Síla hesel a přístup k jejich tvorbě

22Srp/113

Bezpečnost

Hesla. Hesla nás obklopují. Kdy naposled jste nějaké heslo zadávali? Odhaduji, že v poslední hodině to bylo určitě. Každý z nás má svůj specifický způsob pro tvorbu hesel. Od jmen svých domácích mazlíčků přes číselná hesla, jednoduchá slova, smyšlená slova, směsi speciálních znaků připomínajících slova až po naprosto náhodnou směsici znaků. Většina z nás si svá hesla snaží zapamatovat, jiní si lepí na monitor. V článku se však chci zaměřit především na požadavky, jaké jsou na nás kladeny (jako na uživatele) ze strany webových stránek.

Určitě už jste se setkali například s požadavkem na délku hesla „heslo musí mít minimálně 5 znaků“ a přesně tomu se hodlám věnovat. Jedna osoba mně blízká často používá specifický způsob tvorby hesel – skládání zdánlivě naprosto nesouvisejících slov za sebe. Například heslo „TrpaslikChlorovodikovaZemeZubarProgramovani“ mi se svými 46 znaky přijde jako poměrně silné. Slabým by se stalo až v případě, že by někdo vedl útok na konkrétní osobu a věděl by, že takový způsob tvorby hesla používá. To však nyní neřešme.

Čím dál častěji (naposledy u O₂) narážím na požadavky typu „Heslo musí obsahovat 6 až 25 znaků bez diakritiky a musí být kombinací nejméně tří z následujících prvků: velká písmena, malá písmena, číslice a speciální znaky.“ A teď babo raď. Máme hned několik problémů:

Heslo může být dlouhé pouze 25 znaků. Proboha, proč? Ukládají si ho snad v plain-textu? Výsledkem je heslo „TrpaslikChlorovodikova“ – mnohem slabší než původní, že? 🙂
Heslo musí obsahovat číslice. Tak OK, pozměním heslo na „Trpaslik4Chlorovodikova“. Ani tak si nejsem moc jist, že je heslo lepší než původní.

Výsledkem požadavků na „pořádně“ silné heslo je tedy heslo mnohem slabší. A nakonec stejně přijde chytrý Franta uživatel a zvolí si heslo „Abc123“.

Takže pokud tvoříte nějaké webové aplikace, počítejte sílů hesla nějakým sofistikovaným způsobem nebo dané požadavky stanovte pouze jako doporučení. Uživatelé to ocení.

PS: A vážně neukládejte hesla v plain-textu 🙂

Jak jsem k heslu přišel (pouze pokud vás zajímají nesmysly):

První krok je vymyslet základní slovo: Trpaslík. Následně pomocí asociace přidáváme slova další. Trpaslík bývá ze sádry, která se vyrábí ze sádrovce. Ten je rozpustný v kyselině Chlorovodíkové. Pokud kyselinu chlorovodíkovou smícháme s hydroxidem sodným, získáme vodu, která tvoří většinu povrchu Země. Když člověk spadne na zem, obvykle to bolí, což připomene Zubaře, u kterého obvykle sedíte v křesle – jako u Programování. A co se týče rozšíření o číslo 4 – sádra má označení CaSO₄ · ½ H₂O. V praxi je samozřejmě běžné používat mnohem jednodušší asociace 🙂

Označeno jako: bezpečnost, hesla Zanechat komentář

Bulw4

Chlape ty máš problém :D… žasnu nad tvými asociacemi :D Nicméně podobné, zdánlivě nesouvisející výrazy používám taky a doporučuji… hezký článek ;)
- Jan Voráček
  
  Díky :) A jak říkám, je to jenom příklad. Uznávám ale, že jsou ty asociace trochu přehnaný :)
kubastr

Konkrétně u O2, které je zmíněno v článku, jsem pro zákazníka obnovoval heslo. Jaké bylo moje překvapení, když mi obě jeho hesla pouze na základě čísla faktury zaslali emailem tak, jak je před lety zadal. Takže ano, ukládají si je v plaintextu.

Closure Table – stromy v MySQL trochu jinak » « Otazník jménem Google+

Autor blogu

Jan Voráček

Líbí se vám tento blog?

Kategorie

Bezpečnost (1)
Databáze (1)
Programování (4)
- Dart (1)
- Javascript (2)
- TypeScript (2)
Tok myšlenek (2)
Webové stránky (4)
Ze života (2)

Nepříliš chytrý blog Od programování po jezevce