Názory k článku
Nejpoužívanějším heslem roku je stále 123456
-
X125 (neregistrovaný)
Jde ale o to, na jak kritické službě taková hesla jsou. Klidně použiji 123456 u bezvýznamného eshopu, kde nakoupím jen jednou, ale přesto nesmyslně požaduje registraci (navíc eshopům stejně nevěřím, že hesla alespoň primitivně hashují). Samozřejmě u internetbankingu jsou taková hesla nepřípustná, ale pochybuji, že banky takové informace vypustí do nějakých výzkumů.
Druhý věc je reprezentativní vzorek. Dali dohromady 5 milionů uniklých hesel - OK, ale co to bylo za služby? Kritické, nebo bezvýznamné, kde nemá ani cenu se snažit o kvalitní heslo a 123456 zcela dostačuje? -
To není příliš prozíravé. Většinou udílíte různé typy souhlasů a přes jméno a heslo pak uzavíráte právní vztahy. Někdo pak na Vás něco objedná a způsobí nějakou škodu. V první řadě se pak poškozený obrátí na Vás. Vy to sice s největší pravděpodobností ustojíte. Ale máte čas a zájem takové věci řešit? Mě by obtěžovalo byť i jen zajít vypovídat na Policii.
-
X125 (neregistrovaný)
"Někdo pak na Vás něco objedná a způsobí nějakou škodu."
Dnes může KDOKOLI na KOHOKOLI COKOLI objednat. Pokud to nezaplatí předem (to asi těžko), pak odmítneš dobírku převzít a balík se vrátí odesílateli. Ten NEMÁ šanci ti dokázat, žes to objednal ty a způsobils mu škodu (byť jen zmařené balné a poštovné). Jestli nevěříš, zeptej se na reálnou praxi kteréhokoli eshopu.
Můj příspěvek měl ale ZCELA jinou pointu - reprezentativnost získaných hesel. Nevěřím, že jsou tam hesla z kritických služeb. -
Ten NEMÁ šanci ti dokázat, žes to objednal ty a způsobils mu škodu (byť jen zmařené balné a poštovné). Jestli nevěříš, zeptej se na reálnou praxi kteréhokoli eshopu.
To já vím, že nemá šanci nic dokázat. Ale chcete byť i jen s řešením takové lapálie ztrácet čas, když tomu můžete aspoň trochu předejít?
-
Jediná "lapálie" spočívá ve vyhození papírku "Oznámení o nedoručení zásilky s dobírkou" do koše.
Podat svědectví je občanská povinnost. Když se jí budete vyhýbat, dostanete pořádkovou pokutu.
Ke svědectví máte povinnost se dostavit i v případě, že na konkrétní dotazy nebudete chtít odpovídat s odkazem na ústavní právo nevypovídat proti sobě či rodině.Takže ta lapálie není o zahození papírku.
-
Dej mi nějaký příklad, kdy policie nekoho urgovala o podání vysvětlení proto, že odmítl převzít dobírku, kterou si neobjednal (a dobírka byla následně vrácena odesílateli)
Znám dva případy, kdy šli vypovídat. Nebyli v podezření z podvodu, ale naopak byli vypovídat v případech, kdy byly podvedeny desítky dalších lidí - jako svědci. A chodit na policii sepisovat protokol je prostě pakárna.
-
Vzhledem k tomu, že zákazník má stejně zboží (není-li to zakázková výroba) právo do čtrnácti dnů bez udání důvodů vrátit, pro e-shop je zcela nesmyslné aby to vůbec řešil protože to, že nepřevezmete dobírku je v podstatě vrácení bez udání důvodu (resp. odstoupení od kupní smolouvy abychom byli korektní) i když ano, samozřejmě, že bych se tak mohl snažit e-shop poškodit, ale nedává to smysl.
-
LDASCZ (neregistrovaný)
Co si budem říkat, jsou eshopy kde jsou prostě dejme tomu věci kde jinde nejsou, ale chtěj registraci, aby ti na email mohli posílat nabídky. Sice je nikdy nevyužiješ, ale to je jedno. Pokud tam budeš dávat kreditní kartu a bude to jednorázově bez zapamatování tak ti to může být také buřt. A když tam dáš uložit kreditku tak rozhodně počítáš s tím, že budeš nakupovat dál, takže lepší heslo. Nebo to uděláš na dobírku a to ti může objednat kdokoliv a cokoliv. Takhle jsem jednou objednal kámošovi robertka domů, jeho mamka když byla doma tak to zaplatila a otevřela... :D
CELKOVÝ NÁZOR: ty účty na eshopech jsou jen kvůli nabídkám do emailu, jiný význam to nemá (krom nějakých bonusů, což je také reklama).
-
CELKOVÝ NÁZOR: ty účty na eshopech jsou jen kvůli nabídkám do emailu, jiný význam to nemá (krom nějakých bonusů, což je také reklama).
Souhlasím. Já jsem dokonce zastáncem toho, aby ani na dokladech nebylo vyplněné jméno, není to k ničemu potřeba a e-shop pak uchovává moje údaje podle zákona o účetnictví až 17 let. To se mi nelíbí. Jedinou výjimkou jsou doklady nad 10 000 Kč, kde _zároveň_ zákazník požádá o vyplnění údajů (to je nutné, pokud si chce uplatnit DPH na vstupu). V ostatních případech e-shop nepotřebuje zpětně vědět, komu dodával.
Co se týče doručení, tak tam e-shop musí mít dodací adresu do momentu, než je zboží doručeno + lhůty zákonných fikcí. Jakmile ty uplynou, měl by e-shop zahodit i informace o adresách zásilek.
-
LDASCZ (neregistrovaný)
Účetnictví běžně v eshopu a velkých firmách se běžně po 5 letech zahazuje.
"Jakmile ty uplynou, měl by e-shop zahodit i informace o adresách zásilek."
-tkaové firmy dávají do podmínek, že mohou uchovávat jak dlouho chtějí, souhlasil si s tím není co řešit. Pak je další varianta, že uchovají bez tvého vědomí, protože to nikdo nekontroluje a ani nebude. Takže je to jen řečnictví v praxi ve Francii, řekne se ale neudělá. -
Účetnictví běžně v eshopu a velkých firmách se běžně po 5 letech zahazuje.
Doklady musíte uchovávat až do období, ze kterého uplatňujete ztrátu. 5 let je prekluze + 1 rok aktuální období + 7 let na uplatnění ztráty. To je minimální doba, se kterou musíte počítat.
firmy dávají do podmínek, že mohou uchovávat jak dlouho chtějí, souhlasil si s tím není co řešit. Pak je další varianta, že uchovají bez tvého vědomí, protože to nikdo nekontroluje a ani nebude
Není nelegální uchovávat informace, Ale pro e-shop je to zbytečná administrativní zátěž. Ty informace k ničemu nepotřebuje a e-shop si tím komplikuje vlastní život. Musí hlídat, že data neuniknou.
Jediná data, která nemohou uniknout jsou ta, která nemáte.
-
anonym (neregistrovaný)
To není dobrý nápad, někdo může jednoduše pomocí Vašich údajů objednávat, a to je jen začátek. Některé eshopy si "tiše" zachovaly číslo kreditky ve jménu "pohodlného příštího nákupu" a na velký problém je zaděláno. A pokud pro tyhle účely recyklujete uživatelské jméno a heslo, pak tyto rizika jen zvyšujete, jednou odhalené přihlašovací údaje ohrozí všechny ostatní, jste si opravdu jistý, že žádný z nich nemá uložené číslo kreditky? Osobně jsem přešel na password manager, ten si silně chráním a pro eshopy používám individuální náhodně generované hesla. Případný únik z jednoho neohrozí ty další. Takto používám generována hesla i pro další "blbosti".
-
X125 (neregistrovaný)
Nejsem blázen, abych si nechával zapamatovat platební karty v nejakém (děravém) systému eshopu! Když už platím kartou, tak jedině jednorázově přes jakž-takž důvěryhodný server třetí strany a na kartě mám běžně nulový limit pro platby na internetu, který navýším jen pro konkrétní platbu a pak zase vynuluji. NIKDY neposkytuji údaje z platební karty přímo obchodníkovi!
-
Yokotashi (neregistrovaný)
Kdyz me nekdo, kdo neni banka, nebo zamestnavatel, nuti, abych si u nej udelal ucet, tak jsou v zasade 2 moznosti: heslo typu 123456, ktere si nekam napisu, nebo heslo, ktere s naprostou jistotou zapomenu a pokud tam budu priste neco chtit, tak si tam udelam dalsi ucet.
Platby kartou nejsou vubec nijak zabezpecene. Kdo zna cislo, muze ukrast co uzna za vhodne a kdy uzna za vhodne. Takze nejsem blazen abych vlastnil kartu s povolenymi platbami na internetu napsanou na svoje jmeno, natozpak, abych ji nekam zadal nekomu jinemu, nez je banka, nebo duveryhodna sluzba typu PayPal. Pokud bych nakupoval v eshopu, kde se da platit pouze kartou, tak by doslo k nasledujim krokum:
1. nemaji to zbozi jinde?
2. nedokazu to zbozi vyrobit z neceho, co maji jinde?
3. znam nekoho, kdo to riskne se svou kartou, kdyz mu dam cash?
4. nevezmou platbu predem prevodem, kdyz jim napisu, nebo zavolam?
5. jsem si opravu jist, ze to zbozi potrebuju?
6. sehnani karty, na ktere neni moje jmeno.Nicmene za bod 5 jsem se zatim nikdy nedostal, takze zkusenosti s bodem sest poskytnout nemohu. Cetl jsem, ze existuji anonymni predplacene karty a ze bezdomovci si na sebe za vinny strik nechaji prepsat krachujici firmu, takze by teoreticky mela existovat alespon dve reseni problemu dostupna pro jednotlivce. Protoze systemove reseni - donutit banky, aby si vytahly hlavu z arschlochu a nabidly platebni metodu, ktera je zabezpecena - je zjevne sci-fi. Stacila by karta, kterou se neda platit offline a ktera umoznuje platbu jenom s chipem - coz je v zasade totez, co uz davno ibsahuji vsechny SIM karty a karty do telefonnich automatu.
-
Adam KaliszStříbrný podporovatelPromiňte, ale opravdu by Vám upadly ruce, kdybyste napsal:
'pass generate -n Shopping/NějakýObchod/Můjlogin 30' [0], [1] nebo dvě, tři kliknutí v KeePassu nebo jiném GUI password manageru? [2]
To je jako kdybyste šel k zubaři a řekl, že si čistíte zuby jen po šestky, protože zuby moudrosti nemáte a 7 Vám taky budou někdy vrtat, že to je ztráta času nebo že ruce si nemyjete, protože tak si posilujete imunitní systém...
Jde o to, že se jedná o takový základ digitální hygieny a ta se stejně jako ve fyzickém světě netýká jenom Vás.To, že by eshop nikdy neměl umožnit použít jedno z nejčastěji používaných hesel je věc druhá a je to srovnatelné s nemytými veřejnými záchodky nebo neuklízeným parkem.
Primární problém ale, s dovolením, je v tomto případě Vaše chování i když jinak třeba můžete být velmi čistomilná, inteligentní a zásadová osobnost.[0] https://www.passwordstore.org/
[1] https://medium.com/@chasinglogic/the-definitive-guide-to-password-store-c337a8f023a1
[2] https://keepass.info/ -
kjskd (neregistrovaný)
Taky si myslim, ze tyhle vyzkumy jsou naprosto nic nerikajici. Je sice moc hezky, ze tahle hesla unikla v roce 2018, ale uz se nikde nedozvime, kdy byla tahle konkretni hesla uvedena v provoz. Pred 20 lety nekdo pouzit 123456, za 20 let je dany nepouzivany e-shop hacknut a najednou ztoho je "v roce 2018 se pouziva heslo 123456".
-
J ouda (neregistrovaný)
Plný souhlas.
Přístupy mám rozdělené na několik kategorií. To nejdůležitější přes dvoufaktorovku (SecurID do práce, SMS autorizace na hloupej telefon do banky), pak weby kde bych nerad přišel o účet - tam obvykle 32znakové random heslo a keepass, což dá kolem 192bitů.
A pak jsou trash weby, tu kvůli stažení něčeho co je stejně free, tam kvůli pěti minutám hraní hloupé webové klikačky, "povinnej" play store pro Android, a tam nevidím jediný důvod, proč nepoužít 123456 nebo něco podobného spolu s jednorázovým mailboxem (když to vyžaduje mail). -
nejakaprezdivka (neregistrovaný)
Bohuzel, posledni dobou se rozsiruji mista, ktera pozaduji v heslech podivne veci. Zacalo to pismeny. Pak jim zacalo zalezet na tom, zda jsou pismena velka nebo mala. Nekde po vas dokonce chteji jakesi paznaky nebo nepochopitelne pozaduji aby heslo bylo delsi nez 4 znaky.
Naštěstí Password-123 je zatím na většině míst stále použitelné.
-
Vim ze je to trochu odbocka, ale pripomina mi to jednu vec z vlastni praxe:
Delal jsem ve firme, kde to tak prehaneli, ze lidem uz dochazela trpelivost. Na kazdou cipovinu bylo zvlast prihlaseni. Zvlast k logistickemu system (pouzivaly se dva - do kazdeho bylo prihlaseni zvlast), nekolik udelatek v JavaScriptu - do nich taky, atd.... Jenze a) pro kazde takove prihlaseni byl sampostatny uzivatel, b) jina pravidla pro zadani hesel c) registrace noveho hesla trvala a trvala a trvala d) jeden pracovnik potreboval klidne i 3 hesla, d) Nektera zarizeni neumela ani zamceni ci automaticke odhlaseni, jine systemy se zas automaticky odhlasily po 5 - 10 min bez ohledu na uzivatele. Jestli to slo zmenit tak nikdo nevedel jak, protoze to tem lidem nikdo nevysvetlitl. Takze to nakonec lidi zacali resit tak ze si udeli stupidni prihlasovaci jmeno a heslo a pouzivalo se vsude. Kdo nemel sve vlasni, tomu kolegove pujcili to sve (nebo alespon prihlasene zarizeni), aby mohl pracovat, nez panstvo pohne prdelkama a zaridi jim jejich vlastni hesla. Nebo si taky nasli zarizeni, ze ktereho se nekdo zapomel odhlasit a resilo se to v nem. Takze to trosku (hodne) ztracelo smysl, ale hlavne ze bezpecnost. Proste kocourkov ala korporat....
Nez jsem odesel tak se zmenilo aspon to, ze se hesla zacali vyrizovat rychleji (neni to moje zasluha). Ale Boze, trvalo to - kdyby nekdo chtel uz byly 100x kracknuti (a kdo vi jestli ne). Od te doby vim, ze nejvetsim nepritelem bezpecnosti je nadutost a zkostnatelost :(
-
Adam KaliszStříbrný podporovatel
Znám případy, kdy v poměrně normálním software funguje Single Sign-On jen v Internet Exploreru. Netuším, jak to technicky řeší, ale asi to je tak špatné, že nemá cenu se tím zabývat. Ten intra-web taky nemá (ani self-signed) HTTPS, takže asi tak. Jsou tam předpisy, které by měly být rozhodně autoritativního charakteru.
Uživatelé pro určitou funkci (sdílený login, např. v produkci u nějakého stroje nebo na něco do skriptu) případně s nějakým heslem, které je veřejným tajemstvím v okruhu několika pracovníků je taky běžná praxe.Ono i klíče jsou v podstatě číselné kódy o 6-7 místech ve většině běžných případů:
https://www.youtube.com/watch?v=AayXf5aRFTI
