begin Robert Jaroszuk

> Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
> "masowej", tj. dla wszystkich użytkowników, powoduje wzrost kosztów
> utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Całkowita zgoda, uważam wręcz że nie miałoby to sensu. Używanie takich
kluczy jest nierozłącznie związane z używaniem mózgu, a taką umiejętność
niestety nie każdy posiadł. Dlatego napisałem, że dla użytkowników hasła
są ok, póki nie upowszechnią się jakieś sensowne metody
bioautentyfikacji, czy jak to nazwać.

> Poza tym uważam że mylisz się, pisząc: "Nie ma takich zasad. Te
> wszystkie mity na temat haseł itp. istnieją głównie w umysłach laików."
> Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
> zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
> systemów w których nie stosuje się TFA. Pamiętaj że najsłabszym ogniwem
> jest człowiek, który może ujawnić hasło, zapisać, zalogować się z
> niezaufanych systemów itp. Zmieniając hasła co jakiś czas możesz
> ograniczyć ryzyko związane z tego typu zagrożeniami.

Ale JAKIE hasło? Hasło do czego? Wiadomo, że warto wymusić zmianę haseł
na userach (ale też nie za często, bo zaczną je zapisywać gdzie bądź),
ale po co zmieniać np. co miesiąc hasło używane raz w roku (do jakiegoś
zapomnianego routera)?

Ogólnie pisząc o "micie" chodziło mi głównie o to, że kwestia haseł to
drobny ułamek całości tematów związanych z bezpieczeństwem systemów czy
sieci i wcale nie trzeba mieć hasła, żeby się dostać do systemu i na
odwrót -- mając hasło, nie zawsze da się tam dostać.

> W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
> problem. Najczęściej kombinacja pewnych metod
> technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.
>
> 1. użytkownik wymyślał sam
> 2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
> litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry". 3. zmieniał
> hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.
>
> Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
> zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
> powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
> je w innych systemach.

Tu oczywiście pełna zgoda, ale kontekstem mojego stwierdzenia o "mitach"
były rozważania o hasłach do kont administracyjnych, nie było mowy o
kontach zwykłych użytkowników.

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway