Tak jsem to pro zajímavost spočítal a mám 153 různých registrovaných služeb / účtů mimo zaměstnání + asi 6 účtů na různé potřeby v práci. Je pravda, že ne každý z nich má vysokou důležitost, ale už se vidím jak trávím několik hodin změnou hesel a až skončím můžu si rovnou dát další kolečko. Nehledě na to, že na spoustě účtů je jako uživatelské jméno použit e-mail. Je pravda, že mám asi 6 e-mailů podle důležitosti a používám je k různým účelům, ale i tak nemůžu mít ke každé službě unikátního uživatele. Nepodceňuji nijak bezpečnost, ale jak to mám "ošéfovat" je mi opravdu záhadou.
Mohl bych se zaptat, co si ten clovek na verejne wifi sedici vedle z mistnosti, vezme na sifrovanem spojeni mezi mnou a bankou/jinou sluzbou? Jestli expert objevil nejakou snadno zneuzitelnou zranitelnost https, tak by nemel takto v naznaci h poustet stripky informaci do medii, ale jit se svym objevem na verejnost. Jinak je to zbytecne sireni strachu.
I já se domnívám, že zabezpečení komunikace s bankou apod. se opírá o protokol HTTPS a na rozdíl od experta že tudíž při použití veřejné wifi sítě žádné zvláštní nebezpečí nehrozí. Samozřejmě se předpokládá jistá elementární obezřetnost, ovšem možnost připojení se k falešnému serveru hrozí vždy.
Podobně je diskutabilní požadavek na změnu hesla po třech měsících - proč by tak tomu mělo být? Proč ne po čtyřech nebo po dvou? Pokud by došlo k prozrazení hesla uživatele, nejspíše by útok následoval velmi rychle. Občas se lze setkat s tzv. únikem hesel ze systému, kam se uživatel hlásí. V moderních systémech (a nepochybuji, že banky mají pouze takové systémy) se hesla nikdy neuchovávají v otevřené podobě, ale pouze jejich heše (někdy se říká otisky), ted zpracovaná kvalitní jednosměrnou funkcí. Tudíž i kdyby taková "hesla" (tj. heše) unikla, bylo by nutné ještě je rozluštit. Pokud by byl pro hešování použit dnes již klasický algoritmus SHA-256, trvalo by luštění stovky miliónů let.
V čem má expert samozřejmě pravdu je nutnost používat netriviální hesla a dostatečně dlouhá hesla! Expertem popisované odvozování (Skákal peps ...) ve mně budí rozpaky - je to profláknuté. Na druhou stranu podle současných názorů není dobré uživateli podobu hesla nutit (např. že musí obsahovat malá písmena, velká písmena, číslice, zvláštní znaky apod.). Uživatel si takové heslo bude muset někde poznamenat a ne všude lze použít manažer hesel, anapř. KeePass (https://keepass.info/).
To by mě zajímalo, jak by to udělal. Pokud by tam zkusil podstrčit něco jiného, samozřejmě to klientský program (webový prohlížeč, e-mailový klient apod.) pozná a zobrazí varování. V některých případech dokonce ani nedovolí přístup. A i kdybych třeba napsal URL bankovnictví špatně (neřeším, že ho otevírám ze záložek), dostal bych se na phishingovou stránku a nevšiml bych si toho, tak bez autorizace jiným kanálem (aplikace v mobilu, OTP token, případně SMS) žádná platba neproběhne. Samozřejmě, že kdo zanedbává základní zásady bezpečnosti, například odklikne nedůvěryhodný certifikát (třeba proto, že mu to kdysi poradil usměvavý pan Stiegler z České pošty, když začínaly datové schránky), může si naběhnout.
Pokud nevíte co je to MITM, nějaké materiály ke studiu https://serverfault.com/questions/920805/dnssec-how-does-it-protect-from-an-mitm-attack
Zkuste trochu přemýšlet, proč Google takové DNS asi provozuje :-) Kombinace Google prohlížeče a kontrolovaného DNS serveru je ideální pro doručování cílené reklamy, tedy prakticky jediného zdroje příjmů Google. Víte tak, kam chodí uživatel nejen v Chrome, ale i ve všech ostatních aplikacích.
O bezpečnosti tohoto produktu už bylo také leccos publikováno https://thehackernews.com/2014/03/google-public-dns-server-traffic.html
No co si veme ten super chytrý člověk který je schovaný někde vedle v místnosti veřejné kavárny,no toto,C0999FDDE378D7ED727DA00BCA5A84EE47F269A4D6438190D9D52F78F53584997F922CCB5B068D99 pak naprosto jednoduše veme kód na kterým se klient a server domluvily a dekóduje to klíč vypadá takto 0E329232EA6D0D73 ten si ten muž za závěsem či čím vycucá z prsu,asi mámy toho pisálka co napsal tento pohlupavý článek.
Tak měnit heslo jednou za 3 měsíce vede akorát k tomu že si uživatelé nastavují slabá hesla. Už i odborníci doporučují heslo měnit méně často, třeba jednou za rok, ale použít heslo delší - větu, které se hůře prolamuje hrubou silou. A změnit si heslo vždy, když máte jen sebemenší pocit, že by ho někdo mohl neoprávněně získat.
Navíc pokud by nezměněné heslo mělo vést k odmítnutí odškodného, banka by musela prokázat, že změnu hesla vynutila, nebo alespoň klientovi doporučila.
Nehledě na to, že hesel jsou desítky, PIN ke kartě, k mobilu, heslo do banky, přístup do diskuse na iHojte, na FB, na různé servery, do práce... Já mám některé v mobilu, jiné uložené v mailu, jiné ve Wordovském souboru na externím harddisku, některé na papíru... Když je budu měnit každý měsíc, tak se z toho opupínkuju. Protože řada aplikací už nebere heslo typu Lojza4321, posléze změněno na Lojza1245, ale chce 8 písmen + jedno písmeno malé, jedno velké + zvláštní znak (/, @, +, - a další). To pak vede k tomu, že uživatel použije stejné slovo nebo stejné heslo pro víc aplikací => opět snáze prolomitelné.
Ono stačilo vyměnit počítač za nový ... a seděla jsem celé půldne u obou, otevírala různé servery a aplikace a pracovala duálně, abych v se případě potřeby dostala k heslu, které si ten starý počítač už pamatoval. Dtto máte u výměny mobilu. Při havárii PC bych byla nahraná (což mi připomíná, že bych ta hesla měla napsat na papír a dát do šanonu s osobními dokumenty).
A na závěr malé odlehčení:
Taťko, potřeboval bych nový harddisk.
A kouzelne slovíčko?
Do řiti! Dneska už je všechno zaheslované!
Jak se modlí počítačoví maniaci?Ve jménu otce,i syna, i ducha svatého ENTER.
PS: škoda, že nejde vložit obrázek. Mám kreslený vtip, jak stojí Bůh před bránou do nebe a mačká tam na displeji PIN, aby se mu ta brána otevřela.
Dokonce i v Microsoftu už to pochopili:
https://duo.com/decipher/microsoft-will-no-longer-recommend-forcing-periodic-password-changes