Uživatelé stále používají hesla 1234, password nebo křestní jména

Ano, přibližně čtvrtina uživatelů jsou z tohoto pohledu totální blbci. Lidi, děkujem! :-)

Ano, to je sice pravda, ale to samé bych mohl tvrdit o mnohem větším podílu vývojářů a provozovatelů webů. Zaprvé je třeba se všude debilně registrovat a zadruhé MD5 je pro 99% provozovatelů on-line obchodů něco jako čínská básnička. Když si chci koupit nějaké zboží, které není tak úplně běžné, musím se v jediném dodavatelském obchodu registrovat. Pak mi dojde na mail potvrzení registrace: Vážený pane XYZ, děkujeme za registraci, Vaše uživatelské jméno je qwertz a heslo azerty. No a až jeden z mnoha amatérských webů vyloupí nějaký nadržený puberťák, tak má hned spoustu jmen a hesel. Pak je třeba mít na každou službu unikátní kombinaci jméno/heslo a nestačí mít jedno univerzální silné heslo. Na debilní služby, kde o nic nejde, proto používám nějaké taková debility jako pJ2dM!, ale někomu přijde adekvátní 1234, to je jenom věc individuálního posouzení.

Poslání e-mailu s heslem po registraci neříká nic o tom, v jakém tvaru se heslo do DB ukládá. Ten mail se totiž posílá jako akce na registraci, tj. v tom samém skriptu, kterému jste heslo opravdu předal (takže ho musí znát); co pak zapíše dál a co se porovnává s tím nijak nesouvisí.

Osobně mi připadá dost trapné, když se musím kvůli každé službě nebo na každou stránku registrovat... a vymyslet si nějaké uživatelské jméno a heslo... jako rozumný uživatel mám paranoidní heslo na důležité věci, ale hloupé registrace do diskuzních serverů opakuju pořád to samé jméno a heslo, takže se nedivím, že někdo používá slabá hesla...

To je ten dnešní Web 2.0. Socializuj se, registruj se a my ti budeme posílat každou chvíli reklamu na Cialis a jiné potřebné věci.
A co si zakoupit Roboform?

Dnes je bezne zabezpeceni proti individualnim bruteforce utokum, ale u online sluzby jde pouzit distribuovany bruteforce utok (pomoci zombifikovanych PC), kdy je velmi tezke rozlisit legitimni a nelegitimni pozadavky. A pokud se pouziji vhodne slovniky, tak to bude jeste ucinnejsi ....

BTW: To passWord bude ve slovnicich urcite hodne vysoko, pamatuju, ze jsem jedou jeden prohlizel a PassWord bylo hned na druhe obrazovce vypisu :-)

Existují utility, které jsou stavěné na různé modifikace existujicích slovníků. Např. u utilita Jack má šest parametrů na tvorbu nových hesel. Heslo passWord nebo 12346 je proto pro aktivního hackera otevřená brána. Hoši děkujem! :-)

ehm, nějak jsem to nedopsal, mělo tam být "šest parametrů jen na tvorbu nových hesel pomocí zvětšování a zmenšování písmen"

To je ale zcela jiná ochrana, jiná úroveň! Teď neřešíme průnik do systému, ale prolomitelnost hesel. To je skoro jako bys nezamykal auto, protože parkuješ před policajtama.
Představ si, že se nějakým způsobem dostaneš k hešům hesel (třeba k souboru passwd, případně shadow), ale zatím nemáš žádná práva. Pak jsou účty bez hesel, jako je ten tvůj, skutečné požehnání. Díky!

Aha!

:DDD

:-)

Me by zajimalo, jak s tech ukradenych hesel zjistili, ze jsou to krestni jmena majitelu, nebo jejich potomku.

Uživatelé používají "123456", což je poněkud excentrické a hloupé. Měli by používat "a", jako my všichni.

'a' sa pouziva len na bezne veci, na skutocne tajne je predsa treba pouzivat 'b'!