Akurat tak się złożyło, że musiałem dzisiaj zalogować się na konto u jednego z większych hostingodawców, na które ostatni raz logowałem się jakieś 5-6 miesięcy temu. Logowanie jak logowanie - wpisuję login, wpisuję hasło ... nie działa?

Szybko w pamięci przeleciałem standardową listę nastu haseł, których używam. Skrzyżowałem je z różnymi wariacjami na temat loginu, połączyłem kilka haseł by wytworzyć prawdopodobnie to, które użyłem - nic. Następny przystanek, poczta!

Szybko udało mi się wyszukać mail z danymi technicznymi do konta - ftp, login, hasło ... "takie jak podane w momencie rejestracji". No nic - wracamy na stronę i wypełniamy formularz przypomnienia hasła. Klik klik, link w mailu, klikamy, ustawiamy nowe hasło, klik ... "hasło musi składać się z przynajmniej 8 znaków, dwóch dużych liter, jednej małej i jednego znaku specjalnego". Ok ... tego się nie spodziewałem.

Niby jest to dobra praktyka - zwiększa bezpieczeństwo danych etc. Do co ważniejszych informacji sam używam hasła z prawie 20 znaków (bruteforce może trochę potrwać), nie słownikowego (random) bez żadnych "ciągłości", z cyferkami etc. Niestety, bez dużych liter. W takim wypadku mam dwa wyjścia. Albo sobie hasło zapiszę gdzieś, żeby za pół roku nie kombinować, albo zmienię co trzeba i znowu je zapomnę. Ja mogę zapomnieć - Kowalski pewnie zapisze.

Zapisze na kartce, zapisze na poczcie, zapisze w notatniku on-line. Tym samym Kowalski, który używa na co dzień silnego hasła musi sobie nowe "silne" hasło gdzieś zapisać zmniejszając jego bezpieczeństwo. Ja rozumiem, że oni robią to w trosce o mnie - ale czy nie wystarczy, jeżeli pojawi się stosowny komunikat, że "hasło jest zbyt słabe by je zastosować". Szczególnie takie rozwiązanie śmieszy mnie w połączeniu ze wskaźnikiem trudności hasła poniżej, który pokazuje mi "trudne 4/5".

Pozostaje mi mieć nadzieję, że będę pamiętał o tych paru dodatkowych literkach dodanych do hasła. A jak nie, to za 5-6 miesięcy znowu przyjdzie mi wypełnić formularz przypomnienia.

Komentarze

1

Komentarz użytkownika Hołek

28 09 2009

E tam, to nic. Na Politechnice Wrocławskiej funkcjonuje system Edukacja.CL. Jest to elektroniczny indeks, kontakt z dziekanatem itd.

Do tego jest to zmora każdego użytkownika - czy studenta, czy pracownika. Hasło:
* musi być zmieniane co 30 dni,
* nie może być zbyt podobne do starego,
* nie może zawierać ciągu znaków z poprzedniego hasła,
* nie może być którymkolwiek z użytych poprzednio haseł (brawa dla wykonawcy, zapisywać wszystkie użyte hasła studentów ;)) oraz
* musi zawierać chociaż jedną cyfrę oraz mieć co najmniej 8 znaków długości.

Pobij to :P

2

Komentarz użytkownika BTM

28 09 2009

Co prawda mój CMS wymaga zmiany hasła co X (domyślnie 30 dni) i nie pozwala na użycie tego samego co ostatnio, ale taka konfiguracja jak podałeś, to już przegięcie :D

sidenote: po przeskanowaniu wzrokiem Twojego komentarza pierwsze co przyszło zarejestrował mój mózg to "30 znakowe hasło" - to by był dopiero hardcore.

3

Komentarz użytkownika Hołek

28 09 2009

No, jestem drugi rok na uczelni i już mi się kończą pomysły na hasła :P

4

Komentarz użytkownika radious

28 09 2009

@Hołek:
Dokładniej: musi się różnić przynajmniej 3 znakami od starego, minimum 1 cyfra, ale nie może wystąpić na początku, bądź końcu hasła.