@emdet to o takim przypadku np. w PayU napisałem osobny wpis

https://www.linkedin.com/posts/unknow_dzi%C5%9B-nadszed%C5%82-dzie%C5%84-regularnej-rotacji-hase%C5%82-activity-7262404738850164736-AOYD

@Unknow @emdet Bank millennium pozwala do serwisu www ustawić max 8 znaków, tylko cyfry (° ͜ʖ °)

@Marchew geniusze

@emdet Też tak sądziłem, ale później stwierdziłem że trzeba też znać numer klienta, pesel oraz logowanie uwierzytelnić appką. Tak więc nie jest tak źle jak pozornie wygląda.

@profil_e implementacja tego w praktyce może wyglądać jak na obrazku. Wpisuj hasło tak długo, aż będzie zielone. Myślę, że nie raz trafiłeś na tego typu wskaźnik, bez absolutnie żadnych wytycznych do hasła. Przyznaj szczerze: byłeś skrajnie zagubiony, co należy zrobić?

@Unknow nie przytoczę przykładów, ale były przypadki, gdzie serwis miał ukryte wymagania, których odgadnięcie zajęło kilka frustrujących prób. Generalnie używam generatorów i jestem z branży, więc mnie to nie zaskakuje, natomiast widzę to np. po rodzicach, którzy widząc "za słabe hasło" i tak wzmocnią je typowymi znakami. Przedstawiona metoda nie adresuje większości problemów z hasłem, czyli algortmu, który każdy ma w głowie oraz ich powtarzalności pomiędzy serwisami. Bo de facto względem zwykłego wymuszenia różnych znaków dajesz użytkownikowi możliwość utworzenia hasła ze słabszego zestawu, ale o większej długości. Co jest fajne, bo dopuszcza np. zdania. Ale jednocześnie np. ciąg tych samych znaków jest dopuszczalny, stare hasło też wciąż spełnia wymagania.

@profil_e To nie działa w ten sposób, że metoda z wymuszaniem konkretnych znaków w haśle zabezpiecza nas przed ponownym użyciem tego samego hasła albo przed użyciem hasła, które zawiera słowo pochodzące ze słownika. Nie chroni nas ona także przed użyciem ciągu takich samych znaków. Tak po prostu nie jest.

Podobnie, metoda z obliczaniem poziomu entropii także nas przed tym nie zabezpiecza. Każda z tych metod wymaga dodatkowej warstwy ochrony. Ja omawiam tylko pierwszą warstwę, czyli wymuszanie konkretnych znaków lub nie robienie tego.

Każda kolejna warstwa, którą zechcesz zaimplementować, oczywiście będzie słuszna. Nie widzę tu żadnego problemu, aby zaimplementować ją zarówno w przypadku wymuszonych znaków, jak i w przypadku wyliczania matematycznego entropii.

@VonTrupka Zawsze mnie to zastanawiało czemu nie można mieć spacji w haśle. Potem zacząłem sam tworzyć strony internetowe i systemy logowania i też zabraniałem spacji w haśle "bo każdy tak robi xD". Ostatnio z ciekawości coś mnie bodło i postanowiłem sprawdzić dlaczego tak wgl nie daje się spacji do hasła. No i odp to, że nie ma żadnego większego powodu xD.

Generalnie (przynajmniej w wypadku webdevu) to nie ma żadnego znaczenia czy hasło ma spacje czy nie bo spacja to po prostu kolejny znak w stringu którego potem i tak się haszuje.

@Catharsis czytałem o tym całym ambarasie kilkukrotnie

naleciałości ze starych systemów, obostrzenia największych techgigantów, którzy po prostu wszyscy kopiują bo tak jest wygodniej(?) itp.

Jedynym problemem jaki nastręczałoby używanie spacji, a raczej wszelkich znaków specjalnych spoza ANSI typu znaki sterujące, które często są wklejane na początku i końcu przy kopiowaniu tekstu (w tym haseł), ale przy obecnie dostępnych funkcjach wycinanie tego stanowi żaden problem w porównaniu do systemów sprzed >20 lat.

Zauważyłem że w windows11 zezwala na wprowadzanie spacji w haśle do logowania lokalnego, ale nie sprawdzałem tego jeszcze.

@VonTrupka

Spacje są problematyczne ze względu na tradycyjną funkcje separatora oraz to, że jest szereg białych znaków, które mogą zostać pomylone że spacja właśnie. No i to, że trzy spacje pod rząd ciężko odróżnić od siebie, nie mówiąc już o dwóch stacjach, tabie i znów dwóch stacjach.

Oczywiście, mamy teraz cudzysłowy i escape, spacje można zaznaczać ta biała kropka, etc. Nadal jednak jesteśmy niewolnikami ascii i ograniczen naszej percepcji.

@5tgbnhy6 A merchewka Ci powie że może po prostu zwiększyć ilość iteracji w algorytmie haszowania tak wysoko, aby nikomu się nie chciało tego w żaden sposób brutal forsować, nawet prostymi słownikami.

@Marchew no to fakt, wydaje mi sie, ze najwiekszym zagrozeniem jest uzywanie przez usera wszedzie takich samych albo bardzo podobnych hasel, gdzie jeden leak z jakiejs gownostrony, co gdzies przetwarza w plaintekscie powoduje, ze haker ma dostep do wielu kont, ale to mozna uzytkowanika probowac krotko edukowac

@5tgbnhy6 Podejrzewam że paradoxem "złożonych haseł" jest zwiększenie używalnia tego samego na wielu portalach.

Łatwiej by mi było ustawić różne proste hasła typu: warzywko, tuptanie, dupeczkowo, pumpernikel ponieważ da się je zapamięać. Jeśli nakarzesz mi klepać trudne złożone hasła, to powstanie "5MachewWI3LK1!" używane wszędzie, bo takich wielu kombinacji krzaczków to ja nie zapamiętam.

Tak, wiem jest manager haseł, ale niestety większość nie używa.

Dopierniczyć ilość iteracji w kosmos, przerzucić haszowanie na klienta, aby na przeciętnym smartfonie/dupiatym 5 letnim laptopie liczyło się to 1 sekundę i wio. Chyba argon ładnie się przeciwstawia brutal forcowaniu, czemu nie? Komu by się chciało łamać bazę robiąc 10 haszów na sekundę na jakimś mocnym GPU?

@Unknow Co sądzisz? Możliwe do wykonania?