logo
21.12.2019 13:07
1
Řešíme jak nastavit pravidla na sílu hesla, aby to lidi pokud možno vůbec neprudilo. Co považujete za minimální nutné podmínky? Délka hesla, a ještě něco?

Nebudeme tam mít žádné citlivé údaje, karty nebo tak něco. Nejhorší, co se může stát při hacknutí účtu je, že někdo provede objednávku, kterou pak neuhradí, nebo pošle nějaká falešná hodnocení. Nejde o život, tak to nechci hrotit jako v korporátu.
21.12.2019 14:22
2
Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.
21.12.2019 15:00
3
Maximálně jeden velkej znak a jedno číslo, vše ostatní by mě od registrace odradilo, je to nesmysl a opruz, když o nic nejde.
21.12.2019 15:12
4
Původně odeslal dusivk
Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.
To je přesně ta pruda který bych se rád vyhnul :)
21.12.2019 15:15
5
Na takovyhle necitlivy systemy zadny pravidla nenastavujeme, at si tam pro me za me daj heslo "A", sam pises, ze se vlastne nic nestane... Na citlivejsi systemy davame jen vynucenou dylku a aktivne kontrolujeme novy zarizeni s potvrzenim na email a tlacime dvuofaktorovou autorizaci... Sanzit se lidem nutti aby meli neco konkretniho v hesle, je stejne k niecmu, kdyz si pak to same heslo daji vsude... Takze by atm mohli mit cokoliv a stejne jim to nekdo hackne z úniků...
21.12.2019 15:16
6
Edit: radši na to kašlu :)
smazat pls
21.12.2019 15:43
7
3-64 znakov, niac viac. na nespocetnom mnozstve webov som sa neregistroval/nevyuzil som sluzbu/nedal som zarobit firme lebo mali retardovane podmienky na heslo. nenecham si od nikoho diktovat co a ako mam robit. heslo je moja zodpovednost, nie tvoja, takze sa len staraj o to aby si ho spravne zahashoval a ochranil databazu. to je vsetko.
zopar ludi vsak pouziva dlhsie hesla - automaticky vygenerovane, pripadne cele vety, kde aj 64 znakov je malo.
21.12.2019 16:15
8
Všem díky. Vypadá to že jediný pravidlo dáme na délku, a bude tam ještě ukazatel síly hesla, ať si uživatel rozhodne sám.
21.12.2019 16:17
9
Vynucena delka hesla nebo kombinace znaku je podle mne primarne a) ochrana lam, ktere davaji hesla jako 12345, qwert ap. a b) ochrana provozovatele, aby nemusel co tyden resit kompromitaci nejakehu uctu a souvislosti.

Pokud je pozadovane heslo 3+ znaku, tak by tam nemela chybet alespon ochrana proti opakovanému zadavani chybného hesla (jako třeba u platebních karet, pin 4digity, ale můžete zadat jen 3x a pak smula, spolkne ji mat).

Tahle debata o hesle mi prijde trochu mimo misu, protoze jste experti a vite, jaka hesla zadavat. Lamy neresi bezpečnost, ale snadne zadavani, tzn musí se jim trochu pomoct s tou bezpecnosti, i když to nekdy otravuje život.

Jsem trochu paranoidni, takze vynucuju hesla 6+ znaku a musí obsahovat alespoň mala/velka písmena (+ muze mit spec znaky, volitelne) a lidi s tim nemaji problem. A moje osobní hesla jsou často cele vety (třeba 30+ znaku), dobře se to pak pamatuje :)
21.12.2019 16:18
10
omezit jen minimální počet znaků na třeba 5, zbytek pravidel je obtěžujících. Raději si hlídej pokusy o přihlášení, nastav si nějaké limity na počty špatný pokusů (QoS) a hesla ukládej alespoň bcryptem.

Jsou společnosti, které se naprosto zbláznily do pravidel na složitost hesla, je to špatně. Raději přidat další prvek zabezpečení (2FA, ověření zařízení/prohlížeče IP, přihlašovací odkazy do emailů, čipové karty, oauth2 či openid atd.). Vynucovat složité heslo nejspíš nezvyšuje bezpečnost, právě naopak, lidé si ho musí psát či používají jedno složité na všechny služby. S tímhle přišly korporáty v čele s MS jak řešením jejich problémů se zabezpečení a nějak se to uchytilo.

Online služba je něco jiného než offline data, kde složité heslo dává smysl, u online službu máš spoustu jiných způsobů jak limitovat prolamování hrubou silou, uložená hesla zase můžeš zabezpečit složitým bcryptem a pravidelně zvyšovat jeho složitost.
21.12.2019 17:10
11
S 2FA mám trochu problém s platbou za SMS, při víc uživatelích se to docela nasčítá. Plus je potřeba požadovat telefon, to taky může působit negativně. Jinak dobrý tip na limit počtu přihlášení, to vypadá jako dobrý ale neobtěžující bezpečnostní prvek. Dík za tip.
21.12.2019 17:36
12
2FA se dela casovejma kodama, ne sms :) nebudte tak zblbnuty z tech bank
21.12.2019 17:49
13
Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje
21.12.2019 18:30
14
Jak byste sli na implementaci 2FA?
21.12.2019 19:23
15
Původně odeslal sipal
Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje
Ano, musi, nicmene proc pouzivat sms, kdyz existuje vicemene vsude pouzivany standard, ktery zadne sms a ani jine pripojeni nepotrebuje.
21.12.2019 20:05
16
2FA má velice široké možnosti implementace, nikoliv jen sms. Zkráceně se jedná o ověření druhým kanálem, ať už ten kanál je jakýkoliv. Osobně rád používám čipovou kartu (ala yubikey), u online služeb zase OTP (“časový kód”, kdy kód je odvozen od aktuálního času a privátního kódu od online služby, takže mi ho zobrazí mobilní aplikace rovnou).
22.12.2019 12:52
17
Ale aby tam zasa nebolo obnedzenie na prilis kvalitne heslo. Castokrat ma zamrzi, ked zadam "openssl rand -base64 32" a web mi taketo heslo odmietne. .. vlastne, na nejakych hostingoch som videl ponuku na automaticke vygenerovanie bezpecneho hesla. Nasledne len klikne v prehliadaci na ulozit zadane heslo a ide sa.
22.12.2019 14:44
18
Uplne fuk, na nekolika projektech overeno. Ja sam, jak uzivatel, davam na kazdy ucet random heslo pomoci KeePass v rozmezi 32 az 128 znaku, nasledne je doplnuji pomoci "two-channel auto-type obfuscation" v rezimu Secure Desktop. V podstate si posledni leta pamatuji jen ten master password.