Názory k článku
Nejčastější PIN je 1234, detaily ukazuje teplotní mapa

Ideu PIN jsem nepochopil.

Jakože málo bezpečné heslo nahradíme řádově triviálnějším heslem a tím zvýšíme bezpečnost? WTF?

Ještě jsem to chápal u platebních karet, protože tam není prostor na klávesnici a nemělo by být možné zkoušet pin vzdáleně atd... Přičemž nemělo by je problém.

Ale jako přihlášení do počítače? Proč? Kvůli retardovaným uživatelům? Vždyť i nepočítačová důchodkyně zvládne opsat heslo z notýsku a když ji s tím nebudeme otravovat zbytečně často, tak se naučí s tím zacházet jakš takš akceptovatelně. A třeba si to i zapamatuje a obejde se bez opisování.

Jako mnohem horší vnímám tendenci uživatelů si hesla fotit, protože tam je narozdíl od notýsku v zamčeném šuplíku kompromitace mnohem reálnější.

Ale PIN? Proč to vůbec existuje?

20. 5. 2024, 10:18 editováno autorem komentáře

Rozumne implementace PINu daji nekolik malo pokusu a pak se PIN zablokuje a potrebuje heslo (nebo PUK). Soucasne smartphony zadne heslo nemaji, tak aspon PIN dela casove zpozdeni po nekolika spatnych zadanich, aby neslo zkouset kombinace moc rychle.

Současné telefony minimálně s Androidem samozřejmě heslo na lockscreen umožňují.

Záleží s čím ten PIN porovnáváš.

Bohužel spousta lidí měla hesla nalepená na štítku nalepeném na monitoru. Pak ti je jedno, že to heslo splňuje požadavky na komplexitu, najednou může být jednoduchý PIN bezpečnější.

A co je za problem mit listek na monitoru? Pokud tam nemas uvedenou sluzbu k cemu to je tak stejne vis pendrek....

Třeba ten, že k zamkutému počítači přijdu a prostě vyzkouším všechna hesla vylepená na monitorech? O co, že v desítkách procent případů by to skončilo úspěchem...

Máte to asi jako s klíči od auta. Když je ztratíte uprostřed lesa, máte to blbý ale auto vám kvůli tomu nejspíš nikdo neukradne. Když je ztratíte na parkovišti, kde parkuje třicet aut, máte to hodně blbý protože to je tak nechat ho odtáhnout protože by tam taky další den nemuselo stát.

Cekam te dnes v e 20:00 zvladnes to po teamsech nebo radsi zoom?

Klic od auta je neco jako heslo do pocitace s nezasifrovanym diskem.

K heslu nalepeném na monitoru mám důležitou poznámku z praxe.
Raději budu za složité heslo nalepené na monitoru, ke kterému se mohou dostat jen lidi, co se fyzicky dostanou k tomu monitoru, než jednoduché heslo, které může uhodnout kdokoli na světě.

Jasně, není to ani omylem optimální, ale své výhody to má. Uživatelé jsou velmi vynalézaví, co se týká jednoduchých hesel. A taky mívají všude hesla stejná. Heslo na papírku je tak menší zlo.
Ti lepší mají ten papírek v uzamykatelném šuplíku :-D

Ja mám riešenie ešte výrazne jednoduchšie,... nemám heslo ani na monitoru a nepoužívam ani jednoduchý PIN ale 20 miestne náhodné vygenerované heslo:

rX:t5g?9.48tMa@7a­AZp

toto je stará verzia hesla, ktorú som pred rokmi používal k prihláseniu do počítača. Bolo to ešte v časoch Windows XP - Windows 7. Ako vyšiel Ubuntu 16.04. tak od vtedy používam nové heslo. Všetky ostatné heslá ku prihláseniu k účtom sú potom v password managery. ;) K Androidu mám komplikovanejší vzor, ktorý mením častejšie (predsa len mobil vytiahnem kde kade a na nejakej kamere sa to môže zaznamenať, ešte keď je to vonka v kaviarni alebo kde, a síce bez fyzického prístupu je to jedno ale pre istotu v prípade straty nech sa eliminuje riziko). To už je trocha ťažšie zapamätať a občas po zmene dám skôr pôvodné a potom nové keď to nezobere... naučiť sa ale na notebooku jedno "zložité" heslo ale nie je tak náročné... dokonca by som povedal že si ani nepamätám heslo ako také (a reálne by som ho z hlavy povedať nevedel) ale skôr len svalová pamäť o koľko mám posunúť prst aby som sa dostal k nasledujúcemu písmenu na klávesnici. Samozrejme to má trocha nevýhodu že ak sa ti zmení klávesnica tak ti môže zabrať aj 3 pokusy prihlásiť sa (osobná skúsenosť).

20. 5. 2024, 17:09 editováno autorem komentáře

Tohle vam ale lehko naboura jedna fotka na socialnich sitich :-) Takovyto chcete se pochlubit novym hrneckem na kafe... a bum! Na pozadi je to vase slozite heslo... jaksi proflakle :-) A nebo treba den otevrenych dveri/exkurze, kdy na dane misto vpustite lidi, co tam bezne nechodi, co si tam taky neco nafoti...

Já si třeba hesla píšu poškozená (jedno písmenko jinak, nějaké jasné, třeba 0 <--> O).

nalepené na monitoru, ke kterému se mohou dostat jen lidi, co se fyzicky dostanou k tomu monitoru
Jasně v digitální době kamer na každém telefonu jsou věci vidět jen při "fyzické" přítomnosti, jako jsme to viděli v reportáži o zavedení nového mýtného systému na ČT 1.12.2019: https://www.ceskatelevize.cz/porady/1097181328-udalosti/219411000101201/cast/736607/ - login a větší část hesla na kameru předvedli pánové v 1:47 :-)

PIN se neda pouzit pro vzdalene prihlasovani. Ve Windows se sice da pouzit pro UAC(sudo/su) ale i to se da zakazat. Myslenka je takova, ze heslo muze byt tezke a uzivatel ho nemusi zadavat pokazke kdyz se hlasi na svuj domaci pocitac.

Pokud myslíte pin na windows, tak to vůbec, ale absolutně vůbec nemusí být číslo, a už vůbec tam není limitace délkou. Klidně můžete mít jako Pin do windows jako "123nemamradmi­crosoft". To, že to někdo pojmenoval PIN je jen špatné rozhodnutí v ux. Je tam ale rozdíl ve scope, pin vs heslo. PIN je pouze lokální, ideálně hashovaný přes TPM a nikdy by ho OS neměl poslat dál, do žádných SMB sharů, jiných aplikací a kdoví co všechno windows dělají s normálním heslem.
Ohledně pinu do mobilu, tam je to rozhodně lepší než nic a pokud si dobře pamatuji, tak po X chybných pokusech třeba android požadoval přihlášení google účtem (jestli to pořád platí to netuším).

Co jsem cetl tak 4 mistni PIN byl kompromisem mezi bezpecnosti a zapamatovatelnosti.

20. 5. 2024, 13:22 editováno autorem komentáře

Na internetu píšou: "Vynálezce bankomatu Shepherd-Barron prý původně uvažoval o šestimístném PIN, které budou klienti zadávat při výběru peněz z bankomatu. Nakonec však svůj plán změnil a identifikační číslo je pouze čtyřmístné. Může za to jeho manželka, prý si dokázala zapamatovat jen čtyři čísla."

Telefonní číslo si taky žádné nepamatovala asi...

Tak ono ze zacatku ty cisla nebyli dlouhe. Ja si pamatuji 5 mistne telefonni cisla a to babicka lamentovala proc to prodluzovali na 5 kdyz 4 doted stacili. ;o)

Já to chápu tak, že ve Windows 11 je pro běžné domácí uživatele preferován login přes Microsoft account (nebo jak se to teď jmenuje), což je (asi) e-mail v kombinaci s heslem a hlásí se tím i k webovým aplikacím Microsoftu. Což je něco, kde by člověk očekával unikátní, alespoň, 16 znakové, generované heslo, obsahující kombinaci velkých/malých písmen, čísel a speciálních znaků, které je uloženo v nějakém správci hesel, schované za master heslem a tudíž si ho člověk nemusí pamatovat.

Do systému by se pak člověk přihlašoval přes biometriku a pokud biometrika není, tak už zbývá jenom PIN. Ale místo čtyř čísel tam člověk může nacpat cokoliv, takže si tam může dát jednodušší heslo a pokud je to jeho opravdu osobní počítač, tak je riziko snesitelné a odpadá právě to složité opisování dlouhého hesla.

Druhá věc je, že nastavení tady toho je dost zamotané. Windows používám jednou za uherský rok, když to někomu nastavuji a pokaždé to hledám. Takže běžný domácí uživatel to dle mého prostě nemůže najít.

Nevím, jak je to dnes. Ale dřív výhoda PINu byla třeba ta, že když Windows často nešlo nastavit, aby při startu byl zapnutý NumLock (přitom v BIOSu zapnutý byl, až později v procesu bootování to Windows podělal), tak zadání PINu (aspoň v době, kdy to byly jen čísla) ignorovalo NumLock a psalo vždy čísla, prodobně jako třeba macOS.

20. 5. 2024, 15:59 editováno autorem komentáře

Aneb moc tomu nerozumím a dám to všem na odiv :)

Co se pamatuji, tak 1234 měl jako výchozí PIN i Vodafone a možná to začalo už Oskarem, na jeho SIMkartách.

Hlavně je většina těch PINů zbytečných.

Zbytečný je často i na té platební kartě, protože peněženku taky lidi nenosí přivázanou řetězem na krku.

Nevim, jak to maji lide mimo mou bublinu, ale ja nosim v penezence radove mene nez by slo vybrat z karty. Spousta lidi, u kterych mam nejakou predstavu je na tom podobne a casto jeste "hur". Dokonce mam v bubline i takove, kteri casto nemaji dostatek hotovosti ani na to, aby si zaplatitli obed v restauraci, kde neberou karty.

Jo, taky to tak mám. Občas mívám v peněžence dvě stovky a občas celé dny třeba jen stokorunu. A na účtu ke kartě mám nízké jendnotky tisíc.

Já třeba hotovost poožívám pouze v restauraci, kam chodím na oběd.

Jenže já zase raději přijdu o tisíce, než si zařizovat občanku, řidičák, karty atp.

Na tom neco je, ale osobne stale radeji prijdu o doklady, penize a karty s PINem, kde je o neco nizsi pravdepodobnost, ze je zlodej vybere, nez o doklady, penize a karty bez PINu.

Karta by měla mít nastaven denní limit podobný částce, kterou bych jinak nosil v hotovosti. Podle mého je nešťastné, že transakce do 500Kč i opakovaně lze provést bez PINu, to může být pro někoho likvidační (i když by to měla krýt banka). Někoho zase zbytečně otravuje neustálé zadávání PINu při transakcích nad 500Kč, protože menší částky běžně neplatí a jsou to pro něj drobné.

Proto není divu, že uživatelé mají PIN 1234 tam, kde jim na tom nezáleží a kde ho potřebují často zadávat.

Spousta zařízení vyžaduje nějaký PIN, a nikdo neřeší, že to zařízení je třeba uložené v trezoru, který zabezpečen lépe, než PINem. Tedy jako takový PIn zbytečný. Stejně tak je zbytečný na domácím počítači, když člověk žije sám, nebo prostě počítač sdílí, nebo ostatním věří.

Asi je nesmysl zabezpečit si PINem 1234 vchodové dveře, nebo trezor se zbraněmi, ale u platební karty s limitem 1000Kč, se kterou děti ráno chodí do pekárny pro snídani to nevidím jako problém.

Tak ale jak píšete, záleží, jaké si na kartě nastavíte limity a kolik tam máte peněz. Dneska, když Vám vnucuje k účtu zadarmo kreditku prakticky každá banka není problém si domluvit relativně nízký limit, případně nastavit i denní limity. (Plus automatické dobíjení na konci bezúročného období pro lenochy).

A pod to "když mi to do limitu nevadí tak není problém" bych se taky podepsal.

Kolik tam máte peněz ovšem u kreditky není relevantní, ten limit je úvěrový limit, do kterého můžete jet "na dluh" beztrestně (bezúročně měsíc). Při překročení mohou být sankce, ale zaplatit vám to nezabrání.
Bezpečně to může fungovat s debetní kartou k účtu, na kterém máte minimum (k běžné útratě) a podle potřeby si tam z jiného účtu přesunete potřebnou částku. Trošku otravné, ale dost bezpečné.

> Podle mého je nešťastné, že transakce do 500Kč i opakovaně lze provést bez PINu

Nějaká ochrana tam je. Mně např. přijde, že banka kontroluje, kudy chodím. A když "vybočím" a udělám tak 2 nákupy, tak to chce PIN i pro do 500 Kč.

EDIT: A obráceně, nefungoval bankomat a já nutně potřeboval peníze. Tak jsem vybral v blízkém bankomatu cizí banky a po pár dnech mi přišel na účet zpět poplatek na výběr z cizího bankomatu.

21. 5. 2024, 10:43 editováno autorem komentáře

Já vidím chybu u těch platebních karet hlavně v tom, že si člověk nemůže ten limit svobodně snížit. Já bych klidně nastavil do nuly bez PINu a zadával to pokaždé - ale banka mi to nedovolí, protože to ta karbanická společnost nechce, neboť by tak hrozilo, že si ty platby budu víc rozmýšlet a hlídat - což je ostatně účel!.
Reálně tím nic nezískají, protože já prostě nikde neplatím bezkontaktně, takže ten PIN zadat musím. A (nepovolená) úprava karty, aby bezkontaktní platby nešly, je otázkou několika desítek sekund.

Zrovna včera jsem hledal parkovací automat co funguje na karty protože jsem neměl u sebe ani tu 1kč

Tak je rozdiel stratit 10€ bankovku(y) a kartu s ktorou sa da vybrat X-krat 10€... Preto radsej ten PIN. Ja si PIN na karte vybrat nemozem, je dany bankou (kartou?) takze 1234 by bola chyba banky ;-)

Hmmm... Netuším jak je to s Vaší bankou, ale já si PIN mohu zvolit a/nebo si jej kdykoli změnit u bankomatu. Možná jiná banka?

V bankomatu by to měly umět všechny banky. U Air Banky to mám i ve webové admninistraci, kde si můžu taky měnit limity podle okamžitých potřeb.

Zkrátka je z toho vidět, že ta bezpečnostní opatření uživatele především obtěžují. Já pořád říkám: „bezpečnost je prima věc, ale dostupnost je mnohem lepší“. A je jasné, že je tohle potřeba vyvážit. A mám obavu, že se to bude jen zhoršovat ve prospěch bezpečnosti, takže ta dostupnost bude trpět. Když jsem dostal zadání dělat na nějakém projektu, kde nebylo možné používat clipboard, přičemž většinu administrátorské práce představovala práce s příkazovou řádkou, tak jsem jim řekl, ať si na tom projektu dělají sami, že jsem si nekoupil kýbl nervů ve slevě. A dělají si na tom sami.
Když brácha cholerik dostane od pojišťovny mejla se zaheslovaným dokumentem, protože přeci jsou v tom citlivé údaje, tak začne vyřvávat, že koho to jako baví a komu se tím prospěje… a do určité míry ho chápu, taky mě to přestává bavit. A jestli to takhle bude pokračovat dál, skončím nejspíš mimo IT obor, protože to bude k nesnesení. Místo toho, abychom si práci usnadňovali, protože to technika umožňuje, tak si ji budem komplikovat, protože to technika umožňuje. Na hlavu tohleto všechno, fakt. Přitom když se podívám do různých zpráv, na co jsou schopni lidi naletět, tak si říkám, že jestli ty útoky se budou zaměřovat z drtivé většiny tímhle směrem (a budou, protože to funguje a vyžaduje minimum úsilí ze strany útočníka), tak já jsem naprosto v klidu.

Jak múže vzniknout heatmapa klavesnice? A natož únik heatmapy? To jako ty automaty mají teplotní senzory?(neza­sirované iot?)a někdo ji.zbtohos sbírá data?

Mě nejvíc štve prodlużovani čislic OTP kódů. Nejhorší je raifhaislen banka (10), moneta (8), přitom jinde mají klidně i 4. Navíc proti otp není offline útok a dokonce o pár špatných zadání kodu z SMS je nutné sms si nechat novou poslat