Vlákno názorů k článku Regulace podle NIS2: Dvoufaktorová autentizace bude standardem, dočasně ji půjde nahradit složitějším heslem od A. S. Pergill - V jednom úřadě, kde pracovala známá (již důchodkyně)...

V jednom úřadě, kde pracovala známá (již důchodkyně) měnili heslo tak, že poslední znak přehodili na začátek a všechny ostatní se, samozřejmě, o jednu pozici posunuly. Bezpečáci byli spokojení, protože lidé používali dlouhá hesla, lidé byli spokojení, protože to bylo v podstatě to samé heslo a ta změna se dala udržet v hlavě. Že by to bylo nějak bezpečnější, to si rozhodně nemyslím (už proto, že ono generování "nových, zcela odlišných" hesel bylo veřejně známo).

Problém vidím také v tom obsahu nepísmenných (a nečíslicových) znaků, protože ty se zadávají v každém OS jinak. Přiznám se, že ač s těmito znaky bez problému pracuji v Linuxu, ve Windows ani v Androidu je zadat neumím. A patrně bych neuspěl ani na Apple. A průšvih může (i na tom Linuxu, ale to se asi nebude týkat přihlašování se někam, ale přihlášení uživatele při startu počítače), že rozložení klávesnice před a po přihlášení uživatele může být odlišné, protože česká klávesnice se mi nastaví až najede GUI, na konzolách je rozložení kláves anglické.
Velká složitost a nezapamatovatelnost hesel ovšem svádí také k tomu, že hesla jsou v nějakém souboru, z něhož je uživatel copy - pastuje. Asi nic proti tomu, když má člověk v počítači stovky zdrojových textů v několika programovacích jazycích a to heslo je v některém z nich funkční součástí kódu (takže je případný útočník nemá šanci jako takové identifikovat), ale to asi nebude situace naprosté většiny uživatelů, jichž se NIS2 týká.

Znám ještě horší případ, byť dnes již historický (cca 2004): ve firmě zavedli povinnou výměnu hesel po 30 dnech - a dámy v jedné kanceláři se domluvily, a vždy si ta hesla mezi sebou vyměnily: Božena si nastavila heslo, které měla minulý měsíc Alice, Cilka Boženino, Dana Cilčino... Výhodou bylo, že pokud některá z nich heslo zapomněla, zeptala se kolegyně, jaké měla heslo minulý měsíc.
(Nevěříte? Tak radši věřte a nepodceňujte BFU!)

Zažil jsem situaci, bylo to u Novellu Netware 3.12 (sic !), kdy bezpečnostně nadšený administrátor zavedl platnost hesla na jeden měsíc. Dopadlo to tak, že v lednu měli všichni heslo leden, v únoru unor atd. Ti mazanější ještě pro jistotu přidali číslici, většinou jedničku nebo nulu.

No vsak - ono tyhle politiky vymysli pseudobezpecaci, co s klapkama na ocich vidi jen ten svuj jeden system. Jenze uzivatel tech hesel ma proste hromadu. A samozrejme nastupuje problem s tim si vsechno pamatovat. Pokud se to okoreni jeste vynucenou periodickou zmenou hesel, situaci to jedine zhorsi.

Vsude okolo ve svete to vedi, ustupuje se od toho... jen zabednenci v NUKIBu se neco pred deseti lety naucili a nehodlaji se toho vzdat. A naivne si u toho mysli, ze tim nejak zvysi bezpecnost. A sve pochybeni hadam nepriznaji, utrpelo by jejich ego ;-)

Tomu je potřeba zabránit. Do české implementace je potřeba přidat pravidlo, že se hesla dvou a více uživatelů nesmí shodovat. Pokud se uživatel pokusí takové heslo nastavit, zobrazí se chyba: „Zadané heslo nelze použít. Toto heslo už používá uživatel novakj.“

Tohle jsem viděl u jednoho školského systému v roce cca 1996.

V roce 96 bych to skoro typnul na FEL CVUT ... Ale byly to krasne casy, kdy si kazdy trochu schopnejsi student mohl sam sobe nastavit znamky ze slozenych zkousek, a pak si je dosel na studijni zapsat do indexu.

I s tím jsem se potkal.
A ještě čerstvý případ z jedné organizace: hesla minimálně 16 znaků, malá/velká/čís­lice/speciální povinné, výměna byla každý měsíc, ale nyní stačí jednou za čtvrt roku. Jako typický uživatel byste si nastavil heslo: FilJir-2023-Leto - tak to tam má kde kdo.

U nás bylo před časem nařízeno, že každý, pokud má počítač chráněný heslem, musí mít heslo napsané na papírku nalepeném na monitoru. Nařízení přišlo poté, co náhle zesnul jeden kolega a bylo potřeba z jeho počítače vydolovat pokročile rozepsanou závěrečnou zprávu grantového projektu (a dopsat ji a poslat, aby se stihl termín). A šlo to velmi těžko, protože počítač měl chráněný heslem a to nikdo neznal.