Názory k článku Jak se Češi s hesly potýkají: analýza 16 tisíc ukradených hesel
-
peci1Stříbrný podporovatelPekna analyza, Edvarde :)
Uvazoval jsi o pouziti Levensteinovy vzdalenosti pro urceni podobnosti jmen a hesel?
Ponekud me prekvapuje, ze eshop umoznuje i 3znakova hesla. Nicmene dobra zprava je, ze od 5 znaku dolu je vyrazny pokles, ktery ale nebyl vynucen technologicky =)
U histogramu bych zduraznil, ze svisla osa ma logaritmicke meritko, me to chvili matlo.
-
Prezdivka (neregistrovaný)
Třetina hesel se nepodobá ničemu (‚kekeke78‘, ‚.“y!W‘, ‚IDkfa75jj‘)
Presne jak pise Pametnik ohledne IDKFA. Pridal bych, ze kekeke78 je docela zname "chichitani v korejskem stylu". Google to dokonce dava "na prvni dobrou" ve svem vysvetlovacim boxiku. Rekl bych, ze hesel, ktere se nicemu nepodobaji bude mnohem mene nez tretina, to jen autor nemel dostatecnou databazi vzorku pro "pattern rocognition". :-)
-
martin (neregistrovaný)
Ti securiťáci furt radí používat pro různé služby různá hesla, ale ruku na srdce, komu by se chtělo?
183 hesel z 16 tisíc obsahuje "zone", takže různé heslo na různých webech používá tak 1 % lidí, možná 2 %. Navíc celkem uhodnutelně.
Spíš by to chtělo pro autentizaci vymyslet nějaký lepší mechanizmus, než mít milion účtů (a hesel) všude možně...
Come on, programátoři, těm lidem to dlužíme.
-
No, já nevím… Konkrétně u služby jako mojeID mám celkem rozumnou jistotu, že provozovatel dodržuje bezpečnostní standardy, u většiny e-shopů mohu pouze doufat. Kvůli jistým hňupům v Anglii mi dodnes chodí spamy (a navíc jsem musel vyměnit kreditku).
Pokud tedy někdo podporuje mojeID, tak má u mne výraznou preferenci.
-
Prezdivka (neregistrovaný)
Ja bych spis rekl, ze problem je ve vyzadovani registrace pro prakticky kazdou sluzbu i tam, kde to neni nutne.
Samozrejme jsou sluzby, u kterych to bez registrace proste nejde, ale jsem si celkem jisty, ze pocet sluzeb, kde by to bez registace prakticky neslo, oproti poctu sluzeb, ktere dnes registraci vyzaduji apriori (at uz jde o sebemensi blbost), je mene nez polovicni. Treba Root (lupa family) je jednim z poslednich mohykanu, kde clovek jeste muze prispivat bez registrace. Ne ze by se lidi nemohli registrovat, kdyz chteji, ale proc je to u spousty sluzeb nutna podminka pro pouzivani, kdyz by to slo i bez toho?
Nekde jdou ve sbirani dat tak daleko (napriklad mafra servery jako idnes apod), ze pri registraci vyzaduji pravdive osobni udaje a nekdy vyzaduji kopii obcanskeho prukazu. Nebo treba tento mesic jsem si chtel zalozit dalsi ucet na gmailu (pro ruzne sluzby pouzivam ruzne mailove adresy) a hele ho, bez overovaci SMS to uz nejde. Drive jste mohli odmitnout, ze nechcete dvoufazove overovani (na co bych ho potreboval, kdyz ten ucet mam prave pro "hloupou" sluzbu, kde je registrace samoucelne jen pro registraci), ale ted uz si asi rekli, ze to moje telefonni cislo proste potrebuji a pres to nejede vlak...Shrnuti:
Problem neni v mechanismu autentizace, jak tvrdi martin vyse, ale ve vynucenem naduzivani povinne registrace i tam, kde pro to neni duvod. Pri mensim poctu vynucenych registraci by bylo snadnejsi pouzivat (a hlavne si pamatovat) ruzna jmena a hesla pro ruzne sluzby. -
Prezdivka (neregistrovaný)
A muzete mi prosim poradit, kde to tlacitko skip najdu?
http://ctrlv.in/908826Nemyslel jste tlacitko skip pri registraci noveho google uctu na mobilu?
-
5chars (neregistrovaný)
To bude nejspis vliv nejake lokalni regulace. Pred nekolika dny jsem zakladal ucet na gmailu bez potreby zadavat tel. c. pro overeni. Pro jistotu jsem to prave zopakoval, jedina moznost k zadani tel. c. byla pri uvodnim vyplnovani udaju (Jmeno, Prijmeni, retezec pred @gmail.com, ...).
Lokace .de
Pro obe registrace pouzit jiny typ pripojeni (nebyl umysl), prvni probehla na desktopu s win, druha win laptop.Jeste me napada sdileni adresy, ktera byla treba nekdy (nedavno) uzita k automatizovane registraci, pripadne sedi na nejakem blacklistu ci podobnem seznamu.
-
Prezdivka (neregistrovaný)
Ano, zkusil jsem konkretne datum 14.05.2003 (at nedavam porad prvni leden jako obvykle) a chtelo to telefonni cislo. Tak jsem jeste zkusil 14.05.2004 a to uz odmitlo registraci uplne, protoze to neni v souladu s podminkami pouziti. Ne ze bych ten gmail ucet tak potreboval, casto pouzivam treba temp-mail.org, ale chtel jsem proste vyzkouset jestli ta finta funguje.
-
Prezdivka (neregistrovaný)
No ja byt administrator idnesu, tak tomu 1.1. neverim a proste kopie obcanky musi byt. :-)
Mimochodem, je to sice off-topic, ale kdyz uz se tu bavime o specifickem datu narozeni tak jsem si vzpomel na jeden vtip...
Skot si dava inzerat. Hledam zenu narozenou 24. prosince, ktera se chce seznamit za ucelem snatku a jmenuje se Eva. Svatba probehne ve Stedry den. -
Ondro (neregistrovaný)
Suhlasim s tym prehnanym vyzadovanim registracie.
Velmi casto kupujem jednorazovo v roznych e-shopoch a ak dany e-shop nepodporuje nakup bez registracie, tak idem inam.Clanok bol prilis "technicky" a nebral do uvahy niektore aspekty, ktore mohli mat vplyv na zlozitost(kvalitu) hesla. Od spominajej mozno zbytocnej potreby registracie az po mieru rizika pri ziskani prihlasovacich udajov utocnikom.
-
Prezdivka (neregistrovaný)
Jako tresinka na dortu pusobi dnesni zpravicka o dropboxu.
https://www.root.cz/zpravicky/dropbox-zmeni-chovani-adresare-public-uz-nebude-verejny/
Sdileny soubor bude mozne pouzivat jen s dropbox uctem. -
To tam přece napsáno není. Naopak je tam uvedeno, že „nebo je možné vytvořit veřejný odkaz na libovolný soubor“. Totéž se píše v odkazované nápovědě.
-
hugochavez (neregistrovaný)
@Martin
"Ti securiťáci furt radí používat pro různé služby různá hesla, ale ruku na srdce, komu by se chtělo?
.......Spíš by to chtělo pro autentizaci vymyslet nějaký lepší mechanizmus, než mít milion účtů (a hesel) všude možně...
Come on, programátoři, těm lidem to dlužíme...."
Lepsi mechanismus je uz vymyslen, prace na tom zabrala skoro 3 roky z toho posledni rok se doladovaly kraviny jako fonty nekterych distribuci (tusim Ubuntu) kde nejde rozpoznat male "L" od velkeho "i" apod ale HLAVNE se posledni rok security testovalo aka penetration testing.
Tady mas video prednasku autora+PDFko s vysvetlenim +demo.....
http://pastebin.com/85UucSjW
protoze me tady ten genialni redakcni antispam filter vyfakoval a ja si nehodlam dopisovat s redakci proc a nac se tak stalo- na to je muj zivot prilis kratkej. -
Gaussovo rozdeleni - autore dovzdelej se (neregistrovaný)
Promítli-li bychom si délky hesel na Gaussovu křivku, našli bychom její střed v bodě osm, celá čtvrtina vzorku používá 8znaké heslo (4401).
http://cit.vfu.cz/statpotr/potr/teorie/predn2/rozdelzs.htm -
Vážení čtenáři,
velmi se vám omlouvám za nepřesnosti v článku. Pana Gausse jsem si do úst vzal skutečně laicky. Chtěl jsem vyjádřit prostý fakt, že křivka zobrazující vztah "počet hesel o dané délce" se podobá Gaussovu rozdělení – minima má na okrajích definičního oboru a vrchol v bodě osm, jakožto modusu.
Prosím, pomožte mi s přeformulováním oné nešťastné věty.
Původní věta: "Promítli-li bychom si délky hesel na Gaussovu křivku, našli bychom její střed v bodě osm."
Můj návrh: "Promítli-li bychom si křivkou závislost počtu hesel na počtu písmen v hesle, podobala by se strmě klesající a pak zvolna klesající Gaussově křivce s vrcholem v bodě osm."
Souhlasili byste?A nemějte starost – e-maily jsem se snažil poctivě zfalšovat, jak ostatně zmiňuji závěrem článku. Přitom jsem si dával záležit, abych zachoval ten který detail, jejž s nimi vypichuji. Vymyšlené maily jsem se pak ještě snažil progooglit, abych si nevymyslel již existující; po hubě bych spíše nerad.
Ještě jednou vám děkuji za shovívavost. -
Ravise (neregistrovaný)
Na to Gaussovo rozdělení opatrně, Gauss má být symetrický. Řekněme
"Promítneme-li si závislost počet hesel - délka hesla, zjistíme, že vrchol křivky bude v bodě 8 (znaků). Křivka na začátku prudce stoupá, ktežto za svým vrcholem klesá pozvolněji."
Osobně bych do toho statistické rozdělení radši nepletl, protože na každé jsou testy a jiné podmínky, jestli rozdělení "dobře" vystihuje sebraný statistický soubor :) -
bezpecak (neregistrovaný)
Díky za zajímavé statistiky. Dovolím si však výrazně upozornit na jednu nepěknou věc z textu.
Tvrzení „Češi se zdráhají v heslech používat diakritiku (což je možná škoda)“ zcela chybně nabádá neznalé čtenáře k používání diakritiky, což však má dva zásadní problémy (viz. výzkumné papery na téma hesel):
a) Použití diakritiky sílu hesla zvýší zcela zanedbatelně (oproti tomu mnohem výrazně zvýší bezpečnost přidání jednoho ASCII písmene k celkové délce hesla).
b) Způsobuje to nekonečné problémy při přihlašování z jiného než osobního počítače kvůli různícím se klávesovým layoutům (které např. v zahraničí často nebývají dostupné na přihlašovacích obrazovkách), nedostupnosti znaků (různá mobilní zařízení tím trpí) či hloupé systémy, které diakritiku interně ukládají chybně a validace hesla je poté nemožná.
Mimochodem hochům z CSIRT bych důrazně doporučil prostudovat https://github.com/dropbox/zxcvbn (soudím, že na zxcvbn hoši ještě nenarazili, protože jinak by tento „kolůsek, který Národnímu bezpečnostnímu CSIRTu pomohl vyvinout lepší způsob regulární analýzy nad množinou dat“, jak autor uvádí, CSIRTu příliš nepomohl).
(tento komentář jsem původně uvedl pod https://blog.nic.cz/2016/12/15/jak-se-cesi-s-hesly-popasaji/comment-page-1/ )
-
> nabádá neznalé čtenáře k používání diakritiky
Děkuji za velmi cenný příspěvek. Plně s Vámi souhlasím a připravím update. Můj údiv, že lidé nepoužívají diakritiku, byl nemístní; navíc uživatelé ani diakritiku používat nemohli – zkusil jsem si založit několik freemailů a se zlou jsem se potázal při pokusu o každé drobné nabodeníčko.> Použití diakritiky sílu hesla zvýší zcela zanedbatelně oproti ... přidání jednoho ASCII
Zajímalo by mě, kdybyste byl tak laskav a rozvedl toto tvrzení. Snažil jsem se načerpat více informací, nikde jsem však hodnověrnou zmínku o ne/zanedbatelnosti input-prostoru nenalezl.
Přijde mi, že čím větší prostor vstupu, tím lépe. Udělal jsem si laický výpočet, kde mi přijde, že bezpečnost zvýší více naopak diakritika.
40 možných znaků * 7 písmen = 280 kombinací
50 možných znaků * 6 písmen = 300 kombinací
Zdá se mi tedy, že pokud by uživatelé nepoužívali diakritiku zcela předvídatelně, je diakritika jednoznačné plus. Navíc je výhoda diakritiky v kratším hesle, což oceníme, pokud nepoužíváme password manager.> problémy při přihlašování
Souhlasím. Problematiku jsem si nastudoval, nad RFC 7613 uronil slzu dojetí, ale přestože já osobně mám na klávesnici různý ezoterický unicode, o kterém naivně věřím, že kdybych se ho rozhodl používat, ubránil bych se leckterému pokusu o dehashování, chápu, že nemáme ideální svět.> zxcbn ... CSIRTu příliš nepomohl
Lepším způsobem regulární analýzy nad daty jsem mínil .ipdb jupyter notebook, který mi pomáhá nalézat zajímavé, a ne předem definované vztahy v datech. S projektem zxcvb nekonkuruje. Nicméně otevřeně děkuji za tip, estimátor jsem skutečně neznal, nadšeně jsem si pohrál a v některých aspektech analýzy by mi byl mohl ušetřit práci. :)Pěkný den,
E2rd -
jouda (neregistrovaný)
Tak si nemůžu pomoct, ale kromě toho, že je ta analýza zajímavá "ze zvědavosti", neříká vůbec nic.
Jak už bylo mnohokrát zmíněno, málokterá služba si zabezpečení zaslouží. Přihlášení do banky (netvrdím že taková není, ale neznám banku co nevyžaduje nějakou formu dvoufaktorovky, alespoň SMS), VPN do práce (to samé, dvoufaktorovka), maximálně hlavní mail (důležitější zbytek se dá přes něj resetnout), pro někoho možná nějaká sociální síť, pro jiného DNS registrátor, ale tím to tak konči, myslím že se shodneme na jednomístném čísle.Shopy? Sice jsou obvykle děravé, ale na druhou stranu - nevzpomínám si kdy naposled jsem musel použít kartu jinak než přes některou z platebních bran, a únik jen jména s adresou zásilkovny si risknu i v případě sexshopu, zvlášť při jednorázovém nákupu ;-)
Nejrůznější stahování softu? Temporary mailbox a po stažení stejně letí registrace do koše a je mi fuk, jestli z ní tu Javu bude tahat nějaký číňan nebo rus. To samé většina diskusí které vyžadují registraci i pro čtení etc. - prostě klidně mě kamenujte, ale nevidím nic špatného ani na pa$$w0rd, ani na 123456.A ještě si dovolím si polemizovat - používat v hesle české znaky považuji za naprostou zvrhlost, ono úplně stačí si občas zamknout účet kvůli y/z (querty / qwertz + překlep = 3 pokusy, kombinace české quertz/české qwerty/anglická je pak skoro jistota, i když je limit 5 (a co teprve když se vyskytne po firmě i nějaká německá) a chudák helpdesk co to pak musí odemykat).
-
hugochavez (neregistrovaný)
to ze delka hesla dava vetsi bezpecnost nez velka entropie lze snadno vyzkouset timhle simulatorem:
https://www.grc.com/haystack.htm pri jednoduchem heslu doplnenem o "dostatecne dlouhou vycpavku" a pouziti velkych+malych pismen+cislic a spesl znaku je vysledek takrka necracknutelny a i rainbow tables jsou nepouzitelne....
Ovsem kdyz si zalozite ucet u diletantu
https://www.yahoo.com/tech/1-billion-user-yahoo-breach-143800752.html
kteri obchazeji narizeni svyho vlastniho security oddeleni a kdyz na to sef IT prijde a vzepre se tak je je nasledne vyhozen, tak to vam pak ani sebelepsi heslo nepomuze :o)))))) -
Prosím pěkně, obhajte více větší užitečnost délky nad entropií. Snažím se dobrat pravdy, ale vychází mi, že entropie je lepší – i v tomto simulátoru.
"testý" -> 1.2 weeks
"testys" -> 3.7 daysJsou případy, kdy je lepší delší heslo, ale jinak mi vycházívá lépe větší entropie. Navíc nevidím důvod, proč oba způsoby nekombinovat. :)
(Ano, jsem si vědom toho, že se diakritika v současné době nedoporučuje z technických důvodů a připravím v tomto smyslu update.) -
ebik (neregistrovaný)
Nejlepsi je zvolit spravnou metodu vyberu hesla.
Napriklad kdyz si vezmu nahodny generator slov, vezmu jich treba sest, vyberu ctyry ze kterych sestavim vetu, kterou si snadno zapamatuju (neco jako "ruzovy kun kopnul do hrebiku"), tak to bude jen tezko prolomitelne. V pripade ze by nahodou utocnik odhalil moji metodu a dostal se ke zdrojovemu slovniku, tak je v tom stale entropie odpovidajici cca osmiznakovemu nahodnemu heslu (dva znaky jsou cca 40^2 moznosti, coz by odpovidalo vyberu z chudeho slovniku tisice slov. To osmiznakove heslo bych si ale tezko pamatoval).
Malou nevyhodou teto metody je, ze se da takove heslo snadneji odezirat z klavesnice. -
Filip JirsákStříbrný podporovatelVelkou nevýhodou této metody je, že si takto lze zapamatovat jen několik jednotek hesel, zatímco v reálném světě jich uživatel má desítky.
-
hugochavez (neregistrovaný)
@E2rd
"obhajte vetsi uzitecnost delky hesla nad entropii"
mel sem ten tvuj dotaz ulozenej jako tab ale nemel sem moc casu-takze ted sice pozde ale prece :) navic kdyz tak pekne prosis......
PREDNE si musis znovu precist co jsem psal= "jednoduche heslo doplnene o "dostatecne dlouhou vycpavku" a pouziti velkych+malych pismen+cislic a spesl znaku..."
Urcite se shodnem na tom ze pridani "s" ke slove "testys" tuhle podminku nesplnuje :)
NAVIC budto nevladnes anglictinou anebo jsi lajdak, protoze kdyz se podivas co sem psal tak tam najdes nasledujici URL https://www.grc.com/haystack.htm kdyz na nej kliknes tak hned 1.link co se ti nabidne je tenhle http://abc7.com/archive/8361856/ a tam to mas VSECHNO POLOPATICKY vysvetleny. Pokud nevladnes English tak to tady v kostce shrnu a uvedu priklad stejnej jako oni =aby to bylo co nejjednoznacnejsi:
TAKZE muzes sis zvolit sileny nezapamatovatelny heslo %$#@(8ks98 coz je 10znaku s pomerne slusnou entropii (i kdyz tam k dokonalosti chybi 1 velky pismeno) - NSA by to crackla za nejakych 6.9hodin.
Muzes si ale taky zvolit trivialni heslo D0g........... ktery ale NSA uz necrackne driv nez za 15.6 tisic stoleti :)
Jak je to mozne? DELKA HESLA proste jednoznacne zvysuje rozsah pole ve kterem NSA a podobny spolky musej "hledat tu jedinou spravnou kombinaci". A pokud si "prodlouzeni hesla" zajistis necim co NELZE cracknout slovnikovym utokem tak mas v podstate vyhrano. Je potreba si uvedomit ze hadani hesla NEFUNGUJE tak jak to casto vidis v americkych (priblblych) filmech totiz ze se "postupne uhadnou jedna cislice za druhou az je uhadnuty cely heslo"= takhle to v realnym svete nechodi, system kterej neprogramoval uplnej debil se zepta jednoduse na heslo a kdyz ho dostane odpovi YES anebo NO. NIC NEZI TIM! takze utocnik musi vyzkouset postupne VSECHNY kombinace nez narazi na tu spravnou a obdrzi YES! -a tohle snazeni mu lze znacne prodlouzit prave tim ze ZVETSIS ROZSAH POLE VE KTEREM BUDE HLEDAT (tu povestnou jehlu v kupe sena)
A VO TOM TO VLASTNE CELY JE :)
takze kdyz si zvyknes pouzivat OSOBNI TAJNOU vycpavku napr.E2rd123456789 ktera je pro tebe snadno zapamatovatelna a zvyknes si ji pouzivat treba vzdycky 5x za sebou, muzes si klidne dovolit pouzivat i nejproflaknutejsi heslo na zemekouli monkey12345 a presto bude NSA trvat --53.85 thousand trillion trillion trillion trillion trillion trillion trillion trillion trillion-- stoleti nez ho crackne (vyzkousej si to sam=> monkey12345E2rd123456789E2rd123456789E2rd123456789E2rd123456789E2rd123456789takze asi tak :)
