Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Prostě dneska jsou hesla celkem problém - co se dá rozumně zapamatovat, to se dá prolomit (bavíme se o normálním člověku a o tom, že těch hesel je víc - slovníkové algoritmy už dneska pracují i s konstrukčními mechanismy které pro tvorbu hesel uživatelé používají), jak si to člověk začne ukládat do nějakého úložiště, tak je tu riziko prolomení (opera nebyla první, jsou to celkem lákavé cíle). Takže holt člověk musí jet "na procenta" a doufat, že hráči první ligy se na něj nezaměří a druhá liga to lousknout nedokáže.
„co se dá rozumně zapamatovat, to se dá prolomit“
To si nemyslím. Dá se velmi snadno vyrobit heslo, které jde snadno zapamatovat a zároveň bude extrémně těžké ho prolomit.
Například stačí vzít: Nějaké zvolené slovo nebo slova, název produktu, pro který dělám heslo (tím vznikne pro každý produkt jiné a přitom snadno zapamatovatelné heslo) a nějaký způsob, jak heslo měnit v čase.
A pak existuje neomezené množství algoritmů, jak z toho sestavit zapamatovatelné a přitom silné heslo.
Například:
1. Název produktu nebo hlavní doménu webu, pro který dělám heslo. Například Diit.
2. Vezmu písmeno, které odvodím od aktuálního roku. Například poslední číslice roku je 6 a 6. písmeno abecedy je F. Mám Diitf (popř. DiitF).
3.Tři náhodná slova. Z generátoru mi vyšlo: beran, peněženka, stan. (vyberu něco, co si budu pamatovat)
4. Dám to všechno za sebe abecedně, bez diakritiky:
beranDiitfpenezenkastan
Kdybych tak dělal heslo na Seznam, bylo by to: beranpenezenkaSeznamfstan
Kdybych si tak dělal heslo do OS: beranpenezenkastanUbuntuf
Hrubou silou v podstatě neprolomitelné, slovníkovým útokem taky, prostým zkoušením stejného hesla taky, v podstatě by někdo musel získat alespoň dvě různá otevřená hesla, aby přišel na ten algoritmus.
Je dost mozne ze Tvoje heslo by nepreslo mnohymi systemami kde maju nastavene pravidla typu "aspon jeden specialny znak a aspon jedna cislica". Moj podobne spraveny 27-znakovy passphrase sa standardne nepaci Windowsovym domenam prave z tychto pricin.
pred 20 rokmi v príručke k SunOS som čítal, že mám zobrať svoju obľúbenú pesničku a ako heslo použiť prvé a posledné písmeno každého slova refrénu. vrátane diakritiky a čísel (zapísať číslovkou). väčšina mojich hesiel je vytvorených takýmto spôsobom. obsahujú aj čiarky, aj veľké písmená, aj čísla a sú ľahko zapamätateľné.
zároveň si ale myslím, že zabezpečovať systémy iba heslom je v dnešnej dobe blbosť. SSH vždy nastavujem aby potrebovalo kľúč a login mi na každom systéme vyžaduje TOTP (time-based one time password).
Ještě ale potřebujete něco, aby to heslo nebylo pořád stejné.
Je mnohem lepší mít pro každou službu jiné středně silné heslo, než pro všechny jedno velmi silné heslo.
odkedy existuje libpam-google-authenticator, tak som s heslami dosť poľavil. škoda len, že 2-factor authentication nepodporuje veľa online služieb.
Ano, přesně, to je asi hlavní problém.
Vlastně „my ajťáci“ skrze nesmyslné politiky pro hesla nutíme lidi mít méně bezpečná hesla.
Ale dalo by se ještě přidat, že místo první čárky dám jedničku, pak by to prošlo.
edit: Omlouvám se za matoucí větu, při psaní toho původního příspěvku jsem uvažoval o variantě hesla s čárkami mezi slovy a zapomněl jsem, že jsem to pak změnil.
Ovšem úplně největší zlo je pravidlo typu že heslo musí mít minimálně 8 znaků a MAXIMÁLNĚ 14.
Pak se s tím algoritmem můžete jít klouzat, protože to heslo bude moc dlouhé.
Za rozumnou politiku bych považoval chtít rozumnou minimální délku, maximální někde, co běžný uživatel už určitě nezadá (např. 100) a pak mít slovník z vykradených hesel dostupných na webu a chtít, aby heslo v něm nebylo.
Bezpecne, zapamatovatelne, na kazdy server jine - vyberte si libovolne dve.
Pokud uspesne donutite uzivatele zadat alespon trochu bezpecne heslo, tak si ho nejspis napise na listecek a prilepi na monitor.
Jinak ale souhlasim: omezeni na maximalni delku hesla je kravina, pokud to neni kolem cvrt kilobajtu. A testovat na nejcastejsi proflaknuta hesla pomuze vic nez trvat na symbolu.
Na druhou stranu lze využít češtiny (raději bez nabodeníček), která je silně minoritní a tak nebude ve slovníkách ani zdaleka na prvních místech. Heslo: "NesnasimPoradZadavatNemozneDlouhaHesla" je dobře zapamatovatelné a myslím si, že nebude patřit mezi snadno prolomitelná hesla.
No vona již samotná čeština je jakous takous ochranoum neb většina světovejch hackerů česky neumí ;-) Jak píšeš, minoritní jazyk , tedy přesněji vlastně minorotní skupina lidí používající jej :-)) Kooor dialekt - hantec :-))))) Myslíš že znaj slovo kooooor (kór) ? ;-)
Vy jste trolové! Když vám pomocí syncu ukradnou heslo, tak je jedno jak silné ho máte, i kdyby jste měli heslo dlouhé 256 nebo 9999 znaků, prostě si ho zkopírovali, proti tomuhle nemáte šanci.
Jde o to, když máte zapamatovatelná hesla, nemusíte je synchronizovat do řiti v oblacích. Tam si dáte jen ta nepodstatná, jako jsou třeba zde do diskuse, ale kde o něco jde prostě do sync nedáte a zapamatujete si je.
Problem tehle strategie je, ze kdyz se nekdo dostane k nekolika tvym heslum, tak ma vsechny. A po pravde, klidne by na to uz mohli byt scripty co porovnaji dve databaze uzivatelu (ukradene z nejakych sluzeb kterym jeste nikdo nevysvetlil ze hesla se maji ukladat pouze zahashovana) a zkousi hledat podobnosti. Je vyrazne bezpecnejsi kazde takove heslo pak jeste zahashovat a pouzit az to - jenze, pak uz to nejde delat z hlavy, musis to zadat do nejakeho programu a to uz rovnou muzes pouzivat spravce hesel ...
IMHO dobra myslenka by byl spravce hesel co by prave pouzival podobnou taktiku, s tim ze to co by syncoval by vlastne byl jen seznam veci jako www.seznam.cz - 2016, www.diit.cz - 2015 ... a beranpenezenkastan by vzdycky muselo prijit z klavesnice.
Hloupost Snadno zapamatovaltené heslo může mít velikou složitost a zároveň se nedá uhodnout protože znamená něco osobního v souvyslostech které nikdo nezná. Co třeba hankA2009+B pro facebook a hankA2009+M pro gmail - pěkné složité heslo, co něco znamená jen pro toho kdo ho tvořil a přijde mi zapamatovatelné
Dá se, ale není to nic moc. V hesle střídat souhlásky a samohlásky, aby se dalo vyslovit a přidat nějaký sufix/prefix pro unikátnost, třeba první písmeno domény. Takže třeba vezmu úplně náhodnou kombinaci (z bflmpsvz+aeiou) bafelimo*1D - vyslovitelné, obsahuje číslici, speciální znak a je malinko unikátní, jinak každý kdo zná prvních 10 znaků a schema se mi dostane kamkoli
PS: měla být reakce na TOW
Me prijde dobre pouzivat na hesla specialni apliakce, napr. KeePass, pro kazdou stranku/aplikaci si udelat vlastni generator hesla, v ramci generovani hesla pridat "entropii" a nastavit kazdemu heslo - pokud to dana aplikace/stranka povoluje - alespon 25 znaku. A v prohlizeci zakazat pamatovace hesel
No ale pak se bezne neprihlasis z jineho pocitace. Pokud by melo fungovat prihlaseni odjinud musely by se ty hesla synchronizovat a jsme tam kde je ted opera sync.
Podle me delat synchronizaci hesel pres jakykoliv cloud system = rikat si - casem - o problemy, stejne jako se to ted objevilo v Opere. Ja si synchronizuju hesla v ramci souboru z ruznych pocitacu, na danem pocitaci, nikdy ne pres nejaky cloud
Tak ono davat cokoliv soukromeho nekomu cizimu na internet je hloupost. A protoze jsou lide hloupi, tak se to rozmaha.
Technologie se neptá, ale poskytuje poměrně chytřejší využití. Hlupáka před vlastní hloupostí neuchráníš, tak proč se snažit, nebo se celou aférou podrobně zabývat. Každému, kdo byl tak hloupý, budiž dopřáno následků.
Používám KeePass na PC i v telefonu, šifrovaný soubor s hesly je na Google Drive, abych měl hesla kdykoliv a kdekoliv k dispozici. Může mi někdo vysvětlit rizika?
Já to mám podobne. Akorát ten soubor s hesly mam ještě v za šifrováním kontejneru.
Největší problém ale Ted je, že mám ruzne kopie toho stejného souboru a nemam je synchronizovane :))
Tak zrovna KeePass měl taky celkem problémy s bezpečností.
To me zajima, jaky problem s bezpecnosti?
hm, super. zrovna před pár dny jsem si na syncu měnil heslo :(
Já zásadně služby , které vyžadují hesla jen z plezíru obdarovávám unikátně stejnorodým heslem už několik let ... Prostě stihomam , který prožívám každé ráno jen co zapnu PC odmítám dál krmit . Dnes chce každá hloupost unikátní heslo a ještě si dovoluje prudit s expirací ... ve výsledku pak narůstá jen číslovka na konci a správci hesel se plní šifrovacím scumem.
Zásadní data ( přístupy do emailů ) chráním složeným heslem co si pamatuji a zatím spokojenost ...
A to tu v komentoch nejaký chytrák predpovedal že budúcnosť všetkých našich dát je uloženie v cloudoch. Asi myslel v cloude nejakého hekera.
KeePass FTW!
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.