Vlákno názorů k článku Nepoučili jsme se, za většinou útoků stojí uživateli běžně používaná hesla od r37 - Samozřejmě, pokud je bezpecnost uctu (u kritických nasazení)...

Samozřejmě, pokud je bezpecnost uctu (u kritických nasazení) postavena jen na znalosti hesla tak je to spatne a pokud nekomu dame moznost zkusit 8 miliard hesel tak je chyba u nas, jak se píše v prvním příspěvku.
Nicméně ta databáze (RockYou2021) může být užitečná – sám bych třeba rád nasměroval členy své širší rodiny, aby si svá hesla prověřili (mohlo by mi to v budoucnu ušetřit práci ;) ). Nejsem si ale jistý, jak to zařídit. Postup „pošlete mi hesla a já vám je ověřím“ bych považoval za zásadně špatný (a nechci to tak dělat). Jsem myslím schopný dostat tu databázi (on je to textový soubor, chápu-li správně) na každý z jejich počítačů, ale jak na běžném desktopu nebo laptopu rozumně ověřit, jestli tam nějaké heslo je nebo není? Ten soubor bude mít velké desítky GB (je to skoro 13 GB v 7z kompresi), to už není úplně legrace; co byste doporučili, aby to zvládl desktop nebo laptop třeba s 4 GB RAM (na všech je Linux) a netrvalo to hodinu? A pokud možno aby to bylo stravitelné pro běžného uživatele, který zvládá shell tak na úrovni „pgrep něco, pkill něco, atp.“?

udelej si vlastni web na kontrolu. tomu snad muzes verit

Asi jsem se v původním příspěvku špatně vyjádřil - když jsem psal, že nechci postup „pošlete mi hesla a já vám je ověřím“, myslel jsem tím, že nechci vést ty uživatele k tomu, aby svoje hesla (byť v dobrém úmyslu) kdykoli sdělovali komukoliv jinému (včetně mne) nebo zadávali někam jinam, než kam patří. To je podle mne (pro běžného uživatele zejména) cesta do pekla, když si na to člověk zvykne. No, a když vyrobím vlastní web, kam ti lidé hesla budou moct zadat k ověření, tak to je přesně ono. (Přijde mi, že zkusit najít svoje heslo v textovém souboru, který mám na svém počítači, nebezpečný návyk nevytváří.)

Importovat hesla do sqlite a zaindexovat (databáze bude velká a import náročný). Nebo zůstat u grep a čekat, ale na SSD to nebude tak zlé.

A nestačilo by porovnávat jen nějaký otisk těch hesel? Pokud bych měl tedy nějaké opravdu bezpečné ale přitom dobře zapamatovatelné heslo, které v databázi ještě nemají, nemohl by si ho někdo jen tak uložit. Tedy zůstalo by bezpečné.

29. 10. 2022, 17:14 editováno autorem komentáře

Ano, to by obecně bylo dobré – ale jak to důvěryhodně zařídit (aby se k porovnání dostal jen unikátní otisk hesla)?
Kromě toho, pro konkrétní případ, o kterém píšu, bych ani tohle nechtěl použít, pokud možno – prostě bych nerad učil laiky, aby hesla zadávali někam jinam, než kam patří, jak o tom píšu výš.

Web ';--have i been pwned? to takhle dělá, že se tam posílá jen otisk hesla.

Ten odkaz nefunguje. A na https://haveibeenpwned.com/Passwords Chtějí zadat heslo ne otisk, aby mi řekli jestli je heslo na seznamu.

Ano, nevložil jsem do odkazu URL, ale znovu název, omlouvám se.

Na té stránce zadáte heslo, ale to zpracuje JavaScript a na server se odešle jeno hash. Pokud tomu skriptu nevěříte, můžete použít API a to hashování si implementovat sám.