Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Na rozdíl od autora článku jsem přesvědčen, že novinky v seznamu hanby nemají zhola nic společného s osvětou o bezpečnosti hesel, ale souvisí s prostým faktem, že stále víc adminů vnucuje absudně v "zájmu bezpečnosti" to, že se heslo musí skládat z kombinace písmen a čísel.
Požadavek na kombinaci písmen a čísel existuje velmi dlouho a velmi dlouho podoba nejpoužívanějších hesel tento požadavek reflektuje (abc123, qwerty123, password1, 123qwe…). O čem je řeč ve článku, není kombinace písmen a čísel, ale střídání písmen a čísel. Což se v nejpoužívanějších heslech až do letošního roku neobjevovalo.
Ok, nechci se hádat. O Vánocích. :-)
Jde mi o to, že se požadavky na heslo stran různých služeb postupně zpřísňují. Před 20 lety to nikdo nehlídal a prošlo v pohodě mít jednopísmenné heslo. Dnes nemyslitelné.
Takže jak to asi bylo v tomto případě? Tipuji:
> create password:
qwerty
> password must combine letters with numbers
qwerty123
> password must not contain sequences (eg. 123)
1q2w3e
> password ok
Prostě tohle není o osvětě a uvědomění si slabosti, ale o nejjednodušším ochcání hlídače hesel. :-)
Ono dost mozna prave ten absurdni pozadavek na kombinaci pismen a cisel muze oduvodnit to, proc dat prave takove heslo.
Heslo si totiz potrebuju pamatovat, takze bud muzu mit:
"qwerty123"
nebo muzu mit heslo:
"NadiitujetosamejfanousekAMD"
Pamatovat si budu oboji, ale ktere je bezpecnejsi?
Tipuju, že na uhodnutí je jednodušší to druhé.
Proc? Jak muzes vedet, ze nemam heslo:
"PCTmamradsijetamvicfanouskuNVIDIE"
Jakmile mas jako heslo vetu, tak je nerealne, ze by ji slozil stejne nekdo jiny. Slovnikovy utok je pri dnesnich rychlostech pocitacu nemozny.
Jestli je to na diitu samej fanoušek AMD, tak proč ho máš pozpátku v nicku?
ReDMArx
:-)
Kdyby jen to. Má tam Red, AMD a ještě RX. To už si mohl rovnou dát nick RedAMDRadeonRX.
Jde na Diit zmenit nick? :-)
Nie, musíš počkať ;)
Použiješ KeePass a stačí si pamatovat master heslo ke KeePassu. KeePassem pak generuješ random bullshity, co si nemusíš pamatovat.
7M5vr3P5u6DCGlte_U09soDBzdqI3qcF
Vetšina stránek kde admin vidí nezakódovaná uživatelská hesla nestojí za patlání z další aplikací navíc.
Slabá hesla člověk nepoužije pro důležité bankovní systémy, ale na nesmysly kde mu nevadí jejich zneužití (racionálně si tak šetří svůj čas).
Naprostý souhlas. U účtu kde mi záleží na bezpečnosti (email, banka, PayPal, steam atp.) používám 10 a více místná hesla z generátorů co si prostě musím někam poznamenat. U webu kde mi na bezbecnosti nezáleží, fóra, diskuze atp. tam mám strašný sračky, které mám uložené i ve Firefoxu.
Presne tak, z hesel ktere bezne na webu pouzivam mi je dobrych 98% naprosto ukradenych, jestli mi ten ucet nekdo naloguje - naopak by bylo chybou u techto, v dusledku podradnych sluzeb, pouzivat ty opravdu slozita hesla. Hesla z techto "podradnych" sluzeb predpokladam budou tvorit drtivou vetsinu toho seznamu.
Tak kde na niečom záleží, sa väčšinou dá použiť multi-factor :)
Pokud používáte KeePass, je rozhodně zkratka Ctrl+V rychlejší, než hesla psát.
Další výhodou je pak evidence, víte, kde máte účty, můžete si tam zapsat security otázky a tak podobně. Pokud se jedná o služby, kde potřebuju heslo napsat a nefunguje copy paste, generuji je jinak.
Zneužití hesel a dalších údajů dle mého názoru vadí nehledě na typ služby.
Jo jenze to je copy./paste heslo. Mozna dobry na web, ale jako root heslo, zkus si predstavit, ze ho mas napsat na konsoli v pripade nejakeho prusvihu.
Na solarisu (s trosku vyssim zabezpecenim), ti prvni neprojde, protoze je moc jednoduchy (mozna i z duvodu dal) a to druhe taky ne, protoze obsahuje "Dictionary word" - coz je z jeho pohledu defacto jakokoliv kombinace 3 pismen.
heslo a1b2c3d4e5 jsem nikdy nezkousel...
Dementni snaha o zabezpeceni tu bezpecnost snizuje.
treba si uvedomit, ze ide o vyuzivanie rozlozenia pismen na klavesnici, nie cisto o striedanie pismeno-cislica...
my sme pred dekadou pouzivali hesla ako uhbgt67 (tvar diamantu), qasde321 (kosostvorec), nmkiuh (6-uholnik), iop159753 (krizik na num-kocke) .... atd atd
a aj rozlozenie pismen na klavesnici je nutne brat do uvahy pri luskani hesiel socialnym inzinierstvom, nielen ze 1234... abcd...
Když vezmu drtivou většinu mých hesel, byla by skoro všechna stejná a složitostí podobná těm ze seznamu (ne-li přímo na něm).
Ale na druhou stranu se na těchto účtech se nedá provozovat činnost, která by mě mohla výrazně negativně zasáhnout a jejich ztráta by mi byla v podstatě šumák. Na takové "odpadní" účty nebudu plýtvat kapacitou své paměti.
U opravdu důležitých účtů mám samozřejmě hesla silná a jedinečná. Docela by mě zajímalo, kolik hesel v těchto seznamech tvoří právě ta nízkodůležitá.
Mam to taky tak, neco jineho je heslo na DIIT, to mam jednoduche a navic opakovane (stejnym heslem se prihlasim na Cnews a PCT) a neco jineho je heslo do internetbankingu, ktere vam tu vypisovat nebudu, protoze ho neznam (Keepass).
Kdo to má taky furt vymejšlet, co? :D
Tyjo, díky za tip, 1q2e3r... je super systém a celkem univerzál na většinu požadovaných hesel, to začnu používat. Ještě udělám to Q velké a pokryju tím většinu služeb a bude to i jednoduché zpětně vymyslet.
Mezi nami, moje heslo nema kdo co vedet.
Spravne ma kazda sluzba hned po prvnim zadani hesla, toto heslo prevest na SHA256 a tento kod si ulozit a heslo zapomenout. Nasledne pri kazdem mem zadani hesla ma sluzba provest stejny prevod a kod overit.
Takze nikdo by nemel vedet, kdo jake heslo zadava.
Statistika hesel je tak zaroven statistikou toho, kolik sluzeb porusuje bezpecnostni pravidla.
Hm... jenže pak stačí udělat ten hash hesla, že, a už je jasné, že když je někde stejný hash, je stejné heslo.
Heslo se má nasolit a převést.
Presne tak, proti "rainbow tables" sa pouzva "salt" - nahodne vygenerovany retazec (pre kazde heslo iny), ktory sa (nezahashovany) ulozi spolu so zahashovanym heslo + salt.
No, budu pedant, ale salt uz dnes nestaci. S tim jak jsou dnes rychle GPU, salt bruteforce metodu jenom velmi mirne zpomali. Jestli chce clovek bezpecnost proti GPU bruteforce, potrebuje heslo + salt + N, kde N je pocet iteraci PBKDF2 nebo neceho podobneho.
S tim souhlasim, akorat jsem nechtel prodluzovat prispevek, nekteri mi to tu vycitaji. Je zrejme, ze kdo chape hashovani hesel, chape i nutnost je osolit. ;-)
BeFeLeMePesSeVeze.1
:))))
DerDieDaspsiocasDasDieDerpsiprdel
Vesele Vanoce vsem
BTW : at se Vam Jezisek nezastreli.....
Už to tu zaznělo, ale i tak přidám vlastní zkušenost: ty kombinace písmen a čísel, aby se ochcal hlídač hesel (zde sekvence) je skutečně výsledkem absurdně velkých požadavků na bezpečnost, které ji tímtoi paradoxně snižují. Taky používám na pracovní projekty různé variace ježdění po klávesnici, které ještě není detekovatelné jako sekvence, akorát je to trošku sofistikovanější. Nejnovější požadavek od zákona na kyberšikanu IT pracovníků (tuším je to 181/2014) nám adminům zesílil heslo na min. 17 znaků (já doteď používal velmi bezpečný 16znakový systém) nijak bezpečnost nezvýšil (poslední znak jsem prostě zopakoval a nemám problém to tu veřejně nablejt).
Kdo by to rekl, my snad opravdu mame zakon na hesla. %-O Jen mi z toho neni na prvni pohled zrejmy, koho se to tyka. Je mi jasny, ze domaciho uzivatele ne. Nejakyho statniho systemu asi naopak ano. Ale co takova bezna firma provozujici pro uzivatele "neco na netu"?
Nejsem náš bezpečák, abych věděl, jaká hesla kdo má mít podle zákona, i když jako admin bych to asi správně vědět měl, ale tipl bych si, že pro záležitosti týkající se kritické infrastruktury státu jsou ta pravidla tak nějak povinná. Naše firma se o nemalé množství těch státních věcí stará a je fakt, že se tam bez něčeho jako KeePassu ani neuprdnete, protože ta hesla jsou fakt navyližprdel. To se prostě nedá zapamatovat. Teda mně se to zatím daří díky systematicky promyšlenému klusání po klávesnici oběma rukama současně, ale nějakých takových „klíčů“, které lze na toto téma vymyslet tak, aby se to dalo pamatovat a bylo to z kategorie „tak těžko prolomitelné, že je efektivnější použít brute force“, imho moc nebude. I když ... čort znajet, admini jsou hodně vynalézaví ;).
Mimochodem jedno z těch pravidel říká, že uživatel musí mít možnost zvolit si heslo delší než 32 znaků. Ne, že by ho nutně musel volit, ale kdyby chtěl, ta možnost musí být. A fór je v tom, že tohle docela efektivně vylučuje Oracle ;). Takže se dělá, že se to přehlíží. Já osobně tak 3/4 pravidel, které ten zákon* nařizuje (* resp. to, co k nám probublá skrze bezpečáky, bo já to fakt nečet a nemám v úmyslu to dělat), považuji za fakt velké krávoviny. Taky proto mu říkám zákon na kyberšikanu IT pracovníků.
Mám takové heslo (myslím jako rčení, ne password): „Bezpečnost je príma věc, ale dostupnost je mnohonásobně lepší“. Ten zákon* jde přesně proti tomu. A s ohledem na to, že různé firmy (státní instituce nevyjímaje) šetří na kdejakém prdu, se nezřídka stává, že když vícero adminů potřebuje něco řešit, tak se na jediný přístupný terminal server, kudy se to řeší, dostanou z důvodu licencí jen dva lidi současně. Bych blil.
"Delsi jak 32 znaku"
Byl jsem jednou v Airbance, neco jsem potreboval na pobocce a mam nastaveno na IB heslo dlouhe myslim 35 znaku (Keepass generator). Na pobocce chteli, abych se prihlasil do servisni aplikace pro IB, kterou na pobocce pouzivaji, ze to tam rovnou nastavime, jinak se to u nich da nastavit pres telefon (operator). No prihlasit se do te aplikace neslo, nevzala tolik znaku. Pritom je zvlastni, ze samotne IB Airbanky s tim nema problem.
Bud maji blbou tu servisni aplikaci nebo pouzivaji dve oddelene databaze, kazdopadne je to divny.
To je presne to chovani co se snazim u lidi u nas ve firme zmenit.
Pokud se mi zda neco sikanozni tak si zjistim podrobnosti (treba zneni toho "zakona") kdyz porad z meho pohledu jde o sikanu tak to reknu nahlas (vyvolam diskuzi)... pokud diskuze stale shledava sikanu informuju sefa at s tim neco udela...pokud s tim muj nadrizeny nic nedela pingnu na sefa sveho sefa...
A pak uz me to nezajima :)
Za tech cca 6 let (v corporatu) tenhle system nikdy nezklamal... jednak se vycistil vzduch od zatuchlin a kostlivcu... a pak i sefove najednou zacli citit jistou cast zodpovednosti (oni ji citili i tak ale ted maji navic i argumenty z diskuze).
Alfou a omegou vseho je komunikace :)
Tenhle postup u nás nefunguje. Tam jsou vejš jistý struktury, který říkaj „to je zákon, proti tomu my nic nezmůžem“ a je to. Tedy v případě tohodle sprasku. Ohledně jiných věcí to většinou zabírá.
Jen tak mimochodem - 17 znaků tam je proto, aby to nešlo louskat jako 2x64bit slovo
V našej firme poznám jednej admin/root account (Win, UX, ILO, DB...) ktorý sa vytvoril v roku 2004 keď ten zákazník prichádzal do supportu a čuduj sa svete, napriek všetkým auditom si spokojne žije už 15 rokov :) Ešte aj to "04" obsahuje :)
Bývalý kolega používal s oblibou heslo Doprdele+1 :)
Jeden čas jsem tu buzeraci s hesly u některých webů řešil tak, že jsem tam něco napsal, při dalším přístupu na web dal "zapomenuté heslo", přes link v mailu se člověk přihlásil a uložil tam do hesla zase nějaký nesmysl. Takže se dá obejít i bez hesla :-).
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.