Byrokratova pravidla na hesla jsou stupidníMinimálně 8 znaků. Velká, malá písmena, číslice a speciální znak. A za tři měsíce znova. Tak tahle sekvence straší mnohé obyvatele dnešní doby. Mají to být jednoduché pokyny pro vytvoření bezpečného hesla. Jenže aplikace v praxi má několik malinkatých háčků...
Pokud vás opakované vymýšlení nezapamatovatelných osmimístných slátanin štve, možná byste tenhle článek vůbec neměli číst. Jen se rozpálíte ještě víc do běla. 1) Osmimístná slátanina není bezpečnější než čtyřslovná hříčkaOněch osm znaků, velká, malá, číslice a speciální znaky pochází z pravidel definovaných v dokumentu Special Publication 800-63. Appendix A organizace NIST (National Institute of Standards and Technology) v roce 2003. A jejich autor Bill Burr, tehdejší manažer střední úrovně dané instituce, nyní říká, že jsou z větší naprosto mylná. Musel se totiž při jejich sepisování spolehnout na studii z 80. let, kdy byl internet stěží známou úchylkou amerického univerzitního prostředí a kyberzločin čirou fikcí.
Virální strip Password Strenght (Síla hesel) Randalla Munroa ilustruje nepříjemný střet osmimístné slátaniny a čtyřslovné hříčky se schopností Běžného Franty Usera si ho zapamatovat a schopností hesla samého odolat útoku hrubou sílou (tedy odhadnutí hesla výpočetní kapacitou). Tr0ub4dor&3 odpovídá pravidlům NIST (krom zmíněných ještě neseskupování stejných znaků). Je velmi těžké si ho zapamatovat, disponuje 28 bity entropie a při útoku hrubou silou a možnosti hádání 1000 tipů za sekundu bude jeho zlomení trvat 3 dny. correcthorsebatterystaple neodpovídá pravidlům NIST - ostatně z požadavků splňuje jen minimální délku. Ani přítomnost malých písmen mu nejde připsat k dobru, protože jednak nějaké znaky je nezbytné použít, jednak pravidlo NIST požaduje spíše diverzitu znaků než přítomnost konkrétních znaků. Jde o slovní hříčku - náhodné spojení čtyř čtyř a více znakových slov. Disponuje 44 bity entropie a jeho zlomení bude trvat 550 let při stejně provedeném útoku. Samozřejmě i toto heslo má svá pravidla - jde o náhodné spojení čtyř čtyř a více znakových slov. Pokud použijete jakýmkoliv způsobem profláknuté spojení - třeba stripem samým zmíněný correcthorsebatterystaple, má vaše heslo nulovou entropii a bude okamžitě uhádnuto. Rychlost útoku snižuje výpočetní kapacita na straně útočníka a stále silněji se projevující mechanismy umělé inteligence. A naopak jej prodlužuje komplikování hesla způsobem leetspeaku či omezení ze strany služeb na počet hádání hesel. To se pak i nejsofistikovanější útoky dostávají na časy vyhasnutí Slunce.
2) Vynucování pravidel devalvuje heslaSamotná NIST na kritiku reagovala a svá pravidla již přetvořila. Dokonce se o svém pochybení šíří, nicméně nic netrvá déle než přesvědčit byrokratův mozek o změně. A tak se stále setkáváme s požadavky na znakovou diverzitu a zvláště speciální znaky, jejichž přínos bezpečnosti je nesrovnatelně menší než jejich negativní vliv na použitelnost daného hesla ze strany uživatele. U zkostnatělých molochů, jako jsou České dráhy či banky, se tomu snad ani nejde divit, ale opravdu to zaráží například u cloudových účtů poskytovatelů antivirových řešení (a většina velkých tyhle pitomosti vyžadují), kteří by přece jen o bezpečnosti, a to i bezpečnosti používaných hesel, měli mít nějaký šajn. Fakticky tato vynucovaná pravidla vedou pouze k tomu, že:
Veškerý možný přínos je devalvován tím, že nakonec si uživatel napíše všechna hesla na lísteček do peněženky, kde jsou přístupná opravdu i tomu poslednímu ze zlodějíčků. Slovy Paula Grassiho (Senior Standards and Technology Advisor NIST) mají tato vynucovaná pravidla „velmi malý přínos pro bezpečnost a skutečně negativní vliv na použitelnost“.
3) Negativní dopad můžete posílit - třeba frekventovaným vynucováním změny heslaVzorem stupidity jsou pak ty instituce, které nejenže uživatele omezují při vytváření hesla, ale chtějí po něm nový osmimístný slint co tři měsíce. Tím je docíleno jediného: zesílení všech negativních dopadů. Taková hesla už ani nemůžou být jinde než mimo uživatelovu mysl. A pokud je po vás někdo vyžaduje, pak buď musíte použít některý ze správců hesel, nebo si je psát na nástěnku u počítače či nosit na papírku v peněžence. Dokud se pravidla opožděných institucí nezmění, vystavují se bezpečnostním rizikům všichni uživatelé jejich služeb. Zdroj: Techspot.com
Daniel Beránek, 09.08.2017 19:16 Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... Opera se snaží co nejvíce využít vlnu AI. Nabízí nejen vlastní AI asistentku Ariu, ale jejím prostřednictvím i spoustu dalších funkcí. Nyní přichází s podporou lokálně spustitelných velkých jazykových modelů, což... |
