Vlákno názorů k článku Postřehy z bezpečnosti: konec světového dne hesel od Danny - Kolem hesel je toho vice a u nas...

Kolem hesel je toho vice a u nas se to bohuzel prilis neakcentuje. Pritom NIST SP 800-63B mimo jine v sekci 5.1.1.2 uvadi, ze by se nemely vynucovat periodicke zmeny hesel a jsou tam i dalsi veci, co (ne)delat. Obdobne se vyjadruje britsky NCSC.

Bohuzel spousta radoby-bezpecaku se tim neridi a vymysli ruzne obskurdni politiky. A vladne tomu NUKIB, ktery to cpe i do legislativy, vcetne te nove kolem NIS2. Meli sanci udelat moderni predpis, ale dopadlo to jako vzdycky. Smutne je, ze se na NIST SP 800-63B primo odvolavaji, ale zda se ze jeho textu zcela neporozumeli.

Ehm ... cokoli co vyplodi NUKIB je zarny priklad toho, jak veci zasadne a nikdy nedelat.

Pricemz je uzasny, ze se snazej ...at do soukromych firem, ale sami nezvladaji ani zaklady (RSD treba ani nezalohuje, napriklad).

Zrovna NÚKIB na tom není ohledně pravidel k heslům až tak špatně. Je tam: pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.

(viz 82/2018 §19 odst 5 f))

Přičemž to platí pouze pokud používáte heslo. NÚKIB vás nijak nenutí hesla používat!

Což není proti tomu, co hlásá zmiňovaný NIST.

Neříkám, že je to dokonalé, ale špatně to není.

Používat hesla vás nutí spousta systémů, protože prostě jinou možnost než přihlášení heslem nemají.

Vynucování povinné periodické změny hesla je proti tomu, co tvrdí NIST a co tvrdí bezpečností experti. Vynucování pravidelné změny je špatně a vede to ke slabším heslům.

Vede to třeba k heslům ve kterých se pravidelně točí nějaký jeden znak či něco podobného. A ten systém obvykle prokoukne i průměrně inteligentní šimpanz, takže je to ve výsledku pořád jen jedno heslo.

Pardon, ale už jak je to formulované je to úlet. Pracuju někde pět let a budu mít pět hesel. Fakt dík. Což by nebyl problém kdybych neměl účty na desítkách dalších míst. V praxi to skončí přidáváním nějaké krátké sekvence na konec hesla a pokud bude systém dostatečně chytrý a pozná to, máte na papírkový problém zaděláno jedna radost.

Jen 5 hesel? Já za poloviční dobu projel celý řádek klávesnice a už jsem zase v půlce :D

18 mesicu je porad periodicka zmena. NIST rika, ze by se tyhle veci delat proste nemely, nikde tam nemate ani carku o tom, ze 18 mesicu je OK. To je lokalni vymysl NUKIBu.

Proble. je, ze s odkazem na tu vyhlasku spousta bezpecaku tu periodu jeste zkrati a defacto pouzije stejnou argumentaci jako NUKIB. V podstate tim vsichni obchazi to, ze bezpecnostni incidenty se nikomu moc monitorovat nechce a pouziva se to jako alibisticka ochrana proti pripadnemu uniku hesla. Obycejna ceska lenost. A i tohle je v rozporu s tim, co rika NIST.