Úspěšná knihovna pro validaci síly hesla zxcvbn, má již mnoho forků. Dokonce je i přepsaná do jiných jazyků, včetně PHP. Existuje i varianta s lokalizací do češtiny v JS. My jsme se rozhodli to spojit a dát dohromady již existující PHP verzi a JS verzi s českou lokalizací. Rádi bychom se s vámi podělili o to, co se nám povedlo a jak byste knihovnu mohli použít.

1. Vojtěch Buba / Developer
Pokročilá validace síly hesla
FB facebook.com/peckadesign TW @peckadesignPokročilá validace síly hesla Vojtěch Buba

2. O čem to bude
• Proč validovat sílu hesla
• Jak posoudit sílu hesla
• Představení knihovny zxcvbn
• Co nového přináší můj fork
• Jak knihovnu nasadit
• Známé nedostatky
• Otázky
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba

3. Proč validovat sílu hesla
• Přístupy do administrací a kritických sekcí webu
• Edukace uživatelů
• Zvyšuje kredit aplikace
• …
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba

4. Jak posoudit sílu hesla?
Často používaná kritéria:
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Malé a velké písmeno
• Alespoň jedna číslice
• Zvláštní znak
• Minimální délka hesla

5. FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
“Much of what I did I now regret”
Bill Burr pro The Wall Street Journal

6. FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
“Much of what I did I now regret”
Bill Burr pro The Wall Street Journal
• P4ssw0rd!1, P4ssw0rd!2 …

7. Jak posoudit sílu hesla?
Pokročilejší metody:
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Hledání ve slovnících
• Hledání vzorců dle rozložení klávesnice
• Hledání roků narození a jiných datumů
• Hledání sekvencí např. 12345
• Hledání opakujících se znaků
• Hledání substitucí např. P477w0rd
• Bruteforce test

8. dropbox/zxcvbn
GitHub: https://github.com/dropbox/zxcvbn
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Originální knihovna napsaná v CoffeeScript
GitHub: https://github.com/bjeavons/zxcvbn-php
• Port do PHP
bjeavons/zxcvbn-php

9. vojtechbuba/zxcvbn-php-cz-sk
GitHub: https://github.com/VojtechBuba/zxcvbn-php-cz-sk
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Lokalizovaná verze pro češtinu a slovenštinu
• Používá data z https://github.com/lpavlicek/zxcvbn-czech
Co v JS verzi je a PHP nebylo
• Upravený Python skript pro generování slovníku jako JSON
• Textová upozornění a doporučení
• Možnost použití překladů z DB

10. Jak knihovnu použít
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba

11. Jak si vygenerovat vlastní slovník
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Spustit:
• python3 data-scripts/build_frequency_lists_json.py data/ cs_frequency_list.json data/sk.json
• Argumenty
• Složka se zdrojovými daty data/
• Výstupní soubor cs_frequency_list.json
• Konfigurační soubor data/sk.json
• určuje jaké soubory se mají brát v potáz a v jakém rozsahu

12. Známé nedostatky
FB facebook.com/peckadesign TW peckadesignPokročilá validace síly hesla Vojtěch Buba
• Diakritika dělá neplechu

13. Otázky
FB facebook.com/peckadesign TW @peckadesignPokročilá validace síly hesla Vojtěch Buba