Názor k článku Regulace podle NIS2: Co musí splnit podniky v mírnějším režimu od Danny - Urednici v NUKIB pri vymysleni onoho detailu s...

Urednici v NUKIB pri vymysleni onoho detailu s hesly ve vyhlasce jednoduse mentalne zamrzli v davne minulosti. Ve svete se od periodicky vynucovanych zmen ustupuje - protoze si tam dobre uvedomuji, ze to bezpecnost nijak nezvysuje.

Argumentaci pseudobezpecaci z NUKIB opiraji o to, ze je tu prece riziko uniku databaze s hashi a nasledne offline utoky na ni. Jenze pak to tech 18 mesicu nezachrani (ani 12 a ani 3). Mysli si, ze podobnou obskuritou zalepi nejakou jinou diru. A vylozeny prusvih je, ze spodni mez mezi vynucenymi zmenami urcena neni, takze nejaky korporatni radobybezpecak s odvolanim se na argument z NUKIBu kolem offline utoku tu periodu nastavi na mesic, protoze to bude pry superbezpecny.

A sranda je, ze ty periodicke zmeny se maji tykat i uctu technickych aktiv (kde pseudoexperti z NUKIBu pripominku odmitli take), tedy veci kde treba aplikace pristupuje k nejake databazi. Takze se muzeme tesit na to, ze tu a tam neco nebude fungovat, protoze se vynucene zmeni heslo pro aplikaci.. :-)

A ze problematice offline utoku nerozumi doklada to, ze davaji rovnitko mezi MD5 a treba Argon2id ;-) Aneb i hesla jde ulozit bezpecne... jenze s tim by na urade asi meli moc prace tak si to ve jmenu vetsi prisnosti (nez ukladaji i mezinarodni standardy) usnadnili... a duraz se holt klade na papiry a obskurdni opatreni. Bezpecnost to sice moc nezvysi - ale urednikum z NUKIBu se to bude dobre kontrolovat ;-)