Názory k článku Bezpečnostní střípky: odborníci říkají: „věnujte pozornost bezpečnému používání hesel“

Ono s těmi hesly je to možná trochu jinak.

Založit bezpečnost vzdálené autentizace jenom na heslech je alibismus výrobců a dodavatelů aplikací. V dávných dobách to možná nějak fungovalo, těch přístupů měl uživatel maximálně jeden - dva přístupy, to už byl pan někdo.

Ale dnes? Běžně lidi mají přístup klidně do 10 systémů různých aplikací (admini minimálně o řád víc) a chcete-li pro lidi aspoň trochu rozumnou bezpečnost (min8 znaků), pak vám vyjde u 10ti systémů 80znaková unikátní housenka. Nutit normální lidi k tomu, aby si udržovali svá hesla jedinečná, neuhádnutelná, dlouhá a s kašpárky je masochismus. A to vás pak ještě navštíví pan auditor a vysvětlí vám, že tu housenku máte měnit, nejlépe jednou za 3 měsíce, jinak že jste ohrožením národní bezpečnosti.

Opravdu si myslíte, že ten zakopaný pes je v tom borcovi, co má dělat každé 3 měsíce reparát na nové 80tiznakové heslo?

Zdravím,
můj komentář se netýkal IT znalých lidí včetně Vás - tato 10tiprocentní množina z celé populace má to štěstí, že umí některá rizika hesel omezit. Ten komentář byl myšlen na těch zbylých 90%, co se IT nevěnují, ale musí s ním nějak žít. Do toho řadím i toho pana ředitele.

Správně zmiňujete, že v jedné firmě lze zpravidla nastolit pořádek a většinou nějaký jednoheslový single sign on lze zprovoznit. Jenže ty lidi kromě práce v té jedné firmě mají účet i do soukromého emailu, nakupují v e-shopech, navštěvují diskuzní fóra, facebooky, čtou předplacené noviny apod. To je bohužel dnešní realita a tady panu řediteli s jednofiremním SSO nepomůžeme.

Jedno heslo ve firmě - to si ještě s trochou snahy do hlavy dokázat dostane, ale už nemá šanci, pokud má fungovat i mimo firmu. A to potom na něj ještě sešlou trest v podobě datové schránky, tam už jde úplně sranda stranou - operace pana ředitele s datovou schránkou mají právní důsledky, takže v klidu může přijít o firmu nebo o střechu nad hlavou.

A když se vrátíme k té jedné firmě - v nadnárodních společnostech jen se single sign většinou nevystačíte. Obvykle totiž musíte pracovat s kontraktory, zákazníky, dodavateli a vendory. Pokud používáte jejich služby, servis, dodávky, pak stejně musíte používat hodně účtů do systémů mimo vaši organizaci, a pochybuji, že tam dosáhne firemní SSO. Taktéž nadnárodní firmy rádí polikají menší firmy, takže probíhají různé migrace a přebírání, zmigrovat pohlcenou firmu do SSO mateřské firmy vůbec není sranda.

Krom toho, firmy nebo státní organizace si taktéž občas chtějí nebo dokonce mus9 uchovat nezávislost (silové rezorty a pod.)- prostě nechtějí být napojeni na Big Brothera, který jim řídí a centrálně uchovává účty. Chtějí si to řídit sami, chtějí mít zabezpečení pod svou kontrolou.

Takže to jedno heslo na vzdálenou autentizaci dnes už opravdu není moc použitelná technologie.