Názory k článku
SuperGenPass: neukládejte si hesla, generujte je

A jaký je tedy přínos oproti databázi hesel? Krom toho, že takle je komprimovaná do jednoho slova a kousku javascriptu...

že ta hesla nemáš nikde napsaná (ani zašifrovaně)?

Když už se ti někdo dostane do computeru, tak ti tam nainstaluje keylogger a monitor schránky. Takže proč šifrovat.

Výhody jsou vypsány ve čtvrtém odstavci článku.

S výjimkou bodu "Neexistuje databáze, kterou byste mohli ztratit" (a i o tom by se dalo polemizovat, ztráta hlavního hesla...) nevidím v praxi rozdíl oproti (například) LastPass - mohu mít taky pro každý web jiná hesla, mohu si je generovat, a hlavně si služba pamatuje i kombinaci uživatelského jména (pokud samozřejmě chcete) a vygenerované heslo si můžete upravit pro splnění konkrétní délky a tak.

Co se bezpečnosti týče, heslo typu "romadure, vyskoc" považuji za bezpečnější, než "hxa#!sDSAb" - slovníkový útok je už neaplikovatelný (databáze všech vět, které kterýkoliv člověk může říct....), a u brute-force rozhoduje délka. Útočník navíc obvykle stejně neví, jestli máte heslo "abc123", náhodný řetězec, nebo větu, zkusit musí všechny varianty.

A použití vět (i s nějakou mnemotechnickou pomůckou na vybavení si konkrétní věty) je pro mě jako uživatele mnohem komfortnější při zachování (či spíše ještě zvýšení) úrovně bezpečnosti oproti heslům generovaným.

PS: nebo si můžete vymyslet jednoduchý algoritmus na převod domény a uživatelského jména na sekvenci "stránka-odstavec-věta" a nosit s sebou jako příruční databázi třeba sbírku básní :D

Dotaz:
co když pro stávající doménu jsem nucen použít heslo nové (např. z důvodu expirace starého hesla)?

Vdaka za clanok. Sam som jeden o (vtedy este) GenPass napisal. Uz to budu fakt 4 roky, dokonca typujem ze viac, co tento nastroj pouzivam. Vdaka nemu mi neskutocne klesla rezia okolo hesiel. Doba sa zmenila na webovu, denne mame browser otvoreny aj 8h+. Je len malinko pripadov, ked potrebujem heslo mimo webu.

Pouzivam bookmarklet pouzitie je "dead-easy". Sice dneska som trocha zapochyboval po tom "odhaleni" s prienikom cez DOM.

Paci sa mi ako prebieha migracia hesla na novu hodnotu master hesla. Ulozim si novy bookmarklet a ked mam cas vbehnem na webe do administacie a preulozim heslo. Potom stary bookmarklet presuniem do zlozky (archiv) a pouzijem az sa nebudem vediet niekde prihlasit.

...KapitánRum NEMÁ rád zbytečná hesla!

Tam, kde provozovatel webu chce heslo zbytečně, vytvářím účty jako je:
test test
ninja ninja
ninja ninja1234
sabotage sabotage1234
A podobně.

Na registrace fungují e-maily jako: 10 minute mail
http://10minutemail.com/10MinuteMail/index.html

Občas, hlavně na zahraničních serverech, zkusím 3-4 defaultní účty a často zjistím, že tam takový účet je a nemusím se registrovat. Je to takový pěkný zvyk. Dokonce i na FaceBooku, Twiteru i u MS jsou.

Škoda, že tady v ČR to moc lidí neprovozuje.
Takže lidičky, snažte se!

pěkná hračka, ten 10 minutový mail :-)

Az na to pitome omezeni na 10 minut. Treba Avastu nekdy trva docela dlouho, nez navali regitracni kod. Zesnuly 2prong.com tohle nemel.

Je tam možnost přiklikat si víc času po 10 minutách.

Ja vim, ale zrovna 10 minut je dost malo a tak me 10minutemail ponekud znervoznuje, abych to neprosvihl, coz se mi uz parkrat podarilo. Clovek se nekde zacte a je to v haji.

take mailinator.com je fajn. vznikne zaslanim mailu :-)

Mailinator je na hovno. Je tak proflaknuty, ze vam na sposte webu tu adresu odmitnou.

Běžně existují i služby s delšími obdobími, třeba 24 hodin.
Co ta diakritika, nezamakáte už na tom?

Nezamakam. Pisu stridave na ceske klavesnici a na azerty, obcas na querty UK. Tak abych se nezblaznil.

BTW, kdyz o takovych sluzbach vite, tak sem hodte link. Ale nesmi to byt neco, jako spam.la nebo mailinator. Na 10minutemail (tak jako kdysi na 2prong) se obcas meni jmeno domeny, diky cemuz to nemaji admini webu osefovane v nejake databazi, diky ktere vam treba mail na spam.la casto odmitnou.

http://www.guerrillamail.com/en/

Dobry, diky.

To asi jednou za čas dělá každý. Článek je ale o uchovávání hesel, která opravdu potřebujeme. S účtem test/test se nedá fungovat všude: každý má nějaký oficiální e-mail, nějaké placené služby a účty na řadě serverů typu Aukro, PayPal a podobně, kde se to „rychloregistrací“ řešit nedá. Pak přichází otázka: kam s nimi?

Měl jsem to napsat, článek se mi líbil :-)

Tak kdyz uz tou registraci zabijes ty 2 minuty, tak se pls podel:
http://bugmenot.com/view/root.cz

Citát ze včerejšího filmu Na samotě u lesa hned v prvním odstavci nebude jen tak náhodička.
Za sebe dávám +1

Pred par mesiacmi bol tu, alebo inde clanok o tom, ze je vyhodne mat dlhe hesla, aj ked jednoduche (napriklad vety), pretoze ich velka sila spociva v ich velkej dlzke.

Tak v com je heslo "ytA0NbYJKX" silnejsie ako "kyticka.www.ro­ot.cz"? Mne automaticky pripada ako silnejsie a bezpecnejsie to dlhsie, povodne v nehashovanej verzii.

v supergenpass si môžeš nastaviť dĺžku hesla aj na 30 znakov.

Heslo kyticka.root.cz má ten problém, že odhaluje hlavní heslo. To zahashovaná varianta neudělá.

Pro bruteforce útoky je delší lepší, ale proti slovníkovým útokům je kyticka.www.root.cz žalostně špatné heslo.

Ona ta zahashovaná varianta je proti slovníkům spíš SbO (security by obscurity). Kdybych za to heslo připojil název hashe a způsob kódování (base64, hexa, ...), oboje lze zařadit do slovníku, byl bych na tom v obou případech podobně.

nie je, pretože slovníkový útok len ťažko môže skúšať kombinácie slov, ešte snáď pár najpoužívanejších, ale aj tam nevie, či sú slová oddelené medzerami, niečim iným alebo neoddelené, či sa veta začína veľkým písmeno, atď, atď.

U niektorých diskutérov mám pocit, že si myslia, že slovníkový útok bude také heslo odhaľovať slovo po slove. Takže pre nich: jedinou metódou by bolo vygenerovať zo slovníka (napr. pol milióna slov) všetky ich kombinácie a tie potom skúšať, s medzerami aj bez nich, s podčiarnikmi, pomlčkami..., pričom jedna kombinácia = jeden samostatný pokus. Počítač totiž nepovie "dve slová už máš správne". Alebo nakŕmiť ten slovník popri slovách aj pár používanými kombináciami slov. Prvé bude strašne pomalé a pridanie jedného cudzieho slova do vety to ešte úžasne skomplikuje, druhé bude len o 0,0000000000001% účinnejšie než skúsiť na to viacslovné heslo útočiť obyčajným slovníkom.

Ospravedlňujem sa všetkým, ktorým sú tieto triviálnosti jasné.

Pokud se toto rozšíří nebo pokud útočník tuší, že by toto mohla oběť použít, bude mu jasné, že má přidat něco jako ".root.cz". A bude mu taky jasné, že má použít hashovací funkci. Tedy i na první pohled obskurní heslo nemusí nutně odolat slovníkovému útoku.

Víš o tom asi tolik, co já o baletu.
Tak raději mlč ;-)

A nějaký argument?

On ti dal kompliment.. KapitanRUM totiz uci balet, znam jednu holku zo k nemu chodi a je ona rika ze je fakt dobry.

Jo, to je fakt. Málo se to ví, ale RUM v kapitánově jméně není oblíbený nápoj, ale zkratka z Relevér aU Milieu - zvedačka v prostoru :-)

2 DgBd
Ty se nějak vyznáš Božínku, docela mě překvapuje, že tyhle názvy sypeš z rukávu :-P

2 Vít Šesták (v6ak)
Používat na webové aplikace slovníkový útok je konina, si to někdy vyzkoušej, i když použiješ bot-net o 1000 strojích, tak hádat hesla o 7-ti znacích je Hollywood. Viz: Kyticka

Pro dutohlávky:
Standardní nastavení Apache nedokáže obsloužit naráz zrovna moc klientů, takže nemá smysl nechávat útočit bot-net větší než 300. Na větších serverech to začne zabíjet DDOS nebo IDS. Servery velkých poskytovatelů mají nastavené IDS tak, že nechají první 100 pokusů a dalších 100 pokusů můžeš udělat až za 24 hodin.

A co chceš nastavit?
7 znaků, musíš zahrnout 0-9,a-z,A-Z,běžné symboly _- a diakritiku.
Tak si spočítej počet kombinací pro sedm znaků.

A násob to dál o prefixy:
www.root.cz
.root.cz
root.cz
rootcz
wwwroootcz
rootcz
wwwroot
root

A ještě jednou to vynásob o stejný počet sufixů (jestli víš, co to je).
A ještě jednou o kombinaci prefixu a sufixu.
A znova, protože ten člověk nedává www.root.cz ale www.root.cz1.

To v té aplikaci budu 100x rychleji, když si počkám na zveřejnění bezpečnostní džuzny (prodleva zveřejnění-oprava), nebo když nějakou sám najdu.

Takže, se prosím raději dál věnuj baletu.

Hlavně jsem chtěl říct, že přidáním ".root.cz" se až tak moc bezpečnost hesla nezvýší, dokonce možná by přidání jednoho náhodného znaku na začátek nebo na konec pomohlo více. Obtížná proveditelnost bruteforce (ať už slovníkoveho, či jiného) na mnohé servery je věc druhá. Pak by ale měla byť relativně v bezpečí i celkem slabá hesla.

A proto hromada uživatelů žije spokojeným životem s heslem "prdel", "prdelka", "hovno", "cacora", "cacorka", "hanicka", "janicka" nebo "Pepa".
App, nedávno to někdo ZNOVU zkoušel.

Vzal bot-net o 1000 strojích, seznam e-mailových schránek jednoho poskytovatele a seznam 100 nejpoužívanějších hesel, točil méně než 20 hesel/den, aby nespustil IDS.
Úspěšnost byla až ZNEPOKOJIVĚ vysoká !!!!
Jinak s heslem o 7-8 znacích, kde je alespoň jedno číslo, můžeš žít celkem dlouho.

Jen tak pro pobavení:
http://www.security-portal.cz/clanky/50-nejpou%C5%BE%C3%ADvan%C4%9Bj%C5%A1%C3%ADch-hesel-pro-web-v-%C4%8Dr
http://paul27.ic.cz/?p=13
http://www.freerainbowtables.com/phpBB3/viewtopic.php?f=2&t=1502&start=855

Pár slov o IDS:
Někteří poskytovatelé mají nastavené IDS tak, že systém prvních X hesel skutečně ověří, pak se IDS aktivuje a systém už neověří ani platné heslo, i když se tváří, že ověřuje jako vzteklý. Takže se nedá poznat, jestli se jen rochníte v bahně, nebo skutečně něco lovíte. IDS může být nastavený na účet, cookie, IP nebo kombinaci všeho. A pokud IDSku už jednou spadnete do seznamu, dá si na Vás "víc pozor". To ovšem záleží jen na konkrétní implementaci IDS.

Existují dva opravdu efektivní postupy IDS.
A) kdy se dál tváří, že ověřuje, ale neověřuje (Předpokládá se, že pokud normální člověk zkusí padesát hesel, unaví se a zkusí to nejdříve zítra, nebo zavolá na technickou podporu, takže 50 až 100 pokusů jako limit IDS je BOHATÁ rezerva, ostatně kdo si pamatuje 50 hesel, které by mohl zkusit?)

B) kdy IDS od určité doby začne házet success, tj. že se Vám to povedlo, jenže když to zkusíte, dostanete se do "fiktivního" účtu. Pokud se Vám vrací success pro každé heslo a je to dobře udělané, musíte to zkontrolovat osobně a je to taky konec.

Jiný případ jsou třeba herní účty, kde se dají hesla ověřovat opravdu hromadně a provozovatel se s IDS neobtěžoval, tam Vám botnet o 1000 strojích celkem pomůže. Nicméně "ukradené" herní předměty budou stejně zabaveny a "závadné" účty smazány.

Doplním, že i jen trochu dobré IDS samozřejmě pozná slovníkový i brute force útok jako AAA, AAB, AAC, AAD, AAE...

> Jiný případ jsou třeba herní účty, kde se dají hesla ověřovat opravdu hromadně
> a provozovatel se s IDS neobtěžoval, tam Vám botnet o 1000 strojích celkem
> pomůže. Nicméně "ukradené" herní předměty budou stejně zabaveny a "závadné"
> účty smazány.

Proto se veci z vykradenych uctu co nejrychleji vymeni na aukci za zloto, ktere se nasledne proda za skutecne penize.

No za skutečné peníze bych považoval spíš zlato než ty papírky...

Jako to virtuální zlato ze hry? :-)

Ne, papírky prostě dáte nějaký čůze, která Vám bude hodinu říkat zlato, povídej mi ještě o tom Linukcu :-P

Aha, tak virtuální zlato asi ne...

Tím chci říct, že útok n(hesel ze slovníku):n(u­živatelů) smysl má, ale n(hesel ze slovníku):1(kon­krétní účet) je Holywood.

Jistě, pokud uživatel není tydýt, a heslo nemá hiphop nebo hiphop123.

áno, niektorí došli až po nbusr123

...v případě NBU a jejich hesla nbusr123 by možná bylo lepší to heslo hiphop123...

Nevím jak ti Vaši hoši, ale naši hoši nbusr123 mají požadavky na přijetí na HPP(hlavní p.poměr) jako na kandidáta na Amerického prezidenta.

To jako kladný vztah k invazi do některého neoblíbeného státu?

A vykuřování se stážistkami :-P

Vase polemika neresi pripad tiche kradeze hashovane db hesel a nsledneho hledani hesel k hashum ve sve rezii.

Ono totiz proflaknuti kompromitace je vlastne znehodnoceni ukradenych dat. Proto pochybuji, ze kdyz nekdo dela brute force nebo slovnikovou variantu takoveho utoku, ji dela primo oproti sluzbe na kterou utoci.

Tohle je ovšem jiné kafe, ve špatně napsaných aplikacích tyto útoky fungují, ale dnes už solí snad každý....

Přesně tak, uhádnout heslo tímto způsobem je prakticky nemožné, viz: http://www.cleverandsmart.cz/lamani-hesel-on-line-utok/.

Navic by se asi dalo ocekavat, ze vetsina utoku na Internetu se deje s predpokladem, ze heslo bude anglicky nebo v jinem dostatecne proflaknutem jazyce. Pouziti cestiny a slovenstiny, eventuelne v kombinaci s nejakym jinym jazykem, nejspis znacne zvysuje bezpecnost hesel. Navic, sklonovani ve slovanskych jazycich zpusobi, ze kazde slovo se v utocnikove slovniku stane hned celou sbirkou tvaru, s a bez diakritiky a utocnikuv slovnik vesele bobtna. A to jeste treba utocnik nemuze vedet, jestli jsem se treba nerozhodl psat s diakritikou, ale bojkotovat "é" a psat "e".

Zajimalo by mne, jestli vubec existuje slovnik realne pouzitelny k utokum proti ceskym a slovenskym heslum.

A prave kvoli tomu je bezpecnejsie pouzit heslo "kyticka.www.ro­ot.cz" nez jeho hash verziu.

"kyticka" mozes vysklonovat. Z "www" mozes vypustit jedno pismeno a domen je tolko, ze ti v kombinacii s tymto vsetkym pocet kombinacii rastie na miliardy.

Trosku inak. Domena je v tomto pripade iba jedna, pretoze ide o konkretne pouzitie. Ale da sa upravit do roznych tvarov a tak pocet kombinacii rastie a rastie a rastie...

Proč je bezpečnější?

Jestli je to delší - ale zase je to pravidelnější, může využít bigramy a různé pravděpodobnostní znaky. A i hash lze pro dnešní účely vyrobit dostatečně dlouhý (třeba SHA512 a kódování aspoň base64). Kdyby byl hash příliš krátký, z principu by kolize šly počítat snadno a i hashovací funkce jako taková by nebyla bezpečná.

Při útoku hrubou silou nebo slovníkem ale nemůže být zahashovaná verze bezpečnější nebo ne o moc (ledaže by s tím útočník nepočítal). vždy totiž mohu dělat útok srubou silou a zakončit to hashem. Jeden náhodný znak nakonec by heslo proti tomuto útoku zřejmě zabezpečil lépe než hash na konci.

Zatím zahashovaná a nezahashovaná hesla vycházejí zhruba nastejno, jen u zahashovaných hesel je menší pravděpodobnost, že by s tím útočník počítal.

Při útoku ze strany poskytovatele ale jasně vítězí v bezpečnosti zahashovaná hesla, pokud přidáváme doménu. Řekněme, že by root.cz chtěl moje heslo zneužít pro přihlášení ke Google. Z kyticka.root.cz by viděl, že asi má použít kyticka.google.com, kyticka.mail.go­ogle.com, kyticka.docs.go­ogle.com nebo něco takového. Možností zas až tolik není. Pokud ale uvidí c9238f28af458­b8d3cb9cfbcc1f8b399, těžko si z toho odvodí 789893b9f74d3­a0f9d1d4788c1b2b494, ec6b55754312ec­f27bcbbfcc47d50e1b nebo 8af1185fe85f2­be0c3f48afb2f78d942. Zde používám MD5, kdo chce, může použít třeba zmíněné SHA512. Pak z toho budou obludnosti jako
aee4b4193725be­549dde892cd1935cd830094d­a84aa5c903cbbb5f­072f191a3bc0e6508f2f19f0­4477438a2b54015de­eb3a36601c6b1ce19f39a577­34d0c8362, ale princip bude stále stejný.

Kdo by nazážel na maximální délku hesla, může zkusit třeba base64 nebo nějaký větší kalibr. Není problém vymyslet baseXXX, kde XXX je počet prvků množiny všech povolených znaků.

Miliardy, to je dost málo. Každopádně zde několika lidem uniká princip slovníkového útoku. On se prakticky ničím neliší od útoku "obvyklého". Při obvyklém útoku si řeknete, že budete zkoušet všechna hesla obsahující 1 až 10 znaků z množiny "01234...AZ!@#$%^&*_" apod. Při omezení na ASCII to dává 128-32=96 znaků. Při délce 10 to pak znamená 96^10 kombinací. 66*10^18.

Slovníkový útok funguje obdobně. Budu zkoušet všechny kombinace typu ABABA. Kde A je jedno ze slov ve slovníku a B je jeden ze znaků [žádný znak + ASCII]. Pokud slovník má 10000 slov, pak počet kombinací je 10000^3 * 97^2. 94*10^14. Tedy o dost slabší. A to se bavíme o slovníku s 10000 slovy, což je kupříkladu na angličtinu úctyhodný počet a i v češtině by to přes všechno to skloňování dalo zabrat. Přeci jen se bavíme o 10000 slovech, což při 5 znacích na slovo je 50 tisíc znaků, neboli 25 normostran textu. A to jsme se ještě nedostali ke kombinacím slovníků, kdy budu přepokládat formát ABC, kde C bude slovník webových domén druhého řádu, kde každou uvedu i v kopii s "www.".

Nepodceňujte slovníkové útoky a nepřeceňujte hesla v podobě lidsky čitelných vět. Naivní věty typu "Ema má mámu" jsou silou na úrovni hesel "pepa1". Když už, tak ať je věta dlouhá a sekněte tam nějakou chybu (Ema má mmámu).

To znamená především to, že hesla poskládaná ze slovníku se nedají s dokonale náhodnými hesly srovnávat podle délky, ale pro stejnou bezpečnost je potřeba u vět delší heslo. Neznamená to ale, že by věty byly naprosto nepoužitelné.

A samozřejmě, když k heslu přidám doménu, ke které to heslo patří, tak tím bezpečnost až tak nezvyšuji a pro zjednodušení bych tu doménu pro výpočet síly hesla odstranil.

Aj pridanie domény, ku ktorej heslo patrí, bezpečnosť zvyšuje, pretože ten stroj, ktorý útok povedie, o tom nebude vedieť. Ty stále vychádzaš z predpokladu, že niekto uhádne tvoju úvahu. Lenže to sa prakticky nedá. Normálny útok skrátka bude skúšať najprv najkratšie kombinácie písmen (či už slovníkové alebo všetky), potom bude skúšať dlhšie a dlhšie. Úvaha, že možno je v tom aj názov domény, príliš nepomôže, pretože stroj netuší, aké dlhé bude to ďalšie slovo, netuší v akom tvare je tam tá doména pridaná (môžem dať vvv.koreň.česko, je vcelku jednoduché si stvoriť pravidlo, ktoré nie je ťažké dodržať u každej domény, napr. cz-root-vévévé alebo 3dabljú). Stroj nevie, či som tú doménu pridal pred slovo, po slove alebo medzi dve slová a najmä, nemá nijakú istotu, že som použil práve doménu a nie trebárs dátum narodenia alebo meno manželky.

Týchto pár jednoduchých úvah ukazuje, že je je asi plytvaním času skúšať trebárs pridanie tej domény či čokoľvek iné a útok sa začne celkom štandardne atam platí, že čím dlhšie heslo, tým bezpečenejšie, vrátane toho "Ema má mamu". Výnimkou môže byť situácia, keď obeť osobne poznám, ale ani vtedy to nebude ľahké. Plus môže byť výhodné skúsiť nejakú databázu najčastejšie používaných hesiel.

Pokud na rootu se stejnou (řekněme) pravděpodobností budu k heslu přidávat .root.cz jako .mail.google.com, .is.muni.cz a další, pak lze tu doménu skutečně považovat za část hesla. Pokud ale budu v různých podobách přidávat jen .root.cz nebo .www.root.cz, pak heslo zesiluji spíš jen o tu podobu. Pokud by se něco takového stalo běžnou praktikou, útočník by přece toho mohl využít. Řekněme, že by bylo deset často používaných podob, připojovaly by se na začátek i na konec a byly by s "www." i bez. Celkem bych měl 40 možností. Pokud ale vezmu náhodně nějaký alfanumerický znak anglické abecedy, mám 2*26+10=62 možností. Pro většinu uživatelů tedy bude z tohoto hlediska dlouhodobě výhodnější přidat jeden náhodný znak (nebo pro jistotu dva), protože ten zesílí heslo více. Ačkoli je to kratší, je zde menší předvídatelnost, tak to může zlepšit bezpečnost hesla více.

Ale stále to platí len v prípade, že by sa to pridávanie domény stalo pravidlom, čo sa nestane. Podobných pravidiel si totiž užívatelia vymyslia tisíce. Nemá teda zmysel začať testovať kombináciu slovník + www.root.cz (+ najbežnejšie obmeny toho root.cz) aby sa nakoniec ukázalo, že to heslo bolo abc123. Jednoducho, pokiaľ neviem aké dlhé je to heslo, nemá zmysel začínať dlhými kombináciami namiesto tých najkratších. Opakujem, aj použitie domény má desiatky obmien, z ktorých nie všetky musia útočníka vôbec napadnúť a existuje plno ďalších podobných fínt ako si uľahčiť pamätanie hesiel (pridať do hesla login, dvakrát login, login s nejakým prefixom, pridávanie svojho mena, dátumu narodenia, prezývky...). Útočník nemá odkiaľ vedieť, ktorú z týchto fínt (a či vôbec nejakú) používam. K tomu loginu ešte dodám, že tie ozaj dôležité servery blokujú zapamätanie si loginu browserom a chcem veriť, že ho majú uložený v šifrovanej podobe.

Ale moja pôvodná reakcia sa týkala ani nie tak požitia domény v hesle ako celkovej využiteľnosti zapamäteľnej vety. A tam si myslím, že je bezpečnosť vďaka dĺžke tej vety vždy lepšia ako bezpečnosť nejakého bubu248bubu, napriek tomu, že obsahuje bežné slová.

zejména na českých webech bych namísto češtiny (kterou tam každý očekává) použil jiný jazyk, například korejštinu, ruštinu nebo japonštinu (které mají ještě tu výhodu, že nepoužívají "dafeultně" latinku, se kterou neasijští hackeři pracují xD navíc takové heslo má tu výhodu, že takové heslo, si můžete napsat nebo vytisknout na papírek někde k monitoru a heslo je i tak poměrně bezpečné (písmenka, které neznáte se nejen špatně pamatují ale i velice komplikovaně zadávají na klávesnici)

Ano, pouziti hesla, ktere sam neumite ani precist, ani napsat, jiste zajisti bezpecnost vaseho uctu. ;-)

V tom, že "ytA0NbYJKX" neodhalí heslo "kyticka.www.gma­il.com". Ide o to, že nikdy nevieš, či na druhej strane niekto nedokáže heslá čítať a vyskúšať ich na ďalšie servery.

Jak si muzete byt jisty, ze server neuklada heslo jako plain text (ano, i takovy stale jsou...)? V takovem pripade utocnik velmi snadno zjisti podobu vaseho "master" hesla a muze jej zkusit pouzit na jine servery.

Ano, to je realny scenar.

Ale ako casto ste sa stretli s pripadom, kedy by stranka vybrakovala svoju vlastnu databazu a zacala by kradnut ucty svojich vlastnych uzivatelov na inych weboch?

Kolko takych pripadov ste videli alebo o nich poculi?

Ja ani jeden.

Samozřejmě to neudělá provozovatel webu, ale nějaký útočník, který tu databázi vysaje. Takových případů (jen těch větších) je několik týdně. Pokud začne taková databáze kolovat po internetu, je s vámi ámen, protože všichni znají všechna vaše hesla. V případě hashe neznají nic.

A že by se jeden podivil, kolik lidí používá heslo "prdel".

Já používám to druhé, příbuzné :-). Ale jen když něco ukazuju, třeba SuperGenPass, ale do článku se hodí víc ta kytička.

> Tak v com je heslo "ytA0NbYJKX" silnejsie ako "kyticka.www.ro­ot.cz"?
protože pak se pan Krčmář podívá do databáze hesel na rootu a ukradne ti účet na facebooku protože je mu jasné, že tvoje heslo bude "kyticka.www.fa­cebook.com".

Libovolná stránka může v některých případech (asi jen přes Flash, takže su snad mimo riziko) číst a zapisovat obsah schránky. Ta tedy není vhodným nástrojem pro přenos hesla.

Na Linuxu v Xkách lze obvykle jen nabrat text a kolečkem jej vložit.

Na Androidu se dbá i na rizika od různých aplikací, tak dodávám, že zcela určitě na práci se schránkou není potřeba nějaké zvláštní oprávnění. Napadlo mě napsat ten generátor jako vstupní metodu, ale přineslo by to asi problémy, protože uvnitř vstupní metody by bylo potřeba použít jinou vstupní metodu. Možná by na to šly zneužít pomůcky pro postižené, takto už je zneuzivam přes NotifierPro.

Mám v KeePass aktuálně 674 záznamů. 80% z nich má jiné uživ jméno. Takže 400 lístečků služba/uživ. jméno v peněžence, díky :) U každé služby si navíc píšu datum registrace, na jaký email jsem jí registroval, různé další poznámky/přílohy (třeba závěrečná zpráva od hostingu s nastavením služeb, přihlašovací certifikáty). Navíc když služba chce daný tvar hesla, byl bych nahraný (zmíněno v článku). Mám tam i hesla/poznámky známých bfu, kterým jsem něco zřidil, oni si heslo uloží do prohlížeče a až jim to prohlížeč zapomene, na 100% vím, že to za rok po mě budou chtít vědět. Změna hlavního hesla pokud po mě služba chce změnit heslo (viz. článek) je taky nesmysl, protože bych si u jednotlivých služeb musel pamatovat číslo, na kterém jsem. Prostě tohle nechápu, evidentně nic pro mě.

http://latrine.dgx.cz/jak-neustale-ne-vymyslet-originalni-hesla

Poznatek z diskuze:
Je jedno univerzálne heslo, ktoré môžete kedykoľvek a kdekoľvek použiť a je bezpečné aj keď je priamo vypísané na webovej stránke prípadne je prezradené alebo dokonca odhalené hackermi. Toto heslo je aj po týchto incidentoch možné spokojne vo svojich systémoch používať.

Návod na použitie: zapamätajte si toto heslo a používate ho na prihlasovanie do svojich systémov. Zmeňte pôvodné nezapamätateľné hesla na univerzálne bezpečné heslo (UBH).

Teraz zopakujeme znenie hesla, zvýšte svoju pozornosť:

nbusr123

U SuperGenPass lze při generování bookmarkletu v pokročilém nastavení zvolit i stealth password — toto heslo se zakóduje do bookmarkletu a automaticky se připojí za vaše Master heslo. Je to o chlup bezpečnější než verze bez stealth password.

http://supergenpass.com/customize/?advanced

Kdybych ho zapomnel, staci se podvat do diskuse na rootu a mam ho zase osvezene...

LOL :-D

Delal jsem si legraci. To neni moje rootovske heslo, ale pouze nahodny shluk znaku co jsem vygeneroval.

Moje skutecne rootovske heslo je g0b2KasU.

Tato aplikace mi přijde zbytečná. Hesla si můžu generovat sám.

Například:

echo medved@kyticka­.root.cz | md5sum | sha1sum
91fe1f9c494f7­71fcf46014d2440d1552804e­a46

echo medved@kyticka­.root.cz | md5sum
d9c39e98d2d57­f12a717600fd04b57e0

echo medved@kyticka­.root.cz | sha1sum
c0bcecc92b2cf513a7­69d31d50e0c4e0c7cf9d74

A na jakémkoliv počítači, kde jsou nainstalovány sha1sum a md5sum si je mohu vygenerovat znovu.

Zajímavé, takto to dává ale jiné hashe, než webové aplikace.

medved@kyticka­.root.cz by mělo dávat sh1 hash:
350f0adffef0054cf4c­b35d853870506fa24757a

Neví někdo proč se to liší?

Kvuli newline na konci. Zkuste echo -n.