Názory k článku
Dnes je mezinárodní den hesel, připomeňte uživatelům, že nemají používat jen jedno heslo
-
Většina webů kde mám účet je nedůležitých takže tam složitost nemám velkou a každý web má jiné heslo. Mám je zapamatované v aktualizovaném internetovém prohlížeči, jehož databáze je chráněná heslem.
Důležitější hesla mám tvořená náhodnou frází a čísly (které jsem si zapamatoval) + znaky odvozenými od názvu služby (= heslo na každé službě je rozdílné) + mého uživatelského jména. Důležitá hesla mám zapsaná v programu KeepassXC (https://alternativeto.net/software/keepassxc/) jehož šifrovanou databázi mám automaticky (při změně) synchronizovanou do bezplatného cloudového úložiště (mega.nz).
Počítač je šifrovaný a po nečinnosti je potřeba zadat heslo.
Dobré je obdržet upozornění pokud mé heslo unikne na veřejnost: https://haveibeenpwned.com/NotifyMe
Firefox má něco podobného:
https://monitor.firefox.com -
Ondra Satai NekolaZlatý podporovatelJe jediný důvod nemít všechna hesla (až na LUKS, login a master password) generovaná?
-
Možná nemožnost se rychle a jednoduše přihlásit na počítači kde takové náhodné heslo nemáte uložené (například cizí počítač, počítač kterému nedůvěřujete natolik abyste tam ukládal a synchronizoval všechna svá hesla) - náhodné heslo pro každou službu si málokdo zapamatuje. Je pravda, že "pár" služeb které takto potřebuji přistupovat mohou mít zapamatovatelné heslo a ostatní automaticky generované.
-
KateStříbrný podporovatelV tu chvíli otevřu Bitwarden na mobilu a heslo (byť vzhledem k povoleným znakům často dost nepohodlně) opíšu.
-
Filip JirsákStříbrný podporovatelCož je ale v rozporu s tím, že jde o důležitější hesla. Také moc nechápu, k čemu je dobré ta důležitější hesla mít méně bezpečná.
-
Ano. Třeba když velice často zadáváš hesla na různých strojích. Třeba se v CZCčku na prodejně přihlásíš tom "kiosku" do svého účtu a vytiskneš si fakturu. Nebo se na polofunkční wifině na letišti v Tbilisi potřebuješ v mobilu kamaráda (tvůj se ti vybil) zalogovat na web aerolinek a stáhnout si letenku. Nebo...
Prostě kdyby bylo potřeba zadávat hesla jen doma na svém počítači, byl by svět moc jednoduchý (a šlo by mít vše ve správci hesel).
-
Filip JirsákStříbrný podporovatel
Vše můžete mít ve správci hesel i tehdy, když hesla zadáváte i jinde, než na svém počítači. Stačí mít správce hesel i v mobilu.
-
-
Filip JirsákStříbrný podporovatel
Nabitý mobil řeší powerbanka. A databázi správce hesel mám synchronizovanou přes všechna svá zařízení, takže i kdybych přišel o možnost používat mobil, ta hesla jsou jinde. Situace, že u sebe budu mít jenom mobil, ten se rozbije a zrovna se budu muset během půl hodiny někam naprosto nutně přihlásit, mi připadá jako daleko méně pravděpodobná, než že někdo zneužije slabého hesla nebo že si v danou chvíli nebudu schopen na nějaké heslo vzpomenout.
-
Martin X (neregistrovaný)
Ja 80% casu pri sebe nosim len "blby" mobil (smartfonov vlastnim niekolko, ale taky, ktory by sa pohodlne zmestil do vrecka, sa jednoducho nevyraba). Ak si nespomeniem na heslo, tak minimalne pri par kritickych sluzbach (Gmail, Alza -:) )sa da resetnut cez SMS . Pri "blbom" mobile, s vydrzou minimalne 7 dni, nemusim pri sebe nosit powerbanku. Heslo typu "minimalne 20 znakova veta, s niektorymu znakmi vymenenymi" nepovazujem za az tak slabe a pritom sa celkom lahko pamata.
-
Filip JirsákStříbrný podporovatel
Až tak slabé to heslo není. Ale silné také není.
Nějak se mi nezdá, že byste s sebou 80 % měl jenom klasický mobil, zároveň byste po ten čas byl u zařízení připojeného k internetu, na kterém nechcete mít synchronizovaná hesla, zároveň se z toho zařízení potřeboval připojovat někam, kde potřebujete heslo, a zároveň pro vás byl chytrý mobil nedosažitelný. Nebo-li pokud už někde mám přístup na internet a zároveň tam potřebuju nějaké heslo, není podle mne takový problém mít v tu chvíli i funkční chytrý telefon.
-
Proč by nemělo být takové heslo silné. Já si myslím že je to dobrý nápad.
- Zkoušením náhodných znaků je ptakticky neprolomitelné (délka)
- nevyskytuje se nikde na internetu ani jinde (díky několika pozměněným znakům)
- pokud by robot zkoušel kombinovat slova ze slovníku a pak nahrazovat náhodně písmena za jiná, tak opět příliš mnoho kombinací -
Filip JirsákStříbrný podporovatel
MartinX: Pořád mi připadá nesmyslné zrovna pro kritické služby používat slabší hesla.
-
Martin X (neregistrovaný)
Ako tu uz bolo napisane, nie su az tak uplne slabe.
Na druhej strane ja osobne povazujem za riziko uchovavat hesla v zariadeni typu smartfon, nad ktorym mam ovela mensiu kontrolu ako trebars nad pocitacom. Riziko nechceneho keyloggeru alebo snimaca obrazovky je tu dost vysoke. Vid clanok o "spehovani" v Xiaomi. -
Filip JirsákStříbrný podporovatel
Pořád jsou to kritické služby a „ne tak úplně slabá“ hesla. To mi nejde dohromady. Také je hezké, že se bojíte keyloggeru v mobilu, ale klidně budete to heslo psát do cizího počítače. Nehledě na to, že správce hesel vás chrání i před phishingem.
Samozřejmě je to jen vaše věc, klidně si zrovna hesla ke kritickým systémům používejte nebezpečným způsobem, ale nepřekrucujte to, jak je to vlastně bezpečné.
-
Martin X (neregistrovaný)
"Cudzi pocitac" je v tomto pripade vacsinou pocitac spravovany bankou alebo podobnou instituciu, s dost prisnou bezpecnostnou politikou (ak je mozne, tak pouzivam vlastny pocitac, nemozne to je prave v takychto prostrediach s vysokymi narokmi na bezpecnost). Smartfone je (v mojom pripade) "cierna skrinka" vyrobena (vratane customizacie OS) v Cine. Netusim, ake sluzby tam bezia na pozadi.
V pripade naozaj citlivych sluzieb (napr. banka) je vyzadovana 2FA cez SMS ("blby" mobil, s primitivnym OS, nepripojeny do internetu, ktory je fyzicky oddeleny od pocitaca, kde sa prihlasujem). Ano, viem, ze existuje moznost emulacie BTS a odchytenia SMS, ale osobne si myslim, ze pravdepodobnost takehoto utoku je ovela nizsia ako (nechcene alebo priamo od vyrobcu) nainstalovany "sajrajt" v smartfone.8. 5. 2020, 20:08 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Jsou jednodušší způsoby, jak získat autorizační SMS, než emulovat BTS. Považuju 2FA generované v mobilu za bezpečnější než SMS. Android i iOS mají lepší bezpečnostní model, než Windows, takže běžná aplikace nemůže ukrást data z jiné rozumně zabezpečené aplikace. Problémem tedy není „nainstalovaný sajrat“, ale případná bezpečnostní díra v operačním systému. I v OS mobilních telefonů samozřejmě jsou díry, ale není to zas tak děravé, jak se tváříte.
-
Martin X (neregistrovaný)
"Jsou jednodušší způsoby, jak získat autorizační SMS, než emulovat BTS."
V smartfone alebo v "blbom" telefone ?
"takže běžná aplikace nemůže ukrást data z jiné rozumně zabezpečené aplikace."
Ak mi nieco beziace pod rootom (priamo od vyrobcu) precita framebuffer a urobi z neho OCR v okamihu, ked si prezeram heslo v spravcovi hesiel, nic s tym neurobim. Pod iOS je to sice menej pravdepodobne, ale ja nie som ochotny platit "Apple prirazku" a na extra bezpecnost nevyzadujuce aktivity mi bohato staci cinsky Android telefon (kde to naopak pravdepodobne je).
8. 5. 2020, 21:02 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Mimo telefon.
Aplikace přímo od výrobce asi nebude krást vaše hesla.
Ale jinak je váš přístup k bezpečnosti opravdu pozoruhodný. Pro kritické systémy používáte méně bezpečná hesla, na zabezpečených počítačích v bance se přihlašujete k soukromému e-mailu, používáte čínské mobily…
-
Martin X (neregistrovaný)
Aplikace přímo od výrobce asi nebude krást vaše hesla.
https://www.root.cz/zpravicky/xiaomi-aktualizuje-prohlizec-umozni-vypnout-sber-dat-v-anonymnim-rezimu/Ako som uz pisal, hesla ktore pouzivam, su dokonalym kompromisom medzi lahkou zapamatovatelnostou a vysokou mierou bezpecnosti. V kombinacii s 2FA je sanca na ich prelomenie prakticky nulova. Generovane hesla by som musel mat niekde zaznamenane, co by ohrozovalo ich bezpecnost.
Smartfon je hracka, ktorej nezverujem dolezite data, moze byt kludne aj severokorejsky.
-
Filip JirsákStříbrný podporovatel
MartinX: Škoda, že jste si nejprve nepřečetl zprávičku, na kterou jste odkázal. Nebo snad máte pocit, že navštívené stránky a hesla jsou to samé? Máte pocit, že operační systém a webový prohlížeč je to samé?
No, myslím, že to jen potvrdilo, že bezpečnosti nerozumíte. Což ten váš druhý odstavec jen potvrdil.
-
Ondra Satai NekolaZlatý podporovatel
Geniální. Superzabezpečený počítač, že se mu dá věřit. Sednu k němu a začnu stahovat vlastní data z cloudoveho úložiště.
-
Martin X (neregistrovaný)
Ano, tak to funguje. Som prevereny (vypis z registra trestov, referencie, ...) a nesiem plnu zodpovednost (na niektorych projektoch som dokonca povinny byt poisteny na skody pri vykone IT cinnosti - cena poistky cca. 1000€/rok), ze sa na ten pocitac nedostane z mojich dat nieco skodlive.
-
Martin X (neregistrovaný)
Priklad:
Idem k zakaznikovi "nalahko" - bez notebooku len s (blbym) mobilom, lebo zakaznik mi nedovoli pripajat moj notebook do jeho siete (bezna situacia v bankach), pripadne vnasat notebook do jeho priestorov (to sa mi stalo nastastie len raz, ked som pracoval na projekte pre armadu) a musim pracovat na pridelenom pocitaci. Neberiem si auto (soferovanie uprimne neznasam, radsej pouzivam MHD). Mobil, kluce a penazenku mam vo vreckach, kazda dalsia cast vybavenia (vratane smartfonu) by vyzadovala, hlavne v lete, ked nemam bundu, zobrat si tasku. U mna dost casta situacia. -
Filip JirsákStříbrný podporovatel
MartinX: Hezké. Ale nějak tam chybí ta nutnost a možnost se někam přihlašovat.
-
Martin X (neregistrovaný)
Potrebujem sa dostat do mojej mailovej schranky alebo cloudoveho uloziska na "cudzom" pocitaci.
P.S: Offtopic, ale ked som pisal o tom projekte pre armadu (je to viac ako 10 rokov) tak som si chcel zistit, ci este ten utvar existuje a nasiel som tuto aktualnu fotku, kde vidno zaujimavo riesene elektromagneticke tienenie (v banke sme mali na to specialne skla, armada evidentne nema tak vela penazi):
https://www.kgsr.sk/aktuality/odovzdanie-funkcie-velitela-zakladne-stacionarnych-kis-v-trencine/ -
Filip JirsákStříbrný podporovatel
Pokud bych se chtěl na cizím počítači dostávat do e-mailové schránky nebo cloudového úložiště, stejně bych potřeboval ten chytrý mobil kvůli 2FA. No a kdybych měl potřebu se takhle přihlašovat k e-mailu nebo cloudu, zařídím si to, abych ten chytrý mobil s sebou nosil.
-
Ondra Satai NekolaZlatý podporovatel
Pokud chceš hrát roli v bezpečnostním divadle...
8. 5. 2020, 19:02 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
MartinX: A vážně se musíte zrovna z továrny VW připojovat ke svému e-mailu?
