Vlákno názorů k článku
Ze systémů Evropského parlamentu unikla data o tisících úředníků od Ravise - > Systém totiž vynucuje změnu hesla každé tři...

> Systém totiž vynucuje změnu hesla každé tři měsíce.

Takže namísto nadatlování "heslo12" je potřeba použít hlavu a přičíst (1 změna / 3 měsíce × 2 roky) = 8 a nadatlovat "heslo20"? :) Jsem zvědavý, kolik z rozlousknutých hesel bude ve formátu "heslo + pořadové číslo"...

Ať už je minimální komplexnost hesla jakákoliv, dokud si neodlíváš otevřený tvar hesla ještě před hashováním, nezabráníš člověku udělat změnu z "SuPeRK()mplex­ní_Heslo1" na "SuPeRK()mplex­ní_Heslo2".
A i když zakážeš přírůstek po jedné, budou lidi přičítat po dvou, po deseti, dají číslo mezi slova, prostě ti ten systém obechčijou. Měl bych to vědět, sám to - bohužel - dělám.

Z čistě formálního hlediska pravidelná změna hesla nic bezpečnosti nepřináší. Když započteš lidi, co půjdou cestou nejmenšího odporu...

Existují i hashovací algoritmy (pro ukládání hesel samozřejmě nevhodné), které podobný vstup hashují na podobný nebo stejný výstup – ty by naopak takovým drobným obměnám hesla mohly zabránit.

Podle mne pravidelná změna hesla naopak bezpečnost snižuje. Protože to právě dříve či později lidi donutí jít cestou nejmenšího odporu a používat nějaké slabé heslo s předvídatelnou obměnou. Nechápu, jak to že se takový nesmysl tak dlouho drží v best practices. Je to krystalicky čistá ukázka toho, že někdo objeví problém, vůbec nezkoumá, jak je vážný, vymyslí si to nejjednodušší řešení a to zavede do praxe, aniž by se zabýval tím, jaké budou reakce na tohle řešení – a zda výsledek náhodou nebude horší, než před zavedením tohoto opatření. Jediný vektor útoku, před kterým pravidelná změna hesla chrání, je ten, že se někdo omylem dozví cizí heslo a dřív, než se na to přijde, dojde k časem vynucené změně hesla.