CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate 36 - Jak se bránit (v) cloudu?

Dvouurovnova authentizace je zajimava myslenka, akorat jeden drobny problem: abych ji mohl pouzivat, musim prozradit svoje telefonni cislo. Co kdyz ho tem cloud sluzbam davat nechci?

+1
-48
-1
Je komentář přínosný?

Pak stačí jedna úroveň, ale pořádná. Chápu, že zabezpečení na straně poskytovatele neovlivníte, ale aspoň je možné si zvolit heslo, které vám nebude činit potíže si zapamatovat, zatímco louskat ho brute-force metodou bude krajně neefektivní.

+1
-48
-1
Je komentář přínosný?

V dnesni dobe? S webcartoonisty co prozradi ty nejlepsi? http://xkcd.com/936/ ... navic jsou banky co maji HORNI limit na delku hesla. Obavam se, ze v dnesni dobe je prakticky nemozne obejit se bez password managera. Jenze ... vetsina password manageru jsou cloud sluzby. Takze jsme zase kde jsme zacali ...

(Osobne si delam password manager rucne, s pomoci sifrovaneho souboru. Ale dvakrat spokojeny s tim nejsem.)

+1
-51
-1
Je komentář přínosný?

Webcartoonist má samozřejmě pravdu, ale není třeba používat běžně známá existující slova. Vzpomenete si např. na nějaké slovo z dětství, které jste říkal jako malý namísto jiného slova? (klidně zprostředkovaně, že vám to řekli rodiče, protože si to pravděpodobně sám pamatovat nebudete) Jaká je pravděpodobnost, že např. takové slovo „pdej“ bude ve slovníku pro brute force attack? Zkombinujte ho s dalšími, vytvořte hezkou šišlající větu, proložte to na vhodném místě alternativními náhražkovými znaky a máte veselé heslo, které nikdo neuhodne :).

Hlavně si ho zapamatujte - třeba tak, že si k němu vytvoříte nějaký citový vztah, s něčím si je asociujete, nebo se je prostě rozhodnete natvrdo nadrtit (já se takhle s oblibou drtím důležitá čísla jako číslo kreditky, účtu, občanky a podobně, dodnes si pamatuju jeden instalační klíč pro Windows 98, protože jsem to tenkrát instaloval často).

Banky mě naštěstí ve výběru hesla moc neomezují, jediné, co mě skutečně ve výběru hesla omezuje, jsou bezpečnostní politiky prosazující jednou za čas změnu hesla (nejhůř ještě když se nesmí velká část hesla opakovat), to je podle mě největší bezpečnostní trhlina mnohých firem, protože když chcete po uživateli, aby si jednou za čas měnil heslo, tak si ho buďto bude někam psát, nebo vybere něco hodně primitivního jako Heslo01 a podobně (já si naštěstí i proti tomuhle vytvořil jednoduchou obranu, takže mi změna hesel nedělá problém, ale jsem tím omezován, nemohu si vymyslet úplně jakékoli heslo).

+1
-50
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.