Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od misch - s povinnou kombinací znaků jsou čistě alibismus bank....
-
misch (neregistrovaný)
s povinnou kombinací znaků jsou čistě alibismus bank. Někdo zjevně nedokáže pochopit, že si člověk vlastnoručně zvolené heslo např. "banka: kobyla ma MALY b0k." může zapamatovat a udržet v tajnosti. Uměle zvolené heslo typu "xf6%Zrp58,x" jen vypadá komplikovaně, ale jeho praktická použitelnost je nulová a stejně ho budu muset mít někde poznamenané.
Nenávidím služby které mě nutí volit heslo podle JEJICH představ o bezpečnosti, nedejbože když je tam navíc omezení i na maximální délku hesla :(.
-
soumar (neregistrovaný)
Plně souhlasím. V předchozím zaměstnání nám nastavili pravidla pro přístup do sítě tak, že heslo muselo být minimálně 9 znaků dlouhé a musela se tam vyskytovat minimálně jedna číslice a jeden nealfanumerický znak. Navíc se heslo muselo každý měsíc měnit. To vám po pár měsících dojdou nápady na snadno zapamatovatelné heslo a stejně si ho budete muset někam poznamenat. Není větší zábava než vzpomínat na heslo po 14 denní dovolené, když jste ho musel dva dny před dovolenou změnit.
-
Pavel (neregistrovaný)
No, a teď si vemte, co se stalo v jedné z našich big four bance.
Koupili si od nás SW s full service, tak jsem jim ho naklusal nainstalovat. Přijdu do kanclu, tam mě prstem ukážou na počítač, a že tam to mám dát. Já je požádám o přihlášení na administrátorský účet, oni že to neznají, že mají správu počítačů outsoursovanou, ať si zavolám na číslo xxxxxxxxx. Tak tam volám: Haló, tady já, potřebuju administrátorské jméno a heslo. To já vám neřeknu, my heslo odvozujeme se sériového čísla počítače takto: a následoval popis postupu. Já v tom okamžiku měl administrátorský přístup ke všem počítačům v oné bance!
Hlavně že pak honěj chuděry na přepážce, jestli nemají heslo někde na papírku.
-
Jirka psal o uchování všech hashů řetězců, které vzniknou z původního hesla odstraněním právě jednoho znaku – těch hashů bude stejně, jako je počet znaků hesla. T.j. z hesla "abcd" si poznamenám hashe pro "bcd", "acd", "abd" a "abc". To samé pak udělám pro nové heslo (např. "abce" -> "bce", "ace", "abe", "abc") a porovnám, zda neexistuje nějaký hash, který je v obou skupinách.
-
Petr Dvořák (neregistrovaný)
Ano, je to přesně tak - umělá hesla jsou dobrá maximálně tak pro první přihlášení, nebo v extra kontrolovaném prostředí...
Jen jedna poznámka k maximální délce hesla. Někdy je vhodné ji zvolit, ale musí se vědět, co se dělá. Opět udělám malou "reklamu" appce od RB, která používá číselný PIN. Abychom jej v aplikaci dokázali perfektně zabezpečit, používáme schéma založené na Vernamově šifře. K tomu je nutné předem vygenerovat permutační matice a k nim inverzní permutační matice. A při tom právě z technických důvodů omezujeme délku hesla. Je to popsané zde:
http://www.slideshare.net/PetrDvok/note-on-the-mobile-security-or-how-a-brave-permutation-saved-a
ČLÁNKY DO MAILU