Prodej bannerové reklamy na Koronavirus.eu od 3 Kč / klik
Zobrazují se odpovědi 1 až 18 z 18

Pravidla pro sílu hesla na webu cestovky

  1. Řešíme jak nastavit pravidla na sílu hesla, aby to lidi pokud možno vůbec neprudilo. Co považujete za minimální nutné podmínky? Délka hesla, a ještě něco?

    Nebudeme tam mít žádné citlivé údaje, karty nebo tak něco. Nejhorší, co se může stát při hacknutí účtu je, že někdo provede objednávku, kterou pak neuhradí, nebo pošle nějaká falešná hodnocení. Nejde o život, tak to nechci hrotit jako v korporátu.

  2. Co se právě děje na Webtrhu?
  3. Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.

  4. Maximálně jeden velkej znak a jedno číslo, vše ostatní by mě od registrace odradilo, je to nesmysl a opruz, když o nic nejde.

  5. Citace Původně odeslal dusivk Zobrazit příspěvek
    Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.
    To je přesně ta pruda který bych se rád vyhnul :)

  6. Na takovyhle necitlivy systemy zadny pravidla nenastavujeme, at si tam pro me za me daj heslo "A", sam pises, ze se vlastne nic nestane... Na citlivejsi systemy davame jen vynucenou dylku a aktivne kontrolujeme novy zarizeni s potvrzenim na email a tlacime dvuofaktorovou autorizaci... Sanzit se lidem nutti aby meli neco konkretniho v hesle, je stejne k niecmu, kdyz si pak to same heslo daji vsude... Takze by atm mohli mit cokoliv a stejne jim to nekdo hackne z úniků...

  7. Edit: radši na to kašlu :)
    smazat pls

  8. 3-64 znakov, niac viac. na nespocetnom mnozstve webov som sa neregistroval/nevyuzil som sluzbu/nedal som zarobit firme lebo mali retardovane podmienky na heslo. nenecham si od nikoho diktovat co a ako mam robit. heslo je moja zodpovednost, nie tvoja, takze sa len staraj o to aby si ho spravne zahashoval a ochranil databazu. to je vsetko.
    zopar ludi vsak pouziva dlhsie hesla - automaticky vygenerovane, pripadne cele vety, kde aj 64 znakov je malo.

  9. Všem díky. Vypadá to že jediný pravidlo dáme na délku, a bude tam ještě ukazatel síly hesla, ať si uživatel rozhodne sám.

  10. Vynucena delka hesla nebo kombinace znaku je podle mne primarne a) ochrana lam, ktere davaji hesla jako 12345, qwert ap. a b) ochrana provozovatele, aby nemusel co tyden resit kompromitaci nejakehu uctu a souvislosti.

    Pokud je pozadovane heslo 3+ znaku, tak by tam nemela chybet alespon ochrana proti opakovanému zadavani chybného hesla (jako třeba u platebních karet, pin 4digity, ale můžete zadat jen 3x a pak smula, spolkne ji mat).

    Tahle debata o hesle mi prijde trochu mimo misu, protoze jste experti a vite, jaka hesla zadavat. Lamy neresi bezpečnost, ale snadne zadavani, tzn musí se jim trochu pomoct s tou bezpecnosti, i když to nekdy otravuje život.

    Jsem trochu paranoidni, takze vynucuju hesla 6+ znaku a musí obsahovat alespoň mala/velka písmena (+ muze mit spec znaky, volitelne) a lidi s tim nemaji problem. A moje osobní hesla jsou často cele vety (třeba 30+ znaku), dobře se to pak pamatuje :)

  11. omezit jen minimální počet znaků na třeba 5, zbytek pravidel je obtěžujících. Raději si hlídej pokusy o přihlášení, nastav si nějaké limity na počty špatný pokusů (QoS) a hesla ukládej alespoň bcryptem.

    Jsou společnosti, které se naprosto zbláznily do pravidel na složitost hesla, je to špatně. Raději přidat další prvek zabezpečení (2FA, ověření zařízení/prohlížeče IP, přihlašovací odkazy do emailů, čipové karty, oauth2 či openid atd.). Vynucovat složité heslo nejspíš nezvyšuje bezpečnost, právě naopak, lidé si ho musí psát či používají jedno složité na všechny služby. S tímhle přišly korporáty v čele s MS jak řešením jejich problémů se zabezpečení a nějak se to uchytilo.

    Online služba je něco jiného než offline data, kde složité heslo dává smysl, u online službu máš spoustu jiných způsobů jak limitovat prolamování hrubou silou, uložená hesla zase můžeš zabezpečit složitým bcryptem a pravidelně zvyšovat jeho složitost.

  12. S 2FA mám trochu problém s platbou za SMS, při víc uživatelích se to docela nasčítá. Plus je potřeba požadovat telefon, to taky může působit negativně. Jinak dobrý tip na limit počtu přihlášení, to vypadá jako dobrý ale neobtěžující bezpečnostní prvek. Dík za tip.

  13. 2FA se dela casovejma kodama, ne sms :) nebudte tak zblbnuty z tech bank

  14. Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje


  15. Citace Původně odeslal sipal Zobrazit příspěvek
    Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje
    Ano, musi, nicmene proc pouzivat sms, kdyz existuje vicemene vsude pouzivany standard, ktery zadne sms a ani jine pripojeni nepotrebuje.

  16. 2FA má velice široké možnosti implementace, nikoliv jen sms. Zkráceně se jedná o ověření druhým kanálem, ať už ten kanál je jakýkoliv. Osobně rád používám čipovou kartu (ala yubikey), u online služeb zase OTP (“časový kód”, kdy kód je odvozen od aktuálního času a privátního kódu od online služby, takže mi ho zobrazí mobilní aplikace rovnou).

  17. Ale aby tam zasa nebolo obnedzenie na prilis kvalitne heslo. Castokrat ma zamrzi, ked zadam "openssl rand -base64 32" a web mi taketo heslo odmietne. .. vlastne, na nejakych hostingoch som videl ponuku na automaticke vygenerovanie bezpecneho hesla. Nasledne len klikne v prehliadaci na ulozit zadane heslo a ide sa.

  18. Uplne fuk, na nekolika projektech overeno. Ja sam, jak uzivatel, davam na kazdy ucet random heslo pomoci KeePass v rozmezi 32 az 128 znaku, nasledne je doplnuji pomoci "two-channel auto-type obfuscation" v rezimu Secure Desktop. V podstate si posledni leta pamatuji jen ten master password.

Spolupracujeme: Jooble.org Hostujeme u Server powered by TELE3