Pravidla pro sílu hesla na webu cestovky

21. 12. 2019 13:07:49

Řešíme jak nastavit pravidla na sílu hesla, aby to lidi pokud možno vůbec neprudilo. Co považujete za minimální nutné podmínky? Délka hesla, a ještě něco?

Nebudeme tam mít žádné citlivé údaje, karty nebo tak něco. Nejhorší, co se může stát při hacknutí účtu je, že někdo provede objednávku, kterou pak neuhradí, nebo pošle nějaká falešná hodnocení. Nejde o život, tak to nechci hrotit jako v korporátu.

21. 12. 2019 13:07:49

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429495

dusivk

(4 hodnocení)

21. 12. 2019 14:22:39

Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.

21. 12. 2019 14:22:39

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429494

Antonín Vodička

(65 hodnocení)

21. 12. 2019 15:00:21

Maximálně jeden velkej znak a jedno číslo, vše ostatní by mě od registrace odradilo, je to nesmysl a opruz, když o nic nejde.

21. 12. 2019 15:00:21

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429493

PetrP

21. 12. 2019 15:12:57

Napsal dusivk;1560167
Mala písmena, velká písmena, číslice, speciální znaky, minimálně dvě množiny a délka 8 znaků.

To je přesně ta pruda který bych se rád vyhnul :)

21. 12. 2019 15:12:57

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429492

(20 hodnocení)

21. 12. 2019 15:15:39

Na takovyhle necitlivy systemy zadny pravidla nenastavujeme, at si tam pro me za me daj heslo "A", sam pises, ze se vlastne nic nestane... Na citlivejsi systemy davame jen vynucenou dylku a aktivne kontrolujeme novy zarizeni s potvrzenim na email a tlacime dvuofaktorovou autorizaci... Sanzit se lidem nutti aby meli neco konkretniho v hesle, je stejne k niecmu, kdyz si pak to same heslo daji vsude... Takze by atm mohli mit cokoliv a stejne jim to nekdo hackne z úniků...

21. 12. 2019 15:15:39

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429491

Vladimír Pilný

(62 hodnocení)

21. 12. 2019 15:16:22

Edit: radši na to kašlu :)

smazat pls

21. 12. 2019 15:16:22

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429490

node

(5 hodnocení)

21. 12. 2019 15:43:14

3-64 znakov, niac viac. na nespocetnom mnozstve webov som sa neregistroval/nevyuzil som sluzbu/nedal som zarobit firme lebo mali retardovane podmienky na heslo. nenecham si od nikoho diktovat co a ako mam robit. heslo je moja zodpovednost, nie tvoja, takze sa len staraj o to aby si ho spravne zahashoval a ochranil databazu. to je vsetko.

zopar ludi vsak pouziva dlhsie hesla - automaticky vygenerovane, pripadne cele vety, kde aj 64 znakov je malo.

21. 12. 2019 15:43:14

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429489

PetrP

21. 12. 2019 16:15:25

Všem díky. Vypadá to že jediný pravidlo dáme na délku, a bude tam ještě ukazatel síly hesla, ať si uživatel rozhodne sám.

21. 12. 2019 16:15:25

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429488

skorozacatecnik

21. 12. 2019 16:17:24

Vynucena delka hesla nebo kombinace znaku je podle mne primarne a) ochrana lam, ktere davaji hesla jako 12345, qwert ap. a b) ochrana provozovatele, aby nemusel co tyden resit kompromitaci nejakehu uctu a souvislosti.

Pokud je pozadovane heslo 3+ znaku, tak by tam nemela chybet alespon ochrana proti opakovanému zadavani chybného hesla (jako třeba u platebních karet, pin 4digity, ale můžete zadat jen 3x a pak smula, spolkne ji mat).

Tahle debata o hesle mi prijde trochu mimo misu, protoze jste experti a vite, jaka hesla zadavat. Lamy neresi bezpečnost, ale snadne zadavani, tzn musí se jim trochu pomoct s tou bezpecnosti, i když to nekdy otravuje život.

Jsem trochu paranoidni, takze vynucuju hesla 6+ znaku a musí obsahovat alespoň mala/velka písmena (+ muze mit spec znaky, volitelne) a lidi s tim nemaji problem. A moje osobní hesla jsou často cele vety (třeba 30+ znaku), dobře se to pak pamatuje :)

21. 12. 2019 16:17:24

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429487

TomasX

(4 hodnocení)

21. 12. 2019 16:18:35

omezit jen minimální počet znaků na třeba 5, zbytek pravidel je obtěžujících. Raději si hlídej pokusy o přihlášení, nastav si nějaké limity na počty špatný pokusů (QoS) a hesla ukládej alespoň bcryptem.

Jsou společnosti, které se naprosto zbláznily do pravidel na složitost hesla, je to špatně. Raději přidat další prvek zabezpečení (2FA, ověření zařízení/prohlížeče IP, přihlašovací odkazy do emailů, čipové karty, oauth2 či openid atd.). Vynucovat složité heslo nejspíš nezvyšuje bezpečnost, právě naopak, lidé si ho musí psát či používají jedno složité na všechny služby. S tímhle přišly korporáty v čele s MS jak řešením jejich problémů se zabezpečení a nějak se to uchytilo.

Online služba je něco jiného než offline data, kde složité heslo dává smysl, u online službu máš spoustu jiných způsobů jak limitovat prolamování hrubou silou, uložená hesla zase můžeš zabezpečit složitým bcryptem a pravidelně zvyšovat jeho složitost.

21. 12. 2019 16:18:35

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429486

PetrP

21. 12. 2019 17:10:08

S 2FA mám trochu problém s platbou za SMS, při víc uživatelích se to docela nasčítá. Plus je potřeba požadovat telefon, to taky může působit negativně. Jinak dobrý tip na limit počtu přihlášení, to vypadá jako dobrý ale neobtěžující bezpečnostní prvek. Dík za tip.

21. 12. 2019 17:10:08

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429485

(20 hodnocení)

21. 12. 2019 17:36:41

2FA se dela casovejma kodama, ne sms :) nebudte tak zblbnuty z tech bank

21. 12. 2019 17:36:41

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429484

PetrP

21. 12. 2019 17:49:38

Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje

21. 12. 2019 17:49:38

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429483

node

(5 hodnocení)

21. 12. 2019 18:30:54

Jak byste sli na implementaci 2FA?

21. 12. 2019 18:30:54

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429482

(20 hodnocení)

21. 12. 2019 19:23:39

Napsal sipal;1560214
Tak ale pořád ten kód na ten telefon nějak musíš dostat ne? Takže SMS nebo další apka. Nebo na mail se to taky bere jako bezpečné? Nebo klidně napiš jak to funguje

Ano, musi, nicmene proc pouzivat sms, kdyz existuje vicemene vsude pouzivany standard, ktery zadne sms a ani jine pripojeni nepotrebuje.

21. 12. 2019 19:23:39

https://webtrh.cz/diskuse/pravidla-pro-silu-hesla-na-webu-cestovky#reply1429481