Názor k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od Uncaught ReferenceError: - máš tady řadu věcí, které mají časovou platnost...
-
máš tady řadu věcí, které mají časovou platnost omezenou zákonem (třeba zminěné občanky, licence a povolení, tam všude se to digitalizuje a musíme se nějak vypořádat s prací s hesly/tokeny/klíči), stejně tak je je vhodné omezovat časovou platnost všude, kde je nějaká kryptografie (viz třeba TLS nebo časová razítka, u nich ti nevadí, že mají omezenou platnost?).
Pořád mluvíš o heslech, který uživatel někam zadává, ale ten problém je širší, já vůbec nemluvím o heslech, který zadávám někam do formuláře a přihlašuji se s nimi. Ono se to ale vztahuje i na hesla, který nikdy neopustí nějaké zařízení a uživatel je ani nemusí nikdy vidět, různé tokeny či jiné preuath věci, technické účty pro integrace. Ten požadavek na platnost hesla 18 měsíců totiž platí i pro technické účty a různé předgenerované tokeny, privátní klíče (vč. klíčů pro ssh), což je daleko větší zásah než platnost osobního hesla pro uživatele.
Třeba u HW tokenu se uživatel může prokázat pouze pinem, ale součástí HW token je master heslo, který má svoji platnost (resp. tu platnost má třeba certifikát v tokenu).
Vztahuje se to celé i třeba na osobní certifikáty, které vydáváš zaměstnancům (platnost 18 měsíců se vtahuje i na ně). TLS postupně snižuje dobu platnosti a 2 leté certifikáty dnes už prohlížeče nemají rádi, to celé se děje právě kvůli bezpečnosti a ty mi tady argumentuješ, že přece neomezená platnost "hesla" je dobře. Ne není a není to bezpečné, znovu zdůrazňuji, že se nebavím o osobních heslech, který zadáváš do webového formuláře na přihlášení, ale ten obor "hesel" je daleko širší než se zdá.
