Vlákno názorů k článku Sociální sítě v roce 2018: Soukromí neexistuje a brzy nám to bude jedno od ldx - Nebudu rozporovat že na délce záleží, ale v...

Nebudu rozporovat že na délce záleží, ale v praxi je totálně nepraktické, čas naklikání by byl příliš dlouhý a určitě to nechci zadávat někde v mobilu. Ano dá se to samozřejmě řešit clipboardem, ale hrozí riziko, že v některých login formulářích to třeba přeteče ani si toho člověk nevšimne a další problémy. Dále některé služby mají omezení na max. 15 znaků, což si myslím, že nerozlomí za rozumnou dobu ani velká superpočítačová síť. Kratší heslo by možná prolomila, ale takový výpočetní výkon něco stojí, takže typicky rozlousknout heslo do bankovnictví, kde mám jako obyčejný uživatel třeba 50 tisíc kaček na účtě za potřebný milion dolarů k vyhrazení výpočetních prostředků pro takovou úlohu (i kdybych si pronajmul nějaký velký botnet), to se pak jistě vyplatí !!! :-D :-D :-D

Nejbezpecnejsi a zaroven nejzapamtovatel­nejsi je mit helso dlouhe 20 - 30 znaku, vsechno mala pismena, mozna nejake velke podle nalady uzivatele, zadne hadani ktere pismeno bylo nahrazene cim a pouzit nekolik normalnich zapamatovatelnych slovnikovych slov.
https://xkcd.com/936/

Jenomze nekterym trotlum bude trvat jeste pul stoleti, nez jim dojde, ze u hesla je dulezita entropie a ne pocet specialnich znaku a co to vlastne je ta entropie.

A co takhle mít na každý web/službu heslo jiné, které odpovídá nějakému, jen uživateli známemu principu tvorby s doplněnou random částí, celková délka hesla minimálně 12 znaků (včetně číslic a jiných znaků), které si dotyčný ukládá do šifrované peněženky (wallet), uložené na userspace šifrovaném disku???
Ano je to relativně složité, ale když se s tím člověk sžije, tak je takový systém jen těžko prolomitelný. Tam kde požaduji extra bezpečnost (třeba kvůli možnosti odhlédnutí hesla ve veřejném prostoru), je vhodné nastavit dvou/-více faktorovou identifikaci.

Facebook a podobné za takové nepovažuji, samozřejmě pokud na nich nezveřejňuji kompromitující materiály - problém Cambridge Analytica s hesly/kryptografií atd. vůbec nesouvisí, je to otázka vytěžování veřejně (nebo omezeně veřejně) přístupných dat a registrů a žádná ochrana hesly atd. toto nevyřeší, jsou to dva zcela odlišné problémy. Řešení toho druhého se týká celého paradigmatu současné civilizace a jejího budoucího vývoje...

Kryptografická ochrana nás udrží v bezpečí, namítne někdo. V první řadě je třeba si uvědomit, že jediný "relativně" bezpečný přenos v síti (pokud pomineme rizika lidského faktoru) je možný jen skrze symetrický systém. Tento systém je použit v rámci silových a bezpečnostních složek a spoléhá na bezpečnou distribuci klíčů ke všem komunikujícím stranám. Rizikem je tedy pouze kompromitace klíče a ta je možná jen ze strany uživatele a nedostatečných organizačních opatření. Pochopitelně jsou v takovém systému použité jen certifikované přenosové prostředky. V Internetu ale tato technologie prakticky neexistuje (až na drobné výjimky nižší úrovně). Zde se využívá asymetrický systém, který je napadnutelný mnohem snáze ve všech vrstvách. Nejpoužívanější ochranou našich dat uložených na různých veřejných službách je komunikace pomocí loginu a hesla. Na pozadí sice probíhá asymetrická ochrana přenosu (https:) ale vstup do systému je odvozen obvykle jednorázovou autentizací. Dvoufázové ověření např. pomocí zaslání kódu přes SMS apod. není až tak časté a z hlediska zdlohavosti procesu si tuto metodu ani uživatelé nevolí, tam kde je tato možnost volitelná. Samotná problematika "kvality" hesel se dostala do fáze nesmyslných požadavků na zvyšování složitosti hesla přičemž si autority vyžadující takováto opatření neuvědomují, že bezpečnost již naopak snižují než, aby ji zvyšovali. Přechod z dvanáctimístného hesla obsahujícího minimálně jedno velké písmeno a jednu číslici, které expiruje jednou za půl roku na heslo, které má minimálně šestnáct znaků z nichž minimiálně dva musí být velké písmeno, musí zde být dva speciální znaky a tři číslice při expiraci jednoho měsíce je nedomyšlená hloupost. Kdo je schopen si takové heslo pamatovat když ho musí změnit každý měsíc a navíc má desítky daslších služeb z heslem, kde jsou poždavky obdobné ?? Co udělá tento uživatel ? Buď si heslo zapíše což je bezpečnostní prohřešek prvního stupně nebo si stejné heslo nastaví na všech službách protože to jedno heslo je schopen si ještě pamatovat. Na službách na služebním intranetu i na službách veřejných na internetu. A pak už jen stačí umístit na internet Password trap tj. past na hesla. Princip je jednoduchý .. jde o službu, která neukládá přihlašovací informace na straně poskytovatele v šifrované podobě ale v otevřené. Pak již jen stačí vzít tyto údaje a vyzkoušet je na jiných službách uživatele nebo na průnik do systémů na jeho pracovišti. Bude platit přímá úměra tj. čím složitější heslo, tím větší pravděpodobnost, že má uživatel jedno heslo naprosto všude. Pokud si nyní představíme, že změníme heslo na FB, pak budeme relativně chránění do doby, než si stejné heslo nastavíme i na jiných službách. Na procesy bezpečnoho generování privátních a veřejných klíčů bych u všech služeb rozhodně nespoléhal. Koneckonců existují i zadní vrátka v HW přes která lze privátní klíč kompormitovat nebo škodlivé kódy ve formě např. keylogerů, kterými lze odchytit všechny na klávesnici napsané znaky včetně loginů a hesel. O různých spyware, mallware, trojských koních apod. nemluvě.