Vlákno názorů ke zprávičce Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy

Heh, každá inteligentní webovka by měla mít omezení na počet chybných přihlášení a také detekci jestli se snaží někdo použít dictionary attack nebo brute force attack a hlavně u admin učtu .

A ten borec měl použít TOR sice to není nejrychlejší ale na slovník by to krásně stačilo...ted by se někde smál :-)

dneska se na bezpecnost kasle zacinam mit dojem; uzivatele voli slaba hesla a rikaji si, proc zrovna ja bych mel nekoho zajimat?

Proč by někdo lez do mailu zrovna mě? :D

Já si myslím, že by každá webovka měla implementovat OpenID a přínos bude na obou stranách. Webovka se nebude muset start o vámi zmíněné ptákoviny, ale o funknčnost, kterou chce poskytovat a uživatel si mohl pamatovat jedno silné heslo na systému pro který je správa účtů činnost číslo 1 a ne jen nutný doplněk. Protože podle toho ta autentizace na většině webů vypadá.

Což problém neřeší, ale jen přesouvá na stranu poskytovatele identity.
(i když je tu určitá šance, že při specializaci bude dělat každý tu svoji práci lépe: tvorba služby a autentizace)

Problém je u nedůležitých, i když navštěvovaných, služeb ten, že zablokování by každou chvíli tím pádem odnesl jen správný uživatel. Což je nepřijatelný. Tudíž nutit volit silná a dlouhá hesla, pak si nějakej slovníkovej útok může leda nabouchat nebo to zkoušet klidně do skonání světa (když bude hodně otravovat a vytěžovat server, stejně mu po pár hodinách bloknu IPiny a bude v řiti). Anonymní IPiny bez reverzu blokuju tak jako tak.

+1 Když se omezí počet chybných přihlášení, dá se velice snadno dělat DoS a zamezit přístupu oprávněných uživatelů. Rozumnější je přidat prodlevu při přihlašování v řádech vteřin, která se v případě chybných hesel zvýší třeba na minutu.

TOR vůbec nic neřeší. Detekovat přístupy přes TOR jde na základě detekce IP koncových uzlů celého TORu. Chytří hledají "Tor exit nodes".