Pipirky

Měnění hesel je blbost

U nás v práci měníme hesla každé dva měsíce (a to do cca 5 aplikací) a vede to jenom k tomu, že je uživatelé:

a) mají někde zapsané (často přímo u počítače)
b) neustále je zapomínají (snad každý týden píšeme požadavek na správu sítě na zrušení hesla)
c) používají hesla typu heslo1, za dva měsíce heslo2, .....

Myslím, že mnohem lepší je používání jednoho stejného hesla a tomu věnovat větší pozornost při vytváření (žádné srozumitelné slovo, minimální délka, apod.)

Hesla

Mám úrovně zabezpečení.

1) Nejnižší úroveň: jedno univerzální heslo, dlouhá léta neměním - webove servery typu diskuzáky, chat a jiné, také přihlášení v práci, protože síť je místní a důležitější pro mne je bitelný zámek na dveřích hlavní budovy a alarm.

2)Střední úroveň: používám jedno heslo, různě modifikované, jde zejména o webové servery u kterých jde o peníze (například sms.mobilem.cz, http://www.fotolab.cz" target="_blank" rel="nofollow">http://www.fotolab.cz), ale zas se nic moc nestane, kdyby se tam někdo cizi dostal.

3)Vyšší úroveň: často měním jedno a dve hesla z různými obněnami, jako pořadí písmen a číslic, ale vždy je to nějaká kombinace, abych případně dokázal odhadnout která.

4) Nejvyšší úrovně: Bankvní karta a eBanka, v zásadě používám PINy, které nikomu neříkám, klávesnici si při psaní zakrývám rukou, a ťukám, jen když v okolí nikdo není. PIN se nedá tak často měnit. GSM a autorizace do eBanky je stejně neprorazitelná a nejbezpečnější, pokud "neprozradím PIN tomu kdo mi následně ukradne mobil"

Re: Hesla

heslo měním pravidelně ...

... ale jen tam, kde mě to zajímá (práce, banka, možná ještě něco). na všechny ostatní kraviny mám jeden univerzál (ne úplně primitivní, ale žádnej d54hgdsf6+540).

Jsem totiž totálně sklerotickej, kde všude jsem se kdy registroval. Když ale vidím "známej" design stránky, tak to prubnu. Stejně se ve většině případů netrefím do jména, protože to MOJE!! si zaregistroval někdo dávno přede mnou.

Takže asi takhle :-)

BTW: povzdech administrátora "Pořád mi říkaj, že bych neměl používat jméno svýho psa jako heslo. Kdysž já jsem si ale na to qP6fh7drQWr tak navyknul"

pruzkum

neni duvod

Re: neni duvod

A proč vlastně?

Před kým se mám chránit? Stát, FU) se dostane všude, kam potřebuje a nemusí znát jediné heslo. Navíc USA stejně monitorují veškerý emailový, faxový apod. provoz v Evropě.  A nevím, jestl i je to fáma, ale CIA prý má speciální dešifrovací stroje schopné dešifrování online běžně používaných délek klíčů. (asi to aková fáma nebude, tuším někdo někde prezentoval "stroj" schopný online dešiforvat nějaký 56 dlouhý klíč a nebyl až tak drahý (nejedanlo se o mliony USD), jednalo se o soustavu několka (hodně) specializovaných procesů)

Teroristi? že bych zrovná já je zajímal ... A proč taky, že ...  Emaily? Někde tady jsem četl, že hlavička a další údaje se dají zfalšovat .... Takže stejěn může někomu přijít "můj" email, aniž by se někdo podíval do mé schránky.

Jedině snad ten přístup do banky a ochrana vnitřní síě před konkurencí, ale když někdo bude chtít ..., tak sebelepší helso mu v tom nezabrání ...

Navíc jsme v čechách, kde se všechno rozkecá ....

Re: A proč vlastně?

co takhle premyslet!!!

Kdyz po me nekdo chce heslo, tak to pusobi dost podezrele a je jedno, jestli mi za to da cokoladu nebo dve. Jen blba trubka by ho prozradila. Vzdyt je to jako s pinem u platebni karty, ne?

kam ten svet speje

menit vsechna hesla je pekna blbost :)

u kritickych sluzeb, kde opravdu hrozilo vyzrazeni je po moznem vyzrazeni menim ale jinak...

pocet mych hesel (kazde typu "ekp3joijo2s314332zs3") na vsechny sluzby, hostingy, sponsory... bych odhadnul na nekolik stovek (do 1000 to nebude mit daleko), opravdu si myslite, ze je mozne je treba jen ctvrtletne menit?! zkuste si to!!! navic jsem nedavno rozdaval vsem unikatni nove e-maily (kvuli detekci SPAMu) a nekde (a to jsem menil jen ty dulezite) byl s zmenou e-mailu dost velky problem, protoze vetsinou je system naprogramovan, ze se do nej uzivatel s nejakym e-mailem zaregistruje ale jakmile je cokoliv treba zmenit tak v +-3/10 to nejede :( (u zmeny hesla by to bylo naprosto stejne! a piste si pak 100 e-mailu po administratorech webu, se na vas vykaslou)

meneni hesel (krome prace, kde mate jedno hedlo pro pristup do IS (clovek musi byt trochu paranoidni a kolegove si vsimaji i toho co nemaji a hesla je vetsinou zajimaji ;) )) je zbytecne, tedy pokud nenastane prunik

hesla...

Zase sa hlada problem v pouzivateloch a v tomto pripade vinu nesie ten, kto cely tento kolotoc vymyslel.

Co tak seriozne popracovat a dohodnut sa na nejakom autentifikacnom mechanizme?

Naozaj si mam pamata 15 hesiel a kazde 2 tyzdne ich menit? Ste normalni?

Re: hesla...

Naprosto s tebou souhlasim. Pouzivani hesel se nikdy nemelo stat hlavnim zabezpecovacim prostredkem a pokud ano, tak dnes to jiz melo byt davno prezitkem.

Pamatovat si nekolik hesel a neustale je menit (nemluvim o tom, ze to stejne moc nema cenu - viz. FTP SMTP a jine nezabezpecene protokoly, kdy okamzite kdokoliv na trase hned vase heslo muze znat) je opravdu na hlavu.

Pouzivani hesel v kombinaci s necim tak nedokonalym jako jsou lide, jez si je maji pamatovat, menit a nikomu nevyzrazovat, je vetsi problem bezpecnosti nez cokoliv jineho.