Security through obscurity? U uživatelských hesel tohle opravdu nefunguje. Praktický příklad od České pošty

Když si u České pošty chcete založit zákaznickou kartu tak tvrdě narazíte. Na zcela nepochopitelné podmínky, které musí splňovat heslo. Je to jedna z nejlepších ukázek, jak přimět uživatele si heslo někam napsat, rozhodně tak aby ho našel, aby bylo co nejlépe viditelné. A aby to vůbec nedávalo smysl, že má tak neuvěřitelně složité heslo.

Jaké podmínky musí heslo splňovat?

Povolená jsou velká a malá písmena z mezinárodní abecedy (tj. 26 znaků bez háčků, čárek a jiných diakritických znamének či spřežek. Její výčet je: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z).

  • Seznam povolených speciálních znaků: < > – _ , . ? ! ; “ ` [ ] / ( ) | + @ # $ ~ ^ & * { } =
  • Povolené jsou také arabské znaky číslic.
  • V hesle nesmí být 3 a více stejných písmen vedle sebe nebo 3 a více abecedně po sobě jdoucích písmen (například: aaa, abc, cba).
  • V hesle nesmí být 3 a více stejných číslic vedle sebe nebo 3 a více po sobě jdoucích číslic (například: 111, 123 nebo 765).
  • Pokud je v hesle jen jedna číslice, nesmí být na jeho konci.
  • Pokud je v hesle jediné velké písmeno, pak nesmí být prvním znakem.
  • Pravidla pro slovníkovou kontrolu jsou:
    • heslo nesmí obsahovat skupiny znaků, které na klávesnici leží vedle sebe (příklad: qwertz, asdf)
    • heslo nesmí obsahovat řetězec heslo ani jeho varianty (příklad: Heslo, h3slo)
    • heslo nesmí obsahovat řetězec posta ani jeho varianty (příklad: Posta,Post@)
    • heslo nesmí obsahovat řetězec e-mail ani jeho varianty (příklad: E-mail, e-m@il)
    • heslo nesmí obsahovat řetězce: aabbcc,ababab, xxyyzz, xxyyzz, xyxyxy,bond007,sexsex, sex0609,sex909, #twitter,facebook,faceb00k

Když si tak ty podmínky pro heslo čtete, tak máte pocit, že už jenom naprogramovat to musel trvat aspoň tak dva týdny. Ale hlavně, říkáte si, tohle přece musí být nějaký troling.

A proč je tam ta záplava zcela nesmyslných požadavků? A proč tam prostě není možné napsat místo hesla pořádně těžkou frázi, třeba “který kokůtek z české pošty tohle vymyslel“?

Jasně, snadná cesta ven z tohoto poměrně zásadního problému je použít správce hesel. Jenže, copak ti chudáci obyčejní zákazníci České pošty něco takového znají?

PS: Je dost dobře možné, že prostě nevěříte, že něco takového existuje. Ale ono existuje, můžete se na to podívat sami na Registrace s žádostí o Zákaznickou kartu. A pro jistotu, zde je i screenshot:

2015-12-15 16_48_32-Registrace s žádostí o ZK - Lidé - Česká pošta