Jaaaao, čitam i ne vjerujem, prvo me cijeli život maltretiraju s nesigurnim lozinkama, a sad bi lozinke izbacili. Asusa ti, kuda ide ovaj svijet... 
-nije šija nego vrat, nije govno nego se pas posro.. itd.. tj mijenjaju jedan ključ koji se naziva pass (lozinka) drugim ključem koji će biti isto što i pass, može pin, može čip, može face(book), može otisak, može .. ključ je ključ, neovisno o tome kojeg je oblika, može biti jednosavan oblika slova L može biti kompliciran (kodiran).. no i dalje je ključ..
-sigurnost? recimo otisak prsta je problem tj nije dok netko ne dobije sliku otiska, kojom tad može što želi.. tj ista metoda kojom skener provjerava može se koristiti da se skeneru podmetne slika umjesto prsta pa čak u filmovima imamo rezanje prstiju za tu svrhu.. tj treba nam samo otisak da bi bez odobrenja vlasnika do nečega došli što je klasična krađa-provala-hak..
-problem je u osnovnoj prednosti otiska prsta, .. tj kad se jednom kopmromitira tad ne postoji riješenje (jer osoba ne može dobiti novi otisak, resetirati..) .. a to je osnovna prednost klasičnih pass-lozinki.. tj ako imate dovoljno dugu-kompliciranu lozinku, uz pravilo da ne koristitie pojmove iz dict-riječnika jer prvi padnu i kombinacija znakova ne samo slova-brojki.. pa je u klasičnom primjeru recimo pin naslabija zaštita ali dovoljno dobra za bankomate i način kako rade (tri pokušaja = lock..) dok je pass prosječene duljine 6-12 znakova + duži-jači .. dovoljno siguran i glavna prednost passa (ako već netko ne zna..) je što se može po potrebi primijeniti.. tj ako imam jedan pass, kako god bio siguran-kompliciran-zaštićen.. ako ga se netko domogne tad je to kraj priče o neprobojsnoti-sigurnosti.. a problem ako tad ne možemo promijeniti kao otisak, dok običan pass možemo mijenjati svaki dan.. tj zna se potrebna bruteforce snaga superračunala i potrebno vrijeme probijanja, ako je to recimo mjesec, tad je dovoljno svaki tjedan mijenjati pass i praktički je neprobojan + nema problem koji ima otisak da je nezamjenjiv. .. funkcionira do sad, dovoljno dobar ili kao i demokracija, možda ne savršeno ali bolje nema. .. tj šija-vrat, jer ključ je ključ.
npr ms već duže vrijeme gura (nudi) pin umjesto passa.. ok, većini juzera sigurnost (neprobojnost) i ne treba.. no kad je tu, tad je besmisleno imati 'vrata-bravu' koja se raspadnu kad puhnemo (kao vuk na slamnatu kućicu..) tj pin je kraći-brži, čak kod unosa posljednje znamenke ako je točna ne treba enter-next.. tj time je samo sigurnosno lošije jer tad možemo utipkavati bezbroj kombinacija dok bi nas bankomat zaključao kao i mobitel.. tj sigurnost = nula ili null.. a prodaju priču o sigurnosti?
-sve ostalo, kao online acc, mail.. mora imati odgovarajuću snagu-neprobojnost, jer nrp mailovi se zlorabe za spam a tad vlasnik maila mada je nevin snosi posljedice, kaznu i isključenje linije ili blaže samo nema mail.. dok sam ne može baš nikako osigurati sigurnost jer ne određuje ništa, ne konrtolira ništa, to rade veliki, mail-serveri, microsoft itd.. i juzer može samo ono što mu oni ponude.. u slučaju maila, promjeni pass no nakon nekog vremena opet dobije opomenu operatera, sankciju i mahanje prstom.. mada juzer nije ništa kriv, nije ni odgovoran tj sustav kao operater su i zakonski odgovorni ali će pametno prvo napasti juzera jer napad je najbolja obrana, tj svaliti krivicu-odgovornost na juzera, mada je kriv neki haker, sustav tj oni koji to mogu i moraju riješiti a to nikako nije juzer koji ne može ništa..
-što kad se nešto desi? što kad vam policija da kaznu za otvoren prozor automobila na parkingu? . .. što da kao pandan tome kažemo da je to jednako kao slab pin? .. kazna za juzera po djelu koje će haker možda izvršiti? jer auto nije ukraden nego je to policajac korištenjem zakona i malo zaobilazeći ga kaznio s 300kn prije nešto godina u arena centru.. tj po osnovi da odgovoran vlasnik mora birnuti o svojoj imovini.. pa što ako se isto pravilo-tumačenje primjeni na računala? malware? spam? Tko mora osigurati sigurnost sustava? juzer ili sustav kao država-policija i ms kao os-win platforma, kao i operateri-hosteri nuditelji usluga..? tko to može osigurati a tko ne? ne može juzer, može i mora sustav-ostali.. a što rade? izmišljaju još jedan buzzword-hype .. ključ umjesto ključa, govno ili drek..
Ova rješenja prijave putem SMS-a ili e-maila mi se čine kao najpraktičnija za korisnika (nema pamćenja ili postavljanja lozinki) i najsigurniji. Naravno čak i uz tu metodu može biti dvostruka autentikacija putem nekog Authenticatora za dodatnu sigurnost u sustavima gdje je to potrebno. Također tom metodom korisnik osigurava servisu podatak da je mail adresa i dalje aktivna i radi. WIN-WIN rješenje za sve.
MPLAB C18
-da. .. kad je takav nivo sigurnosti poteban, npr banking dvostruka autorizacija itd.. ali ovo je win, dominantan desktop, kućni juzeri dok kompanije imaju svoje sustave-admine.. kao potkivanje žabe i sisa na piletu. Smisao-svrha? Ili nam treba sigurnost, ili upotrebljivost ili nešto treće ili ništa od navedenog.. dok msova politika juzera-kućnog vidi kao korporaciju ili trumpeka.. jamesbonda itd. pri čemu je juzeru važnija sigurnost facebooka nego win-osa (računala) na kojem surfa i igra se.. tj nije da će mu netko dok je na gablecu sjesti za računalo i otkriti poslovne tajne.. svrha-smisao? sve s mjerom.. a ovo je mix ničega.
-na ulazu u banku, važnu instituciju, sef.. imamo zaštitu-zaštitare, policiju, žicu, zidove, čelik.. npr sef u banci u kojem se čuvaju vrijednosti kao novac.. služi tome, dok novčanik nosimo u džepu ili torbici i to nije sef u banci.. oboje ima svoju svrhu-smisao no ako to pomješamo-zamjenimo tad nismo dobili nešto bolje nego besmislicu.
-npr sef ne mora biti neprobojan, dovoljno da uspori lopova od alarma do dolaska policije tj vremenski okvir koji to onemogućuje.. a to je recimo kod passa bruteforcanje-probijanje.. ako je šifra dovoljno jaka tad je dovoljno povremeno je promijeniti i ostat će vječno neprobojna.. taj sustav funkcionira odlično desetljećima, nema bolje-jače.. dok je ovo samo reklama nekog hypea, onima koji to trebaju već imaju, ostali ne trebaju.. i tad im je to sporedno tj 'smeta'-višak.. tj većina običnih juzera ne želi šifre ali je sustav kao mreža takav da sad mora imati šifru kao i pin za bankomat ili mobitel.. pa se ljudi naviknu.
-kad netko to želi promijeniti, npr uspoređujući recimo bankomat-pin i os-login-pass.. lako pogrešno zaključi da je recimo pin bolji.. kao što je traktor bolji za oranje, kamion za teret, bus za putnike, osobni auto je pak za osobe, upotrebu.. pa ne kupiš traktor-bus-bager-brod.. mada su 'bolji' za neki specifičan task.. a onaj tko to ne razlikuje ne može biti recimo 'savjetnik' jer naprosto ne zna dovoljno, ne gleda potrebe-realnost, dok će trgovac traktorima kupcu prodati isključivo traktor, ne sladoled.. neovisno što kupac želi-treba.. tj pogrešni kriteiji, rakurs-pogled, interesi.. i ms koji tu kemija s toplom vodom.
edit post iznad..
-ne, nema.. jer se uzme da je sustav fixan, jednom zadan nepromjenjiv.. tj ako je promjenjiv tad je 'dovoljno' haknuti ga i umjesto recimo tvog otiska ubacim svoj.. tad ja svojim prstom otključavam tvoje vlasništvo dok ti to ne možeš.. tj nema sigurnosti, nema neprobojnosti.. postoji samo šansa i interesi (druge strane) tj resursi koje će netko uložiti u proboj..
-tad je sporedno ima li osoba 10 ili 14 prstiju, tj može osoba biti zaposlenik 'pilane' ili bez ruke-prsta.. može biti marsovac ili stonoga-stoprstić..
-problem otiska je recimo protokol uzimanja, autoriziranja.. pa tako osobne dokumente izdaje policija, država.. oni ti uzmu otisak, ne ti sam.. što se radi s recimo win-loginom? policija će nam dati osiguravati ostisak? ili će juzeri imati pristup policijskoj bazi osobnih podataka kako bi algoritam mogao u policijskoj bazi provjeriti autentičnost otiska? .. da sad slikaš svoj otisak i pošalješ kao post-sliku u temi, kako bi mi znali da je to tvoj otisak ili moj, marsovčev?.. koje je tijelo koje će to centralno provjeravati? itd.
-na nivou firme recimo može postojati porta-portir, na ulazu propušta samo osobe s iskaznicom, na kojoj može biti slika.. može i otisak prsta, može pin.. može bilo što, no što god bilo, jednak je problem tko to provjerava, kako, tko osigurava autentičnost, .. tj možeš samo ako imaš za usporedbu 'original' s kojim nešto uspoređuješ, može oib, može otisak, može pin.. no ako ti imaš pristup toj bazi, što spriječava ostale, mene, hakera itd da ima isti pristup.. a kad postoji pristup, postoji i problem sigurnosti pa tako svakih para dana vidimo proboj facea, googlea, banke, avio kompanije itd.. tj svi su probojni, nema neprobojnijh.. a sad bi juzer mali-kućni trebao biti što, sigurniji? oni nisu sigurniji mada imaju resurse i ulažu ih.. a juzer će biti jer se ms sjetio recimo pina ili otiska? .. smiješno/naivno ili neizvedivo.
-da. .. kad je takav nivo sigurnosti poteban, npr banking dvostruka autorizacija itd.. ali ovo je win, dominantan desktop, kućni juzeri dok kompanije imaju svoje sustave-admine.. kao potkivanje žabe i sisa na piletu. Smisao-svrha? Ili nam treba sigurnost, ili upotrebljivost ili nešto treće ili ništa od navedenog.. dok msova politika juzera-kućnog vidi kao korporaciju ili trumpeka.. jamesbonda itd. pri čemu je juzeru važnija sigurnost facebooka nego win-osa (računala) na kojem surfa i igra se.. tj nije da će mu netko dok je na gablecu sjesti za računalo i otkriti poslovne tajne.. svrha-smisao? sve s mjerom.. a ovo je mix ničega.
Koliko vidim iz članka tu novu metodu autentikacije bi koristili za svoje servise Office365, OneDrive, Outlook itd., a ne za Windowse. Meni se sviđa svijet u kojem ne moram upisivati i pamtiti lozinke, tako da se nadam da će sve više servisa implementirati passwordless prijavu.
-to je uvod, cloud, uskoro i win postaje usluga-servis + ne mora ni win-os, može lin.. to je uvod.
Učinit ćemo sve, ukinut ćemo i lozinke ako treba, samo nam dajte sve vaše privatne podatke, fotografije, poštu, račune...
Mi ćemo ih čuvati i paziti. Vjerujte nam. Časna pionirska.
-to je uvod, cloud, uskoro i win postaje usluga-servis + ne mora ni win-os, može lin.. to je uvod.
Vratit ću se na DOS s 4DOS extenderom. I na monitoru imati samo zelenu ili narančastu sliku. 
Imam tu foru da ti šalje e-mail s kodom na sekundarnu / drugu e-mail adresu. I to uspori prijavu. To znači da kraj seve moram imati najmanje mobitel kako bih provjerio kod koji stiže e-mailom ili biti za laptopom / PC-om i kroz e-mail aplikaciju i webmailom provjeriti poruke. Fuj.
Ova rješenja prijave putem SMS-a ili e-maila mi se čine kao najpraktičnija za korisnika (nema pamćenja ili postavljanja lozinki) i najsigurniji. Naravno čak i uz tu metodu može biti dvostruka autentikacija putem nekog Authenticatora za dodatnu sigurnost u sustavima gdje je to potrebno. Također tom metodom korisnik osigurava servisu podatak da je mail adresa i dalje aktivna i radi. WIN-WIN rješenje za sve.
I nije win-win. Nekada sve to jako uspori prijavu. Još ako taj drugi provider kojem stiže e-mail s kodom za prijavu na Microsoftov account ima problema sa svojom uslugom, eto ti problema. A kao što znamo iz iskustva, svi ponekad imaju problema sa svojom infrastrukturom, pa i najveći.
Učinit ćemo sve, ukinut ćemo i lozinke ako treba, samo nam dajte sve vaše privatne podatke, fotografije, poštu, račune...
Mi ćemo ih čuvati i paziti. Vjerujte nam. Časna pionirska.
Od mene već imaju doslovno sve. Zašto? Zato jer mi razne firme i državne ustanove šalju dokumente na e-mail sa svim mojim podacima. Dođe mi da zamolim Microsoft i Google da mi dostave podatke, da ne moram nositi nikakvu identifikaciu samnom niti pamtiti podatke.
-to je uvod, cloud, uskoro i win postaje usluga-servis + ne mora ni win-os, može lin.. to je uvod.
Vratit ću se na DOS s 4DOS extenderom. I na monitoru imati samo zelenu ili narančastu sliku.
Blažena vremena!
“From the naturalistic point of view, all men are equal. There are only two exceptions to this rule of naturalistic equality: geniuses and idiots.”
Ova rješenja prijave putem SMS-a ili e-maila mi se čine kao najpraktičnija za korisnika (nema pamćenja ili postavljanja lozinki) i najsigurniji. Naravno čak i uz tu metodu može biti dvostruka autentikacija putem nekog Authenticatora za dodatnu sigurnost u sustavima gdje je to potrebno. Također tom metodom korisnik osigurava servisu podatak da je mail adresa i dalje aktivna i radi. WIN-WIN rješenje za sve.
I nije win-win. Nekada sve to jako uspori prijavu. Još ako taj drugi provider kojem stiže e-mail s kodom za prijavu na Microsoftov account ima problema sa svojom uslugom, eto ti problema. A kao što znamo iz iskustva, svi ponekad imaju problema sa svojom infrastrukturom, pa i najveći.
Ili ono, ajd potvrdi mail kojem ne možeš pristupit bez nekog drugog autentifikatora na mobitelu koji je eto baš taj tren ostao bez interneta jer internt provider ima nekih problema, a tu nemaš wireless zbog sigurnosnih mjera firme... beš to.
Već dugo koristim Authenticator aplikaciju za 2 MS računa, doduše nisam potpuno ukinuo šifru koristim je kad nemam pristup internetu na telefonu. Radi odlično i brzo, izbaci vam kod logiranja broj a vi u aplikaciji morate odabrati taj broj od 3 ponuđena. Uz otisak prsta logirani ste za 5 sekundi.
Koristim Hotmail(Outlook) samo, ne želim davati novac na fizičke ključeve, nemam čitač otiska na laptopu, a i igrom slučaja mi upadne mobitel u vodu pa se vratim na feature phone 
King in the castle, king in the castle ...
Infrastruktura ne krepa cijelom svijetu odjednom. Možda krepa baš provideru kod kojega imaš e-mail account i na koji stiže kod za Microsoftov račun. Događalo se ranije. I događat će se. Ako krepa baš tamo gdje ti e-mail account na koji primaš bitne poruke, onda ti je tako svejedno radi li onaj drugi account na koji primaš kod za prijavu na prvi, zar ne? SMS se ne preporuča za 2FA provjeru. Već dugo.
tj ako imate dovoljno dugu-kompliciranu lozinku,uz pravilo da ne koristitie pojmove iz dict-riječnika jer prvi padnu i kombinacija znakova ne samo slova-brojki.. pa je u klasičnom primjeru recimo pin naslabija zaštita ali dovoljno dobra za bankomate i način kako rade (tri pokušaja = lock..) dok je pass prosječene duljine 6-12 znakova + duži-jači .. dovoljno siguran i glavna prednost passa (ako već netko ne zna..) je što se može po potrebi primijeniti..
tad je dovoljno svaki tjedan mijenjati pass i praktički je neprobojan
Ovo su naravno klasicne zablude koje ljudi (a i vecina IT firmi) nevicni cyber-sigurnosti sire. Komplicirana lozinka za tebe nije i komplicirana lozinka za program/racunalo koje pokusava da provali lozinku. Jedino sto djelomicno jesi u pravi je duzina lozinke.
Tako da je lozinka: 4erw%£$gbU puno losija od Mali mujo jede burek od nutele
Prva moze biti provaljena za cirka par dana dok za drugu bi trebalo preko 500 godina (ako pretpostavimo da imamo 1000 pokusaja u sekundi).
Promjena passworda svaki tjedan nece nista promjeniti i to je jedna od najglupljih stvari koji IT odjeli i Windows serveri mogu da urade/predloze.
There is always a relevant xkcd: https://xkcd.com/936/
Dvije su stvari beskonačne - svemir i ljudska glupost. Za svemir nisam siguran - Einstein
Tako da je lozinka: 4erw%£$gbU puno losija od Mali mujo jede burek od nutele
-ne. Griješiš, tj zavarava te dužina (kao da vidiš plosnato umjesto 3D..) :)
-bitan je broj mogućih permutacija za bruteforce, koje primarno ovise o skupu-scopeu znakova koje koristiš, npr brojke-znamenke, 0-9, pin je recimo duljine 4 znamenke, to je 1000 kombinacija.
-identičan pin slovno, abecedom od 30 (ili 26) slova ti daje znaš koliko kombinacija, abcd, aaaa, .. probaj izračunati? .. a sad dodaj i ostale chr$ karaktere-znakove, dodaj ako želiš kinesko pismo, hijeroglife.. time istom dužinom dobiješ na entu više permutacija, odnosno teži-duži bruteforce, koji se statistički računa na 50% mogućih da će biti probijen.
-zato za brutanje imaš riječnik-dict (attack) kao i uobičajene fraze, pa ako je fraza u dictu, bit će pogođena daleko prije nego čistim brutanjem za što bi trebale trilijarde ciklusa čak i za muju s burekom..
-pod istim uvjetima, duža će biti teža, čisto fizički .. ali ako nisu isti uvjeti, baza permutacije, tad imaš čudne rezultate, pa tako kraći može biti teži.
-sama duljina.. ako ti nije dovoljno 10-znakova, koristi više, 15-20-500.. tj možeš li zamisliti broj permutacija na duljini passa od recimo 100 znakova koji koriste sve char$ tipkovnice i razliku ako su samo brojevi, koji su već u odnosu na abecedu manji početni skup, n-na-ntu.. permutacija n!
-odnosno, očigledno nisi dio tog problema-struke, pa usput spomeneš windows servere, što samo dokazuje koliko ne razumiješ stvar, odnosno što zadana (defaultna) promjena passa radi, čemu služi .. i da naravno promašuješ, dok se više osjeća neka iracionalna mržnja ili što već.. mada tebi možda kao juzeru smeta to što moraš mijenjati pass po politici firme svakih recimo 90 dana.
-gle sad zašto se to radi, pa ako netko pokušava probiti tvoj pass, ako je on trajan, tad može pokušavati dok ne pogodi.. ako je promjena svakih 90 dana, tad mora početi od nule svaki put, tad je takav pass neprobojan na takvom računalu-resursima, tek nekim jačim resursom kao superračunalo će možda biti probijen u tom roku itd.. odnosno, netko može doći u posjed tvojeg passa, recimo zapisanog na papriću, u mailu, negdje.. i ako ga ne mijenjaš tad on može kad mu odgovara to iskoristiti, ako ga mijenjaš tad to naprosto nije važno, tj zato se recimo kod gubitka osobne, bankovne kartice i sl. odmah blokria postojeće i kreira novo, tad nema takve zlouporabe itd.. odnosno, to ti je primjer korisnosti promjene passa ili ključa, što je s otiskom recimo problem, ili parafrazirano, imao bi desetak promjena nakon čega bi ti nedostajalo ekstremiteta za novi otisak.. i zato je pass kao ključ bolji, sigurniji (jer može biti težine-složenosti koju poželimo) pa čak i da je identične težine, samo to što ga možemo u svakom trenu promijeniti je već velika prednost i izuzetno važna.. no u nekoj iracionalnoj mržnji ne vidiš to nego su tebi to glupe stvari.. tj nisi dio te branše ili si na pogrešnom radnom mjestu, no griješiš.. itd. :)
