Vlákno názorů k článku
NIST ruší některá pravidla pro hesla, která jsou kontraproduktivní od Mintaka - Tam kde jsem měl možnost o tom rozhodovat,...

Tam kde jsem měl možnost o tom rozhodovat, jsem nikdy uživatele nenutil skládat heslo z různých skupin znaků.
Pokud nebyl náznak kompromitace, tak jsem uživatele nenutil si hesla měnit.

S tím minimálně patnáctimístným heslem ovšem nesouzním.
Tak dlouhá hesla bych po uživatelích chtěl, kdyby databáze username:hash byla někde veřejně vystavená a ta služba byla natolik kritická, aby někomu stálo za to je bruteforcovat. Což už samo o sobě je nesmyslná kombinace.
A na platební kartu, případně PIN na mobilu dále stačí 4 číslice?

Ta NISTí pravidla, a zejména jejich update v roce 2017 dávají smysl.
Škoda, že mnohé instituce v ČR jsou v tomhle zaseklé někde poblíž minulého tisíciletí.

Nicméně, ani tato nová pravidla, z velké části, neodpovídají současným potřebám systémů a uživatelů.

Především jsou různé systémy, které mají pro různé uživatele různou míru důležitosti a tomu by měly odpovídat nároky na hesla.

Obecně se dá říci, že autentizace by měla být dostatečně pohodlná a neobtěžující pro uživatele a zároveň dostatečně bezpečná. K tomu, aby to tak bylo máme spoustu prostředků, které ale převážně nevyužíváme. A tím myslím na úrovni uživatelů, adminů, tvůrců systémů, dizajnérů bezpečnostních řešení, auditních organizací...

Máme systémy, které dokážou, ze stylu jízdy, rozpoznat, že s velkou pravděpodobností řídí vaše auto někdo jiný, ale o tom, že se do vašeho účtu snažil 27tisíckrát přihlásit někdo z Rumunska, se mnohdy ani nedozvíte.

PS: Jediné skutečně bezpečné heslo je takové, které vůbec neexistuje a nepotřebujete ho nikam zadávat.

Mozna je to ztraceno v prekladu, cilem jiz delsi dobu je, aby lide nepouzivali "hesla" (pokud se tedy bavime o tech, ktera si ma clovek skutecne pamatovat), ale aby pouzivali "passphrase", napriklad vetu, nebo nekolik nahodnych slov. Tam je pak ten pozadavek ciste kvuli bruteforce pokusum na heslo, ne na crackovani hashe a delsi "passphrase" dava smysl.

Není jedno optimální řešení, pro každého.

Mám cca 600 hesel do různých služeb.
Měl bych si k nim pamatovat 600 frází, ideálně unikátních?

Používám heslovníček.
Pokud nebudu potřebovat zadávat heslo jinak než přes něj, spadám pod úplně jinou kategorii doporučení.
Je mi jedno, že to bude 15 nebo 50 znaků dlouhý řetězec náhodných znaků.
Ale má to svá úskalí.

Pokud bude fungovat univerzálně rozšířená, pro mě a služby důvěryhodná autentizační autorita, pak jsme zase úplně jinde.

Myslím, že máme spoustu možností autentizace uživatele a návazných technologií k předání tohoto ověření, že by stačilo jen vybudovat funkční ekosystém kolem toho a 95% hesel nebude potřeba.

Vypada to, ze nechapes zaklady ...

Na platbu kartou staci znat jeji cislo. Nic vic. Za bezpecnost zodpovida banka. A pro banku je LEVNEJSI ti vratit penize o kterych prohlasis, ze si je neutratil, nez resit zabezpeceni.

Pokud lidem nenastavis pravidla na hesla, tak budou vsechna hesla do 5 znaku a vsechna budou obsahovat jmeno nebo prijmeni dotycneho.

Neni zadny problem ani heslo o 30+ znacich. ze si to nekdo nezapamatuje jsou jen nehorazne kecy, uz ve skolce recituji deti radove delsi texty. 99% firem umoznuje nejaky zpusob vzdaleneho prihlaseni se. Login samotny je typicky zcela verejna vec, takze jedine co deli nekoho z venku pred tim se dostat dovnitr je prave to heslo.

Zadne ruzne systemy NEEXISTUJI. Prave naopak, je snaha o to aby uzivatele pouzivali vsude jedine prihlaseni, prave proto aby nepotrebovali desitky ruznych hesel.

Stejne tak NEEXISTUJE zadny jiny univerzalne funkcni system prihlasovani, nez prave heslo.

Pro vás není. Pro odhadem 95 % lidí to problém bude a z vaší strany je to docela arogantní prohlášení. Co recitují děti ve školce je úplně jedno.

Cite:

"Za bezpecnost zodpovida banka..."
"tak budou vsechna hesla do 5 znaku"
"Neni zadny problem ani heslo o 30+ znacich"
"99% firem umoznuje nejaky zpusob vzdaleneho prihlaseni se"
"jedine co deli nekoho z venku pred tim se dostat dovnitr je prave to heslo."
"Zadne ruzne systemy NEEXISTUJI. "
"NEEXISTUJE zadny jiny univerzalne funkcni system prihlasovani, nez prave heslo."

Vyhráváte dnešní cenu za nejvíce nepravdivých tvrzení v jednom postu.
Jestli mohu poprosit, jak zněl prompt, kterým jste dokázal z LLM vytlačit takovou skvostnou haluz?

Každopádně gratuluji.

"Neni zadny problem ani heslo o 30+ znacich."
Takova pitomost. S tebou je radost diskutovat.

Ohledně délky hesla, viz ono XKCD: "correct horse battery staple" vs "Tr0ub4dour&3", https://xkcd.com/936/
Zvednout délku hesla je ten nejlepší způsob, jak snížit šanci na bruteforce uhodnutí.

Ale ideální je se na hesla vykašlat úplně a přejít na passwordless. Jen ta podpora je zatím tak napůl, pokud vůbec, a některé běžné situace nejsou podchycené. :(

Prave ze to neni napul, neni to ani na 10% a kdyz uz nejakej kram podporuje cokoli jinyho nez heslo, tak kazdej neco extra. Takze bys musel mit 150 ruznych systemu prihlasovani. Neexistuje zadnej jednotnej a vsude funkcni standard.

Ostatne vetsina kramu neumoznuje ani napojeni na ldap/kerberos/... takze co bys nechtel zejo. To sem treba nedavno chtel aby si tiskarna nacetla emaily z ldapu ... a dodavatel tiskarny (cannon) na me cumel jak tele, coze to chci za silenost.

Ok, blbě jsem se vyjádřil: podpora *tam, kde vůbec nějaká je* je tak nějak napůl.

LDAP a jiné centrální věci s tím nesouvisí, to je úplně ortogonální problém. Passkeys jsou náhrada hesla za privátní klíč, standardizovaným způsobem, a s podporou ve všech major prohlížečích i systémech. Postupně přibývá podpora od velkých služeb, a menší služby často umožňují přihlášení přes ty velké. Jen to má ještě mouchy.

Přihlášení do tiskárny je speciální případ, kde jsem překvapený, že vůbec výrobci tiskáren přidali nějakou síť a neposílá se to tam kouřovým signálem. Ale jinak by nemohli přidat draze placený cloudový inkoust, že jo. :D

Jenze ono to vsechno se vsim souvisi. Abys moh pouzivat nejakou prihlasovaci metodu, musis umet pripojitk k ni uplne vsechno. ldap/kerberos jsou priklady toho co k tomu potrebujes. Potiz je, ze ani tyhle ubernovinky co je vcera nekdo vymyslel ... drtiva vetsina veci proste neumi pouzit.

A naopak, pokud se budem bavit o verejnych sluzbach = treba obecne web, tak tam je prozmenu centralizovane prihlasovani navisost nezadane a je to bezpecnostni megapus.r. Protoze pokud nekdo treba pouziva nejaky FB ...tak https://www.novinky.cz/clanek/ekonomika-meta-dostala-v-irsku-pokutu-pres-dve-miliardy-za-spatne-zabezpecena-hesla-40490761

O tom, ze pak ten smirak ktereho k tomu pouzivas vi co kde kam jak ... ani nemluve.

Zkousels nekdy treba na webu prihlasovani klicem? Ja ano ... ono to nejak nepocita s tim, ze by ses treba chtel taky odhlasit. A takhle je to se vsim.

To je pohled člověka z virtuální firmy ...

Zajděte do firmy kde se vytváří něco hmatatelného, výrobní podnik s dodavatelským a odběratelským řetězcem, výkaznictvím do státní zprávy ... a zjistíte, že to co jste napsal tak opravdu nefunguje.

Mnoho činností vám ulehčují specializované aplikace.
Většina specializovaných aplikací nejsou webové aplikace.
Mnoho specializovaných aplikací neumí používat AD dokonce ani LDAP a není za ně náhrada.

A že by nějaká webová aplikace v dodavatelském řetězci uměla "passkey" si nechte zdát.

Pokud si myslíte, že tam kde neuspěl MS s tlačením auth*/SSO na AD tam uspěje něco co vzniklo před 2 lety a 5 let o tom nikdo neuslyší ... pak OK.

Pin na platební nebo SIM kartě je sice jen 4 čísla, ale máš jen 3 pokusy.

Na to právě poukazuji.
Za určitých podmínek to může být relativně bezpečné i s krátkým a jednoduchým heslem.