Vlákno názorů k článku
Světový den hesel připomíná, jak důležité je správně pracovat s hesly
od x125 - 191 hesel? To je šílené. Já se považuji...
-
191 hesel? To je šílené. Já se považuji za magora, kterému nedělá problém registrovat se kamkoliv + k tomu mám hromadu účelových mailů, ale i tak mám v osobním správci hesel méně, než je tento průměr. A nedostanu se na něj ani se započítáním hesel z pracovního...
6. 5. 2021, 09:51 editováno autorem komentáře
-
Ondra Satai NekolaZlatý podporovatelA v tom spravci mas vsechno?
(Ja jich mam 700+, ale neco z toho budou duplicity typu www.foo.com a m.foo.com a nebo jmeno@prijmeni.cz na foo.com i prezdivka na foo.com. A je to historie, co se tahne nejakych 20 let zpet).
-
panikaStříbrný podporovatelv bitwardenu mam 745
nejsou to samozejme jenom verejny webovy sluzby ale i webrozhrani vsemoznejch zarizeni na sititakze je otazka ne jakej jsi magor ale jak velkou sit spravujes :)
-
v pracovnícg jich mám dohromady asi 8000, v osobním skoro 1000, řada služeb je i mých, jsou tam i různé routery, servery a jiné zařízení. Málokdy to ale promazávám, vesměs jen přidává. Drtivá většina jsou generované, minimum zadávané ručně.
Už se těším na dobu, až hesla zmizí úplně, za mě by to měla být technikálie na pozadí, něco jako access a refresh tokeny u oauth2. Nechci, abych si musel pro každou službu vymýšlet heslo podle jejich pravidel s neomezenou platností, spravovat ho, posílat ho pořád dokola po síti a bát se, že někde unikne.
Heslo je něco, co by mělo zaniknout. Dnes vůbec nevím, jak radit lidem v okolí jak spravovat hesla. Jsou rodiny, kde sdílejí telefony, notebooky, zároveň každý má svoje služby. Kličenky na to nejsou připravené, OS také ne, ti lidé s tím chtějí mít co nejméně práce a zároveň chtějí mít soukromý (ano, jde to proti sobě, ale je to logické, že chci použitelné věci).
Líbilo by se mi, kdyby každý mohl mít svůj osobní HW token (klidně by to dnes mohl být i mobilní telefon), tam sdílená i vlastní hesla, ten přiložil k počítači/telefonu a fungovalo by mu tam jeho přihlašování. Jsem v IT a ani já si tohle neumím správně nastavit pro všechny služby.
-
Peter FodrekZlatý podporovatel
stačil by jeden kľuč a v
.ssh/authorized_keys
alebo
pcscd, pričom elektronickým občianskym z EÚ sa ide prihlásiť aj do MS Windows
-
hloupost... Doufám, že hesla nikdy nezmizí. Ve finále je stejně vše zneužitelné a je jedno jestli to je jestli jde o nějaký správce hesel, HW klíčenku či biometrické ověření.
No vidíte, rozděluji hesla a účty na dvě skupiny:
1) důležité (banka, datovka atd.),
2) v podstatě spamad 1) pokud jde mám zapnutou 2FA, unikátní heslo na službu (takže tak do 20ti),
ad 2) jedno stejné heslo na vše, v drtivé většině jsem heslo neměnil několik let. -
ty Vaše hrozby jsou je slušně nafouklá bublina. Existuje plno služeb, ke mám docela jednoduché heslo a možná i více jak 10 let. Měnit hesla po 3 měsících je nesmysl.
Zneužít i ukrást lze vše. A jestli že jsou lidé, co jsou schopni se dostat i do FBI, tak nějaké heslo nepomůže. Ani jeho "rádoby" složitost či více stupňová autorizace.
-
Ondra Satai NekolaZlatý podporovatel
Kdo tu mluvil o "Měnit hesla po 3 měsících je nesmysl."
Ne, nesmysl je model sveta, jak si ho predstavujes.
-
Pletete dohromady dvě věci. Dobrá práce s hesly chrání uživatele, nemá vliv na zabezpečení služby. Pokud je služba děravá, nemůže s tím uživatel samozřejmě nic dělat.
Může ale udělat mnohé proti kompromitaci svého účtu třeba kvůli úniku hesla. Právě tím, že bude mít heslo unikátní a složité a nasadí 2FA. O tom je tahle zprávička a dnešní den hesel.
Neřeší tu náchylnost služby na SQL injection. To je jiná disciplína, která nezajímá běžného uživatele
-
Adam KaliszStříbrný podporovatelSpíš teda na SQL injection nemá moc vliv, pokud to zrovna není Michal Špaček :-)
-
zmizení hesel jsem myslel nadneseně, při používání správcu hesel vlastně samotná hesla už moc neřeším. Výpočetní výkon se zvyšuje, stejně tak schopnost hesla lámat, prodlužovat hesla a přidávat znaky není řešení, už teď mám systémy, kde je minimum 12 znaků.
Systém, který popisuješ je velice zranitelný a nejspíš už můžeš být obětí útoků a tvoje přihlašovací údaje mohou někde putovat. O tom, že je někdo zneužívá nemusíš ani vědět, útočníci vyčkávají a až najednou se to stane.
Argument, že je vše zneužitelné nemůžeš používat ad absurdum. Obecně se bráním proti reálným hrozbám a únik hesel od služeb, které používám je na denním pořádku a dávat jim heslo, které používám jinde je obrovsky rizikové. Napadání HW klíčenek a správců hesel zatím takové riziko dnes nepředstavuje, možná se to změní, tak se změní i přístup k tomu.
