Názor k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od Uncaught ReferenceError: - těžko posuzovat bez kontextu. Není heslo jako heslo,...
-
těžko posuzovat bez kontextu. Není heslo jako heslo, může to být třeba důsledek toho, že heslo se váže k certifikátu s omezenou platností, které je součástí HW klíčenky/vstupní karty. Pravidelná změna hesla se může vázat i na proces fyzické přítomnosti někde, nemusí se ani vynucovat, že nové heslo musí být jiné atd. (viz třeba pin k občance).
Někdy ty omezení plynou i z technologií, které se používají (nemožnost evidovat poslední použití hesla a nutnost pravidelně aktualizovat hashovací algoritmus). Ne, všechny typy hesel se validují pouze online a můžeš zajistit rate limiting a uzamykání.
V tom příspěvku jsem narážel na forward secrecy v rámci šifrování, kdy dneska je norma symetrické klíče v rámci zabezpečeného spojení měnit v hodinových intervalech jako obranu proti zpětnému louskání.
Můžeme se o tom bavit teoreticky jak chceme, ale prakticky se IT systémy budují v nějakém prostředí, které mají nějaká svá specifika, životní cykly a nemůžeš ze dne na den to změnit jakkoliv.
Ne všechno je webová stránka s přihlašovacím formulářem, víme? Miluji, když okamžitě víš, že to je špatně, aniž bys aspoň na chvilku připustil, že rozmanitost systémů může být různá a NĚKDY to může dávat smysl.
