Warning: Table './d1394_drupal/cache' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache WHERE cid = 'variables' in /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc on line 136

Warning: Table './d1394_drupal/cache' is marked as crashed and last (automatic?) repair failed query: UPDATE cache SET data = 'a:995:{s:13:\"theme_default\";s:5:\"fever\";s:13:\"filter_html_1\";s:1:\"1\";s:18:\"node_options_forum\";a:1:{i:0;s:6:\"status\";}s:18:\"drupal_private_key\";s:64:\"5fe6eae150af4e56112c001190001c50f30fff335724864ea3d95df181c7224f\";s:10:\"menu_masks\";a:30:{i:0;i:127;i:1;i:125;i:2;i:63;i:3;i:62;i:4;i:61;i:5;i:60;i:6;i:59;i:7;i:58;i:8;i:57;i:9;i:56;i:10;i:31;i:11;i:30;i:12;i:29;i:13;i:28;i:14;i:25;i:15;i:24;i:16;i:22;i:17;i:21;i:18;i:15;i:19;i:14;i:20;i:13;i:21;i:12;i:22;i:11;i:23;i:7;i:24;i:6;i:25;i:5;i:26;i:4;i:27;i:3;i:28;i:2;i:29;i:1;}s:12:\"install_task\";s:4:\"done\";s:13:\"menu_expanded\";a:1:{i:0;s:9:\"menu-user\";}s:9:\"site_name\";s:5:\"FLOPS\";s:19:\"file_directory_temp\";s:23:\"sites/default/files/tmp\&quo in /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc on line 136

Warning: Cannot modify header information - headers already sent by (output started at /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc:136) in /data/web/virtuals/1394/virtual/www/includes/bootstrap.inc on line 726

Warning: Cannot modify header information - headers already sent by (output started at /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc:136) in /data/web/virtuals/1394/virtual/www/includes/bootstrap.inc on line 727

Warning: Cannot modify header information - headers already sent by (output started at /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc:136) in /data/web/virtuals/1394/virtual/www/includes/bootstrap.inc on line 728

Warning: Cannot modify header information - headers already sent by (output started at /data/web/virtuals/1394/virtual/www/includes/database.mysql.inc:136) in /data/web/virtuals/1394/virtual/www/includes/bootstrap.inc on line 729
Tvrdá politika hesel: Cesta do pekel | FLOPS

Tvrdá politika hesel: Cesta do pekel

Obor: autorizace, bezpečnost
fotografie uživatele

O politice hesel se vždy dost mluvilo a zpočátku se velmi silně prosazovalo její tvrdé zavádění. Dnes je ale jedno jisté. Ve spoustě případů je to nepraktická a zbytečná hloupost. Škoda jen, že to nepochopili všichni.

Osobně si vybavuji své první zkušeností se zaváděním pravidel pro hesla na podnikové síti někdy v roce 2003 nebo 2004. Tehdy bylo možné vynucovat sílu a frekvenci změn hesla pomocí Group Policy a Active Directory ve Windows sítích. Tím ale netvrdím, že to nešlo a nedělo se už dříve, jinde a jinak…

Důležité je, že právě tehdy se hodně psalo a mluvilo o tom, že hesla, jako zásadní bezpečnostní prvek celé sítě, je třeba důkladně „řešit“. Trvat na dostatečné složitosti hesla a na tom, aby bylo občas změněno. Byť to byl jen drobný prvek v komplexní bezpečnostní mozaice.

Každopádně už tehdy jsem nejen já dospěl k názoru, že to nemá smysl zkoušet, natož plošně zavádět. Rozhodně ne pro běžné uživatele a ne pro doménová hesla. Politika bezpečných hesel je pro uživatele naprosto frustrující záležitost a pouze vede k masivnějšímu využití záznamu hesel mimo svou paměť. A papírek s heslem nalepený na monitoru by se tím stal ještě větším klišé, než byl doposud.

V podnikových sítích lze bezpečnost řešit na mnoha jiných úrovních a význam hesla jako bezpečnostního prvku jde omezit. Byť asi nejlepší možné řešení, kterým je biometrie, se zatím stále příliš neprosadilo. O řádku let později tu ale máme internet a jeho gigantický význam. A na internetu jsou hesla stále značně populární. 

Striktní politika hesel se tak uplatňuje u zásadních internetových služeb typu elektronického bankovnictví. I zde jsou však služby rozumnější a méně rozumné. Ty, které využívají moderní a méně „otravné“ zabezpečení, a na druhém břehu ty s "obyčejnými" hesly, které si nutno pamatovat. Striktní politika hesel má samozřejmě svůj význam. Ale čím přísnější a čím častěji použitá, tím více škodí sama sobě.

 

Silné heslo na papírku je lepší než slabé heslo v hlavě. Průměrné heslo v hlavě lepší silného na papírku

 

Jak si může škodit? Pokud by člověk využíval jedinou službu se striktním nastavováním hesla, asi by to ještě snesl. Ale při více podobných typech zabezpečení už není únosné obtěžovat uživatele periodickou změnou silného neopakujícího se hesla. Lidské schopnosti držet v paměti různá hesla, která jsou navíc často nahrazována zcela jinými, jsou limitované. A to vede jednoznačně ke ztrátě bezpečnostního významu, jelikož jsou neprodleně zaznamenána mimo paměť. V lepším případě do šifrovaného správce hesel, i když opět chráněného jen jedním přístupovým heslem.

Svou skepsi ke striktní politice hesel demonstruji na následujícím příkladu. Využívám služeb 3 bank, přičemž pouze el. bankovnictví jediné z nich využívá velmi přísnou politiku hesel. Jde o Volksbank. Ta má pevně nastavené nesmyslné uživatelské jméno (běžně nezapamatovatelné) a k němu náležící heslo, které musí splňovat minimální délku a různorodost znaků. Tato sada však slouží pouze k přístupu do aplikace. Operace jsou následně autorizovány pomocí souborového certifikátu a opět přísného hesla. Obě hesla je nutné jednou ročně měnit a nemohou být stejná a nemohou obsahovat ani část předchozího hesla. Chybným zadáním hesla lze navíc přístup zablokovat… a následně samozřejmě platit za obnovu hesel.

Zmiňovaný způsob ochrany je extrémně nekomfortní a jednoznačně vede k nutnosti zaznamenání přístupových údajů. Obzvláště, pokud uživatel využívá více podobných služeb. Pokud by takto striktní pravidla navíc aplikovalo více internetových služeb, dílo zkázy by bylo dokonáno. Rozhodně bych například nechtěl využívat tři takto zabezpečená elektronická bankovnictví. Respektive 6 různých periodicky měněných hesel by mne opravdu nebavilo.

Obecně jsem tedy proti přísným pravidlům pro hesla. Rozumná síla hesla je jistě na místě vždy, ale periodické změny hesel jsou naprosto zbytečné. Hesla musí zůstat v hlavě. Opakuji navíc to, že nežijeme v síti jen s jedněmi přístupovými údaji, ale s desítkami. A jelikož nelze zajistit, aby nebylo striktní politiky hesel využíváno častěji, než je nutné, je lepší ji nevyužívat vůbec. A raději nasazovat jiné způsoby zabezpečení přístupu nebo autorizace operací. Stejně tak je lepší nechat volbu síly zabezpečení na rozhodnutí uživatele. Jsou to jeho prostředky či informace, ať si sám zváží, jak s nimi naloží.
 

Váš hlas: Žádné Průměr: 6.8 (5 votes)

Komentáře

Poslat nový komentář

CAPTCHA
Antispamová kontrola
t_plota: