Názory k článku Tvorba a správa silných hesel: příručka pro každého
-
norwi_ (neregistrovaný)
delka hesel je skvela vec, ale pokud mate skutecne dlouhe heslo, velmi spatne se zadava skrz ruzne platformy, ne vsechny maji dobre zvladnutou klavesnici (mobil EN s ceskym heslem)
ja doporucuji si zapamatovat hesla podle dulezitosti uctu, tedy bezvyznamne ucty napr. online Shop je nejnizsi priorita, heslo k bance jako nejvyssi (vetsina bank v Cechach uz overuje heslo i zaslanim PINu na mobil)
pouziti hesel v zahranici je kapitola sama pro sebe, kazda zeme ma jinou filozofii soukromy, napr. pokud v Britanii neprilozite potvrzeni o bydlisti (bank vypis) nekoupite si ani rohlik
-
David (neregistrovaný)
Skoda ze se autor clanku nezameril i na metriky popisujici silu hesla (viz napr. http://www.jbonneau.com/doc/B12-SPW-statistical_password_strength_metrics.pdf). Bohuzel jeste porad muze clovek nalezt na internetu registracni formular vyzadujici heslo, ktere je omezeno podminkami: heso muze obsahovat 1-2 velke pisemna, 1-2 cislice, atd... coz imho snizuje entropii.
-
Jarda (neregistrovaný)
Většinou tam není, že heslo může obsahovat 1-2 číslice atd, ale že musí. Pokud by se používaly dokonalé hesla, tak by se prohledávaný prostor skutečně trochu zmenšil. V praxi má většina uživatelů heslo z několika malých písmen a tyto omezení je přinutí přidat alespoň velké písmeno a číslici. Sice většinou jen dají první písmeno velké a na konec jedničku, ale i tak se prohledávaný prostor zvětší. Takže nějaký smysl to má. I když někde mě to docela štve, zvlášť ve spojení s nucenou změnou po určitém čase a zákazem opakování hesel.
-
Petr M (neregistrovaný)
Na tyhle omezení se, pokud vím, za heslem skoro vždycky používá jistá standardní přípona. Natáhne heslo o 4-6 znaků, obsahuje číslo a písmena, je lehce zapamatovatelná, po třech měsících se mění a neopakuje se.
Její momentální hodnota je "15Q3", "3Q15", "2015Q3" nebo "3Q2015"...
Takže jsi jediný, koho to štve. BFU si tam dá "abcd3Q15" , v září to prostě změní na "abcd4Q15", v lednu na "abcd1Q16" a je to. malý, velký, číslo, min. osm znaků. Polibte si.
-
David (neregistrovaný)
Takove heslo by pravdepodobne neproslo pres napr. https://github.com/dropbox/zxcvbn
-
Ondra Satai NekolaZlatý podporovatelAno, zvysenim bezpecnosti pocitacovych systemu se zlepsi svet a lide budou stastnejsi. Ne radikalne, neni to jedina vec, ktera by se pro lzepseni sveta udelat mela... ale z mnoha duvodu by se to udelat melo.
-
Ondra Satai NekolaZlatý podporovatel
Jo, hledám. Někdy třebas nemá zvýšení bezpečnosti smysl, protože je v poměru k chráněné hodnotě příliš drahé nebo nepohodlné. Ale obecně je téměř vždy dobré, občas nad ním převáží jiné téměř vždy dobré věci.
-
Unknown (neregistrovaný)
Trapeni nezanedbatelne casti lidi kteri maji technicke anti-sklony a k pouzivani pocitacu (v jakekoliv forme) jsou donuceni okolim (prace, komunikace se vzdalenou rodinou, a pod.)
Takovi lide tlakem na bezpecnost (resp. elementarni vzdelanost v oboru) trpi a vice jim to bere nez prinasi. Tito lide jsou z toho nestastni, kvalitu jejich zivota to spise snizuje a za par utajenych osobnich dat to urcite nestoji,Neberte to jako trolling, ale spis jako jiny nazor v tomto jednolitem "ghettu".
-
Ondra Satai NekolaZlatý podporovatel
Když pak třebas počítač takového člověka posílá spam, netrpí jen oni...
Já netvrdím, že je to všechno úplně přímočaré, ale bolest a utrpení z hesel a 2FA není zdaleka to nejhorší, co může tyhle lidi potkat.
-
Unknown (neregistrovaný)
Nosnou myslenkou bylo, ze jim bezpecnost vice bere nez prinasi. Kdyz spocitate roky trapeni s hesly, loginy, updatovanim OS, prohlizece, atd... tak nejaky bezpecnostni incident ktery je nejak zasahne pokud se na bezpecnost vykaslou, to nemuze nikdy vyrovnat.
Prijemci SPAMu jsou pravdepodobne i oni sami, a navic: pravym vinikem je zde ten kdo jim do PC bota nasadil, nikoliv oni sami.
-
Petr M (neregistrovaný)
Tohle neberu. Ukradený soukromý fotky bez oblečení a zveřejněný na netu můžou být větší trápení. Nejenom psychický, dá se za ně sdostat i vyhazov (třeba pokud je dotyčný učitel).
A updaty řešit nemusí, stačí hodit jeden příkaz do CRONu na noc z pátku na sobotu (u nás doma je tam "dnf -y update") a říct jim, že mají v tu dobu nechat počítač zapnutý a ráno preventivně restartovat (preventivně, pro případ update jádra). Ve widlích se to teď bude dít samo, jenom si ještě navíc sami musí hlídat dalších 20 aplikací kromě systému (Widle holt nejsou dokonalý).
-
Skutečná admin (neregistrovaný)
Automatizovat aktualizace operačního systému (non-core) není bez následku. Kolikrát se tímto skvěle roztřelily "X-ka" (jednou serverem, potom ovladačem grafárny, atd.) či přestaly fungovat jiné "aplikace". Samozřejmě pak následoval downgrade na předchozí verzi. Píši to sem, pokud by to četl někdo s méně zkušenostmi, ať toto určitě bezhlavě nedělá, nebo očekává příslušné následky...
-
Petr M (neregistrovaný)
Jednou už jsem to zažil, po update klekl Gnome. Stačilo ale manželce říct do telefénu, ať zmáčkne Ctrl+Alt+F2, zadá "root", nadiktoval jsem jí heslo, pak zadala "reboot" a zmáčkla Enter. Na startu výběr druhýho řádku šipkou a Enter. Do pěti minut mohla pracovat.
Fix přišel za tři dny, sudo yum -y update; reboot a bylo to spraveno.
Pro srovnání, obnova bodu nastavení ve widlích by byla tak na pět hodin, reinstalace tak na pět dní.
-
pcdrm (neregistrovaný)
:D Bod obnovení na 5 hodin a reinstalace na 5 dní?
No tak to nejsi moc dobrej :)Bod obnovení je tak na 5 - 15 minut, obnovení sys oddílu z bitcopy 30 minut-2 hodiny, přeinstalace... 1-2 hodiny bez SW, 5 hodin do komletně použitelného stavu s nainstalovaným a nastaveným veškerým sw na který jsem zvyklý.
-
Petr M (neregistrovaný)
Bod obnovení jsem zatím použil asi pětkrát. Vždycky pak chtěl "sendvič" restart-scandsk-restart, takže 5h je tak průměr (nevím jak na novějších, poslední, co jsem takhle "fixoval" byly eXtra Pomalý, pak jsem se s wokenní světem doma rozloučil).
A těch pět dní:
- 1h instalace z CD
- 3h první kolo aktualizací
- 2h na ovladače
- 1h na antivir a spol
- 1h nastavení a konfigurace
- 2h 1. SP
- 4h aktualiazce
- 3h 2. SP
- 3h aktualizace
- 4h aplikace (prokládání restartama)Takže 24h čistýho času s tím, že se to vždycky zarazí na potřebě restartu a pak to nepokračuje, dokud se uživatel nepřihlásí. A když člověk odbíhá do práce, vyspat se, věnuje se rodině,... a nesedí jenom u komplu, tak je pět dní celkem střízlivý odhad, pokud na to má člověk dost klidu.
-
Filip JirsákStříbrný podporovatelTi lidé ale netrpí tlakem na bezpečnost, nýbrž tlakem fachidiotů, kteří se na bezpečnost jenom vymlouvají.
Na současném internetu by ohledně hesel bylo řádově bezpečněji, pokud by se pro přihlašování na webu používala nějaká metoda challenge-response, u které server vůbec heslo nemusí znát (např. i současný HTTP Digest by stačil). Zároveň by bylo potřeba, aby součástí protokolu HTTP byl způsob, jak takové heslo zaregistrovat a změnit, a v prohlížečích by to bylo implementováno uživatelsky přívětivě a to včetně možnosti odhlášení (tím by mimochodem odpadly všechny problémy s únosem session). V prohlížeči by pak byl implementován správce hesel, který by hesla synchronizoval přes cloud (tohle jediné bývá implementováno) a který by bezpečná hesla zároveň vytvářel. Tj. kdyby se uživatel někde registroval, prohlížeč by dostal požadavek na nové heslo, sám by nějaké vytvořil (případně by to uživatel změnil), uložil si ho do správce hesel (a věděl by přesně, kde se to heslo používá, ne že by to musel hádat, jako dnes), spočítal by otisk hesla a ten by poslal serveru k uložení.
Tohle celé je jednoduché na implementaci, skoro všechny stavební prvky už existují a na internetu se používají. Bezpečnost na webu by se zvýšila řádově. Ale fachidioti, kteří sami sebe nazývají „bezpečnostní odborníci" (neplést s opravdovými bezpečnostními odborníky) místo toho vymýšlejí, že si uživatel musí heslo pravidelně měnit, že heslo nesmí být shodné s žádným z předchozích tři sta padesáti hesel a že se hesla musí na serveru hashovat.
-
Petr M (neregistrovaný)
Já se nejvíc divím, že na síti, která se vyvinula z ARPANETu, není šifrování a autentizace už od začátku...
A pravidelnou změnu hesla vidím spíš jako riziko, protože než si je člověk zapamatuje, tak buďto zadává pomalu (okoukání), nebo si je někam napíše,... Poikud si na heslo zvyká měsíc a musí ho za tři měsíce změnit, tak 1/3 času má oslabenou bezpečnost. A to se vyplatí!
-
Filip JirsákStříbrný podporovatel
To, že je heslo dlouhé, vůbec neznamená, že je silné. Naopak to, že je zapamatovatelné, znamená, že moc silné nebude.
-
Debianers (neregistrovaný)
... Naopak to, že je zapamatovatelné, znamená, že moc silné nebude....
OMG, f*ck me, to je zase moudro.
Takze podle tebe jedine heslo, ktere si (kdo? nejaky BFU nebo s pameti jako mas ty ?) nekdo neni schopen zapamatovat, jedine takove heslo je bezpecne ?To je neskutecne, jake "moudra" se na root-u clovek dozvi :-}
Znam lidi, kteri si zapamatuji posloupnost 50-ti a vice pismen.
Existuje technika pristupu k pameti, tzv. pametove hacky, pokud ji zvladnes a pochopis ji, mistre Jirsaku, dokazes si zapamatovat treba 100 ruznych veci, vcetne poradi.Prestan psat hov@diny jako tamti dva pred tebou... ;)
BTW, na netu lze najit statistiku brute force a z toho zaver, jestli je bezpecnejsi zmet vygenerovanych pismen (+delka) a nebo spise text, ktery "na oko" dava smysl (+delka).
-
Filip JirsákStříbrný podporovatel
Tak ještě jednou. To, že je heslo dlouhé, ještě neznamená, že je bezpečné. Když budu mít jako heslo 50 znaků "a", je to velmi dlouhé heslo, ale není o moc bezpečnější, než "123465". Bezpečnost hesla totiž závisí jenom na entropii, a té v 50× "a" věru moc není.
A to je také důvod, proč zapamatovatelné heslo není bezpečné. Protože lidský mozek je stavěn na to, aby si pamatoval pravidelnost, nedokáže si zapamatovat stejně dobře jakoukoli posloupnost znaků. Nebo-li "zapamatovatelné heslo" znamená, že jsem z množiny všech možných hesel vybral určitou podmnožinu hesel, která jsou zapamatovatelná - tedy jsem snížil entropii a tedy oslabil heslo.
To, že si někdo dokáže zapamatovat posloupnost 50 a více písmen nebo 100 různých věcí včetně pořadí je sice hezká věc, ale pro správu hesel je to pořád málo. Kdybych si pamatoval posloupnost 100 písmen a používal jen 10znaková hesla, pamatuju si 10 hesel. To by mi nestačilo ani k uživatelským účtům na počítačích, natož na weby. (A jinak zrovna různé nesmyslné kódy si pamatuju i proti své vůli, třeba u licenčních čísel Microsoftu jsem zjistil, že mi často stačí připomenout si začátek a zbytek už si pamatuju.)
Paměťové hacky slouží k tomu, aby si člověk dokázal zapamatovat i "nezapamatovatelné" věci. Pokud tvrdíte, že si paměťovým hackem je možné zapamatovat každé heslo a tím pádem je takové heslo zapamatovatelné, pak jsou všechna hesla zapamatovatelná a není nutné odlišovat zapamatovatelná a nezapamatovatelná hesla. (A pořád máte problém s tím počtem hesel.)
Ze statistiky o brute force útocích se nedá dělat závěr o bezpečnosti hesel, protože to není jediný způsob útoku. Ale když si porovnáte množiny stejně dlouhých hesel, přičemž v jedné budou všechna náhodně vygenerovaná hesla a v druhé hesla, která "na oko" dávají smysl nebo která jsou zapamatovatelná, je jasné, že ta druhá množina bude menší, než ta první - takže je i méně odolná proti brute force útokům.
-
Debianers (neregistrovaný)
"A to je také důvod, proč zapamatovatelné heslo není bezpečné. Protože lidský mozek je stavěn na to, aby si pamatoval pravidelnost, nedokáže si zapamatovat stejně dobře jakoukoli posloupnost znaků. Nebo-li "zapamatovatelné heslo" znamená, že jsem z množiny všech možných hesel vybral určitou podmnožinu hesel, která jsou zapamatovatelná - tedy jsem snížil entropii a tedy oslabil heslo."
S timhle zcela nesouhlasim, navic sve tvrzeni zakladate na 50x "a".
Viz muj post o bezpecnem hesle, nebudu to prepisovat.
Zhrnuto: zapamatovat si muzete i 40-60-80-... znakove "heslo", pokud to vam dava smysl a tudiz si jej zapmatujete, ale napisete jej specifickym zpusobem.
Brute force nebo "generator" a jine vypocetni systemy spise hacknou "vygenerovane" hesla nez ta, ktere tvori urcity pro zadavatele smysluplny text, ale specificky napsane.
O tom je ta statistika a testy, ktere hesla jsou rychleji hacknutela. -
Filip JirsákStříbrný podporovatel
S čím nesouhlasíte? Že velikost množiny zapamatovatelných hesel je ostře menší, než velikost množiny všech hesel? Nebo že heslo vybrané z větší množiny je bezpečnější?
Své tvrzení nezakládám na 50× "a ", to je jen protipříklad proti vašem utvrzení, že dlouhé heslo je vždy bezpečné.
Zapamatovat si 40znakové heslo můžu, ale je to k ničemu. Nepotřebuju jedno 40znakové heslo, potřebuju desítky hesel, která budou mít třeba 16 nebo 20 znaků.
Brute force nebo "generator" a jine vypocetni systemy spise hacknou "vygenerovane" hesla nez ta, ktere tvori urcity pro zadavatele smysluplny text, ale specificky napsane.
To je evidentně nesmysl. Za prvé, množina hesel vytvořených ze smysluplného textu je podmnožinou vygenerovaných hesel. Za druhé, útoky hrubou silou se nedělají tak, že by se zkoušela všechna možná hesla, ale zkouší se nejprve pravděpodobnější hesla, tedy mimo jiné právě ta hesla vytvořená ze smysluplného textu.Ten váš příspěvek není o tom, jak vytvořit bezpečné heslo, ale jak vytvořit snadno předvídatelné heslo. Dokonce pokud někdo bude útočit přímo na vás, dokáže nejspíš dost přesně určit váš zdrojový text, takže se váš systém vytváření hesla smrskne na pár desítek tisíc možností. Takže to vaše slavné 40znakové heslo bude zhruba stejně bezpečné, jako 3znakové náhodně generované heslo s velkými a malými písmeny anglické abecedy, číslicemi a nejběžnějšími symboly. Považujete takové heslo za bezpečné?
Děláte klasickou chybu, že bezpečnost hesla odvozujete od délky a ne od entropie. A také jinou klasickou chybu, že považujete něco, co je komplikované pro člověka, automaticky za bezpečné.
-
Debianers (neregistrovaný)
Mate to hezky akademicky/kravatacky napsane, vas byvaly rektor by z vas mel nejspis radost.
Vsadim se, ze i diplomku jste mel nejspis na vybornou.Ale porad jsou to kecy v kleci.
Verte si cemu chcete.Bud nemate absolutne tucha, co myslim tim bezpecnym heslem nebo mate prapodivnu predstavu o entropii nebo jak hacknout nekomu heslo...
Filozofujte dal, cas a praxe ukaze, kdo ma pravdu :D
-
Filip JirsákStříbrný podporovatel
Ale jo, vím, co myslíte bezpečným heslem – myslíte si, že bezpečné heslo je to, které se uživateli těžko zadává, např. dlouhé heslo. Ve skutečnosti je ale bezpečné heslo takové, které se nedá uhodnout nebo odvodit, tedy heslo, které má co největší entropii.
Praxe už to dávno ukázala, že nezáleží ani na délce hesla ani na tom, jak je to komplikované pro uživatele, ale na tom, jakou entropii má heslo.
-
Ondra Satai NekolaZlatý podporovatel
"akademicky/kravatacky" je nejaka nova rootovska nadavka? :-D
-
Jenomže tahle logika nepočítá s tím, že útočník bude myslet. A že použije třeba statistiku. Mějme fiktivní jazyk, říkejme mu blabláčtina. Slovesa v něm končí na f a před ním je samohláska. A sloveso ve větě je vždycky třetí slovo. Pokud neuvažuju velký písmena,tak se dva znaky smrsknou na "af", "ef", "if", "of", "uf" a "yf". Dva znaky, šest možností. S velikostí písmen 24 možností. Při @=A, €=E, I=1, O=0 je to 32 možností na dva znaky. S obyč ASCII znaky v náhodným hesle je to 9025 možností. Tzn. je potřeba 283x víc pokusů na uhodnutí těch dvou znaků.
Když dá několik takových fint, dostane pravidla pro generování hesel s nejvyšší pravděpodobností a to by v tom byl čert, aby ti neklaplo.
Silný heslo je takový, který dá nejvíc práce zlomit. Tzn. udělat přesně opak toho, co předpokládá útočník. A útočník pravděpodobně předpokládá slova konkrétního jazyka s nějakou logicky odvozenou substitucí mezer a číslem na začátku nebo na konci.
-
Dobře, zkusíme to jinak.
BFU použije nějakou větu. Víme, že po souhlásce následuje samohláska. Takže třeba po "N" je řekněme 80% šance, že tam bude něco z množiny "Aa@EeIiOo0Uu" a spec. znaky jako mezera, hvězdička,... Takže pokud bych lámal heslo, určitě bych to kombinoval takhle, nebo seznam slabik v tom jazyce, ve kterým je stránka... "Na" je pravděpodobnější, než "NG".
A při tom stačí na tuhle konkrétní flignu použít heslo "HHeeSSllOO" a bude to větší problém, než "Moje Heslo"... Musí se holt myslet.
-
noname (neregistrovaný)
A co by jste řekl třeba heslu:
ZnEvPuOsH.MaPnTjBtHmV,pN20A.
Přijde Vám snadné na zapamatování?
Jenže pokud znáte memotechnickou pomůcku, kterou znáte jen Vy, je to směšně jednoduché. U tohoto konkrétně:
Zase
Nějaký
E***
Vymýšlí
Podivné
Úvahy
O
Složitosti
Hesla
.
Místo
Aby
Přemýšlel
Nad
Tím
Jak
By
Takové
Heslo
Mohlo
Vypadat
,
Přemýšlí
Nad
20
A
.Takovou větu si zapamatujete velice rychle, obzvlášť pokud se vymyšlená věta bude vztahovat k něčemu, co emočně prožíváte. Ale z vlastní zkušenosti mohu říci, že někteří lidé nejsou schopní takové heslo často ani napsat správně v situaci, kdy jim jej napíšete na kus papíru, nemluvě o jeho odkoukání při psaní na klávesnici. A co se entropie týče, tak je určitě lepší, než většina běžných hesel.
-
Filip JirsákStříbrný podporovatel
Entropie je v tom heslu víc než v běžném hesle, ale je v něm podstatně méně entropie, než ve stejně dlouhém náhodně vygenerovaném hesle. Za další, budete si tu větu pamatovat ještě za 6 měsíců, kdy to heslo nebudete používat? Nebo budete vzpomínat, zda to bylo "úvahy" nebo "nápady", "přemýšlel" nebo "se zamyslel"? A dokážete si takových vět zapamatovat desítky a u každé si pamatovat, ke kterému účtu patří?
-
Ondra Satai NekolaZlatý podporovatel
Tohle ma ocividne smysl jenom pro tri, ctyri casto pouzivana hesla (login, LUKS, banka..), ktere clovek nesveruje klicence.
-
noname (neregistrovaný)
Navíc stejně dlouhé náhodné heslo si člověk nemusí zapamatovat stejně dobře, jako nějakou říkanku. A v případě, že jsou náhodné hesla uložené v nějakém úložišti hesel, tak mohou být za specifických okolností (přestože něčemu se určitě dá úložištěm hesel předejít) stejně bezpečné jako heslo, které k takovému úložišti přísluší.
Případně je tady stále riziko softwarové chyby, která umožní zpřístupnit všechny hesla hodně jednoduchým způsobem.
Samozřejmě všechny tyto záležitosti s náhodnými hesly lze vylepšit využíváním různých tokenů, ale to už je vyšší úroveň zabezpečení, kterou běžný uživatel zpravidla nemá k dispozici. -
S takovým heslem mám jenom špatný zkušenosti. Ale kdesi jsem četl radu, že pokudsi chce člověk něco zapamatovat, má si to dát jako heslo do systému. Takže když se nedařilo zapamatování PINu po změně banky, byl tři měsice PIN součástí hesla... a od té doby si je pamatuju. Stejně jsem se naučil SPZ auta (byla taky dobře osolená),...
-
Ondra Satai NekolaZlatý podporovatel
Za mne:
head /dev/urandom | md5sum | pbcopy
+
FF
+
sync FF(hesla k loginum na notebooky a desktopy, ssh klicum, luksu, FF syncu a bankam celkem solidni a v hlave, obvykle kombinovane s 2FA)
-
Ray (neregistrovaný)
Ono je na jednu stranu vyrazne jednodussi se vykaslat na 'nahodna' hesla stylu Jn!@#($8Aza, neb jsou pomerne blbe zapamtovatelna. Sam jich par mam a nepamatuju si je... Umim je jen rychle napsat a tak staci, kdyz jsem za jinou klavesnici a... Je to prekerka.
Pokud mam heslo dlouhe 10 znaku (a to je hodne), rekneme 64 moznosti (a to uz nam dava asi 10 "humus" znaku), pak tak je to neco okolo 1e18 kombinaci. Pro stredne vzdelaneho cloveka tvori slovni zasoba asi 50K slov (tvrdi wikipedie :) tak at nezeru, rekneme 10K slov.
Pokud si hesla delam na urovni slov, treba 'slananynkanastudenepivnko' tak je to mnohem lepe zapamatovatelne.
Ikdyz pripustime, ze mame (rekneme) 5K beznych slov, vcetne zdrobnelin a tak, potom kombinaci cca 4-5 slov se taktez dostavame nekam k 1e18.
Pro lamani hrubou silou jsou tato hesla minimalne stejne velky orisek, jako ciste nahodne zmeti znaku. A kdyz clovek pouzije treba oblibenej shellovskej prikaz na nejakou peknou vec, pak jeste mnohem horsi :)
Osobne tento pristup uz nejakej patek pouzivam a co na to, ze heslo ma 30 znaku, napisu se rychle, nezalezi mi na klavesnici... Daleko hur se odposlechne pohledem na klavesnici a pokud clovek neni uplnej trotrl a nepouzije nejakou beznou frazi atp. pak je takove heslo stejne silne jako nahodna balast, ale mnohem snaze zapamatovalne i ve vetsim mnozstvi hesel. Driv jsem si s oblubou jeste pridalval nekam , nebo . pripadne MaLaVeLkA pismenka, ale zjistil jsem, ze to se pamatuje uz blbe a v podstate je to k h... pocet kombinaci uz je sam o sobe na takove urovni, ....
A pak neni treba pouzivat SPOF trezor hesel, kde pokud se k nemu nekdo dostane, tak se dostal uplne vsude....
Da se okolo toho na netu najit i celkem prorpacovanej propocet pravdepobnosti (pro EN, pro CZ to bude jeste lepsi), ale uz nevim, kde jsem to kdysi cetl a jsem linej to hledat...
Toz asi tak :) A kdyz si ted nemuzu na neco vzpomenout, je porad jednodussi vzpominat na to, kam nanynka sla, nez se dohadovat, jesli tam byl ! nebo % :) Pripadne kdyz si kernel vzpomene, ze chce heslo na root pri bootu a nikde neni moznost se podivat, co tam je nastaveny za klavesnici, tak to je pak fakt porod...
R.
-
Ray (neregistrovaný)
I xkcd do toho rejpalo: http://i.agilebits.com/blog/xkcd-936-password_strength.png :)
-
Petr M (neregistrovaný)
enomže tenhle způsob je na houby třeba ve spořce, kde byla omezená maximální délka hesla na tuším 12 znaků... Aspoň, že tam byla dvoufaktorovka a login nebylo šáslo účtu. Jsou i horší banky z tohoto pohledu... Jak je to teď netučím, dal jsem jinde přednost PKI a generovaným certifikátům.
-
Debianers (neregistrovaný)
Podle mne nejlepsi a nejlepe zapamatovatelne heslo, je kdyz pouzijes nejaky svuj oblibeny vers z Tory nebo buddhistic. mantru, ale s pravidly, jako napriklad:
Text bez hacku, mezi slovy jako mezera ja "_" nebo za prvnim slovem bude jako mezera "+" a za dalsim "-" a tak stridat a nebo jeste, kdyz prvni slovo zacina VELIKYM pismenem a dalsi slova konci velikym pismenem.
Take jeste treba misto a pouzijes "@" a jine tve zvyklosti.No zkuste takove heslo, klidne o 40-ti nebo vice pismen hacknout ! :D
Prdlajs ! :-)) -
LS_999 (neregistrovaný)
Zajimalo by mne, jestli to `centralizovane` ulozeni hesel ve spravci
bezpecne. Pak je nejslabsim clankem retezu totiz spravce
hesel. Sice muze byt N krat tezsi ho hacknout nez nejake
jednodussi heslo co si pamatuju, ale na druhe strane
jednim hackem spravce dostane zaskodnik vse......
tj. zisk je M krat vetsi nez pri lamani jednoho hesla.
No a jelikoz zadny SW neni bez chyby, je tato moznost realna IMHO.
(Kdezto kdyz mi nekdo prolomi heslo do eshopu,
tak je mi to sumafuk...)Takze ja si myslim, ze to vyjde nakonec
z hlediska realne bezpecnosti nastejno,
slabsi hesla co si pamatuju
anebo silne hesla ve spravci kteremu
nezbyva nez duverovat (haha)? -
Ray (neregistrovaný)
Osobne to vidim tak, ze je vcelku fuk, jesli mas na lokalnim kompi 'passwd.txt' nebo pouzivas spravce (z pohledu bezpecnosti). Pokud nekdo ma fyzickej pristup k tvymu pocitaci, je to sumak. Jen omezis skupinu 'trotlu'. Na druhou stranu, trotl nenajde rozumne zasetej soubor s heslama, ale utiliku, co umi pockat na hesli do spravce, nainstaluje snadno. Pripadne keyloger atp. Osobne mam nekryptovanej ala 'passwd.txt' na kryptovanym disku. Dtto pokud nekdo hakne pocitac na dalku. Porad ze to jen SPOF a je fuck, jesli to je textak nebo spravce. A popravde, rootkity a podobne hracky budou koukat po 'standardnich' vecech, tj. hledat prave spravce hesel a podobne. Je to jako se zabezpecovackou aut. Kdyz uz se vlames do jednoho, vlames se lehce do vsech stejneho typu. Naproti tomu, kdyz to udela 'franta z horni dolni' (a neni to idiot !) tak s tim autem jen tak neodjedes a zlodej pujde k dalsimu autu, nebude ztracet cas zjistovat, proc to na tohle zrovna nefunguje.... Takze jedine rozumne reseni je SPOF vyradit, nebo ho mit na takovem zarizeni, ktere prakticky znemozni utok. Coz rozhodne 'velkej' OS vyrazuje smahem :) Pokud pripustime existenci nezavysleho externiho AUTH modulu (karta s displejem, casove promene kody, ...) tak se bezpecnostne, ale i $$$, dostavame na jinou uroven...
Jeste horsi, nez uvedomeni si moznosti utoku, je presvedceni o bezpecnosti. Bezpecnost je jen chimera. V podstate jen urcujes, kolik penez a casu je druha strana ochotna (resp. musi) venovat k prolomeni tve bezpecnosti. O nicem jinem to neni. Dokud plati "ochotna < musi" tak je to v poradku :) A to je dobry mit na pameti.
R.
-
Petr M (neregistrovaný)
Ne. je to jako nechat v bance k místnosti s trezorem místo dveří závěs, protože banka je přece odolná prti vloupání a kód k trezoru se nedá uhodnout.
Každá překážka se počítá!
Ale je fakt, že sebelepší zabezpečení hesel nepomůže, pokud si je pamatuje FF a stačí dát Nastavení - Bezpečnost - Zobrazit hesla...
-
Petr M (neregistrovaný)
Třeba zmíněný KeePassX pracuje se soubory s ukládáním hesel, kterých může být kompu libovolný počet. Takže dejme tomu, že se útočník zmmocní noťasu, prolomí LUKS, prolomí heslo uživatele nebo roota a mrkne do /home/user/keepassx. Vidí soubor s hesly, začne ho lámat... a nepodívá se, že třeba v /home/user/vyuctovani_dph/.truepasswords je ještě jiný soubor s hesly (ovšem falešnýma nebo blokovacíma)...
Klidně se dají rozdělit hesla do několika souborů podle důležitosti, jiný to bude s účtem na xishtknížku, jiný admin hesla k zařízením na síti, jiný do banky,...
A ještě to umožňuje zamčení třeba pomocí certifikátu v jiným souboru. Klidně na micro SD v mobilu, na FLASH, stažení pomocí SCP,... A když útočník neví, kde vzít klíč... ;)
Dá se s tím dobře vyblbnout...
-
Jenda (neregistrovaný)
Ten „pomalý šifrovací algorytmus [sic]“ je řádově stotisíckrát pomalejší než ten rychlý. To jsou jen tři znaky k heslu navíc.
> pokud použijete MD5 nebo SHA1, tak je úplně jedno jestli máte heslo 12345 nebo aV>!%$#~3292TzuhGb...
Pošlu 0.01 BTC tomu, kdo sem jako první dá string tak, že sha1(string) = 6e7a7850238d8c1f16827ad23599eba550563502 (nabídka platí několik dní, nečekejte sto let až bude sha1 prolomena)
-
Ondra Satai NekolaZlatý podporovatel
Zrovna dneska u Schneiera: https://www.schneier.com/blog/archives/2015/07/comparing_the_s_1.html (článek jako takový je starší a už před pár dny dělal vlnky)
-
ondra.novacisko.cz (neregistrovaný)
Chtěl jsem vyzkoušet možnosti odvození hesla z master hesla a třeba domény, kam se přihlašuju. Našel jsem dokonce i nějaké doplňky, které to dělají. Bohužel, když se člověk přihlašuje přes mobilní zařízení, dopněk tam zpravidla nemá. Hledal jsem nějakou webovou aplikaci, která by dělala totéž. Ale věřte tomu, když je to na cizí stránce.
Nemáte někdo zdrojáky podobného generátoru? Hodil bych si to někam o čem vím, že si vygenerovaná hesla nebude ukládat, nebo nebude se snažit získat master password.
-
Ondra Satai NekolaZlatý podporovatel
Neznovuobjevuj kolo, navic hranate. Nahodna hesla a passwordmanager.
(Jinak kdybys to doopravdy chtel, tak proste neco ve stylu
echo "$DOMAIN_NAME" "$LOGIN_NAME" "$MOJE_TAJEMSTVI" | md5 na desktopu a na mobilu si tohle spichnes za chvili v prostredi podle konkretniho mobilu. Ale moc dobry napad to neni.) -
CryptoGuru (neregistrovaný)
Neni pravda, ze pocitace jen tak rozlousknou 8-10 mistne heslo. Pokud pouzivame jine nez alfanumericke znaky, muze byt problem s napsanim. a-z,A-Z,0-9 je 62 znaku. 10-mistne heslo je tedy radove 10na17 moznosti.
Pokud jde o nejakou sifru loskanou primo na CPU nebo GPU, jde to rychle. Ale heslo do mailu ci ssh ? Denyhost neni od veci.
Snadno zapamtovatelne heslo je kombinace nahodne vybranych slov. Co slovo to 10 000 moznosti, se zahrnuti jmen mest, ulic, odbornych nazvu i 100 000 moznosti. A Kdzy je tech slov 6 ?
Hesla se nelamou hrubou silu ale odkoukaji keyloggem nebo analyzoch schranky ctrl+C a pod. Proto je dobre vic zpusobu zadavani. Zapamatovatelnou cast napsat a pak jeste skopirovat od nekud zbytek. Treti moznost je virtualni klavesnice ovladana mysi, ale to snad nikde nenabizi, ani truecrypt. Je mene pravdepodobne, ze bude soucasne spusten keylogger a snimani obrazovky. Ale programy na sledovani zamestnancu to umi. Kam schovat hesla. Truecrypt container, nejleepe nekde zahrabany na disku. Muze mit velikost jako hotka nebo film a byt schovan mezi fotkani ci filmy (nikdo skoro nerozpozna od fotky, co je pozkozena a necitelna), samozrejme zmenme priponu na JPG. Testovat vsechny JPG fotky, zdali nahodou nejaku soubor JPG neni, to jde tezko. Onen soubor nemu si byt v PC ale na flasce ci karte a zalohovan kdesi na internetu. To zamezi riziku pri nahle razii do PC.
-
Bezpečnost tohoto hesla je iluze. Louská se líp, než číselný kód.
Slova vychází z jazyka. A na jeho základě lze vypočítat pravděpodobnost výskytu slov, kombinací písmen, použitých znaků, výskytu dlouhé slabiky po krátké ("melodie" jazyka),... a zkoušet od nejpravděpodobnější kombinace. Klávesnice taky hraje svou roli a to taky není tajemství a dá se to zohlednit. Třeba s českým layoutem "4ert @ k84@" (zkuste bez shiftu a s písmenem, co se nahrazuje zavináčem).
Když se přidá louskání konkrétního webu a generátor se naplní slovy z toho webu, jeho komentáři a 10 000 slovy z webu, na který se uživatel odkazuje, (klidně do hloubky), dostaneme během hodiny analýzy slovní zásobu toho uživatele. Tož aji jeho zvyklosti v tem só. Nebo obecně, při průměru 10k slov na uživatele toho jazyka, při předpokladu gaussovky a studiu webů v tom jazyce se dá nastavit, kolik procent lidí, mluvících v tom jazyce, obsáhne náš slovník...
Slovo, mající osm znaků v UTF8, se najednou splácne na úroveň pěticifernýho čísla. Jediný, co lze hůř hádat, jsou oddělovací znaky mezi slovy...
Pak ještě slabiky. Samohláka + souhláska. V jazyce je jich omezený počet, je pravdpodobnější kombinace písmen "ba" než "bb". Vlastně jich je omezený počet na několik desítek až stovek. Sada několika znaků se smrskne na několik set až tisíc variant (velikost písmen, náhrady). Louskací algoritmus se může naučit seznam slabik a pravděpodobnost jejich kombinace na slovníkovém stromu jazyka s prostou korelací... To pokud si dotyčný vymyslí vlastní slova a je podvědomě ovlivněný jazykem.
Ovšem je fakt, že pokud se útočník omezí na znakovou sadu US stránky a nacpu tam heslo "Křemíkový tranzistor KC509", US slovník mu asi moc nepomůže... Přidejte řecký nebo hebrejský písmena a je totálně v pasti.
-
roki (neregistrovaný)
pokud je správce hesel celou dobu sezení odemknutý (např defaultní klíčenka v gnome 3), pak stačí mít v kompu komerční javu, flash player nebo acrobat reader a kdo chce, ten si moje hesla stejně přečte. Myslím, že lepší než používat "trezor na hesla" je mít hesla v napsaná tužkou na klávesnici, jen trochu osolená.
-
Ondra Satai NekolaZlatý podporovatel
Takze jeste jednou: https://www.schneier.com/blog/archives/2015/07/comparing_the_s_1.html
-
Filip JirsákStříbrný podporovatel
Ona ta klíčenka vydá bez ptaní hesla kterékoli aplikaci, která si o ně řekne? Konkrétně která klíčenka se takhle chová?
-
roki (neregistrovaný)
Defaultní klíčenka v Gnome, ve Fedoře, myslím se to jmenuje gnome-keyring-daemon. Pokud si to uživatel nenakonfiguruje sám jinak, tak se otevře sama při přihlášení a zůstává otevřená. Hesla si do ní ukládá například evolution. Vyčíst to pak může každá aplikace, nikoliv jen ta, které hesla patří. Vyzkoušet se to dá pomocí aplikace seahorse.
