Názor k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od 5uch - Tak to mi nedá a musím reagovat... Není to...

Tak to mi nedá a musím reagovat...

Není to tak dávno - zažil jsem před rokem a nejspíš stále platí.

ERP systém (účetnictví, majetek, sklad...) od firmy Gordic (klidně je prásknu). Jejich levný "souborový" systém je protlačován do "malé" státní správy a příspěvkových organizací.

V jejich systému je možné mít IDENTIFIKACI UŽIVATELE POUZE HESLEM (a dokonce je to konzultanty doporučený způsob a default způsob přihlašování!) A heslo vlastně není heslo, ale číselný PIN. A konzultanti firmy doporučují používat právě 4-místné číslo.

Důsledky:
- Do některých subsystémů jde zadat dva různé uživatele se stejným PINem (heslem). Když se tímto PINem přihlásí, můžete si hodit kostkou, pod účtem kterého z nich a s jakými přístupovými právy budete pracovat.

- Jeden ze subsystémů (tuším Majetek) zvolit stejné heslo nepovolí, ale zase na duplicitu upozorní. ;-) Takže získáte (i nechtěně) přihlašovací údaje stávajícího uživatele.

- Brute force útok na přihlášení na 4-místný PIN je možný, systém neomezuje počet chybných přihlášení. Navíc ("osvětová" činnost a výchozí nastavení od konzultantů) stačí obvykle zkusit 1111, 2222, ... 9999 a něco z toho nejspíš vyjde. 9999 bývá nejvyšší úroveň práv.

A ještě něco navíc: Pokud si uživatel změní heslo (PIN) a použije v něm nečíselné znaky, změna mu projde. Ale už se do systému nepřihlásí (ani starým, ani novým heslem).

Je něco takového možné v roce 2022, 23? Je.