Lze používat jednoduchá hesla a být přitom v bezpečí?

Vetsi sprostost uz jsem dlouho necetl. To fakt mohlo vylezt jenom z M$.

mozno porovnavaju saltovane md5 s primesou unique id, ci nemaju takych vela ;)
a zistili, ze maju po kazdom kuse iba jedno, tak sa potlapkali po pleci, ze aky vzorny su ich zamestnanci ;)

Takze heslo 1234 je vlastne bezpecne… A dufam, ze kvoli porovnavaniu maju vsetky tie hesla ulozene v plain texte.

Tenhle clanek mel vyjit na Aprila a nikdo by pak neveril, ze to april neni :-)) Prej Microsoft Research, haha, tomu rikam vyzkum jak remen :-))

Z vlastní zkušenosti preferuji ve firmě hesla jednodušši, která si člověk pamatuje, před složitými hesly, které pak najdu napsaná na papírcích nebo vespod klávesnice :-D

Kazda firma by mela svoje zamestnance neustale zkouset jake maji heslo a kdyz ho maji typu „Jarda123“ tak jim udelat skoleni a postarat se o to, ze to zamestnanec bude respektovat. Je prinejmensim otravne, pokud si maji zamestnanci dostatecne bezpecne heslo pravidelne menit. Pokud ho maji treba „T0hl3_J3_M0j­3_H3sl0!“ tak chtit po nich aby si to porad menili je to nejhorsi co muze firma udelat. Bud to pak konci na papirku jakozto se vetsi pocet komplikovanejsich hesel spatne pamatuje, nebo to prinuti zamestnance prejit na jednoduzsi heslo cimz ohrozi bezpecnost sveho uctu. Bohuzel lidi co o tom rozhoduji takto neumi premyslet a tak jde bezpecnost cim dal tim vic do prd…

Musím souhlasit s nutností přesvědčit lidi. Cílem by mělo být, aby uživatel chápal důležitost hesla a sám si zvolil nějaké dobré. Nějaká algoritmicky vynucovaná pravidla jsou spíš ke škodě než užitku. Proč vyžadovat, aby v hesle byla číslovka, když existuje spousta velmi silných hesel, která číslovku neobsahují (třeba obskurní věta). Některým lidem dělá problém nalézt vhodné heslo, které splňuje požadovaná kritéria. Takže když ho vypotí, tak si ho nepamatují – je pro ně nepřirozené (různí lidé mají různé způsoby, jak si pamatovat). Stejně tak nutnost měnit heslo každý měsíc je hrozná, to se fakt nedá pamatovat.
Je lepší poradit nějaké triky, jak lze dobré a zapamatovalné heslo vytvořit. Pokud uživatel musí splnit kritéria, ale sám nechce, splní je nějakým hrozným způsobem.

Heslo je obsesí akorát pro informatika a podobné mastné hlavy s brýlemi. Stejně ho má každý lepenkou nalepené nebo fixem napsané na rámu monitoru. Když má kolega dovču, musím se k němu dostat. Když má sekretářka ošetřování člena rodiny, zastupuje ji každý, kdo je trochu gramotný.

Spojením „chápat důležitost hesla“ jsem myslel chápat míru, jak je určité heslo důležité, nikoliv že každé heslo je důležité. Uživatel by měl být poučen o možných důsledcích toho, že někdo jiný zná jeho heslo. Záškodník může uživatelovým jménem udělat škodu, kterou bude mít na triku uživatel. Komu se líbí, když někdo něco provede a hodí to na vás?
Jestliže si zaměstnanci musí sdělovat hesla, aby se dostali k datům, ke kterým se mají dostat, tak je to špatně. Když máte přinést něco ze skladu místo nepřítomného kolegy, tak přeci skladníkovi nepředstíráte, že jste ten kolega, ale vyzvednete to na sebe.

… ono je to tak. K účtu pracovnímu nebo školnímu se uživatel musí chovat jako by byl úplně veřejný. A neukládat tam nic, co nechce zveřejnit. Např. tam nestahovat porno, když nechce zveřejnit, jaké sexuální praktiky ho vzrušují.

Kdykoli do toho totiž může vlézt admin.

A jestli do těch dat uživatele vleze admin nebo cracker, to už mu může být prakticky jedno. Prolomení bezpečnosti je škoda pro firmu, hlavně pro admina, protože má práci navíc, ale uživatel z toho typicky žádnou škodu nemá.

BLEKu jestli si do tejdne nenechas prediagnostikovat poruchu ze schizoidni na spravnou diagnozu avoidantni tak zverejnim na rootu jake mas oblibene sexualni praktiky! :)

http://trsek.blog.root.cz/2009/11/19/znova%C2%A0hesla%C2%A0a%C2%A0maju%C2%A0vyznam/

Na přihlášení ke kompu opravdu nepotřebuji 250-znakové heslo, obsahující 100 velkých písmen, 100 malých a 50 číslic. Nevím, proč tady „komunita“ duří; jestli si někdo myslí, že nějaký pirát baží po fotkách z hospy nebo po seminárce z fyziky, tak je opravdu mimo. Mám heslo „159753“ (2 x úhlopříčka po numerické klávesnici) a stačil jsem si s ním bezpečně vždy a všude.

A viděl jsi už SSH logy z veřejně přístupného počítače? Cracklé počítače z celého světa tam masově scanují IP adresy a hádají jména i hesla.

a proc by heslo „a“ nemohlo byt bezpecne? ja ho pro svoje potreby povazuju za velmi bezpecne. musime se totiz ptat na to proti komu ma byt bezpecne. muzu vas ujistit ze moje heslo „a“ je pro muj pc dost bezpecne na to aby dvouleta dcera netrefila po zamknuti a+enter.

No to je právě ono. Kolikrát se kdo pokoušel prolomit jakékoliv heslo na jakémkoliv kompu v ČR? Možná na vnitru a obraně mají něco tajného, ale jinak si myslím, že i ředitel Škodovky má „aaa“ nebo něco podobného. Zhruba 99,9999999999999% lidí stačí, aby se mu do účtu (nebo zamknuté obrazovky) nedostal náhodný čumil odvedle od stolu, t. j. během 3 minut, co jsou na WC. Tady se bavíme o normálních lidech a ne o organizacích, které mají na IT bezpečnost vlastního ředitele s celým odborem. Znám jednoho Linuxáka, který má k rootovskému účtu asi 25-písmenné heslo, skutečně náhodně vygenerovaný shluk fontů a čísel, a že prý chce mít pocit bezpečí :-))) Přitom k jeho kompu se dostane akorát jeho 5-letá dcera a manželka, která si akorát čte maily a o nějaká rootovská práva absolutně nestojí; ani neví co to je. To už je obsedance. Kdyby si dal heslo jen 123456, a nebo jen odentrování bez hesla (nevím zda to v Linuchu jde; pod Win ano – prázdné heslo) vyšlo by mu to nastejno.

Tak tohle je opravdu vtipné :-) A ta přezdívka fakt sedí :-)

Ono je v podstatě úplně jedno jestli je k prolomené potřeba sto tisíc nebo sto miliard pokusů pokud se jedná o přihlášení ke vzdálenému stroji který může útok detekovat a reagovat na něj. Detekce je poze o vhodném nastavení konstant špatné pokusy/čas a reagovat lze od blokování účtu přez blokování adres až po aktivování různých protiautomatových technologií. Záleží na konkrétním stroji důležitosti účtu a dostupnosti admina.

Podla mna kazde heslo moze byt bezpecne, teda aj $HESLO="", pokial sa da nejakym sposobom garantovat ze jediny kto sa bude na dany ucet prihlasovat bude opravneny user. Vsetko co porusuje toto pravidlo uz nieje bezpecne, ale moze byt prakticke obmedzit pocet moznych prihlaseni a tym minimalne spomalit brute force attack do takej miery ze uz ho ziaden „mysliaci clovek“ nebude robit.
Problem vsak je ze pokial vas system akceptuje XY prihlaseni za minutu, kolko znakove heslo by ste odporucali vasmu userovy? (a to stale este predpokladate ze niekto neobide vase spomalenie loginu)
Co ak si vyberie user heslo zrovna na zaciatku slovnika? alebo bude brute force robit nejaky bot ktory ho predsa len za 2 roky po 50000 pokusoch uhadne kedze je to „qwerty“?
Ak MS nieco vymysla urcite by som to tak rychlo nezavrhoval ako niektory chytraci co si myslia ze: IQ vyvojara Microsoftu = IQ pouzivatela Microsoftu.
Na druhej strane jediny sposob proti brute force utokom je sledovanie urcitych patterns ako frekvencia zadavania, geograficka oblast, cas dna, etc.. a jediny sposob reakcie je disablovanie uctu na urcity cas pri ktorom vlastne najviac trpi nevinny user.
HOWGH!

Mam takovy zajimavy problem, chapu, ze kdyz dam heslo do HASHe, tak ze 2 stejne budou mit stejny HASH …
ale nechapu, jak muze poznat, ze dam misto Heslo@1 … Heslo@2 a on mi rekne, ze jsou podobna, jako napr. moje 3 hesla predemnou … to je ma nekde v plaintextu ?
… mam takovy spatny dojem, ze kdybych nabootval systemrescueCD tak je nekde naleznu v registrech, nebo nejake divne casti partition … ci z bezicich nejakou nepeknou utilitkou ;-)))

Zajímavá otázka :)

Existuji ruzne algoritmy (napr. soundex, ktery se tu prilis nehodi, ale budou i dalsi), ktere jsou de-fakto hashovaci, ovsem pri podobnych slovech vypadnou podobne/shodne hashe. tyto algoritmy ovsem nemusi byt reverzibilni.

Domenovy server s politikou nucene zmeny hesla si pamatuje napr. 10 starych hashu hesel, aby clovek nemohl kazdy mesic rotovat mezi 2 hesly.

skusal uz niekto zmenit len jeden znak v novom hesle pod win domenou? mne to ide…

hash bez saltu je dost diera … pouzitim rainbow tabuliek je dost velka sanca na rozlamanie vacsiny hashov do 10 znakov v dost rozumnom case

Nějak se mi zdá, že se všichni zabývají jednoduchostí/slo­žitostí hesla a ochranu systému co nejlepším heslem. To se na svět koukáte očima počítače a strojů – no a to je špatně.

Koukněte na uživatele a umožněte mu jednoduché heslo (případně žádné) a zároveň aby byl přístup bezpečný. K tomu máte (namátkově, nejsem odborník) různé klíčenky, otisky prstů, nebo třeba postranní bezpečnostní kanály (SMS, mail…).

Lidi nejsou stroje a heslo je jenom výmysl programátorů, jak strojům nejbližším způsobem ochránit přístup. No a to je přístup ze špatné strany…

To sa budu perfektne ziskavat hesla. Ked to M$ implementuje staci nejaky bot co bude generovat hesla a ak to napise „Lutujeme, toto heslo pouziva privela ludi“ (spomente si na lamera :D) je jasne ze sa oplati zaradit ho do slovnika. :D len tak dalej!

Mne bezi doma ftp a politika je jednoducha: heslo staci klidne 1234 avsak po druhem spatnem zadani se IP zabanuje. Prijde mi docela vtipne sledovat online pokusy o login a zkusit se na tu ip adresu ze ktere prichazeji pomoci nich prihlasit. Uz jsem se takhle dostal do peknych par firem vetsinou z ciny :-D