudi vic. Jestli americka vlada nebo zelene trenyrky.
"Doporucuji papirek: Je zakazano lepit hesla na monitor!","Za­bezpeceni dle smernice: <uvest id realne vnitrni smernice> aj. ci vytisknout si varovnou znacku na rozvodne krabice: "Hlavni uzaver pristupu uzivatelu. Manipulace s hesly zakazana!".

Vždyť se to nestalo v roce 2025. Stalo se to cca 2005, kdy to koupili, a od té doby na to nikdo nesáhl. Dost možná proto, že to koupili na klíč, a nikdy neměli vlastního ajťáka, který by si za to zodpovídal.

7. 11. 2025, 08:26 editováno autorem komentáře

Ze pry se nema vynucovat struktura hesel ... sem nekde cet ...

Jak to dopadne? Uplne jednoduse, vsichni budou miti heslo "1"

Dobre, takze se rekne, ze heslo bude nejake dlouhe ... vyborne "123456789 ..."

Takze se rekne, ze tam musej byt pismena ... bezva login "vopicka" ... pass "vopicka"

Nakonec skoncis presne u tech ruli ktery se pouzivaj = ze to musi obsahovat ruzny znaky, nesmi obsahovat ani casti loginu/jmena osoby, ze si to pamatuje 20 hesel zpet abys pri zmene nepouzival stejny atd atd atd .... (podotykam, ze heslo ktery tim projde je vytvorit zcela trivialni a primitivni, presto to 99% uzivatelu nezvladne ani na 10ty pokus, asi bude lepsi je nahradit AIckem)

A zmeny hesel? 80% lidi svoje heslo rekne kolegovi, protoze on si prece potrebuje precist jejich maily (napriklad) kdyz jsou na dovoleny. Dokud za to nebude instatne trestni oznameni (a ano, je to trestny cin) tak se na tom nic nezmeni. A aby se to aspon marginalizovalo, tak se narizujou pravidelny zmeny.

Jaký je to trestný čin? Prosím o odkaz na konkrétní paragraf trestního zákoníku.

Máte na mysli § 230 trestního zákoníku 40/2009 Sb. ?

Nemám na mysli nic. Mám na mysli co asi má na mysli on.

Nebo spíš § 231

...každopádně pokud má na mysli ten, je to velice, ehm, divoký výklad. Pokud vám někdo sám, dobrovolně a o své vlastní vůli dá heslo, rozhodně nepřekonáváte žádná bezpečnostní opatření. Za ""překonávání" se obvykle považuje obcházení aktivní.

Stejně, jako je poměrně komplikované říci, co v tomto případě znamená "neoprávněně" z hlediska trestního práva protože ten, kdo vám to heslo dobrovolně a o své vůli dal na vás delegoval jeho vlastní oprávnění jeho maily číst. Nejspíš tím porušil vnitřní předpisy zaměstnavatele ale velice pochybuji, že by to soud vyhodnotil jako "neoprávněné" z hlediska trestního práva protože to udělal se souhlasem oprávněné osoby. Což je velmi podstatné.

6. 11. 2025, 13:10 editováno autorem komentáře

Všimněte si, že Fantux zmínil dvě věci – speciální znaky a pravidelnou změnu hesla. Vy jste psal, že pravidla dávají smysl – a pak jste vyjmenoval pravidla, kde zrovna ta dvě pravidla (speciální znaky a pravidelná změna) nejsou.

Ano, aby dávalo použití hesel smysl, musí pro heslo existovat nějaká pravidla. Jenže jsou pravidla, která dávají smysl, a pravidla, která jsou hloupá nebo velmi hloupá. Vyžadovat speciální znaky a pravidelnou změnu hesla patří do té poslední kategorie.

Vynucení pravidelné změny hesla je nesmysl proto, že to chrání proti jedinému případu – když heslo nepozorovaně unikne. To pak může útočník nějakou dobu používat, než dojde k pravidelné změně hesla. No jo, ale pokud to heslo uniklo nepozorovaně jednou, nejspíš unikne stejným způsobem znovu i po změně.

Speciální znaky proto, že je často problém je napsat – a když heslo, které obsahuje malá a vleká písmena a číslice, prodloužíte o dva znaky, získáte tím silnější heslo, než když vynutíte použití speciálních znaků.

Bohužel s tímhle neumí pracovat většina validátorů síly hesla – mají nastavená nějaká pravidla (třeba že heslo musí obsahovat malá a vleká písmena a číslice), a pak jen ověřují délku hesla. Správná validace by měla být taková, že zjistím, kolik skupin znaků v hesle je použito, a podle toho přizpůsobím požadovanou délku hesla. Pokud někdo chce používat speciální znaky, ať je použije, a bude mu stačit kratší heslo. A pokud někdo nechce, ať je nepoužívá, jenom po něm budu chtít delší heslo.

Zrovna včera jsem na požadavky na heslo k API na razil u jedné velké české w/vebhostingové firmy. Vygeneroval jsem heslo správce hesel – heslo je příliš dlouhé. Zkrátil jsem ho – musí obsahovat speciální znaky. Vygeneroval jsem nové kratší i se speciálními znaky – heslo obsahuje nepovolený znak. No kdyby Cloudflare uměl registrovat domény z TLD .cz a .eu, utíkám od toho w/vebhostingu pryč…

Ta nesmyslná pravidla pro hesla ve výsledku bezpečnost hesel jenom oslabují. Protože uživatel má nastavenou nějakou míru toho, kolik práce je ochoten heslům věnovat. A když ho donutím používat speciální znaky nebo heslo pravidelně měnit, ta energie, kterou je ochoten heslům věnovat, se vyčerpá na tyhle nesmysly – a heslo je pak jednoduché a předvídatelné, i když splní ta pravidla. Kdybych tahle pravidla nevynucoval a místo toho poučil uživatele, jak hesla vytvářet a používat a proč jsou důležitá, a nechtěl p oněm nesmysly, tu energii použije na to, aby používal bezpečnější heslo.

Vaše úvaha o adaptivních validátoru je sice technicky dobrá ale v praxi poněkud naráží na to, že ty požadavky na heslo musíte vysvětlit všem uživatelům. Což tohle poněkud komplikuje. Protože -- přesně jak jste napsal -- uživatel má nastavenou jen nějakou míru toho, kolik práce je ochoten heslům věnovat. To ten problém samo o sobě neodstraní, jen ho přetransformuje do něčeho jiného.

Hesla odpovídající požadavkům na heslo popsaným uživateli mohou být podmnožinou hesel, která akceptuje validátor.

Navíc mnohé validátory jenom ukazují sílu hesla. No a když tam dám náhodně vygenerované dvacetiznakové heslo složené z malých a velkých písmen a číslic, a validátor ukazuje stále žlutou, protože tam chybí symbol, myslím si o validátoru své.

Já jsem takhle jednou pohořel s heslem, které mělo entropii 256b. Prostě náhodně vygenerované a pouze malé znaky ASCII. Mělo asi 40 znaků (abeceda 26 znaků), ale nemělo speciální znak, ať už je to v binární soustavě teda cokoliv :-D. Příště tam pošlu 256b nul a jedniček a ať si s tím poradí jak chtějí.

"podotykam, ze heslo ktery tim projde je vytvorit zcela trivialni a primitivni, presto to 99% uzivatelu nezvladne ani na 10ty pokus"

Možná budete vyjímečně inteligentní, když zvládnete něco co nezvládne 99% lidí. Počkat, ale to byste asi věděl, že když něco nezvládne 99% lidí, tak to není triviální (protože snadné a triviální je právě určené tím, že to zvládne většina lidi). Víceméně antisociální správce asi dojde ke stejnému závěru jako vy, 40% userů to nezvládlo ne proto že pravidla jsou idiotská, vytvořená tech idiotem, ale proto že jsou blbí :))

Vzhledem k tomu, ze se semnou inzinyri dohaduji na tema ze apostrof nebo strednik nebo tilda ... je neexistujici znak, tak zvevne genialni jsem.

Tech 99% lidi totiz nezvladne Sk8kalPesP5esOves.