Jak pravil jistý americký šerif, je škoda, že za blbost se nedá zavírat do vězení. Společnost Errata Security se podívala na zoubek 28 000 ukradených hesel a zjistila, že i po letech nekonečné osvěty uživatelé stále používají notně slabá hesla. Výjimkou nejsou heslo typu po sobě jdoucích kláves jako je 1234 či 12345678, eventuálně QWERTY. Taková hesla volí 14 procent uživatelů!
Dalších 16 procent uživatelů jako heslo použilo své křestní jméno či křestní jméno svého potomka. Čtyři procenta hesel tvořilo slůvko „heslo“ (resp. password) či jeho varianty jako „password1“ a podobně. Dalších pět procent hesel tvořily názvy filmů, seriálů či různých celebrit. Dokonce se jako hesla objevovala i slůvka „Yes“ či „No“.
V reálu obstojné heslo by mělo přitom obsahovat delší, ideálně náhodný řetězec znaků tvořený malými a velkými písmeny v kombinaci s číslicemi, eventuálně lze sáhnout i po různých speciálních znacích. Ke každé citlivé službě by pak mělo být heslo vlastní (proto si nemyslím, že Open ID a podobné systémy je zase tak extra dobrým nápadem), které rozhodně není radno poznamenávat si někde u počítače nebo si ho s sebou nosit v peněžence.
Myšlenka mít na každé přihlášení extra heslo je hezká ale v praxi nepoužitelná. Takže většina lidí používá stejné heslo na více místech. Z tohoto pohledu je OpenID prima věc – používám jedno heslo ale neví ho spousta webů ale jen jeden – ten který mě ověřuje.
Petr Baláš: ale pokud selže bezpečnost tohoto serveru nebo se Vám povede třeba omylem nějakým způsobem heslo prozradit, je s prominutím průser jak vrata …
Pochopitelně. Ale porovnávám to s celkem běžnou situací kdy na nekritických webech máte všude stejné heslo. S OpenID mám průser pokud heslo pozradím a nebo selže bezpečnost jednoho mnou zvoleného serveru. Při dnešní situaci mám průser pokud heslo pozradím (stejně jako s OpenID) a nebo selže bezpečnost kteréhokoliv servru kde to heslo používám (aneb mnohem horší situace než s OpenID). I při změně hesla po prozrazení jsem na tom IMHO lépe s OpenID – měním ho na jednom místě a ne na mnoha (pokud si vůbec vzpomenu kde všude ho mám změnit).
Pokud trváte ne jednom hesle, tak pak ano. Nicméně já si nedovedu představit, že bych byť třeba jen k e-mailu měl mít stejné heslo jako k nějakému účtu na pofidérním komunitním serveru …
Ale pochopitelne k emailu a par dalsim sluzbam budu pouzivat jine prihlaseni nez na vsechny ty pofiderni a ne prilis dulezite servery. OpenID pouziji jen na to druhe, na dulezite veci si dam extra hesla. Ale tech dulezitych je par a tech pofidernich minimalne desiky ne li vice. Nebo opravdu mate desiky ruznych hesel a vsechny si je pamatujete?
Jenže otázkou je, jestli k těm “pár službám” ještě nějaké jiné heslo v budoucnu bude moci mít. Podívejte se na Google Account. Abych dnes třeba měl dvě různá hesla k YouTube a Gmailu, musím mít dvě různá uživatelské jména a dva zvláštní účty, takže kromě nutnosti pamatovat si další hesla přibývá nutnost pamatovat si ještě jména (teoreticky).