Vlákno názorů k článku
Podmínku TPM 2.0 pro Windows 11 nepůjde obejít od rpajik - Nerozumím tomu humbuku .... předně nějakou formu TPM...

Nerozumím tomu humbuku .... předně nějakou formu TPM mají v sobě procesory Intel i AMD už pěknou řádku let, takže stači tuto funkcionalitu povolit v biosu a je hotovo. Do mnoha desek lze TPM modul za pár korun doplnit. Repasovaný počítač nebo notebook co splňuje veškeré požadavky Windows 11 lze koupit v pohodě do 5 tisíc.

To podstatné je, proč to Microsoft tlačí. Budoucnost autentifikace je bez hesel ... jak chcete bezpečně provozovat technologie typu passkey na zařízení bez nějaké formy TPM?

Tj, to je naporsto k nepochopeni, ze kdyz maji lidi miliardy kusi zcela funkcniho a naprosto vyhovujiciho HW, ze ho nechteji vymenovat kvuli volovine, kterou naprosto nanic nepotrebujou.

Heslo je zcela nenahraditelny koncept, a neeixstuje pro nej naprosto zadna ani jedna jedina alternativa.

Na webové služby heslo opravdu potřeba není … prostě to službu opřu proti externí oauth2 službě a tam se přihlásím přes passkey nebo hw tokenem.

Až všichni začnou vynucovat password policy dle NIS2, včetně expirace … tak Vás ta láska k heslům rychle přejde. I s password managerem je to neudržitelný.

Az na takovy drobnosti ze ... jakykoli zabezpeceni (ktery se zabezpecenim chce vubec zovat) vyzaduje aby v tom bylo "neco znat" === heslo. A NIS2 zadnou expiraci hesel nepozaduje.

Jenže je rozdíl, pokud heslem odemykám HW token, nebo se heslem přihlašuju. Protože bez toho konkrétního zařízení je to heslo samo o sobě k ničemu.

Návrh vyhlášky o kybernetické bezpečnosti, paragraf 20 odstavec 6 ( povinnost expirace hesel je bod f ):

Povinná osoba do doby splnění požadavku pro ověření identity administrátorů,
uživatelů a technických aktiv využívající autentizační mechanismus založený na
autentizaci pomocí kryptografických klíčů nebo certifikátů podle odstavce 5,
využívá nástroj pro autentizaci pomocí identifikátoru účtu a hesla a tento nástroj
musí vynucovat následující pravidla
a) délky hesla alespoň
1. 12 znaků pro účty uživatelů,
2. 17 znaků pro účty administrátorů,
3. 22 znaků pro účty technických aktiv,
b) umožňující zadat heslo o délce alespoň 64 znaků,
c) pro ověření identity technických aktiv musí být výchozí heslo bezodkladně
změněno a nové heslo musí být vytvořeno náhodným řetězcem složeným
z malých a velkých písmen, číslic a speciálních znaků,
d) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
e) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi
dvěma změnami hesla nesmí být kratší než 30 minut,
f) povinné změny hesla v intervalu maximálně po 18 měsících,
g) neumožňující uživatelům a administrátorům
1. zvolit si hesla ze slovníku nejčastěji používaných hesel,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího
jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích
hesel.

Ve vypořádávacím dokumentu byl návrh na změnu zamítnut.

Jezdí ti auto? No tak já ti na něj přestanu dělat pneu, ale nabídnu ti nové auto.. sice dělá všechno co tvoje staré, ale jako bonus můžeš testovat jeho chyby a to prosím za velkého sledování...

Fakt mě nenapadá, proč bych k tomu nutně potřeboval zrovna TPM.

Nepotřebujete TPM, můžete použít HW token. Vše ostatní je zkopírovatelné.

Je jen a jen věc uživatele, jestli mu to vadí nebo ne.

No moment, já mám TPM, povolil a přesto to nejde. Nezáleží náhodou na verzi TPM? Dell Optiplex 7010, který v phodě zvládně všechnu práci.

Ano, chce to TPM 2.0. Optiplex 7010 je 13 let starý zařízení … sorry ale to je jako si stěžovat že na 13let starym mobilu nejde latest Android nebo IOS.

Já si nestěžuju. Reaguji na to, že to má být nějaký humbuk. Není. Prostě MS nechce třináct let stsré PC, které na W10 bez škobrtnutí jede. Váš argument je tedy bez jakékoliv relevatní podpory. Prostě se vám nelíbí jen věk. Užitek je podružný.

Na 13 let starý mobil taky nedostanete nejnovější OS a často jde o zařízení velmi drahá. Stále se může každý rozhodnout, jestli win11 chce nebo ne. Z mého pohledu jsou ty požadavky obhajitelné bezpečností … což se musí vynucovat ( stejně jako když se z browserů odebírá např. podpora TLS 1.0 )

Popravdě řečeno není. Je to umělé omezení. Je to jako „Aktualizace pro váš (starý) telefon nemůže být stažena, protože máte pomalou wifi“.