Postesk nad nesmyslnými požadavky na hesla

[Reff]

Ano, doba kdy si lidé volili hesla typu "hanka", "windows" nebo "nokia" už jsou naštěstí dávno pryč, ale..

 

Při registraci na toto fórum bylo jedenácti-místné heslo obsahující kombinaci velkých i malých písmen, číslic a tečky považováno za nedostačující.
Defualtní heslo na Wi-fi na černém compalu od VF má 12 znaků, na úžasné super wifi dokonce 16 - i když tedy s absencí velkých znaků tuším.

 

Teď malinko matematiky ať víme, kde je ta absurdita 🙂

Za mě asi nejběžnější a nejrozumnější požadavek na heslo je délka osm znaků, se zastoupením malého/velkého písmene a číslice alespoň po jednom znaku.
Malá abeceda 26 znaků, velká totéž a 10 číslic. Celkem 62 znaků co mohou být na každé z osmy pozic v hesle.
Výpočet na počet možných kombinací je 62 na osmou, tj. 218340105584896 možných hesel.
Pokud by útočník zvládl skusit deset tisíc hesel každou sekundu, vyzkoušení všech možných kombinací by mu trvalo 692 let. (218340105584896/10000/60/60/24/365)

Pokud by si všechny tyto kombinace chtěl útočník nejdříve připravit do textového souboru, měl by výsledný soubor oněch 218 340 105 584 896 řádků a jeho předpokládaná velikost by byla 1787 TB (údaj z nástroje crunch z linuxového prostředí).

Přidáním jen jednoho, deváteho znaku se všechny tyto údaje zněkolikanásobí.

Tak vážně, k čemu to je? Fakt někdo touží po heslu k mému účtu na tomto fóru, že by si dal takovou nezvládnutelnou práci? Nebo soused co chce ušetřit za internet? Firmy ať si na zabezpečení najmou lidi s mozkem a nám smrtelníkům zbytečně neztěžujte život. Stejně za úniky takovýchto hesel může v 99% případech lidský faktor a je úplně jedno jak komplikovaná ty hesla jsou...

[Slamb]

my smrtelníci používáme správce hesel, takže si heslo vygenerujeme, uložíme a to je poprvý a naposledy, co ho nějak řešíme 😮 a kdyby došlo k úniku hesel, tak je nám to celkem jedno, protože používáme MFA, který si tu můžeš taky aktivovat 😊

[Ivo2003]

Bezpečné heslo na wifi je důležité a tak je dobře, že má tolik znaků.

Lidi zabezpečení wifi často podceňují a neuvědomují si, co se může stát. Například kompromitace domácí sítě a krádež dat z počítače, nebo i zneužití připojení k nelegálním účelům  a následná návštěva policie.

[Reff]

Kdo chce, ať si vygeneruje třeba kilometr dlouhý nesmysl, ale nutit do toho každého je za mě blbina. Je to jako jezdit lambem po centru Prahy, nebo jít sbírat pampelišky s motorovou pilou..
 

Únik dat? Možná na wifině v mekáči, určitě ne doma.

Zneužití připojení? Ale no tak, za dva dolárky si skrze decentralizované VPN vyberu z tisíců IP, které lidé sdílí se všemi a naprosto dobrovolně..

Nechci se tu o něco přít, jen jsem to nadhodil k zamyšlení..
 

[cvancara]

[Marek-26]

Njn, speciální znaky 😉 

 

Ad délka hesla. Kdyby tu a pro WiFi bylo 8 místné heslo, tak lidi použijí stejné, co všude jinde. Pak stačí, aby se někdo dostal k emailu a heslu kdekoliv a pak už jen stačí pustit robota, který tu kombinaci bude zkoušet všude a začne emailem. Když se dostane útočník do emailu, tak tam, kde se nepřihlásí, protože tam je zrovna jiné heslo, tak stačí dát zapomněl jsem heslo a reset přijde většinou do emailu.

[tomus]

Také jsem toho názoru že nastavená obtížnost hesla zde na fóru je přehnaná a zbytečně to obtěžuje nové uživatele při zakládání účtu, už jsem to v minulosti řešil i s adminem leč marně,

sám jsem s tím tady měl problémy vymyslet nějaké  heslo a to si pak ještě zapamatovat, pokaždé jsem ho stejně do druhého dne zapomněl, ukládat si ho do správce hesel pro mě není tím správným řešením, já ho chci mít v hlavě a používat v různých prohlížečích a operačních systémech a nedávat ho k dispozici nějaké třetí straně.

Argument že stejné heslo někdo může používat v emailu či jiných službách neberu, to už je problém samotných uživatelů a tohle fórum za to nenese žádnou odpovědnost.

 

[Ivo2003]

Požadavky jsou asi přísnější než dříve, když jsem se tu v 2021 registroval, tak mi to uznalo heslo, které by už dnes neprošlo.

Otázka je, jestli takové přísné požadavky na hesla vymyslel Vodafone a nebo to takto požaduje majitel platformy fóra Invision comunity.

[janmichaelvincent]

Problém je, že síla hesla není přímo daná ani jeho délkou, ani typy použitých znaků, ale mírou entropie (náhodnosti). Osmiznakové heslo může být bezpečné, nebo také vůbec (když to bude běžné slovo ze slovníku, jméno, datum atp.). Sejně tak 16-znakové heslo může být k ničemu, když bude snadno uhádnutelné (a to, že dám nakonec nějaký vykřičník nebo jiný "speciální" znak, je úplně jedno).

Proto by bylo fajn vyměnit rádoby chytré požadavky na hesla nějakým algoritmem, který dokáže aproximovat náhodnost libovolného řetězce.

[Ivo2003]

Jako heslo na wifi mám 19 náhodných znaků, malé i velké pismena a čísla.  To by mělo být dostatečné 😂

Problém který zmínil cvancara už Vodafone řeší.

 

 

https://invisioncommunity.com/forums/topic/478060-password-requirements-dont-work-properly/#comment-2969700