Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Nasli mi v mailu hesla k obchodum, kde jsem si neco kupoval a registroval jsem se tam, sakra, jsem v koncich. :-D
A nejlepší je hesla vůbec nepoužívat a místo toho se raději autentizovat provátním klíčem, autentizačním kalkulátorem nebo něčím podobným. Bohužel ne všechny služby to umožňují.
Staci ukladat hesla do Keepasu popripade si jen tam nechat i generovat. Ale samozrejme to nezarucuje prunik na strane provozovatele, ale ten se zarucit neda, pokud to provozovatel nema dobre pojistene.
Ne, nestačí si hesla ukládat do Keepasu.Certifikát na HW tokenu je o řád bezpečnější.
já hesla nepoužívám ty si pamatuje prohlížeč, přihlašuju se automaticky ;)
Já si hesla "kryptuji" dle vlastních přirovnání. Je to myslím účinné. Např. jaké heslo vydedukuje útočník z řetězce: teplan komplet a forgiš name první velké?
Proč je to v rubrice "blog", když o sobě autor píše formou rozhovoru a potřebuje k tomu asistenta z redakce?
Je to skrytá reklama, ale pořád o dost lepší než jiné zdejší(Diit) blogy.
Dokonce to ani není reklama skyta, protoze kdyz to cele zacinalo, tak se to tu propagovalo, ze vyjde serie techto clanku a bude to tento styl :-)
Coz nic nemeni na tom, ze je to skryta reklama. Ze nekdo nekdy neco propagoval neni dostatecne oznaceni PR clanku. O tom muze vedet mozna pravidelny ctenar tohoto webu, ale kdyz si tady toto rozkliknu jako nahodny navstevnik, kde se dozvim, ze jde o PR? Nikde.
Teda v navaznosti na ten clanek mam jednu takovou podobnou prihodu, ja jsem teda nelezl tomu cloveku, ktereho tu nechci specifikovat do emailu, ale rovnou do popelnice. To byste necekali, kolik informaci o konkretni osobe se da najit v odpadcich a to vcetne registraci do eshopu, protoze lide si bezne hesla zapisuji na papirek, pak to vyhodi a zaskodnik jednoduse ceka pripraveny v popelnici a jakmile se mu do ruky dostane odpad, roztridi ho a vytezi "fullz". Vlastne se da rici, ze tahle popelnice je taky takova cerna nejen datova dira.
Aspoň už víš, proč se mají popeláři tak dobře. A co teprve ta elita, která se stará o kontejnery v průmyslových zónách. To je taky důvod, proč to většina z těch chlapů dlouho nedělá. Během půl roku si namastí kapsu a hurá na Malorcu ;))))
taky se kloním k názoru že jde o lepší styl reklamy. Nicméně Avast už ne, je to těžkopádný kus sw s vysokými nároky a deinstalace je horor. Naposled jsem to vzdal a nainstaloval novou zálohu Windows než se s tím patlat. Teď mám Kaspersky a naprostá spokojenost.
No, Avast ma vysoke naroky a proto jsi udelal dobre, kdyz jsi nainstaloval mene narocny Kaspersky. Ale mam jeden tip: vyhod Kaspersky a spolehni se na Windows Defender (W8 a 10) nebo Microsoft Essenitals Security (W7) a bude chod PC jeste hladsi a zbyde jeste vice vykonu pro tebe. Ver mi!
tak má důvěra v bezpečnost je poněkud výrazně vyšší u specialisty jako je Kasperský než k MS který dělá do všeho a ve všem má bordel .-)
Osobne musim rict, ze jsem nikdy nic nechytil, beru-li dobu od win7, kdy jsem pouzival integrovany reseni od MS...to same pozdeji ve win10
A to samozrejme delam na netu takove ty bezne veci, jako je lezeni po nahodnych pornostrankach a podobne.
Akorat teda neoteviram prilohy emailu, ktere jsou nesmyslne a podobne.
Jinak se chovam na netu nejspise jako bezny klasicky uzivatel.
Takze muzu potvrdit, ze MS to ma vcelku v pohode funkcni..
nu jak vidím tak se tvrzení některých o nepotřebnosti antivirů dost ujalo. Není vir jako vir a když je otevřený systém s pouhým nouzovým MS řešením tak je to pro viry pomalu jako pozvánka pro tvůrce botnetů. Odkudpak se asi ty miliony pc generující ohromný provoz při DDOS útocích asi berou? Právě od takových frikulínů co si myslí že nic nemají - vždyť indikací viru podle obecné definice má být podivné chování počítače, padání systému, případně zašifrování disku a následné vydírání. Jenže jako u lidských nemocí jsou ty nejméně nápadné nejzákeřnější. Vrstvená ochrana kde figuruje dobrý antivir+Spybot s blacklistem podezřelých webů+firewall spolehlivě náhodné útoky odchytí. Třeba i jen to aby se z pc nestal odesílatel spamu kdy je pak problém s ISP.
Kdyz jsem kdysi hooodne davno mel neco takoveho, co popisujes, tak se mi ozval provider, ze jestli s tim neco neudelam, tak me odstrihne od netu :-D
Imho na strane provideru je toto obvykle slusne osetrene a kdyby probihal nejaky prehnany traffic tohoto typu, tak si to pohlidaj.
to Lojza Suchánek
Na straně providerů je většinou ošetřeno akorát tak kulový. BCP 38 a BCP 84 skoro nikdo neimplementuje.
já jednou dostal taky mail od upc že zavřeli nějaký port kvůli posílání spamu - jenže to jsem na wifině měl připojenou sousedku, tak mi hned bylo jasné odkud asi to jde. Nejhorší je že takový dobře napadený pc se naoko chová jakoby nic.
A jak jsem psal, dost mě překvapilo co se cca poslední rok vyrojilo náhle názorů na různých fórech o zbytečnosti antivirů - vůbec bych se nedivil kdyby je pomáhali šířit samotní hackeři. Nejhrůznější kombinace je vypnutí aktualizací plus ponechání jen av od MS nebo dokonce ani to ne, neb prý aby to nezpomalovalo pc... Pro tyhle koumáky to pak znamená rychlou čistou práci a snadný zisk při pronájmu "zombie" sítě.
Když je uživatel blbec, tak ho antivir spolehlivě neochrání. Naproti tomu, když je uživatel znalý, tak antivir nepotřebuje.
"Odkudpak se asi ty miliony pc generující ohromný provoz při DDOS útocích asi berou?"
Samozrejme z pocitacu na kterych jede rezidentne antivir. Nakonec uz to rekl primo vyvojar z Microsoftu.
Rezidetni anitviry vetsinou bezi na pocitacich pod pravy administratorama a kazda dira v takovem softwaru je pozvankou nejakemu botnetu. Zatimco my, kteri se spolehame na integrovane reseni Microsoftu mame system plne aktualizovany a bez znamych chyb, tak uzivatele antiviru tretich stran musi cekat az jim je zaktualizovan program antiviru, zabezpeceni aktualizaci Windows pro ne nic neresi, pokud maji v systemu deravy antivir.
Jiste namitnes, ze tvuj antivir je aktualizovany rychleji nez operacni system od Microsoftu a ze se te to netyka. To je samozrejme mozne, ale take to tak byt nemusi. Kazdopadne uzivatel pocitace, ktery zadny takovy antivir vubec nenainstaluje se obavat bezpecnostni chyby v antiviru nemusi, protoze tam proste nic, cim je teoreticky mozne proniknout nema.
Zdaleka nejrozumnejsi ochrana pocitace je v rozumnem casovem horizontu si preskenovat pocitac nejakym slusnym antimalwarem (malwarebytes, adwcleaner) popripade tedy i jednorazovym antivirem, ktery poskytuje treba i ten Kaspersky v nouzovem rezimu, cimz si zjistim, jestli na pocitaci nejaky virus mam nebo ne a pritom me nic nemuze ohrozit narozdil od frkulinu, jimz bezi antivir rezidentne. Osobne jsem se dostal na tento sken PC na casovy horizont jednou za rok, protoze jsem vira nepotkal na svem pocitaci ani nepamatuju a tak mi staci si jen rocne potvrdit, ze tam nic stale nemam. Samozrejme tohle je ciste vec kazdeho uzivatele, zalezi na mnoha dalsich faktorech, jestli je uzivatel za NATem, jestli ma dobry a hlavne dobre nastaveny firewall na routeru, atd. Takze nekdo bude mit potrebu si skenovat pocitac treba mesicne, je to mozne.
"... jestli je uzivatel za NATem..."
NAT není bezpečnostní mechanizmus!!!
To zalezi jak si definujes bezpecnostni mechanismus a co si predstavujes pod pojmem NAT. NAT je temer vzdy spojenej s firewallem, kterej dost spolehlive odfiltruje primy utoky zvenku.
NAT je temer vzdy spojen s firewallem, ktery POKUD JE DOBRE NAKONFIGUROVANY ... ale ten bezpecnostni mechanismus je ten firewall.
(Vetsina SOHO routeru dela NAT s port forwardingem ; kdyz si otevres spatny port, nebo hur, kdyz ti ho otevre javascript na nejake strance co prohlizis ...)
Port forwarding nema nastavenej zadnej SOHO router. To si musi nastavit uzivatel sam. A Javascript nema moc moznosti jak ti portforwarding nastavit. Jedine pokud bys nemel zmeneny heslo do webovy administrace routeru.
On i ten NAT samotnej i kdyby tam zadnej firewall nebyl, tak dost znemoznuje pristup na pocitace za nim. Projit samotnym NATem z internetu do vnitrni site vyzaduje uz docela slozity hackovani TCP.
Ad JavaScript - Asi to bylo myšleno tak, že když si uživatel otevře stránku od útočníka, ve které bude JavaScript, tak právě s pomocí toho JS může útočník komunikavat na lokální síti.
Ad NAT bez FW - uvažujme příklad:
Síť 10.0.0.0/24 za NATem bez FW. Veřejná adresa na WAN portu např. 1.2.3.4. Útočník bude chtít na adresu 10.0.0.50. Odešle packet s cílovou adresou 10.0.0.50 na WAN port routeru. Router se podívá do směrovací tabulky, zjistí, že adresa 10.0.0.50 je v přímo připojené síti, takže packet bez remcání pošle.
Javascript ale umi komunikovat pouze pres HTTP a i to ma svy omezeni.
Ano, utocnik muze takovej paket vyrobit, ale sit 10.0.0.0 ma 16777216 adres. I SOHO site 192.168.0.0 maj 65536 adres, takze sance, ze se nekam trefi je dost mala a skanovani na takovych rozsazich je dost napadny.
Krom toho NAT i firewall je (na linuxu) oboje vec iptables. Jedno bez druhyho moc nedava smysl...
K čemu mi je nástroj na správu obludných hesel, když se budu chtít jednou za čas přihlásit mimo domov a nebudu mít sebemenší tušení jak moje heslo vypadá? Na papír si ho napsat nemůžu, protože to je proti všem zásadám bezpečnosti a tahat na flashce software s databází svých hesel si taky netroufám.
Nahod Keepass 2, databazi si uloz do cloudu a synchronizuj ji, budes tak mit neustale u sebe v kazdem zarizeni nejnovejsi verzi. Je to bezpecne kryptovany:
"The databases are encrypted using the best and most secure encryption algorithms currently known (AES and Twofish)."
Citace:
Natrefil jsem na jeden web, který je měl, ale abych se k plánkům dostal, tak jsem se musel registrovat, s tím že mi přišel e-mail typu – tady máš heslo a uživatelské jméno.
To je asi nejvíce viditelné nedomyšlení bezpečnosti e-mailových služeb. Hesla a uživatelské jména do e-mailu nikdy nepatří, navíc to často ukazuje na fakt, že webová služba neukládá hesla správně (tzn. osolená a zaheshovaná).
Tak tenhle myšlenkový pochod nedávám. To že někomu pošlu heslo po registraci nemá vůbec nic společného s tím, jak ho ukládám. Naprosto v klidu to může být tak, že se registruji, vygeneruje se mail s heslem co jsem zadal a do DB se to uloží jak má - osolený hash.
Dále by překvapuje, že "aby uživatel neměl máslo na hlavě", tak by měl poštu promazávat. Podle mého, jak se mi do pošty někdo dostane, tak je všechno ostatní úplně irelevantní.
A dokud se dají mailové servery prostřelit sociálním inženýrstvím, tak je vlastně jedno, jaké heslo tam máte. Tím myslím to, že se za mne někdo vydává a druhá strana mu to uvěří.
Problem totiz neni v emailu, ten funguje presne tak dobre jak dobre byl navrzen a presne tak jak fungovat ma. Problem je v lidech, pouzivaji email jinak. Je to podobne jako kdyby chtel nekdo resit bezpecnost u SMS, to jsou proste kratke textove zpravy a opet funguji presne tak jak maji. Jestli si nekdo pres to posila hesla v nezasifrovane podobe, tak je to jen a jen jeho problem.
Ne, email fakt nefunguje tak, jak by měl. Kvůli zpětné kompatibilitě s neudržovanými a nesprávně nastavenými SMTP servery se kašle na bezpečnost. Ideálně by měla být veškerá komunikace (MUA-MSA, MSA-MTA, MTA-MTA) zabezpečená TLS s kontrolou certifikátů. Současný stav je takový, že mail server buď vůbec zabezpečený přenos nepodporuje a nebo se používá STARTTLS (samozřejmě, bez kontroly certifikátů). Takže útočník klidně příznak STARTTLS odstraní a servery si pošlou zprávy nešifrovaně.
To má do stavu "ten funguje presne tak dobre jak dobre byl navrzen a presne tak jak fungovat ma" hodné daleko.
Bohužel nic se nezmění, dokud budou managoři chtít, aby maily chodily za každou cenu a vinu za nefunkčnost neponese debilní správce blbě nastaveného mailserveru, ale paradoxně ten, jehož mailserver odmítne kvůli špatnému zabezpečení protistrany zprávu poslat.
Elegantně řeší tento problém S/MIME nebo PGP, ale to zase skoro nikdo nepoužívá.
Mě zarazilo že i lidé stále věří tomuto: "A to takové, které je kombinované. Nejlépe použít čísla, velká i malá písmena a speciální znaky."
Jsem přesvědčen že mnohem lepší je použít dlouhé heslo uživatelsky přívětivé a tedy snadno zapamatovatelné. Třeba: voleprdeljebatkozy nebo třeba mojepetramadvedeti. Též je dobré v heslu nepoužívat z a y a už vůbec zvláštní znaky. Kdo píše všemi 10 dokáže takové heslo napsat během vteřiny a tedy i šance, že ho někdo okouká je mizivá.
Zalezi kam to heslo pises, webove sluzby by mely mit omezeny pocet zadani hesla a pokud to nastavis primerene treba maximalne 10x a potom az za 3 hodiny, tak i tve heslo nikdo nikdy neprorazi.
Pokud budes mit kryptovany soubor, u ktereho muzes mit neomezene testovacich pokusu, tak v tom prvnim pripade jsou to ctyri slovnikova hesla, ktera prorazit bruteforce take potrva, ale radove kratsi dobu nez stejne dlouhe nesmyslne heslo.
Osobne pouzivam dve az tri slovnikova slova teda zapamatovatelna, ovsem provrtana cislama a v nekterych pripadech i interpunkci.
Spíš se kvůli překlepům kloním ke Kertovu přístupu s modifikací, že tam musí být i neslovníkový termín, např. z místopisu, apod..
Platí přímá úměra, čím delší heslo, tím bezpečnější. Vtip je v tom, že útočník neví, jestli má zkoušet brutal force a nebo slovníkové útoky. A taky neví, jestli používáš a nebo nepoužíváš speciální znaky.
Útočník se tedy zaměří na to, u čeho bude maximální šance na úspěch. Slovníkový útok + brutal foce, řekněme do 10 znaků.
A tady je největší sranda. Algoritmy, co hodnotí sílu zvoleného hesla ti řeknou, že (pro člověka těžko zapamatovatlné) heslo s 10 znaky obsahující malá a velká písmena, speciální znaky a čísla je bezpečnější než heslo s 20 znaky (zhruba podle Kertova příkladu) obsahující jen malá písmena a pár speciálních znaků (a samozřejmě je takové heslo lehce zapamatovatelné).
Já osobně se neřídím doporučeními "expertů", nepoužívám debilní těžko zapamatovatelná hesla, která jsou navíc relativně krátká. Z hlavy si bezproblému zapamatuji cca 20 hesel k nejpoužívanějším službám, přičemž jsou v rozsahu 15 až 30 znaků.
Když jsem dostal vygenerované heslo s 8 náhodně zvolenými znaky (bez možnosti změny), nezapamatoval jsem si ho ani po měsíci.
UzZaseMeDneskaNasraliVPraci - silné a zapamatovatelné, neb je i pravdivé ;)
No ale u Keepassu ti staci si pamatovat jedno dlouhe heslo prave do toho Keepassu, zbytek si pamatuje Keepass. :-)
Jinak samozrejme souhlas, cim delsi heslo tim lepe. Ovsem pozor, verejne dostupne sluzby jako Seznam.cz, Outlook.com maji omezenu maximalni delku hesla, u Seznamu mam pocit 14 znaku a u MS 16 znaku.
Dáš si hesla do keepass a budeš doufat, že v něm nejsou bezpečnostní díry.
"u Seznamu mam pocit 14 znaku a u MS 16 znaku."
U M$ omezení je, ještě před dvěma roky to bylo myslím 11 znaků, ale u Seznamu je délka hesla omezená?
Jak je to momentalne netusim, ale bylo to omezene a to dokonce vic nez u MS, protoze tam stejne dlouhe heslo dat neslo. Jinak u toho MS, pokud nekdy v minulosti bylo 11 znaku, tak rozhodne pred delsi dobou nez 2 roky zpatky, protoze to 16ti znakove heslo tam mam 3 roky minimalne.
Ano, vzdycky nakonec nekomu musis verit, pokud pracujes na siti. U Keepassu musis verit, ze je soubor spravne zacryptovan a ze v AES neni chyba, ale kdyby byla, tak je to mnohem vetsi problem nez jen nejaky Keepass.
Ve standardu AES chyba není, to už bylo několikrát ověřeno. Chyba může být maximálně v implementaci.
Když budeš mít zavirovaný počítač a přihlásíš se na něj heslem, co nosíš v hlavě, kompromituješ jen jedno heslo. Když tam budeš mít password manažer, kompromituješ všechna hesla.
Ideální je jiný způsob autentizace (token, aut. kalkulátor, vícefaktorová aut.). Útočník se sice dostane k datům, ale jen krátkodobě. To je pořád průser, ale o hodně menší.
K většině stránek, co vyžadují dlouhá hesla s velkými, malými, speciálními a bůhvíjakými znaky se přihlašuji přes obnovu zapomenutého hesla, protože si ten paskvil, co mě nutí vymyslet, nezapamatuji.
https://xkcd.com/936/
Ale problem je skutecne se servery (a tyka se to prekvapive i nekterych bankovnictvi) ktere jsou tak pitome ze maji takovy smesne maly limit na maximalni delku hesla.
Limit na maximalni delku hesla by mel byt nastaven nejmene na 65536.
Osobne pouzivam ( read -s A ; pwgen 20 -y -H "/dev/null#$A" ), do toho zadam nejake rozumne heslo a ven vyleze nejake ktere projde vetsinou kontrol na specialni symboly etc. Pwgen se pritom instaluje snaze nez nejaky password manager a neposila nic do zadneho cloudu.
holt paranoia je paranoia.....
pitomce nezastavi antipitomec....
hesla vyzadovana mnoha poskytovately chtej cisla, ci @#$^%^&*()_+ apod....
k cemu to asi chtej...
cim delsi heslo, tim delsi crack / nezajimavy z hlediska moznosti rozlousknuti vzhledem k dobe trvani /...
mno a k tomu si hodim crypt na soubory v cloudu / stary dobry, ne ten "novy" /..
a kdyz se v zaveru prenosu dat "naseru", tak pres dobre udelanej ssh .se na to pripadni uzivatele "decrypteui" asi vyserou...
ono problem asi bude nekde jinde.... / backdoor /
zaverem, hesla nesmi mit logiku / logicky slovnik / a musi byt co nejdelsi bez vazeb, pak jsou veskere AI v dupe....
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.