Přísnější hesla v mojeID

Od začátku provozu služby mojeID zobrazujeme sílu hesla, které uživatel zadává při zakládání účtu (nebo při změně hesla). Dosud jsme umožňovali uložit i slabé heslo, pokud to tak uživatel chtěl. To se teď ale mění a slabá hesla již nepůjde u účtu mojeID zadat. Bezpečnost našich služeb je pro nás klíčová a tak jsme se, po konzultaci s našimi bezpečnostními experty, rozhodli od 12. prosince zpřísnit politiku hesel pro službu mojeID. Služba, která má již bezmála 600 000 registrovaných účtů a denně se pomocí ní přihlásí běžně i více než 5 000 uživatelů k desítkám internetových aplikací tak bude ještě bezpečnější.

Nově musí hesla do mojeID splňovat tato kritéria:
– musí být dlouhé alespoň 8 znaků
– musí obsahovat alespoň jeden znak minimálně ze 3 z následujících skupin: malé písmena, velké písmena, číslice, ostatní znaky
– nesmí obsahovat uživatelské jméno, ani jeho podstatnou část
– nesmí být ve slovníku známých hesel

Tato politika je nyní platná pro všechny nově zakládané účty a pro účty, kterým bude nyní měněno heslo. Do budoucna plánujeme, že budeme k nastavení silnějších hesel motivovat také majitele účtů založených před touto změnou, včetně těch, kteří jsou ve využívání mojeID méně aktivní.

 

Autor:

Komentáře (2)

  1. Ondřej Caletka říká:

    Ta nová pravidla mi nepřipadají jako dobrý nápad. Stačí se podívat třeba na přednášky Michala Špačka. Heslo Pepicek92 nejspíš vyhoví, přitom je velmi slabé, proti tomu velmi silné heslo speak docket sans gib amulet weird podmínce nevyhoví, protože v něm není číslice.

    Možná by bylo lepší inspirovat se třeba systémem, který nedávno zavedli v Active24 použitím knihovny zxcvbn.

  2. Zdeněk Brůna říká:

    Ten článek jsem možná až moc zjednodušil. Cílem bylo informovat, že zvyšujeme bezpečnost hesel. Úroveň toho zvýšení jsme interně diskutovali a tuto variantu zvolili jako první krok.

    Technicky skutečně striktně požadujeme splnění těch vyjmenovaných podmínek (a dokud nejsou splněny, je heslo označeno jako „červené“ a nejde uložit) a navíc posuzujeme sílu hesla (a označujeme je za Slabé/Střední/Silné) pomocí zmíněné knihovny zxcvbn, ale pro uložení hesla není takto silné heslo vyžadováno.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.