Je ten PIN bezpecny?

[noneis]

...

Tak motivace je dnes určitě nízká, a jakmile bude možnost volitelného hesla (a pro nové účty výchozí typ hesla), tak tahle potenciální možnost postupně vymizí.
Po zprovoznění volby vlastního hesla by bylo dobré někde viditelně po přihlášení dát upozornění ve stylu "zvyšte zabezpečení svého účtu a zvolte si vlastní přístupové heslo" s odkazem, aby na tuto formu přihlašování přešlo co nejvíce aktivních účtů.

Někdo tu myslim psal, že neoprávněné přihlášení nebo špatné pokusy se dají zjistit v přehledu přihlášení, ale pokud to třeba někdo neví a nebo to pořád nekontroluje a přihlašuje se třeba 1x za měsíc, tak by se mohlo přidat zabezpečení, že po nějakém počtu neplatných pokusů by se přístup zablokoval a odeslalo by se oznámení na mejl. A taky bych asi zrušil možnost se přihlásit nešifrovaně (teda pokud to neni kvůli něčemu vyloženě potřeba).

Hlavně po stisknutí enteru je výchozí nezabezpečené přihlášení, to by se mohlo změnit.
Co se týče počtu pokusů na účet, tak jsem myslím někde viděl, že je to 6 pokusů za 10 minut a 10 za 24 hodin.

[xsouku04]

Někdo tu myslim psal, že neoprávněné přihlášení nebo špatné pokusy se dají zjistit v přehledu přihlášení, ale pokud to třeba někdo neví a nebo to pořád nekontroluje a přihlašuje se třeba 1x za měsíc, tak by se mohlo přidat zabezpečení, že po nějakém počtu neplatných pokusů by se přístup zablokoval a odeslalo by se oznámení na mejl. A taky bych asi zrušil možnost se přihlásit nešifrovaně (teda pokud to neni kvůli něčemu vyloženě potřeba).

To je výborný nápad.

[Largon]

Dočasné zablokování účtu po několika špatných pokusech i informování uživatele o této skutečnosti emailem už je nějaký ten pátek implementováno.

[luky]

sice trochu z jiného soudku, ale zajímavé čtení
http://security-portal.cz/clanky/anal%C ... prvn%C3%AD

[Largon]

sice trochu z jiného soudku, ale zajímavé čtení
http://security-portal.cz/clanky/anal%C ... prvn%C3%AD

Což dokládá přesně to, co už bylo řečeno zde i v podobných vláknech v minulosti. Tito útočníci se především zaměřují na konkrétní technologii a teprve potom hledají oběti - v tom linkovaném případě je vidět, že znají cestičky jak se dostat do Wordpressu, u nás spíš řešíme občas problémy s tím, že se dostanou někomu na nezabezpečené koncové zařízení na veřejné IP adrese.

Čímž teda nechci říct, že bychom brali bezpečnost na lehkou váhu a mysleli si, že náš systém je nenapadnutelný. On je ostatně prakticky každý systém napadnutelný, je to jen o tom, jaké prostředky je schopen/ochoten útočník na to věnovat. Ale zrovna tady v tomto případě si myslím, že i naše čtyřmístná hesla s aktivní ochranou proti bruteforce útoku jsou lepší, než dvanáctimístné heslo k administrátorskému účtu Wordpressu, který vás nechá udělat 3500 pokusů.