Vlákno názorů k článku
NIST ruší některá pravidla pro hesla, která jsou kontraproduktivní od rpajik - Ještě aby si to přečetli pánové z NÚKIBu...

Ještě aby si to přečetli pánové z NÚKIBu a implementovali do NIS2, kde přesně nesmysly typu pravidelné změny hesel jsou a pokus o odstranění byl zamítnut. Tak třeba to teď klapne.

Pánové z NÚKIBU se vyjadřovali ve smyslu - "při kompromitaci naopak je povinnost heslo změnit..." Jak **** poznám, že bylo heslo kompromitováno? Ne vždy to poznám včas a někdy to nepoznám vůbec..! Z toho důvodu jej budu periodicky měnit.

Pro uživatele je perioda změny hesla jednou ročně akceptovatelná (pokud se jedná o jedno heslo, pain narůzstá s počtem hesel, která musím takto měnit..). Dali do návrhu 18 měsíců...

Nehodlám soudit, zda je to dobré nebo špatné rozhodnutí. Pokud nepoužívám hesla a budu passwordless nemusím se tímto trápit.

Ale nějak borci nerozlišují uživatelská hesla a hesla technických účtů, což je asi největší pain současného návrhu vyhlášky. Pro technické účty to stojí hrozné peníze (menit periodicky heslo) a mělo by být velmi málo pravděpodobné, že vůbec k úniku takových hesel dojde! Tady doufejme, že změnu tohoto detailu někdo ještě prosadí.

Pánové z NÚKIBU se vyjadřovali ve smyslu - "při kompromitaci naopak je povinnost heslo změnit..." Jak **** poznám, že bylo heslo kompromitováno? Ne vždy to poznám včas a někdy to nepoznám vůbec..! Z toho důvodu jej budu periodicky měnit.
Pokud kompromitaci nepoznáte, změníte heslo, a tím samým způsobem, jakým došlo ke kompromitaci poprvé, dojde ke kompromitaci znovu. Takže periodická změna hesel je nesmysl. A energii byste místo blbostem jako periodická změna hesel měl věnovat spíš tomu, abyste tu kompromitaci odhalil. To bezpečnosti doopravdy pomůže.

Pro uživatele je perioda změny hesla jednou ročně akceptovatelná
Není. Navíc pokud to děláte kvůli kompromitovaným heslům, znamená to, že budete mít až rok kompromitované heslo – i kdyby to byl úplnou náhodou nějaký jednorázový útok, který útočník nedokáže zopakovat.

Pokud kompromitaci nepoznáte, změníte heslo, a tím samým způsobem, jakým došlo ke kompromitaci poprvé, dojde ke kompromitaci znovu.
Především: že došlo ke kompromitaci zjistíte buď ve chvíli, kdy dojde ke zneužití, nebo spíše náhodou; ale nikdy nemáte jistotu, že ke kompromitaci nedošlo.

Jedina jistota je smrt. Ale nic to nemeni na faktu, ze periodicky vynucovane zmeny hesel bezpecnost nikterak nezvysi. Ba prave efektem byva jev spise opacny.

Ti takzvani "bezpecaci", co v praxi nezvladnou resit priciny, ale vymysli jen hypoteticke a nic neresici pseudo-zaplaty na problem by si fakt meli najit jinou praci.

Problem te vyhlasky je ale i to, ze nestanovi dolni mez. Takze kdyz nejaky chytrolin dojde k tomu, ze menit to dvakrat do mesice bezpecnost prece zvysuje jeste vic, tak to proste udela. NUKIB rikal, ze periodicky menit hesla bezpecnost zvysuje, tak je to prece pravda.

Ma to hacek. NUKIB je asi jeden z poslednich, kteri tenhle blabol o vetsi bezpecnosti periodicky menenych hesel kolem sebe siri.