Sad se, napokon, mogu posrati u usta nespsoobnim administratorima koji ustrajaju na ovoj glupavoj promjeni lozinki koja nista a ma bas nista ne donosi, samo probleme....
al oni su bogovi :D ..... hmmmm.... supka svog :P :))))
Kod nas svakih 6 mjeseci se treba promijeniti...i naravno to je uvijek za vikend ili kad si na godisnjem...masakr totalni kad zelis mailove procitati...
Sad se, napokon, mogu posrati u usta nespsoobnim administratorima koji ustrajaju na ovoj glupavoj promjeni lozinki koja nista a ma bas nista ne donosi, samo probleme....
al oni su bogovi :D ..... hmmmm.... supka svog :P :))))
Da, alergičan sam na takve policye.
https://en.wikiquote.org/wiki/Mikhail_Bakunin
Stvar je u tome da je to apsolutna istina što članak kaže, da forsanje promjene passworda ne pridonosi sigurnosti nego baš daje lažni osjećaj sigurnosti.
Jer većina ljudi će izabrati password koji će lako zapamtiti jer ga moraju ukucavati svaki dan po nekoliko puta kod logina u windowse. Za druge net accounte je lako, imaš LastPass koji ti sve pamti, al windows account moraš zapamtiti i on nikad neće biti 14-znamenkasti random generirani string sa simbolima, slovima, brojkama, capsom, jer to neće nitko zapamtiti - pogotovo ako drugi mjesec moraš opet novi smislit. Ženi sam rekao da promijeni password na gmailu i smišljala je nekoliko minuta i napisala imena djece u password :-) Onda sam joj instalirao LastPass i rekao da se prestane glupirati :-)
Kao prvo imaš bar desetak "poslovnih" passworda koji se rotiraju svaka 3 do 6 mjeseci, pa 15-tak "privatnih" od kojih se neki rotiraju neki ne, pa oni privremeni kad ti nešto treba s neke web stranice tada i možda više nikada a moraš se prijaviti ovi nikako ne smiju biti isti s bilo kojim od prethodnih jer si tko zna kome dao primjer svog passworda i uz to još desetak pinova za kartice i čovjek bi kao sve to trebao držati u glavi? Naročito kad nekom od servisa pristupaš povremeno...
Ne treba pretjerivati pa svako malo promjeniti, treba prvo pogledati koliko je sadržaj osjetljiv i prema tome se ravnati i raditi lozinku 
Meni se najviše sviđa potvrda prijave sms-om. Mislim da bi svaka ozbiljnija stranica morala imati tako nešto. Lozinka je u tom slućaju manje bitna jer treba upisati pin s mobitela za potvrdu.
Ja svaki dan mjenjam password, najgore je kad se napijem pa zaboravim. Onda moram radit system restore.
Oni najkritičniji (računovodstvo/financije/direktori) pišu passworde na papiriće i u ladicu, ispod tipkovnice, iza monitora itd. Užas.
Sve češće u firmama vidim Keepass jer je to spas za silu šifri koje se neprestano rotiraju u svim sustavima svaka tri mjeseca. Nije problem da imam samo jednu za AD i to je to, već imam preko deset različitih sustava koje svakodnevno koristim i kad promijeniš nekoliko puta šifru odeš na godišnji, vratiš se i pitaš se, a koja je ono šifra bila, un ti sumpora...
Iskreno, nabolje se pokazalo napraviti dugačku, ali jednostavnu šifru ako to sustav dozvoljava. Tipa "sifrazaBUG!portalkojunitkonezna", jer je sto puta jača od "8uG21cL%". Vjerujte mi ;)
Iskreno, nabolje se pokazalo napraviti dugačku, ali jednostavnu šifru ako to sustav dozvoljava. Tipa "sifrazaBUG!portalkojunitkonezna", jer je sto puta jača od "8uG21cL%". Vjerujte mi ;)
Apsolutno. Ovakvu sifru je lagano za zapamtiti, a ima nebrojeno puta vecu entropiju od ove žblj koja je kao sigurna, no manje je sigurna od ove dugacke i tesko ju je za zapamtiti.
Povezano: https://www.xkcd.com/936/
Napomena: dobar dio sustava ce vam za ovu sifru s xkcd-a reci da ju ne upotrebljavate i da uzmete neku drugu. XD
Imali smo jednog klijenta koji je imao sigurnosnu politiku da se šifre moraju često menjati (kad malo razmislim, najverovatnije su im to nametnule nemačke gazde, pošto bez njih nisu smeli ni da nam otvore tehničku email adresu). Rezultat: svi u firmi (i to na različitim lokacijama) su imali varijacije na AAAaaa111.
Ukupno imam dve stvari koje sam svojevremeno u napadu entuzijazma zaštitio zaista random šiframa dugim po preko 10 znakova koje sam (posle izvesnog vremena) naučio napamet. Promeniću ih samo ako budem posumnjao na nešto, u suprotnom, stvarno ne vidim šta bih dobio, osim što bih bar neko vreme morao da ih držim zapisane.
Iskreno, nabolje se pokazalo napraviti dugačku, ali jednostavnu šifru ako to sustav dozvoljava. Tipa "sifrazaBUG!portalkojunitkonezna", jer je sto puta jača od "8uG21cL%". Vjerujte mi ;)
Apsolutno. Ovakvu sifru je lagano za zapamtiti, a ima nebrojeno puta vecu entropiju od ove žblj koja je kao sigurna, no manje je sigurna od ove dugacke i tesko ju je za zapamtiti.
Povezano: https://www.xkcd.com/936/
Napomena: dobar dio sustava ce vam za ovu sifru s xkcd-a reci da ju ne upotrebljavate i da uzmete neku drugu. XD
Nema pomoći bez password managera. Ako "pronouncable" šifre ne prolaze kroz samo nekoliko sustava koje koristiš nego forcaju simbole i brojeve onda svejedno moraš pamtiti stvari van neke svoje logike i opet si u problemima.
Password manager i miran si. "8uG21cL%" je slaba lozinka u svakom pogledu danas, jer je prekratka. A ako koristiš password manager svejedno je kakve su šifre i koliko su dugačke, jer će ti ionako on to sam upisivati. Mogu biti i 25 znakova i pronouncable ili ne, tebi je svejedno.
Za druge net accounte je lako, imaš LastPass koji ti sve pamti, al windows account moraš zapamtiti i on nikad neće biti 14-znamenkasti random generirani string sa simbolima, slovima, brojkama, capsom, jer to neće nitko zapamtiti - pogotovo ako drugi mjesec moraš opet novi smislit.
Zasto ne instalirati LastPass na mobitel? jest da neces imati copy-paste nego ces morati prepisivati, ali barem ne moras pamtiti :)
Za druge net accounte je lako, imaš LastPass koji ti sve pamti, al windows account moraš zapamtiti i on nikad neće biti 14-znamenkasti random generirani string sa simbolima, slovima, brojkama, capsom, jer to neće nitko zapamtiti - pogotovo ako drugi mjesec moraš opet novi smislit.
Zasto ne instalirati LastPass na mobitel? jest da neces imati copy-paste nego ces morati prepisivati, ali barem ne moras pamtiti :)
To je ok, i imam tako... al onda moraš plaćati :-)
No svejedno bih poludio da prekucavam s moba :-) Najbolje bi bilo da windowsi podržavaju "2-factor windows authentication" :-)
Naslov je tačan. Statistički kvalitet šifara pada i globalna sigurnost se smanjuje. Ako kažeš čoveku "smisli tešku šifru, ovo je bitno", možda se i potrudi. Ako ga teraš da je menja svakih mesec dana, uzeće nešto prosto i "začiniti" tek toliko da prođe, i onda samo praviti varijacije toga, i to u krug:
I, na kraju, šta radi zaposleni koji ne može da zapamti svoju šifru? Zapiše je na cedulju i zalepi za monitor. Video X puta po raznim kancelarijama, u SUP-u kad sam menjao dokumenta... A to je ujedno i najgora stvar za sigurnost koja se može učiniti.
Meni se najviše sviđa potvrda prijave sms-om. Mislim da bi svaka ozbiljnija stranica morala imati tako nešto. Lozinka je u tom slućaju manje bitna jer treba upisati pin s mobitela za potvrdu.
Ovaj članak se tiče primarno domenskih usera, ne logina na internet stranice
Nema pomoći bez password managera. Ako "pronouncable" šifre ne prolaze kroz samo nekoliko sustava koje koristiš nego forcaju simbole i brojeve onda svejedno moraš pamtiti stvari van neke svoje logike i opet si u problemima.
Password manager i miran si. "8uG21cL%" je slaba lozinka u svakom pogledu danas, jer je prekratka. A ako koristiš password manager svejedno je kakve su šifre i koliko su dugačke, jer će ti ionako on to sam upisivati. Mogu biti i 25 znakova i pronouncable ili ne, tebi je svejedno.
Ne nužno, ukombiniraš u šifru neki tebi logičan broj vezan za kobasicu od passworda i sve 5. Meni je na windowsima šifra kombinacija 18slova(tri spojene riječi) i 4 brojke koje meni imaju savršenog smisla i nemam nikakvih problema za zapamtit lozinku. Napraviš pass tipa "MojpasMikiima1rep2okai4noge!" i pokriješ sve šta traže od tebe a ne mučiš se bezveze.
Budimo realni ni password manager neće uvijek biti 100% siguran. Za Lastpass već imaju "lijek" https://www.theguardian.com/technology/2016/jan/18/phishing-attack-steal-lastpass-password-manager-details
A ako te uspiju provaliti onda si tek u govancima jer su ti svi passwordi na jednom mjestu.
Nema pomoći bez password managera. Ako "pronouncable" šifre ne prolaze kroz samo nekoliko sustava koje koristiš nego forcaju simbole i brojeve onda svejedno moraš pamtiti stvari van neke svoje logike i opet si u problemima.
Password manager i miran si. "8uG21cL%" je slaba lozinka u svakom pogledu danas, jer je prekratka. A ako koristiš password manager svejedno je kakve su šifre i koliko su dugačke, jer će ti ionako on to sam upisivati. Mogu biti i 25 znakova i pronouncable ili ne, tebi je svejedno.
Na te izgovorljive, tj. lako pamtljive sifre dodas neki simbol ili broj, na kraj ili na pocetak i voila. Kao da je problem zapamtiti "correcthorsebatterystaple11#".
Nema pomoći bez password managera. Ako "pronouncable" šifre ne prolaze kroz samo nekoliko sustava koje koristiš nego forcaju simbole i brojeve onda svejedno moraš pamtiti stvari van neke svoje logike i opet si u problemima.
Password manager i miran si. "8uG21cL%" je slaba lozinka u svakom pogledu danas, jer je prekratka. A ako koristiš password manager svejedno je kakve su šifre i koliko su dugačke, jer će ti ionako on to sam upisivati. Mogu biti i 25 znakova i pronouncable ili ne, tebi je svejedno.
Ne nužno, ukombiniraš u šifru neki tebi logičan broj vezan za kobasicu od passworda i sve 5. Meni je na windowsima šifra kombinacija 18slova(tri spojene riječi) i 4 brojke koje meni imaju savršenog smisla i nemam nikakvih problema za zapamtit lozinku. Napraviš pass tipa "MojpasMikiima1rep2okai4noge!" i pokriješ sve šta traže od tebe a ne mučiš se bezveze.
Budimo realni ni password manager neće uvijek biti 100% siguran. Za Lastpass već imaju "lijek" https://www.theguardian.com/technology/2016/jan/18/phishing-attack-steal-lastpass-password-manager-details
A ako te uspiju provaliti onda si tek u govancima jer su ti svi passwordi na jednom mjestu.
Dobro, to je jedna šifra, a gdje su sve ostale? U lastpassu trenutno imam preko 300 šifri i preko 100 raznih connection stringova, konfiguracija, certifikata, vpn pristupnih podataka i pop3 mail accounta, WiFi shared keyevi, pa kreditne kartice i sl. - nisu samo šifre kritične.
Glupo je pamtiti te sve kombinacije napamet... pa jednom sam si čak i mob zalockao jer sam ukucavao krivi 4znamenkasti PIN, koji sam znao godinama napamet i ukucavao tisuću puta... i taj put jednostavno nisam mogao dobar redoslijed pogodit, a bio sam siguran da je točno to :-) Jednostavno nekad oglupaviš i nema pomoći :-) Nedo bog da te strefi neka amnezija :-) Ovako ću se bar preko moba moći fingerprintom ulogirati :-P
Last pass je poprilično siguran, jer sa 2 factor autentikacijom nema nikakve šanse da te netko "phisha" jer se approvea preko mobitela (a ne unosi kod nigdje). Moraš bit glup da ukucavaš kod.
Glupo je pamtiti te sve kombinacije napamet... pa jednom sam si čak i mob zalockao jer sam ukucavao krivi 4znamenkasti PIN, koji sam znao godinama napamet i ukucavao tisuću puta... i taj put jednostavno nisam mogao dobar redoslijed pogodit, a bio sam siguran da je točno to :-) Jednostavno nekad oglupaviš i nema pomoći :-) Nedo bog da te strefi neka amnezija :-) Ovako ću se bar preko moba moći fingerprintom ulogirati :-P
Last pass je poprilično siguran, jer sa 2 factor autentikacijom nema nikakve šanse da te netko "phisha" jer se approvea preko mobitela (a ne unosi kod nigdje). Moraš bit glup da ukucavaš kod.
To je specifican slucaj.
Ja pamtim par sifri - Protonmail, Steam, Bitbucket, Gmail, FB, eventualno jos neku koju u tom trenu koristim (kao npr., Overleaf). Ostalo je sve zapisano u biljeznici i po potrebi - koje su uglavnom relativno rijetke - pogledam u biljeznicu i utipkam.
Naravno da ce onaj koji ima toliko sifri kao ti npr. i tko ih redovito sve koristi, koristiti neko pomagalo poput Last Pass-a, daleko od toga.
To je specifican slucaj.
Ja pamtim par sifri - Protonmail, Steam, Bitbucket, Gmail, FB, eventualno jos neku koju u tom trenu koristim (kao npr., Overleaf). Ostalo je sve zapisano u biljeznici i po potrebi - koje su uglavnom relativno rijetke - pogledam u biljeznicu i utipkam.
Naravno da ce onaj koji ima toliko sifri kao ti npr. i tko ih redovito sve koristi, koristiti neko pomagalo poput Last Pass-a, daleko od toga.
Da, pošto sam igrom slučaja i admin u firmi gdje radim kao developer često se brinem o dosta raznih platformi pa moram to čuvati ko oko u glavi :-)
Od šifri napamet isto znam samo par. Nedavno sam čak i prošao kroz sve LastPass loginove i za one gdje sam reuseao neki od tih passworda promijenio na random generirani password. Tako da sad gotovo da nemam sajta gdje je isti password reusean.
Ali te su i najproblematičnije, koje znaš napamet i onda ih moraš promijeniti. Naravno da ćeš onda staviti neku sličnu jer se već razvila navika da utipkavaš to i možeš ju otipkati maltene žmirećki. Pa ti je onda žao smišljati neku novu i navikavati se :-)
Da te se ne forsira nikad ju ne bi ni promijenio, a i ako promijeniš bit će slična, ljudi nemaju tu disciplinu jednostavno.
kod mene isto izmjene svaka 3mj, uvijek pada kad sam na godisnjem, srecom pa preko vpna mogu promijenit.
jedini pravi problem je kaj u passu ne smije biti nijedan dictionary word, sto je zapravo dobro jer se odnosi na engleski dictionary :D
