Zákon o kybernetické bezpečnosti a hesla

Ve vyhlášce pro subjekty v režimu nižších povinností jsou následující požadavky na hesla (v režimu vyšších povinností je požadavků více):

Přihlašování heslem pouze v případě, že není dostupná vícefaktorová autentizace či přihlašování pomocí klíčů: Požadavky na hesla:

  1. délky hesla alespoň
    1. 12 znaků pro účty uživatelů,
    2. 17 znaků pro účty administrátorů,
    3. 22 znaků pro účty technických aktiv,
  2. bezodkladné změny výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,
  3. neomezující použití malých a velkých písmen, číslic a speciálních znaků,
  4. povinné změny hesla v intervalu alespoň jednou za 18 měsíců a
  5. neumožňující uživatelům a administrátorům
    1. zvolit si jednoduchá a často používaná hesla,
    2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacích jmen, adres elektronické pošty, názvů systémů nebo obdobným způsobem a
    3. opětovného použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

Otázky:

  1. Jaká má být entropie hesel?
  2. Jak generovat náhodná hesla pro technická aktiva?
  3. Jak zabránit použití jednoduchých a často používaných hesel?

jednoduchý vystředěný rámeček

  • Poslední úprava: 2025/07/22 07:24
  • autor: pavlicek