Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Hesla jako pírko lehká

Uživatelé svá hesla před okolím příliš netají. Jak ukázal nedávný průzkum, 70 procent z nich by přístupové údaje prozradilo za tabulku čokolády. Malý průzkum jsme učinili i my. Jak dopadl?

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

Emil

Pipirky
Co mate vsichni proti papirkum? Hesla si pisu na papirky a ty pak davam do fotoalba. Schvalne jsem si ty listecky prepocital a je to 38 hesel. Vetsinou 8 znaku cisla a pismena. Chtel bych videt toho, kdo by si to zapamatoval a jeste je kazdy mesic modifikoval. Navic zejmana na ineternetu si je treba davat bacha na maily. Jednou mi nejaky hajzlik, podle IP strahovske koleje, vlezl do freemailu. Nevim jak, ale vlezl a pak sel jen po dalsich uctech a nechaval si posilat "zapomenute heslo". Takze nejen samotne heslo je treba hlidat, ale taky i moznost jeho pripadneho zaslani.
0/0
29.4.2004 13:42

 

Měnění hesel je blbost

U nás v práci měníme hesla každé dva měsíce (a to do cca 5 aplikací) a vede to jenom k tomu, že je uživatelé:

a) mají někde zapsané (často přímo u počítače)
b) neustále je zapomínají (snad každý týden píšeme požadavek na správu sítě na zrušení hesla)
c) používají hesla typu heslo1, za dva měsíce heslo2, .....

Myslím, že mnohem lepší je používání jednoho stejného hesla a tomu věnovat větší pozornost při vytváření (žádné srozumitelné slovo, minimální délka, apod.)

0/0
29.4.2004 9:24

Ondra

Hesla

Mám úrovně zabezpečení.

1) Nejnižší úroveň: jedno univerzální heslo, dlouhá léta neměním - webove servery typu diskuzáky, chat a jiné, také přihlášení v práci, protože síť je místní a důležitější pro mne je bitelný zámek na dveřích hlavní budovy a alarm.

2)Střední úroveň: používám jedno heslo, různě modifikované, jde zejména o webové servery u kterých jde o peníze (například sms.mobilem.cz, www.fotolab.cz), ale zas se nic moc nestane, kdyby se tam někdo cizi dostal.

3)Vyšší úroveň: často měním jedno a dve hesla z různými obněnami, jako pořadí písmen a číslic, ale vždy je to nějaká kombinace, abych případně dokázal odhadnout která.

4) Nejvyšší úrovně: Bankvní karta a eBanka, v zásadě používám PINy, které nikomu neříkám, klávesnici si při psaní zakrývám rukou, a ťukám, jen když v okolí nikdo není. PIN se nedá tak často měnit. GSM a autorizace do eBanky je stejně neprorazitelná a nejbezpečnější, pokud "neprozradím PIN tomu kdo mi následně ukradne mobil"

0/0
28.4.2004 19:07

PepaMengele

Re: Hesla
BITELNY ? - To jako ze ho zmlatis zeleznou tyci nebo myslis 010011001010 ?
0/0
29.4.2004 7:49

ipm

heslo měním pravidelně ...

... ale jen tam, kde mě to zajímá (práce, banka, možná ještě něco). na všechny ostatní kraviny mám jeden univerzál (ne úplně primitivní, ale žádnej d54hgdsf6+540).

Jsem totiž totálně sklerotickej, kde všude jsem se kdy registroval. Když ale vidím "známej" design stránky, tak to prubnu. Stejně se ve většině případů netrefím do jména, protože to MOJE!! si zaregistroval někdo dávno přede mnou.

Takže asi takhle :-)

BTW: povzdech administrátora "Pořád mi říkaj, že bych neměl používat jméno svýho psa jako heslo. Kdysž já jsem si ale na to qP6fh7drQWr tak navyknul"

0/0
28.4.2004 18:18

pavel

pruzkum
btw, 10 lidi je opravdu chudy "pruzkum". Čtvrtý účastník našeho miniprůzkumu je tak trochu rarita, používá výhradně jedno heslo, kterým je navíc jeho příjmení. Jak vite, ze to je jeho heslo? Rekl vam ho? Vic se mi libi moznost, ze timto ucastnikem je sam autor clanku :)
0/0
28.4.2004 11:29

pavel

neni duvod
u dobre postaveneho hesla nevidim duvod, proc jej kazdych x tydnu/mesicu menit. Kdyz vyloucim jeho odposlechnuti (at uz u spojeni typu ftp, smtp nebo vizualne), je pravdepodobnost zjisteni hesla A druhou osobou stejna, jako zjisteni hesla B.
0/0
28.4.2004 11:27

Re: neni duvod
naprosta pravda
0/0
30.4.2004 11:14

Mira

A proč vlastně?

Před kým se mám chránit? Stát, FU) se dostane všude, kam potřebuje a nemusí znát jediné heslo. Navíc USA stejně monitorují veškerý emailový, faxový apod. provoz v Evropě.  A nevím, jestl i je to fáma, ale CIA prý má speciální dešifrovací stroje schopné dešifrování online běžně používaných délek klíčů. (asi to aková fáma nebude, tuším někdo někde prezentoval "stroj" schopný online dešiforvat nějaký 56 dlouhý klíč a nebyl až tak drahý (nejedanlo se o mliony USD), jednalo se o soustavu několka (hodně) specializovaných procesů)

Teroristi? že bych zrovná já je zajímal ... A proč taky, že ...  Emaily? Někde tady jsem četl, že hlavička a další údaje se dají zfalšovat .... Takže stejěn může někomu přijít "můj" email, aniž by se někdo podíval do mé schránky.

Jedině snad ten přístup do banky a ochrana vnitřní síě před konkurencí, ale když někdo bude chtít ..., tak sebelepší helso mu v tom nezabrání ...

Navíc jsme v čechách, kde se všechno rozkecá ....

0/0
28.4.2004 11:25

Re: A proč vlastně?
> Jedině snad ten přístup do > banky a ochrana vnitřní síě > před konkurencí, ale když někdo > bude chtít ..., tak sebelepší > helso mu v tom nezabrání ... Samo, ze kdyz se chce, vsechno jde. Ale principem bezpecnosti je, aby se potencionalnimu utocnikovi nevyplatilo obranu prekonat (naklady budou vyssi, nez jeho zisk z prolomeni).
0/0
28.4.2004 13:20

PepaMengele

Re: A proč vlastně?
No, ono jde o to, ze kdyz nekdo bude chtit poslat neco duleziteho, tak to zasifruje na 512bitu a hosi z CIA maji na "milion" let o praci postarano.
0/0
29.4.2004 7:54

Johnny

co takhle premyslet!!!

Kdyz po me nekdo chce heslo, tak to pusobi dost podezrele a je jedno, jestli mi za to da cokoladu nebo dve. Jen blba trubka by ho prozradila. Vzdyt je to jako s pinem u platebni karty, ne?

kam ten svet speje

0/0
28.4.2004 10:24

Jaromir

menit vsechna hesla je pekna blbost :)

u kritickych sluzeb, kde opravdu hrozilo vyzrazeni je po moznem vyzrazeni menim ale jinak...

pocet mych hesel (kazde typu "ekp3joijo2s314332zs3") na vsechny sluzby, hostingy, sponsory... bych odhadnul na nekolik stovek (do 1000 to nebude mit daleko), opravdu si myslite, ze je mozne je treba jen ctvrtletne menit?! zkuste si to!!! navic jsem nedavno rozdaval vsem unikatni nove e-maily (kvuli detekci SPAMu) a nekde (a to jsem menil jen ty dulezite) byl s zmenou e-mailu dost velky problem, protoze vetsinou je system naprogramovan, ze se do nej uzivatel s nejakym e-mailem zaregistruje ale jakmile je cokoliv treba zmenit tak v +-3/10 to nejede :( (u zmeny hesla by to bylo naprosto stejne! a piste si pak 100 e-mailu po administratorech webu, se na vas vykaslou)

meneni hesel (krome prace, kde mate jedno hedlo pro pristup do IS (clovek musi byt trochu paranoidni a kolegove si vsimaji i toho co nemaji a hesla je vetsinou zajimaji ;) )) je zbytecne, tedy pokud nenastane prunik

0/0
28.4.2004 9:42

Martin [X]

hesla...

Zase sa hlada problem v pouzivateloch a v tomto pripade vinu nesie ten, kto cely tento kolotoc vymyslel.

Co tak seriozne popracovat a dohodnut sa na nejakom autentifikacnom mechanizme?

Naozaj si mam pamata 15 hesiel a kazde 2 tyzdne ich menit? Ste normalni?

0/0
28.4.2004 8:48

Kvik

Re: hesla...

Naprosto s tebou souhlasim. Pouzivani hesel se nikdy nemelo stat hlavnim zabezpecovacim prostredkem a pokud ano, tak dnes to jiz melo byt davno prezitkem.

Pamatovat si nekolik hesel a neustale je menit (nemluvim o tom, ze to stejne moc nema cenu - viz. FTP SMTP a jine nezabezpecene protokoly, kdy okamzite kdokoliv na trase hned vase heslo muze znat) je opravdu na hlavu.

Pouzivani hesel v kombinaci s necim tak nedokonalym jako jsou lide, jez si je maji pamatovat, menit a nikomu nevyzrazovat, je vetsi problem bezpecnosti nez cokoliv jineho.

0/0
28.4.2004 9:55

MC

Re: hesla...

Hmm... kdyby jenom 15. Množství účtů a registrací, která používám, je určitě mnohem větší, než toto trapně malé číslo. Co se mne týče, tak mám problémy si zapamatovat těch pár (50-200) současných, natož abych je ještě měnil, o pravidelnosti této operace ani nemluvě.

Naopak má snaha spíše směřuje k zabezpečení jeho posílání, tj. podpora SSL a jiné šifrované komunikace a zabezpečení přístupů k nim.

Myslim, ze by bylo vhodné rozjet nějakou propagandu, aby sami uživatelé vyžadovali od svých dodavatelů a používaných serverů šifrované přístupy. Vždyť například již několik let existuje jak šifrovaný HTTP, POP3, FTP i SMTP. Ale proč se tak málo používá?

Btw. registrace na technet.cz jede taky nešifrovaně, čili i na něm hesla lítají vzduchem čitelné téměř pro kohokoli.

0/0
28.4.2004 17:13

Michal Kára

Změny hesel
Opět se setkávám s papouškováním mýtu, že "heslo by se mělo často měnit". Pochopitelně bez uvedení nějakého rozumného důvodu, proč by se tak mělo činit. Ale není se co divit - rozumných důvodů pro tuto činnost je jako šafránu. Schválně se zkuste zeptat svého administrátora na důvod, proč měnit po nějaké době heslo. Pravděpodobně vám nebude schopen dát rozumnou odpověď. JEDINÝM důvodem změny hesla může být snaha změnit heslo, které uniklo. To je samozřejmě logické, pokud víme, že uniklo (nebo máme důvodné podezření). Ale měnit ho jen tak? "Co kdyby" uniklo? Jestliže ho neměníte po každém přihlášení, je taková změna nanic - pokud heslo uniklo a vy o tom nevíte, tak než heslo zase změníte, už je dávno zneužito. Jediné čemu zabráníte je opakované zneužívání hesla (ale mezitím už to heslo stejně třeba několik měsíců někdo zneužíval). Naopak nucení uživatelů k častým změnám hesla je kontraproduktivní. Vede buď k tomu, že si uživatelé začnou dávat jednoduchá hesla (která se útočníkovi dobře hádají), nebo k tomu, že si je začnou psát na paírky u monitorů (což je ještě horší). Takže bych radil: 1) Dát si OPRAVDU DOBRÉ heslo 2) Používat jen šifrovanou autorizaci (SSL s dobře podepsaným certifikátem atp.) 3) Dávat pozor na sdílení hesla mezi systémy
0/0
28.4.2004 8:18

David

Re: Změny hesel

Tento "mýtus" je podpořen třeba v normě BS 7799-1, 1999. Mimochodem, říká se tomu prevence. Možná Vám to může připadat kontraproduktivní či paranoidní, ale např. v bankovním sektoru je zvýšená míra paranoi jen k užitku.

Změnu by si měl vynucovat sám OS či aplikace, o udržování historie hesel pro kontrolu jejich neopakování nemluvě.

Pokud si zaměstnanec není schopen zapamatovat např. po čtvrt roce nové, minimálně šestimístné heslo, lze pochybovat o jeho schopnostech vstřebávat i jiné informace, potřebné pro výkon jeho povolání.

0/0
28.4.2004 9:37

Kirk

Re: Změny hesel
Taky jsi nas mohl poucit, k cemu to teda je.
0/0
28.4.2004 11:07

David

Re: Změny hesel

Houby poučování, jenom popisuji, čím se musíme řídit u nás.

Chcete-li posílit jeden ze slabších článků řetězu, tak pravidelná změna hesla je jednou z dostupných a rozumných metod. Otázkou je, zda OS či aplikace má kontrolu i na sílu hesla a zda je interval pro změnu rozumně nastavený, aby nebylo dosaženo opačného efektu.

0/0
28.4.2004 13:47

Re: Změny hesel
Ja nerikam, ze je to ZCELA nesmyslne opatreni. Jenom, ze je v mnoha pripadech spise kontraproduktivni. Kdyz se ohanite BS, tak urcite neco vite o bezpecnosti ;-) Takze urcite take vite, ze bezpecnostni opatreni se provadeji proto, aby pokryla bezpecnostni rizika. A v rozboru na zacatku tohoto threadu jsem uvedl, jake bezpecnostni riziko lze periodickou zmenou hesla pokryt a ze to sice funguje, ale unikem hesla vzniknou dalsi bezpecnostni rizika, ktera jsou dle meho nazoru zavaznejsi. A slova "paranoidni" a "pouzivat pro pristup hesla" se podle meho nazoru vylucuji. (Kdyztak uz zaheslovane certifikaty, pak by se dalo o paranoie mluvit :-)
0/0
28.4.2004 13:28

David

Re: Změny hesel

Částečný souhlas, nemám jistotu s kontraproduktivností.

Trošku něco vím. ;-)

Jasně. Konečně, byť při pouhém pocitu z vyzrazení hesla ta samá norma doporučuje jeho okamžitou změnu.

Slovo "paranoidní" bylo vztaženo k pravidelnému měnění hesla. Alespoň jsem měl pocit z ostatních příspěvků, že je tak zde na ně nazíráno. Zaheslované certifikáty? Dokáži si jejich uplatnění odůvodnit v případě přístupu "silných" uživatelů k hlavním produkčnímu systému banky (včetně CMS na dveřích, identifikace terminálu atd.). Při jejich uplatnění u sekretářky nějakého podvedoucího v téže společnosti bych mluvil o, slušně řečeno, neefektivitě vynaložených nákladů...

0/0
28.4.2004 13:57

Michal Kára

Re: Změny hesel
Změna hesla byť při nejakém náznaku jeho úniku je jasná, o tom se nemá smysl bavit. Já jsem to myslel tak, že pokud jsem paranoidní tak, že pravidelně měním heslo, tak pravděpodobně jsem dost paranoidní na to, abych používal něco lepšího, než je heslo (certifikáty, tokeny atp.)
0/0
28.4.2004 14:27

David

Re: Změny hesel
OK, v tom se shodujeme. Zřejmě jsem nevhodně použil slovo paranoia.
0/0
28.4.2004 14:31

J

Re: Změny hesel
Jenze ono nejde vetsinou o jedno heslo, ale v dnesni dobe o desitky alfanumerickyh kombinaci. kolik si je schopen clovek takovyh kombinaci zapamatovat ? A jak casto je schopen se ucit nove ? Pr: PIN ke karte, pristup na ucet pres sit, alarm v praci, pristup k PC v praci, pracovni mail, soukromy mail, ... Vyjmenova jsem 6 ruznych, ktere si musi pamatovat jeden clovek a jeste by je mel z hlediska bezpecnosti treba 1x do mesice menit ? Asi by se z toho drive nebo pozdeji zblaznil.
0/0
28.4.2004 21:36

MC

Re: Změny hesel
Tak třeba u IP adres je empiricky dokázáno, že člověk si je schopen zapamatovat těchto adres nejvýše 20. Dvacátou první si je schopen samozřejmě zapamatovat, ale automaticky přitom zapomene tu první.
0/0
28.4.2004 22:08

dildo

Re: Změny hesel
Prdlajs, pamatuju si jich rozhodne vice nez dvacet. Budes delat parkrat migraci mezi providerama a NAT/DMZ a uvidis, co se ti do mozku vejde :-)
0/0
30.4.2004 15:10

pavelm

hesla se nesou luftem
pri pouzivani nesifrovaneho pop3 spojeni (ve vetsine firem) je to stejne jedno, to uz nemusi zadne heslo mit, vyjde to nastejno
0/0
28.4.2004 8:09

Karel Kahovec

Za tabulku čokolády své heslo

do domény v zaměstnání klidně řeknu, nebo i napíšu (těžko si ho někdo po jednom poslechu zapamatuje). Než se šťastný nový majitel hesla pokusí ho použít, tak ho mám změněné.

Osoby, které si nězmění heslo v zaměstnání klidně celé dva roky, jsou smutným důkazem neschopnosti administrátora.

0/0
28.4.2004 6:40

Re: Za tabulku čokolády své heslo
Seš trubka.
0/0
28.4.2004 8:23







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.