"J.F." <j...@p...onet.pl> writes:

>>A klient właśnie wsiada do samolotu, albo się Windows zawiesił itp.
>>I co dalej?
>
> Nic, haslo nie zostalo zmienione, to za kolejnym logowaniem obowiazuje
> stare.
> Ale nadal na poczatku bedzie wymagana zmiana hasla :-)
> Poza tym mozna przypominac tydzien wczesniej ...

Userzy doskonale sobie radzą z obejściem takich systemów, bez żadnego
pożytku dla bezpieczeństwa.
Np. z automatycznymi zmianami radzą sobie tak, że doklejają cyfrę "1" na
końcu. Przy kolejnej zmianie usuwają tę cyfrę. Jeśli system pamięta X
ostatnich haseł, to doklejają kolejne cyfry. Jeśli system wymaga
przynajmniej 1 wielkiej litery, to pierwszą - lub ostatnią - literę
robią wielką. Itd. itd.

Zapisują hasła na monitorze, noszą je w portfelach itd. Można pamiętać
1 dobre hasło, ale nie takie, które się zmienia co 2 tygodnie.

A teraz user, który ma hasła w postaci np. 256-bitowych losowych liczb
z generatora (szestnastkowych, ale mogą być także np. dziesiętne, bez
znaczenia) - czyli z dużo większą entropią od "typowych" akceptowanych
haseł, ma problemy, bo użył tylko 16 (albo nawet 10) różnych znaków.
--
Krzysztof Hałasa