Názory k článku Hesla neopakujte, neměňte si je a hlavně si je nepamatujte

Toto je dobrý článek!

Taky ho psali profesionálové na slovo vzatí!

Hesla neměním a u e-mailu už mi psali, že si mám změnit heslo, protože někdo používá můj e-mail k rozesílání spamu. U bankovních účtů se po zavedení přihlašování přes kód zaslaný smskou nebojím mít hesla napsaná tučným písmem na A4, když je přihlášení pojištěno přes mobil.
Opatrnější jsem při platbě kartou Equa bank, kterážto nezavedla zatím ani zasílání kódu smskou, či jakési neznámé e-pin? Limit mám běžně nastavený na 0 Kč, a až když bych kartou on-line chtěl platit, tak jej zvýším.
Fio banka po potvrzení, že počítač, je bezpečný, již napříště nevyžaduje mobilní signál pro zasílání kódu kvůli přihlášení na účet.

Někdo byl na linuxDays ...

Autor tam spíše zvykne přednášet :-)

... a organizovat ho. Je to zakladatel LinuxDays!

Opravdu si nemyslím, že vnucování speciálních znaků je vhodné. Složitost prolomení hesla hrubou silou se speciálními znaky se při stejné délce hesla projeví jen mocninou. Délka hesla (za předpokladu absence kolizí v hešovací funkci) se ale promítá exponenciálně.

Nxpdpo157DDDt­NaprdHeslo5934I­Iiiqmypzz4IY!tdh0
A teď už to jen správně opsat z "papírku na hesla"
pokud bylo na tom papírku napsáno správně a alespoň trochu čitelně
nemít zbytečné prachy na účtu a kašlat na to, kdo si čte moji poštu, má svoje kouzlo

V poslední době se vyhýbám všemu co je zaheslováno, jednak nejsem schopen si tolik hesel zapamatovat a pokud si je někde zapíši, musím na každý příspěvek hledat jaké heslo jsem použil. Nejvíce mne rozčílila tvorba hesla následujícím způsobem: Zadejte jméno,E-mail,heslo -zadám..Nelze, heslo musí mít nejméně 8 znaků.Zadávám heslo s 8 znaky... Nelze, heslo musí obsahovat alespoň jedno velké písmeno. Zadávám heslo s velkým písmenem... Nelze Heslo musí obsahovat alespoň jednu číslici. Zadávám heslo s 8 znaky,jedním velkým a jednou číslicí....Nelze, uvedené jméno a E-mail je již evidován. Takže kašlu na všechny heslované stránky.

Přesně a pak se ještě objeví hláška, že velké písmeno nesmí být na začátku.

Složitost hesla taky dramaticky navyšuje použití heslové fráze např o třech nebo dokonce čtyřech slovech.

Clanek je dobry, ale zrovna spravce hesel bych moc nepropagoval. Ten je totiz idealni cil pro vsechny utocniky, protoze v nem jsou hesla hezky koncentrovana.
Stejne tak s pouzivanim otisku prstu bych byl opatrny, pomalu se to zacina pouzivat na kdejake pochybne veci a za chvili bude mit databazi otisku prstu lidi kdekdo. A narozdil od hesla otisk nezmenite.

Pokud si správce hesel nenapíšete sám přímo ve strojovém kódu a nepouštíte ho na vlastnoručně vyrobeném čipu pod vámi napsaným OS, tak ho prostě ve své moci nemáte.
Jak se stalo už s nejednou původně bezpečnou aplikací, stačí když správce hesel někdo koupí, udělá update který všechna hesla vyblije někam do cloudu a má na jedné hromádce hesla všech uživatelů internetu.
Podobně i když si správce hesel napíšete sám, může mít kompilátor "cinknuté" knihovny (to už se také stalo, pokud vím) a nevíte, co se s vašimi hesly děje.
Dohady ohledně toho, co všechno Win10 posílají do Microsoftu trvají stále, takže ani žádná aplikace puštěná pod OS, který si sám nenapíšete není bezpečná.
A nakonec nikdo neví, pokud vím, co všechno dělá třeba Intel ME, jen se ví, že může libovolná data z počítače posílat kamkoliv. Takže ani vlastní OS vám nezaručí bezpečnost, pokud nemáte i vlastní čipy,

Pak je tady taky možnost si hesla nepamatovat a ani je nemít v nějakém správci. Naprostá většina služeb, kde se přihlašuju e-mailem, poskytuje službu pro zapomenuté heslo, která pošle dočasné heslo na e-mail. Toto používám tam, kde se nepotřebuju přihlašovat několikrát denně a žádné heslo si pamatovat nemusím (kromě toho k e-mailovému účtu, a toto jedno už může být silné).

:-)
Ty jsi fakt paranoik ... souhlasím s tebou, ale taková je doba. Pokud bys chtěl fakt něco bezpečného, pak nejlepší je vše vypnout a odstěhovat se na pustý ostrov. Pokud možno bez mobilního signálu.

Ne, fakt je, že dnes nevíš co kam je posláno uloženo, odesláno a hlavně čím. Jestli aplikací, nebo samotným OS.
Ale to už je úděl naší doby, dopustili jsme to a teď už to těžko vrátíme.

BTW: Cloudy: kolik lidí ukládá svoje data bezmyšlenkovitě na různá veřejná úložiště? Nebo do Cloudu, který pak zpřístupní skoro všem? Typicky uloz.to - kolik tam se najde zajímavých privátních věcí bez jakékoliv ochrany (byť třeba jen blbý ZIP s heslem-sice nic moc, ale většinu to odradí).
A tady je jádro pudlla, lidi jsou pohodlní a tak sleví i z bezpečnosti.

Zrovna včera jsem řešil pro jednoho důchodce háknutý email - ovládat to neumí, jen omezeně, spustí seznam.cz a umí se přihlásit do emailu seznamu (přes hlavní stránku, samozřejmě). Heslo bylo jeho příjmení ... tak jsme ho spolu změnili na složitější a snad to nějakou dobu vydrží ... a to je taky jeden aspekt. Počítače používají lidi jako spotřební věc (televizi, pračku) a neumí to ovládat. Jen jako u tý pračky, znají 2 z 10 programů a ty používají. Ostatní nejsou potřeba.

Takže, až odroste tato skupina velice zranitelných uživatelů, nastoupí dnešní mladí a ti jsou zase moc pohodlní ... a řetězec půjde dál....

Se zacatkem bych souhlasil, s tim, ze spravce hesel mam ve sve moci, uz ne. Jedine, pokud bych ho provozoval na zarizeni, ktere nema pristup k Internetu (a musel opisovat hesla), jinak muze tento program odeslat kompletne vsechna hesla a uzivatel nic nepozna, dokud nedojde ke zneuziti. Z tohoto duvodu mi prijde silene mit vsechna hesla na jednom vetsinou velmi zranitelnem miste mimo moji kontrolu.

Havárie zařízení = všechna (nezapamatovaná a nezapamatovatelná) hesla v tahu.
Když havaruje lidská paměť, no ... tak s alzheimerem si už beztak moc srandy neužijete ... :D

Aha, oba myslime neco trochu jineho. Moje predstava byl spravce hesel na nekolika zarizenich, ktera si to predavaji pres Internet (= koluji buchvikde). Pokud ma clovek 1 pocitac, tak uz je skutecne jedno, zda tam ma spravce hesel nebo pise hesla rucne. Jinak dekuji za odpovedi, nestava se casto, aby se nekdo takto venoval diskuzi k clanku i po nekolika dnech.

K prispevku nize - jako cokoliv jineho i databazi hesel je treba zalohovat, zalohovat, zalohovat. Asi pulka lidi se pouci po prvni velke trate dat, druha pulka jsou ztracene pripady, u kterych je pristup k technice nebezpecny.

A už vůbec se s nima nepřihlašujte!

(Poznámka: Celý příspěvek je myšlen ironicky)

Jak jako hesla neměňte? Vždyť i v datové schránce vědí, že pokud si jednou za 90 dní heslo nezměním, tak mi nemohou garantovat bezpečnost. Na Novinkách jsem také nedávno četl, že pravidelná změna hesla, tedy nejméně 1x za rok, je základním předpokladem k alespoň základní bezpečnosti.

Takže heslo měnit! Co nejčastěji!

A co se týče silného hesla, tak třeba ING Konto povolovalo heslo max 32 znaků (snad se nepletu). Tedy pro přihlášení.... pokud se člověk pokusil poslat peníze, tak s takto silným heslem to nešlo. Jediná možnost byla změnit heslo na kratší (mimochodem heslo nelze při zadávání do pole "heslo znovu" kopírovat), autorizovat se kratším heslem a teprve pak měl šanci na úspěch (tedy pokud mu potvrzovací sms dorazila do dvou minut, jinak bylo potřeba celé kolečko opakovat).

Takže silná hesla nepoužívat! (a nebo nepoužívat ING Konto - já po zkušenosti zvolil tuto možnost)

No a ty další rady, ty raději ani nebudu komentovat.

U datove schranky se ta povinna zmena hesla da nastesti vypnout.

Otisk prstu mně připadá jako velmi slabý bezpečností prvek. Výrobci mobilních telefonů používají co nejlevnější čtečky. Osobně mám vyzkoušené že když sejmu izolepou otisk prstů ze skleničky tak se bez problémů přihlásím. K tomu připočtěme fakt že android je děravý jako cedník, antivir na něj prakticky nikdo nepoužívá, dost lidí používá nějakou pochybnou neoficiální verzi kterou si sami nainstalovali, děkuji nechci.

Na druhou stranu ale musíte vědět, který prst máte sejmout. Já třeba pro odemknutí mobilu ani nepožívám otisk bříška prstu, ale jiné části dlaně.
Nicméně souhlasím s vámí, že otisk prstu, stejně tak jako každá biometrie, patří ktěm slabším způsobům autentizace.

Jako druhý faktor je otisk fajn

Přesně, max jako uživatel, ale jako heslo v žádném případě!! Otisk byl ten nejhorší možný nápad!

Slabý nebo ne, vyžaduje to od útočníka fyzicky přístup k vašemu otisku a telefonu. To je dostatečná bezpečnost v rámci online světa.

https://medium.com/@horubicube/horubicube-password-reminder-way-to-remember-a-huge-amount-of-complex-passwords-e20144f8a775

Tady máte hesla do všech mých bankovních účtů.
Jak si to mám zapamatovat ?
Pokud to chce někdo dešifrovat, tak přeji příjemnou zábavu na několik miliard let.

:100020001895­189518958FED8DBFC0E­CE8EB4E2E44
:10003000(KlS­eun939DD275D2­i\/UH78845EEE­E7F0
:10004000wMkk­E9F766240AE010E020E030­E0A1E658
:100050000D93­1D932D933hp549+=?-HC930EE116EF
:10006000A5E6­0D931D932D933C93A1E60D91­1D91DD
:100070002D91­3C91A9E60D931D932D933C93­84EF56
:10008000JUa[<@$55t91E0­ADE68D939C938­C9A8D9A
:100090003bdU­919A80E08FBD81E08EB­D8EB5887FAD
:1000A0008EBD78!@scNN787­99489B7806889BF949A
:1000B000~/-ng2339A8EBDA0E668944C9­100B38827
:1000C00001FD­8260841711F4B6F30EC08C93­4295DC
:1000D000VB67­7weo[&840F82304­1F0803131F08332
:1000E00011F0­03D001C02CD0E4CF54D0A9E6­0D9135
:1000F0001D91­2D9_\_6496bXC13C91A­DE64D915C91
:10010000E7D0­A9E60D931D932D933D93A5E6­4D9143
:100110005D91­6D917C91A9E60D9!{23624Bq­c11D91
:10012000263bw-\ACJE1D014F009F­001C00AC0A5E6
:100130002D91­3C91A9E60D931D932D933C93­0895AA
:1001400029D0­A9E60D911D912D913C91A­DE64D9199
:100150005C91­66277727C1D0A9hp549+=?-HE60D93
:100160003D93­A1E64D915D916D917C91A9E6­0D91EE
:100170001D91­2D913C91B6D014F009F00AC0­A1E6C9
:100180000263bw-\ACJD911D912D91­3C91A9E60D93
:100190003C93­089548E95AE360E070E0A9­E60D91AA
:1001A0001D91­2D913C919ED014F009F001C0­05C052
:1001B00084E0­91E0ADE68D939CNT&­~_/nj779340E3
:1001C00070E0­A9E60D911D912D913C918BD0­14F019
:1001D00009F0­01C005C082E890hp549+=?-HE0ADE6
:1001E00048EC­5FEA60E070E0A9E­60D911D912D9193
:1001F0003C91­78D014F009F001C005C086E4­90E055
:10020000X39&-"&%"tADE68D939C934­0E65AEE60E0
:100210000D91­1D912D913C9165D014F009F0­01C0AA
:1002200005C0­8EE190E0ADE68D939C930­8950F9208
:10023000k956­4*=@SA1F922F923F924F925F­927F9t
:100240000F93­1F932F933F934F935F936F93­7F9322
:100250008F93­9F93AF93BF93CF93DF93EF93­FF93C6
:100260008FB7­2637sTXTL}8F9382B390E189­2782BB
:10027000+ds8­467VSX892782BBA9E68D919C­919093
:100280004C00­8F918FBFFF49698_<WVu91EF­91DF91
:10029000AF91­9F918F917F916F915F914F91­3F9116
:1002A000hp549+=?-H2F911F910F91­BF90AF907F90
:1002B0003F90­2F901F900F901895F894FFCF­31979F

Ty ho máš aled dlouhýho!

spravce hesel aneb jak prozradit treti strane vsechna moje hesla a jeste v kombinaci s predvyplnovanim formularu, pak to ma vcetne jmena, adresy, narozeni, rodneho cisla pekne komplet :D rada nad zlato

Ne vždycky musí být databáze správce hesel poslaná třetí straně. A ne vždy to musí být nezašifrované (ostatně tohle je zásadní vlastnost pro správce hesel). A ne vždy to musí být s vyplňováním adres do formulářů. A ne vždy to musí být jediný způsob přihlašování (čím dál víc služeb nabízí třeba nějakou variantu OTP). A i kdyby, je to dost často lepší než mít spoustu jednoduchých hesel nebo opakovat stejné složité heslo na víc místech.