je to druha moznost, a lepsi s pouzitim 20mistneho Velke/male/cisla/znaky passphrase, nez mit ruzne klice s bez passphrase nebo s "Filip" ;-)
Takže to není druhá možnost, ale třetí možnost – druhá možnost je ten váš vynález s žádným nebo slabým heslem. Jenže vy jste se tvářil, že to porovnáváte s tou první možností, tedy klíč chráněný silným heslem. Takže se znovu ptám – v čem je lepší vaše varianta „jeden klíč se silným heslem všude“ oproti variantě „unikátní klíč se silným heslem pro každého klienta“?
Taky by mne zajímalo, kolik těch dvacetiznakových hesel si pamatujete. Pokud si to heslo nepamatujete a používáte správce hesel, je to zase další prostor pro útok, který jste zapomněl zmínit.
jak sem psal, prolomeni takove dukladne passphrase vyzaduje miliony superpocitacu s sanci v radu let, nebo tvuj domaci pocitac za ~trilion let ;-)
To ovšem vycházíte z předpokladu, že se nenajde žádná chyba ani v algoritmu ani v programu a že nedojde k žádné neočekávané změně v používané technice. Což klidně za půl roku platit nemusí. Je zbytečné zvyšovat zabezpečení z milionu let na bilion, protože je velmi nepravděpodobné, že by zrovna tahle změna zastavila nějaký útok. Mnohem účinnější je přidat jinou vrstvu zabezpečení, která funguje na úplně jiném principu a nebude dotčena průlomem v té první vrstvě.
Z tohoto důvodu třeba může dávat smysl port-knocking, protože i kdyby někdo zjistil, jak rozlousknout heslo ke klíči za vteřinu na kapesní kalkulačce, port-knocking by byla druhá vrstva, která by tímhle zůstala nedotčená a server by ochránila. (Což neznamená, že bych port-knocking osobně doporučoval – riziko, že pomocí port-knockingu vyrobím nějakou jinou bezpečnostní díru nebo že nebude fungovat považuji za mnohem větší, než že někdo bude umět louskat hesla ke klíčům lusknutím prstu.)
Druhou takovou vrstvou k tomu louskání hesel od klíčů je mít kontrolu nad tím, kde se ten zaheslovaný klíč nachází. Když totiž útočník nemá ani ten zaheslovaný klíč, nepomůže mu, že by ho uměl rozlousknout během pár vteřin. A když už mám kontrolu nad tím, kde všude ten klíč je, je jednoduché mít na každém klientovi jiný klíč.