| Autor | Zpráva | ||
|---|---|---|---|
| Čápomil Profil * |
#1 · Zasláno: 22. 5. 2022, 14:07:58
Dobré filozofické odpoledne přeji. :)
Mám stránku na heslo s formulářem bez odesílacího tlačítka. Po zadání 10 znaků do inputu typu password odešle javascript formulář metodou submit() ke zpracování PHP skriptem. Poskytuji nějakou výhodu případnému útočníkovi informací o délce hesla? |
||
| Firibix Profil |
#2 · Zasláno: 22. 5. 2022, 16:54:32
Reakce na Čápomila:
Samozřejmě, že heslo o předem známé délce se hádá lépe než bez znalosti délky. Já se taky zeptám – proč uživatele nutíš mít heslo o přesně 10 znacích a znemožňuješ jim použít nějaké bezpečnější? |
||
| Čápomil Profil * |
#3 · Zasláno: 22. 5. 2022, 18:05:57
Firibix:
Heslo o 10 znacích považuji za "tak akorát", ani krátké k uhádnutí, ani dlouhé k nezapamatování. Heslo je jedno univerzální pro všechny uživatele, a těmi uživateli je úzká skupina lidí, kteří si během dne potřebují navzájem sdělit několik neveřejných informací prostřednictvím mobilu nebo tabletu. Proto jsem se snažil o co nejméně otravnou automatizaci přihlášení na zaheslovanou stránku. |
||
| Kajman Profil |
#4 · Zasláno: 22. 5. 2022, 18:53:03
Pokud je heslo sdílené mezi více uživateli, tak v tom sdílení je už takový bezpečnostní problém, že známá délka ho příliš neovlivní. Proti uhádnutí hrubou silou pak musíte nasadit nějaký systém, který útočníka zablokuje po určitém počtu neplatných pokusů.
|
||
| Čápomil Profil * |
#5 · Zasláno: 22. 5. 2022, 19:18:41
Kajman:
K tomu sdílení hesla. Jedná se o lidi, kteří se dlouhodobě znají a spolupracují spolu. Vědí, že prozrazením hesla někomu mimo skupinu nebo vydáváním se za někoho jiného při komunikaci by poškodili sami sebe. Past na pokusy o prolomení hrubou silou je samozřejmě implementována. |
||
| Keeehi Profil |
#6 · Zasláno: 23. 5. 2022, 07:58:47
Čápomil:
To že heslo nesmíš nikomu říct vědí snad všichni uživatelé na internetu. Přesto spousta z nich, každý den, celkem dobrovolně, předává svoje přihlašovací údaje do banky útočníkům. To že to odešleš automaticky, toho moc nezískáš. Bylo by to stejně časově náročné jakoautomaticky odesílálané jedenactiznakové heslo (10 znaků + enter) Další možností je ať používají password managera. Jsem si cekem jistý že já své 30+ znaků dlouhé heslo do emailu (které si ani nepamatuji) zvládnu "zadat" rychleji než tvoji uživatelé napíšou těch 10 znaků ročně. A nebo, celkem přívětivá varianta může být ověření přes třetí stranu. Myslím tím přihlášení skrz google, facebook, či něco takového co tuto možnost nabízí. Chce to jen vybrat službu, na které jsou tví uživatelé stejně neustále přihlášení a nemají nějaký ideologický problém se s ní přihlašovat. |
||
|
Časová prodleva: 2 roky
|
|||
0