Bohužel to takto funguje i v bankách :(
Asi před 3 týdny jsem si zablokoval účet (změna hesla každý rok se podepsala na mé paměti) a když jsem se snažil je na pobočce přesvědčit, ať mi zruší pravidelnou změnu hesla, bylo mi řečeno že to nelze. A že si to heslo mám někam napsat :)))
No nutit uzivatele internetoveho bankovnictvi zmenit si jednou za rok heslo je IMHO rozumne a nikoliv prehnane.
Co je spatneho na tom, si heslo zapsat? Nikdo vas nenuti si ho zapisovat v "plain-text" podobe.
Napriklad ja mam zapsane heslo - Skakal pes pres oves. Z toho moc snadno nevydolujete moje heslo obsahujici velka a mala pismena, cislice a specialni znaky.
A kazdy rok zmenim bud parametr toho stejneho psa (treba hmotnost za pocet stenat), nebo pouziji stejny parametr jineho psa.
Napsat si heslo na papirek a ten si dat do penezenky neni az tak spatny napad. I ten nejvetsi blbec vi, jak si ma penezenku hlidat. A i ten nejvetsi blbec pozna, pokud mu penezenku ukradnou.
Je potreba rozlisit hesla na papirku v penezence a hesla na post-itce prilepena na monitoru.
Na odlehčení bych poznamenal, že pravděpodobnost krádeže peněženky je přitom mnohem vyšší než pravděpodobnost krádeže monitoru. Pes aby se v tom vyznal!
To je snad stará známá věc, že vysoká míra požadované bezpečnosti vede přesně k opaku. Mají-li pracovníci vnucovánu vysokou míru bezpečnosti a přitom není-li zde schopnost míru dodržování pravidel nikterak dohlížet (třeba k tomu není vůle) dojde po čase k tomu, že se bezpečnostní pravidla přestanou dodržovat (protože jsou zdlouhavá a nepohodlná) a bezpečnost je na nule.
Ostatně pan autor zapomněl, že bezpečnost zdaleka netkví jen ve firewallech a podobných serepetičkách, které plní bezesporu důležitou úlohu, nicméně z pohledu celkové bezpečnosti to je úloha jen marginální. To, co je z pohledu bezpečnosti nejdůležitější je definice pravidel bezpečnosti, která obsahují mnohá další opatření (z mnoha dalších oborů a oblastí), a dohled nad jejich dodržováním a vynucováním.
A nakonec: pokud v ČR bude fungovat subjekt, který má právo přístupu k utajovaným skutečnostem, jednou z prvních podmínek dohlížející instituce (NBÚ)a zákona je úplné oddělení počítačů obsahujících chráněné skutečnosti od venkovního světa. Do té doby, než se najde nějaký mamlas, který notebook s utajovanými informacemi zapomene někde v hospodě pokud možno v nezašifrované podobě.
Takovým hezkým příkladem, kdy přílišné soustředění na bezpečnost vede k přesnému opaku, jsou některé české vysoké školy, např. ČVUT nebo ZČU. Na začátku je jistě správná myšlenka, že je dobré hesla pravidelně měnit. Takže jsou stanovena pravidla na hesla: že se heslo musí po určité době změnit, že má mít určitou složitost a že se nesmí heslo opakovat dřív než po X změnách; tato pravidla jsou pak systémem vynucována.
Důsledek? Poměrně hodně lidí si zvolí základní triviální heslo (třeba "heslo") a požadovanou složitost, změny a neopakovatelnost zajistí tím, že postupně prochází "heslo1", "heslo2", ..., "heslo9", "heslo1", ... Kdyby byla pravidla stanovena měkčeji (třeba vyřazením požadavku na změnu hesla), sice by to teoreticky bezpečnost zmenšilo, ale vytvořilo by to prostředí, kde uživatelé nemají takový problém používat silná hesla.
ČLÁNKY DO MAILU