Heslo, které nikdy neexpiruje, je bezpečnější než heslo, které si měníte každý čtvrtrok

Médii se prohnala zpráva, že Microsoft mění bezpečnostní politiku hesel a nebude již na systémech Windows 10 a serverech od verze 1903 vynucovat změnu hesla.

Toto prohlášení bylo zveřejněné na webu Microsoftu a setkalo se vesměs s pozitivní reakcí ze strany odborné i laické veřejnosti, nicméně je třeba upozornit na určité skutečnosti.

Rubrika: Bezpečnost
celý článek

Passphrase lepší než heslo aneb Tr0ub4dor&3 vs. correct horse battery staple

Cílem tohoto příspěvku je zaujmout pokud možno objektivní stanovisko ke komiksu na XKCD, který porovnává odolnost hesla a passphrase vůči útoku hrubou silou.

Autor komiksu tvrdí, že passphrase je lepší než heslo, protože si ji uživatel mnohem snáze zapamatuje a nebude tak nucen si ji někam zapisovat. Jistě, ale bude ten samý uživatel schopen si vytvořit silnou passphrase a následně ji i několikrát za den zadat, aby se mohl přihlásit?

Rubrika: Bezpečnost
celý článek

Zjistěte, jakou entropii má vaše heslo nebo passphrase a za jak dlouho může být prolomeno

V jednom minulém příspěvku jsem popisoval, jak vytvořit bezpečné heslo a bezpečnou passphrase a kladl si otázku, zda je bezpečnější heslo nebo passphrase.

Abychom vůbec mohli porovnat odolnost klasického hesla o určité délce (L) a komplexitě (C) a passphrase vytvořené z určitého počtu slov (L) a nacházejících se ve slovníku o určité velikosti (C), tak musíme nejprve vyjádřit jejich entropii (En) v bitech. Tu spočteme pomocí následujícího vzorce:

Rubrika: Bezpečnost
celý článek

K metrikám FAR a FRR přibyly ještě IAR a SAR

Google přichází v souvislosti se stále oblíbenějšími biometrickými autentizačními metodami se dvěma zcela novými metrikami, které by měly podstatně přispět ke zvýšení jejich bezpečnosti.

K důvěrně známým metrikám jako je False Acceptance Rate, zkr. FAR a False Rejection Rate, zkr. FRR nově přibyly ještě metriky Imposter Accept Rate, zkr. IAR a Spoof Accept Rate, zkr. SAR.

Rubrika: Bezpečnost
celý článek

Vícefaktorová autentizace včera, dnes a zítra

Za posledních pár let došlo v oblasti vícefaktorové autentizace k podstatné změně.

Na definici vícefaktorové autentizace se sice nic nezměnilo, stále platí, že za ní můžeme označit takovou autentizaci, při které dochází k potvrzení identity uživatele několika různými způsoby, zpravidla heslem a poté použitím nějakého autentizačního zařízení, který uživatel vlastní, případně ověřením nějaké jeho biometrické charakteristiky.

Rubrika: Bezpečnost
celý článek

Rozpoznávání obličeje navzdory svému prolomení nesnižuje bezpečnost nového iPhonu

Samozřejmě, že by bylo lepší, kdyby se technologie rozpoznávání obličeje nedala oklamat ani pomocí fotografie, makeupu a masky.

Ale přesto se uživatel, který se bude do svého telefonu hlásit pomocí svého obličeje, může cítit bezpečněji než ten, co tak činí přiložením prstu nebo zadáním hesla.

Rubrika: Bezpečnost, Zprávičky
celý článek

Na prolomení Android Pattern Lock nám stačí pouhých pět pokusů

Vědci z univerzity zjistili, že když natočí video někoho, kdo svůj smartphone s Google Android odemyká pomocí gesta, tak že jsou schopni z pohybu prstu odvodit, jaké gesto k odemčení svého telefonu používá.

Ne sice vždy hned na první pokus, ale na pátý zcela určitě, a to je jistě významné zjištění.

Rubrika: Bezpečnost
celý článek

Potvrzení přihlášení do webové aplikace jen pouhým dotykem displeje smartphonu?

smartphoneS odstupem času můžeme prohlásit, že předpověď ohledně vývoje autentizace se nám v podstatě naplnila.

Nelze si však nevšimnout, že v některých případech byl onen druhý faktor v podobě „něco mám“, implementován trochu nešťastně.

Rubrika: Bezpečnost
celý článek

Tak co, už jste si ho prodloužili?

questionTento příspěvek navazuje na minulý příspěvek, ve kterém jsem zmínil techniku password padding.

Příspěvek končil otázkou, zda password padding opravdu zvyšuje bezpečnost hesla, a zda by se takovéto heslo přeci jen nedalo v reálném čase prolomit. Tak dalo nebo ne?

Rubrika: Bezpečnost
celý článek

Zvyšuje opakování znaků v hesle jeho bezpečnost?

questionBezpečné heslo by mělo být dostatečně dlouhé a obsahovat velká a malá písmena, čísla a případně i nějaké speciální znaky.

Na internetu můžeme narazit na spoustu on-line nástrojů, které vyhodnocují sílu zadaného hesla. Dost často se tyto nástroje používají při registraci k určité službě, kdy uživateli zobrazují, jak silné je heslo, které si právě zadal.

Rubrika: Bezpečnost
celý článek