Komentáře k článku
Nezatěžujte uživatele vytvářením účtů. Váš web není výjimečný.

Registrovat se. Registrovat se. Registrovat se. — Tohle Lenin nikdy neřekl. A váš návštěvník o to možná ani nemá zájem, na to nikdy nezapomínejte.
Registrovat se. Registrovat se. Registrovat se. — Tohle Lenin nikdy neřekl. A váš návštěvník o to možná ani nemá zájem, na to nikdy nezapomínejte.
Doporučení WCAG (Web Content Accessibility Guidelines, Směrnice o přístupnosti webového obsahu) aktuálně ve verzi 2.1 představuje v současné době nejrozšířenější a celosvětově uznávanou metodiku tvorby přístupného (nejen webového) obsahu. Za jeho vytvořením stojí pracovní skupina WAI v rámci konsorcia W3C. Pokud to s přístupností myslíte aspoň trochu vážně, je vhodné se s obsahem tohoto doporučení seznámit.
Bcrypt je časem prověřená metoda, nicméně v dnešní době už stojí za zvážení scrypt.
Re:
Při zvažování zda přejít na scrypt doporučuji přečíst článek:
http://blog.ircmaxell.com/2014/03/why-i-dont-recommend-scrypt.html
Není to tak černobílé jak to vypadá …
Re:
Zajímavé, díky. Přes poslední část článku jsem se dočetl, že si Ben Burwell protiřečí, jelikož bcrypt jako takový má limit 72 znaků na hashovaný string (jakkoliv bude procento ovlivněných velmi, velmi malé).
Postupy a jejich nevýhody, jak slušně hashovat delší hesla, shrnuje třeba vlákno How to hash long passwords (>72 characters) with blowfish na stackoverflow.
Banka
Zdravím dalšího „spokojeného“ zákazníka KB ;-)
Re: Banka
Původní autor článku (ne autor překladu) asi nebude používat KB :-)
Blba pravidla pro slozitost hesel
Co se tyce slozitosti hesel, nejjednodussi je asi sahnout po hotovem reseni, vcetne javascriptoveho ukazalete, jak si vase zadavane heslo vede, treba zxcvbn od Dropboxu.
Nepresnosti a doplneni
K prekladu: cryto != sifrovani ale kryptograficke algoritmy obecne. Sifrovani je obousmerne (spravy angl. temin je encryption), zatimco v pripade hesel nas zajimaji hlavne hashe.
Je hezke tam iniciativne oproti puvodnimu clanku doplnit SHA1 – ale to nic neresi. Spravne se maji pouzivat hashe na tohle delane (scrypt, bcrypt) a vubec nepouzivat tyhle hash algoritmy delane na rychlost (SHA*) a kdyz u neni zbyti tak je potreba dukladne solit a pocitat opakovane v cyklu. Napr. aktualne ma fce crypt v PHP pro sha256 a sha512 vychozi hodnotu 5000 iteraci. Ale i to je vzhledem k tomu, ze dnes existuji zarizeni co umi 5.000.000 hash/sec nouze.
A dalsi vec je, ze neni potreba (vzhledem k exponovanosti sluzby samozrejme) uzivatele s tim heslem zas tak trapit, pokud jsou implementovany i dlasi techniky omezeni pristupu.. viz http://research.microsoft.com/apps/pubs/default.aspx?id=70445
Re: Nepresnosti a doplneni
Pripadne pokud uz se ma pouzit nejaka ta sha* fce, tak jako soucast PBKDF2
hash
Šifrují se zprávy, nikoli hesla.
bla bla