Vlákno názorů k článku
Nejoblíbenějším heslem roku 2011 je „heslo“ od mat - Tuhle statistiku beru jako střelbu do vlastních řad....

Tuhle statistiku beru jako střelbu do vlastních řad. Není vinou lidí, že je pro ně problém zapamatovat si potřebná hesla a volí proto jednoduchá. Je to problém návrhářů aplikací/služeb atd., že s touto přirozenou vlastností člověka nepočítají a tvrdošíně trvají na nevhodném způsobu autentizace.

Jak by vypadala "vhodna" autentizace?
Nejak mi tu dochazi fantazie... Krome skenovani sitnice/otisku prstu...

Například jedno centrální jméno a heslo ke všem používaným aplikacím, místo různých jmen a hesel k různým aplikacím. Chtít po uživateli aby si vymyslel a pamatoval jedno bezpečné heslo jde, ale mnoho takových hesel si většina uživatelů pamatovat odmítne.

Jenze vetsina uzivatelu uz pouziva jeden login a jedno heslo vsude. A stejne to heslo nestoji za nic...... ;-)

A muzete naznacit nejaky vhodnejsi zpusob autentizace nez jmeno a heslo?

Pokud mozno nejaky stejne jednoduchy na nauceni, nevyzadujici instalaci dalsich
podpurnych programu a pridavneho hardware - ctecky smart karet, otisku prstu, fotografie oka, nebo testu DNA? ;)

Ehm, no trochu sem se rozjel, ale posledni dobou si dost uzivam problemu s autentizaci pomoci cipove karty od I.CA. Kazdy urad (banka, pojistovna), ktery tuto autentizaci pouziva ma svoji webovou aplikaci jinak spatlanou, stahuji hromadu podivnych activeX nebo java apletu, ve firefoxu funguji naktere, jine jenom v 64-bit exploreru zatimco druhe zase jenom v 32-bit... Pritom by stacilo pouzit autentizaci klientskym certifikatem v SSL, kterou zajisi kterykoli browser.

Nemuzu si pomoct, ale svoji jednoduchosti a primocarosti je kombinace jmeno a heslo neprekonatelna. Kdyby takovy facebook pouzival autentizaci jinou, treba pres cipovou kartu, tak by nemel zadne uzivatele, protoze by se tam dokazali prihlasit jen ti, kteri o facebook nestoji. ;)

Napriklad viz. http://xkcd.com/936/ -- passphrase je daleko lepsi volba nez heslo.

My nesmíme ani naznačovat ;-)

Já jsem se novými způsoby autentizace nějak hlouběji zabýval, ale nevhodnost systému jména/hesla máte v té statistice černé na bílém. Je to sice přímočaré a jednoduché (hlavně tedy pro programátora :-)), ale ignoruje to podstatný element - člověka. A to nejen na straně uživatele, ale i implementátora. Počínaje /etc/passwd problémem a konče stále ukládáním hesel v DB web aplikací.

Ono je snadné "hodit" to na uživatele, ale IT má pomáhat, ne házet klacky pod nohy. A i když jde obvykle bezpečnost proti uživatelské ergonomii, tak by IT nemělo zatvrdnout u desítek let starého principu bez schopnosti inovovat (s kvalitativním růstem pochopitelně).

Nemám ambice, že to tady vyřešíme. Jen chci demonstrovat, že IT resp. jeho návrháři, programátoři, zkrátka technici velmi často ignorují uživatele (ulehčují si práci) a pak v něm mylně hledají vyníka.

BTW takové zálohování je další podobnou oblastí, kde se odpovědnost háže na hrb uživatele. A pak to vypadá tak, že přes 90% lidí svá data nezálohuje.

Nemusíte se mnou souhlasit, ale tak to vidím já.

Vždy když čtu řeči o tom, jak má IT hlavně "pomáhat", rozsvítí se mně v hlavě červená ledka a říkám si: "Ha, další z dlouhé řady spasitelů, kteří uživatelům jenom škodí..." Ono to tak opravdu je. Škody, které denně páchá takový typický "pomáhající" software jsou obrovské a všichni už si na to tak nějak zvykli....a výborně se na tom vydělává.

Takže doporučujete navrhovat a dělat software tak, aby uživatelům nepomáhal? Nebo jak to mám chápat?

Zajímavé - přesně na tomhle si Apple založil business - počítač má lidem pomáhat a být nástroj, ne naopak. A podle všeho jim to velmi dobře funguje!

Ano, soucasny stav neni idealni, ale lepsi reseni tu proste nejsou.
Az nejaky najdes, muzem se o tom bavit.

====
Zalohovani:
Chces, aby program sam nakopiroval zalohu na stejnou partition stejneho disku na kterem je original? Heh... Tim tomu pomuzes....
Zalohy na server autora programu? Bacha, at te nesezerou za ziva az se na to prijde...

Pokud IT říká, že lepší řešení není, tak

a) je to příliš jednoduché tvrzení (=nepůsobí důvěryhodně) a
b) nemá to být důvod nehledat lepší řešení
c) svalovat vinu na uživatele tím, že "uživatelé jsou nepoučitelní" atd. což se vždy děje

ad zálohování: kritizuji GUI a pracovní proces zálohování a obnovy dat. Proč by se měl uživatel vůbec zabývat zálohováním? To by mělo být transparentní.

Rikas ze: IT má pomáhat, ne házet klacky pod nohy.

Bohuzel z pohledu BFU je jakakoli autentizace hazenim klacku pod nohy. Heslo zvoli jednoduche nebo ho napisou na papirek, ale jak se do hry dostanou slozitejsi metody tak jsou v koncich.

A ja bych opravdu nejake naznaceni rad slysel...

Souhlasím. Ostatně jsem argumentoval stejně (http://bit.ly/rTwX6Q).

Ale to na podstatě problému nic nemění. V postatě mi to přijde stejné, jako kdyby ITci kritizovali fyzikalní zákony.

Jak jsem řekl. Já nemám v rukávu nějakou zázračnou technologii. A bohužel dost pochybuji, že díky zdejší struktuře auditoria by se ten problém vyřešil tady. Mohu jen říct, že za posledních 12 měsíců jsem se zaregistroval do víc než 60 web aplikací (vyčteno z DB) a ani v jednom případě jsem nepotřeboval vymýšlet nové nebo použít stávající heslo.

S těmi argumenty souhlasím. Jenže bohužel zatím nemáme lepší řešení autentizace. Hesla nevyžadují speciální HW ani SW, a uživatel je velmi snadno pochopí. Ve firmách se časem dospělo k single sign-on, takže uživateli stačí mít jediné heslo pro desktop, poštu, sdílení souborů a tiskáren, intranetové aplikace atd. Jenže pro domácí uživatele není možné ani to, protože mají služby nasbírané od různých providerů.

kdyz se mi obevi okno s napisem "enter password", udelm to co po mne chteji

Opravdu? No tak to je třeba dát pozor, aby se Vám neotevřelo okno: "Jump out of the window, now!"