Lze používat jednoduchá hesla a být přitom v bezpečí?

Vetsi sprostost uz jsem dlouho necetl. To fakt mohlo vylezt jenom z M$.

mozno porovnavaju saltovane md5 s primesou unique id, ci nemaju takych vela ;)
a zistili, ze maju po kazdom kuse iba jedno, tak sa potlapkali po pleci, ze aky vzorny su ich zamestnanci ;)

Takze heslo 1234 je vlastne bezpecne… A dufam, ze kvoli porovnavaniu maju vsetky tie hesla ulozene v plain texte.

Tenhle clanek mel vyjit na Aprila a nikdo by pak neveril, ze to april neni :-)) Prej Microsoft Research, haha, tomu rikam vyzkum jak remen :-))

Z vlastní zkušenosti preferuji ve firmě hesla jednodušši, která si člověk pamatuje, před složitými hesly, které pak najdu napsaná na papírcích nebo vespod klávesnice :-D

Kazda firma by mela svoje zamestnance neustale zkouset jake maji heslo a kdyz ho maji typu „Jarda123“ tak jim udelat skoleni a postarat se o to, ze to zamestnanec bude respektovat. Je prinejmensim otravne, pokud si maji zamestnanci dostatecne bezpecne heslo pravidelne menit. Pokud ho maji treba „T0hl3_J3_M0j­3_H3sl0!“ tak chtit po nich aby si to porad menili je to nejhorsi co muze firma udelat. Bud to pak konci na papirku jakozto se vetsi pocet komplikovanejsich hesel spatne pamatuje, nebo to prinuti zamestnance prejit na jednoduzsi heslo cimz ohrozi bezpecnost sveho uctu. Bohuzel lidi co o tom rozhoduji takto neumi premyslet a tak jde bezpecnost cim dal tim vic do prd…

Musím souhlasit s nutností přesvědčit lidi. Cílem by mělo být, aby uživatel chápal důležitost hesla a sám si zvolil nějaké dobré. Nějaká algoritmicky vynucovaná pravidla jsou spíš ke škodě než užitku. Proč vyžadovat, aby v hesle byla číslovka, když existuje spousta velmi silných hesel, která číslovku neobsahují (třeba obskurní věta). Některým lidem dělá problém nalézt vhodné heslo, které splňuje požadovaná kritéria. Takže když ho vypotí, tak si ho nepamatují – je pro ně nepřirozené (různí lidé mají různé způsoby, jak si pamatovat). Stejně tak nutnost měnit heslo každý měsíc je hrozná, to se fakt nedá pamatovat.
Je lepší poradit nějaké triky, jak lze dobré a zapamatovalné heslo vytvořit. Pokud uživatel musí splnit kritéria, ale sám nechce, splní je nějakým hrozným způsobem.

Spojením „chápat důležitost hesla“ jsem myslel chápat míru, jak je určité heslo důležité, nikoliv že každé heslo je důležité. Uživatel by měl být poučen o možných důsledcích toho, že někdo jiný zná jeho heslo. Záškodník může uživatelovým jménem udělat škodu, kterou bude mít na triku uživatel. Komu se líbí, když někdo něco provede a hodí to na vás?
Jestliže si zaměstnanci musí sdělovat hesla, aby se dostali k datům, ke kterým se mají dostat, tak je to špatně. Když máte přinést něco ze skladu místo nepřítomného kolegy, tak přeci skladníkovi nepředstíráte, že jste ten kolega, ale vyzvednete to na sebe.

… ono je to tak. K účtu pracovnímu nebo školnímu se uživatel musí chovat jako by byl úplně veřejný. A neukládat tam nic, co nechce zveřejnit. Např. tam nestahovat porno, když nechce zveřejnit, jaké sexuální praktiky ho vzrušují.

Kdykoli do toho totiž může vlézt admin.

A jestli do těch dat uživatele vleze admin nebo cracker, to už mu může být prakticky jedno. Prolomení bezpečnosti je škoda pro firmu, hlavně pro admina, protože má práci navíc, ale uživatel z toho typicky žádnou škodu nemá.

BLEKu jestli si do tejdne nenechas prediagnostikovat poruchu ze schizoidni na spravnou diagnozu avoidantni tak zverejnim na rootu jake mas oblibene sexualni praktiky! :)

http://trsek.blog.root.cz/2009/11/19/znova%C2%A0hesla%C2%A0a%C2%A0maju%C2%A0vyznam/

„stačil jsem s ním bezpečně vždy a všude“ LOL a kolikrát se ho někdo pokoušel prolomit? Ono totiž i heslo „a“ může „stačit vždy a všude“, pokud se do účtu nikdo nepovolaný nesnaží dostat.

A viděl jsi už SSH logy z veřejně přístupného počítače? Cracklé počítače z celého světa tam masově scanují IP adresy a hádají jména i hesla.

Jasně že nikdo rozumný si nemyslí, že „a“ je bezpečné heslo. Jenom jsem tím poukázal na to, jak „smysluplný“ je argument „měl jsem odjakživa heslo xyz a neměl jsem problém“. Můžu mít heslo ve skutečnosti jakkoliv slabé, ale to se ukáže až při pokusu o prolomení. Pokud mi heslo nikdo neprolomil, může to znamenat, že
a) heslo je dost silné
b) nikdo zatím neměl zájem mi heslo lámat

a proc by heslo „a“ nemohlo byt bezpecne? ja ho pro svoje potreby povazuju za velmi bezpecne. musime se totiz ptat na to proti komu ma byt bezpecne. muzu vas ujistit ze moje heslo „a“ je pro muj pc dost bezpecne na to aby dvouleta dcera netrefila po zamknuti a+enter.

Na to by bylo dost bezpečné i prázdné heslo a zamknutí obrazovky, kde se musí nejdřív zmáčknout Ctrl+Alt+Delete. Případy, kdy „útočník“ nejedná cíleně a navíc ani neumí číst a používat klávesnici, jsem neuvažoval :) Na to hesla vymyšlené nebyly.

No to je právě ono. Kolikrát se kdo pokoušel prolomit jakékoliv heslo na jakémkoliv kompu v ČR? Možná na vnitru a obraně mají něco tajného, ale jinak si myslím, že i ředitel Škodovky má „aaa“ nebo něco podobného. Zhruba 99,9999999999999% lidí stačí, aby se mu do účtu (nebo zamknuté obrazovky) nedostal náhodný čumil odvedle od stolu, t. j. během 3 minut, co jsou na WC. Tady se bavíme o normálních lidech a ne o organizacích, které mají na IT bezpečnost vlastního ředitele s celým odborem. Znám jednoho Linuxáka, který má k rootovskému účtu asi 25-písmenné heslo, skutečně náhodně vygenerovaný shluk fontů a čísel, a že prý chce mít pocit bezpečí :-))) Přitom k jeho kompu se dostane akorát jeho 5-letá dcera a manželka, která si akorát čte maily a o nějaká rootovská práva absolutně nestojí; ani neví co to je. To už je obsedance. Kdyby si dal heslo jen 123456, a nebo jen odentrování bez hesla (nevím zda to v Linuchu jde; pod Win ano – prázdné heslo) vyšlo by mu to nastejno.

Manželku a pětiletou dceru nemám, ale většina mých hesel je také kolem 20 náhodných znaků. Nebavilo mě pořád něco vymýšlet, tak mám na hesla program, který heslo vygeneruje a pak si ho zapamatuje. Přihlašuji se potom jenom pomocí Copy&Paste. Databáze hesel (která obsahuje něco přes tisíc živých hesel) se replikuje i na mobil, takže pokud nejsem u svého počítače, opíšu hesla z mobilu… To samozřejmě trochu nerad, protože musím zadat heslo do mobilu, potom heslo do programu a nakonec heslo do cílového systému, ale to nedělám určitě víc, jak jednou týdně…
BTW: Windows bez hesla mě taky už jednou vycvičily… :-) Ale nakonec jsem na to přišel… :-) Nevýhoda účtu bez hesla je, že ve výchozím nastavení se na Windows účtem bez hesla nedostanete vzdáleně (plocha, sdílené disky) a musíte to změnit v politice…

Tak tohle je opravdu vtipné :-) A ta přezdívka fakt sedí :-)

Ono je v podstatě úplně jedno jestli je k prolomené potřeba sto tisíc nebo sto miliard pokusů pokud se jedná o přihlášení ke vzdálenému stroji který může útok detekovat a reagovat na něj. Detekce je poze o vhodném nastavení konstant špatné pokusy/čas a reagovat lze od blokování účtu přez blokování adres až po aktivování různých protiautomatových technologií. Záleží na konkrétním stroji důležitosti účtu a dostupnosti admina.

Podla mna kazde heslo moze byt bezpecne, teda aj $HESLO="", pokial sa da nejakym sposobom garantovat ze jediny kto sa bude na dany ucet prihlasovat bude opravneny user. Vsetko co porusuje toto pravidlo uz nieje bezpecne, ale moze byt prakticke obmedzit pocet moznych prihlaseni a tym minimalne spomalit brute force attack do takej miery ze uz ho ziaden „mysliaci clovek“ nebude robit.
Problem vsak je ze pokial vas system akceptuje XY prihlaseni za minutu, kolko znakove heslo by ste odporucali vasmu userovy? (a to stale este predpokladate ze niekto neobide vase spomalenie loginu)
Co ak si vyberie user heslo zrovna na zaciatku slovnika? alebo bude brute force robit nejaky bot ktory ho predsa len za 2 roky po 50000 pokusoch uhadne kedze je to „qwerty“?
Ak MS nieco vymysla urcite by som to tak rychlo nezavrhoval ako niektory chytraci co si myslia ze: IQ vyvojara Microsoftu = IQ pouzivatela Microsoftu.
Na druhej strane jediny sposob proti brute force utokom je sledovanie urcitych patterns ako frekvencia zadavania, geograficka oblast, cas dna, etc.. a jediny sposob reakcie je disablovanie uctu na urcity cas pri ktorom vlastne najviac trpi nevinny user.
HOWGH!

Mam takovy zajimavy problem, chapu, ze kdyz dam heslo do HASHe, tak ze 2 stejne budou mit stejny HASH …
ale nechapu, jak muze poznat, ze dam misto Heslo@1 … Heslo@2 a on mi rekne, ze jsou podobna, jako napr. moje 3 hesla predemnou … to je ma nekde v plaintextu ?
… mam takovy spatny dojem, ze kdybych nabootval systemrescueCD tak je nekde naleznu v registrech, nebo nejake divne casti partition … ci z bezicich nejakou nepeknou utilitkou ;-)))

Zajímavá otázka :)

IMO jsou aktualni hesla skladovana jako hash a minula jsou ukladana (po zmene hesla) nejak zobskurnena, ale technicky vzato stale citelna.

Existuji ruzne algoritmy (napr. soundex, ktery se tu prilis nehodi, ale budou i dalsi), ktere jsou de-fakto hashovaci, ovsem pri podobnych slovech vypadnou podobne/shodne hashe. tyto algoritmy ovsem nemusi byt reverzibilni.

Domenovy server s politikou nucene zmeny hesla si pamatuje napr. 10 starych hashu hesel, aby clovek nemohl kazdy mesic rotovat mezi 2 hesly.

skusal uz niekto zmenit len jeden znak v novom hesle pod win domenou? mne to ide…

hash bez saltu je dost diera … pouzitim rainbow tabuliek je dost velka sanca na rozlamanie vacsiny hashov do 10 znakov v dost rozumnom case

To sa budu perfektne ziskavat hesla. Ked to M$ implementuje staci nejaky bot co bude generovat hesla a ak to napise „Lutujeme, toto heslo pouziva privela ludi“ (spomente si na lamera :D) je jasne ze sa oplati zaradit ho do slovnika. :D len tak dalej!

Mne bezi doma ftp a politika je jednoducha: heslo staci klidne 1234 avsak po druhem spatnem zadani se IP zabanuje. Prijde mi docela vtipne sledovat online pokusy o login a zkusit se na tu ip adresu ze ktere prichazeji pomoci nich prihlasit. Uz jsem se takhle dostal do peknych par firem vetsinou z ciny :-D