Názory k článku
Ukazatel síly hesla je špatný rádce

Složitost hesla u webové služby prakticky nehraje roli. Pokud nějaká služba nechá útočníka vyzkoušet stovky pokusů (nebo dokonce stovky pokusů za sekundu), je to chyba služby a ne uživatelů.
Největší problém je, že uživatel použije jako heslo své veřejně známé jméno psa, nebo že heslo používá na více různých místech s různou důležitostí. Což jsou přesně ty dva faktory, které v principu nelze žádným měřičem ověřovat. (pro vhodná jména psů.)

Dále bych si dovolil pronést kacířskou myšlenku: Ne každý účet je důležitý!
Osobně dost často někde použiju heslo abc123. Protože je mi prostě šumák, jestli mi ten účet někdo hackne. Protože třeba ten účet už nikdy v životě nevyužiju, nebo prostě nemám problém s tím, že by za mě někdo chtěl odevzdávat domácí úkoly.
Proč to říkám? Pokud mě někdo nesmyslně nutí na jeho bezvýznamném fóru použít silné heslo, tak zaprvé místo abc123 použiji Abcde12345, a zadruhé ho považuji za idiota. Ne každý uživatel má ale takovou drzost, a tak někdo prostě použije to jediné silné heslo, které si pamatuje - to, které používá všude. Potom to fórum někdo hackne a je oheň na střeše. :-X

Souhlas, spousta uctu je pokusnych nebo jen docasnych a uzivatelum na heslu ne sejde. Pak samozrejme statisticky je na tom serveru fura uctu s jednoduchym heslem. Tu statistiku je treba delat z aktivnich uzivatelu, kteri maji trvalejsi ucet nez tak rok a casto jej pouzivaji a pouziva ji jej ke spravnym vecem. Ne treba falesne ucty na fb proto, aby mela co nejvic kliku na fotce a vyhrala fotku. Ale jinak pres ne s nikym nepise, nedava nic sveho na zed a tak.

A proc by si mel generovat nejaky heslo? Existudou dementi ktery navic (pri zapnutem js) znemoznuji ctrl+v ... takze jedina spravna cesta je 12345 a je vymalovano. Navic si pak i pamatuje, jak se k tomu prastenymu webu prihlasit.

Ne, obecne je spatny napad vyzadovat prihlaseni.

K málo důležitým účtům (např. to odevzdávání úkolů) se klidně přihlašuju z více počítačů atp.
Takže řešit složitá hesla je prostě režie navíc. Buďto bych si musel pořád všude nosit papírek s nedůležitýma heslama, nebo bych si je musel zapamatovat. Obojí je opruz

Už za tebe někdo, kdo se ti chtěl pomstít, odevzdal úkol?

Proč bych to měl kvůli každému poprděnému fóru, které mě nutí se registrovat, abych viděl celé příspěvky, nebo kam si chodím jen zchladit žáhu, dělat a zasírat si úložiště hesel?
Tam přijde jedno ze dvou standardních hesel a stejně ho hned i uložím v prohlížeči.

Dyť ono to přece stojí peníze. Počítej se mnou:
- Disk 2TB stojí dva litry.
- Zašifrovaný URL, heslo a user name sežere řekněme 1kB
- Na disku ti zabere 0,000 000 05% kapacity
- Takže cena za uložení je 0,000 1 Kč

A to je taková pálka, že trolovi nabourá rozpočet na půl roku... :/

Třeba troluje na stračně moc serverech :-D

Amateri neumeni napsat spravne meric sily :) Ukazuje se, ze tedy ani seznam.cz
Ja zmenu hesla resim tak, ze pouzivam generator 8 znaku. Pohlidam si, heslo melo aspon 1 velke pismeno a 1 cislo a jsem schopen si ho pamatovat. (coz je vetsinou struktura jako slova, samohlasky, souhlasky). treba ted mam na jedne sluzbe heslo podobne tvaru
Eight7mz
(ve skutecnosti jsou to nahodna pismena, zadne ceske ani anglicke slovo, to jen pro priklad)

Jen jsem chtel rici s tim nahodnym generovanim, ze krome php-my-admina jsem na zadne strance nenasel nahodny generator hesla. takze musim najit na plose tu stranku s javascriptem a vygenerovat si to tam. Coz je zdrzovacka.

Ono těch lidí, kteří by si takové náhodné heslo pamatovali a nenačmárali někam na papír moc nebude. Lepší je naučit je tvořit mnohem silnější a lépe zapamatovatelná hesla, podobná díky XKCD profláklému CorrectHorseBat­teryStaple.

tak pre NBU je nubusr123 dobre heslo a pre vas zrazu nie je? :-)

Složitá hesla se zapomínají, pokud nejsou zapsána, což je opět rána bezpečnosti . Přitom jde o souběh složitosti a též identitě vzdáleného řetězce. Já si sem také nepamatuji heslo.
Pro diskuse netřeba složitých hesel, pro vsup do chráněné oblasti a při vládně nevítaném obsahu je lépe volit heslo složité. Žádnému robotiskému ukazateli síly hesla nevěřím z podstaty jeho algoritmu, věřím pouze sobě.

Pokud někdo nemá vlastní způsob jak si tvořit hesla s dávkou entropie, mnemotechniky a spec znaků, nebo nepoužívá heslového klienta, bude se vždy v heslech jenom patlat a nebo matlat. Ano, bezheslo je taky řešení, ale minimálně k tomu emailu potřeba asi bude a emailů může být taky několik . . .
A co hůř, síla hesla je v zabezpečení jenom jeden kousek z celého řetězu . . .

Až ti to heslo bude na nějakém xyz nedůležitém serveru kompromitováno, tak ho budeš měnit všude?
Pokud tě byť na jednom webu požádají o změnu, tak ho budeš měnit všude?

Protože password reuse je horší než slabé heslo