Byrokratova pravidla na hesla jsou stupidníMinimálně 8 znaků. Velká, malá písmena, číslice a speciální znak. A za tři měsíce znova. Tak tahle sekvence straší mnohé obyvatele dnešní doby. Mají to být jednoduché pokyny pro vytvoření bezpečného hesla. Jenže aplikace v praxi má několik malinkatých háčků...
Pokud vás opakované vymýšlení nezapamatovatelných osmimístných slátanin štve, možná byste tenhle článek vůbec neměli číst. Jen se rozpálíte ještě víc do běla. 1) Osmimístná slátanina není bezpečnější než čtyřslovná hříčkaOněch osm znaků, velká, malá, číslice a speciální znaky pochází z pravidel definovaných v dokumentu Special Publication 800-63. Appendix A organizace NIST (National Institute of Standards and Technology) v roce 2003. A jejich autor Bill Burr, tehdejší manažer střední úrovně dané instituce, nyní říká, že jsou z větší naprosto mylná. Musel se totiž při jejich sepisování spolehnout na studii z 80. let, kdy byl internet stěží známou úchylkou amerického univerzitního prostředí a kyberzločin čirou fikcí. Virální strip Password Strenght (Síla hesel) Randalla Munroa ilustruje nepříjemný střet osmimístné slátaniny a čtyřslovné hříčky se schopností Běžného Franty Usera si ho zapamatovat a schopností hesla samého odolat útoku hrubou sílou (tedy odhadnutí hesla výpočetní kapacitou). Tr0ub4dor&3 odpovídá pravidlům NIST (krom zmíněných ještě neseskupování stejných znaků). Je velmi těžké si ho zapamatovat, disponuje 28 bity entropie a při útoku hrubou silou a možnosti hádání 1000 tipů za sekundu bude jeho zlomení trvat 3 dny. correcthorsebatterystaple neodpovídá pravidlům NIST - ostatně z požadavků splňuje jen minimální délku. Ani přítomnost malých písmen mu nejde připsat k dobru, protože jednak nějaké znaky je nezbytné použít, jednak pravidlo NIST požaduje spíše diverzitu znaků než přítomnost konkrétních znaků. Jde o slovní hříčku - náhodné spojení čtyř čtyř a více znakových slov. Disponuje 44 bity entropie a jeho zlomení bude trvat 550 let při stejně provedeném útoku. Samozřejmě i toto heslo má svá pravidla - jde o náhodné spojení čtyř čtyř a více znakových slov. Pokud použijete jakýmkoliv způsobem profláknuté spojení - třeba stripem samým zmíněný correcthorsebatterystaple, má vaše heslo nulovou entropii a bude okamžitě uhádnuto. Rychlost útoku snižuje výpočetní kapacita na straně útočníka a stále silněji se projevující mechanismy umělé inteligence. A naopak jej prodlužuje komplikování hesla způsobem leetspeaku či omezení ze strany služeb na počet hádání hesel. To se pak i nejsofistikovanější útoky dostávají na časy vyhasnutí Slunce. 2) Vynucování pravidel devalvuje heslaSamotná NIST na kritiku reagovala a svá pravidla již přetvořila. Dokonce se o svém pochybení šíří, nicméně nic netrvá déle než přesvědčit byrokratův mozek o změně. A tak se stále setkáváme s požadavky na znakovou diverzitu a zvláště speciální znaky, jejichž přínos bezpečnosti je nesrovnatelně menší než jejich negativní vliv na použitelnost daného hesla ze strany uživatele. U zkostnatělých molochů, jako jsou České dráhy či banky, se tomu snad ani nejde divit, ale opravdu to zaráží například u cloudových účtů poskytovatelů antivirových řešení (a většina velkých tyhle pitomosti vyžadují), kteří by přece jen o bezpečnosti, a to i bezpečnosti používaných hesel, měli mít nějaký šajn. Fakticky tato vynucovaná pravidla vedou pouze k tomu, že:
Veškerý možný přínos je devalvován tím, že nakonec si uživatel napíše všechna hesla na lísteček do peněženky, kde jsou přístupná opravdu i tomu poslednímu ze zlodějíčků. Slovy Paula Grassiho (Senior Standards and Technology Advisor NIST) mají tato vynucovaná pravidla „velmi malý přínos pro bezpečnost a skutečně negativní vliv na použitelnost“. 3) Negativní dopad můžete posílit - třeba frekventovaným vynucováním změny heslaVzorem stupidity jsou pak ty instituce, které nejenže uživatele omezují při vytváření hesla, ale chtějí po něm nový osmimístný slint co tři měsíce. Tím je docíleno jediného: zesílení všech negativních dopadů. Taková hesla už ani nemůžou být jinde než mimo uživatelovu mysl. A pokud je po vás někdo vyžaduje, pak buď musíte použít některý ze správců hesel, nebo si je psát na nástěnku u počítače či nosit na papírku v peněžence. Dokud se pravidla opožděných institucí nezmění, vystavují se bezpečnostním rizikům všichni uživatelé jejich služeb. Zdroj: Techspot.com
Daniel Beránek, 09.08.2017 19:16 Ve světě, kde je každý pixel důležitý, přichází Microsoft s vylepšením, které má za cíl sjednotit vizuální zážitek uživatelů Windows. Přesun od tradiční technologie DirectWrite k efektivnějšímu využití ClearType Text... Pi, médii příliš nepovšimnutá AI asistentka běžící na velkém jazykovém modelu, vyniká emoční empatií a schopností přirozené konverzace. Díky březnové aktualizaci LLM Inflection 2.5, Pi nyní překračuje hranice mezi... Jestli se slovem revoluce běžně plýtvá, tak v souvislosti s AI se používá už pro každou blbost. Při takové inflaci významu se není co divit, když skutečnosti, které se opravdu blíží významu slova, proplují mediálním prostorem zcela... Claude 3 od Anthropic představuje novou éru v oblasti umělé inteligence, kde rychlost, přesnost a etické principy jdou ruku v ruce. Díky pokročilým vizuálním schopnostem, téměř okamžitým výsledkům a schopnosti poskytovat kontextově citlivé odpovědi se Claude 3 je... |