Odpověď na názor

[21] Jak může externista dostat heslo interního uživatele? Není chyba právě tady? Každý uživatel (i dočasný) by měl mít svůj vlastní uživatelský účet (pro externisty klidně může být guest s heslem, které se mění.

[23] Pokud heslo nebude možné držet řádově roky, uživatelé budou rozumnou práci s hesly bojkotovat - viz příspěvek Patrika Chrze. Data taky nebudou na světě navěky, zrovna tak jako uživatelé.

Z matematického hlediska IMO změna hesla nemá moc velkou účinnost, protože nikdy nevíš, kam se dostal útočník v sekvenci pokusů o uhádnutí hesla. Jak jsem psal předtím, stačí pustit několik souběžných sekvencí (například jedna hledá furt dokola slabá hesla, druhá jede silná od "poloviny" do konce, třetí jede od začátku do poloviny). To, že s heslem někam sekvenci "uhneš", ničemu nepomůže. Když například změníš heslo z Karel na Karla a sekvence je u "Janek", najde to heslo jen o chvíli později; pokud ho změníš na Josef, najde ho dřív. Pokud bude sekvence u "Marek", zdánlivě jsi unikl, ale pokud pojede zároveň další sekvence, která bude v tu chvíli u "Borat", dostihne Tě dřív, než sekvence č. 1 dojde ke slovu "Zorka". Pokud budeš mít heslo Karlos, pomůžeš si víc.

Politika ve Svaťasově firmě mi přijde jako extrémní příklad. Pokud bude potřebovat útočník na uhádnutí hesla řekněme 1000000 pokusů (kdyby šel přes klasický bruteforce, bylo by to mnohem větší číslo) a bude za počítačem sedět pořád a každých 5 minut vyzkouší 3 hesla, bude mu to trvat, pokud dobře počítám, cca 3 roky. Za 3 roky při (poměrně dost nízkém) platu 10000 měsíčně vydělám 360000 korun (a to nebudu pracovat 24/7), za 360000 korun v pohodě podplatím zaměstnance, který mi heslo předá a za zlomek této sumy mi uklízečka opíše heslo z papírku, který má zaměstnanec nalepený na monitoru.

Myslím, že jsi trefil hřebíček na hlavičku, když jsi zmínil šifrování dat. Heslo samo o sobě nic neřeší.