Názory k článku
Žebříček nejhorších hesel za rok 2019
-
Ukazuje to, jak jsou podobné články amatérsky zpracované (patrně to vzešlo už od zdroje).
Jediné vysvětlení, které mě napadá, jak se v žebříčku mohly ocitnout hesla typu "g_czechout", ale i "Aa123456.", "dubsmash", či "BvtTest123" je to, že se vycházelo z omezeného vzorku, kde bylo možné zpětně hesla rozkódovat. Hrubou silou by se na to IMO nepřišlo.
A tak někdo pročeše malý vzorek. Manažer nebo PR z toho udělá "fantastický" žebříček. A vzdělaní novináři to pak už jen přebírají, aniž by se někdo nad tím zamyslel. Odstrašující příklad, jak se analýza dělat nemá.
-
Filip JirsákStříbrný podporovatelPravda, odkud ten vzorek hesel pochází je napsáno až ve druhé větě zprávičky, tam ne každý dočte.
-
Filip JirsákStříbrný podporovatel
Jeden z nás neumí číst.
Souhlas.Je tam i množství: velká databáze
Já teda v odkazované druhé větě vidím „na 500 milionů hesel“.Každopádně i to, co vidíte vy („velká databáze“) je v rozporu s vaším „omezený vzorek“ a „malý vzorek“.
Každopádně „500 milionů hesel z nejrůznějších úniků“ je odpovědí na vaši spekulaci „Jediné vysvětlení, které mě napadá, […] je to, že se vycházelo z omezeného vzorku, kde bylo možné zpětně hesla rozkódovat.“
Odstrašující příklad, jak se analýza dělat nemá.
Je pozoruhodné, jak vždycky kritizujete, že někdo zveřejní informace, které má – protože vy byste si přece představoval, že má mít úplně jiné informace. Mám pro vás dobrou radu – tak ty zprávičky prostě ignorujte. Jsou lidé, kteří jsou rádi i za to menší množství informací, když detailnější informace nejsou k dispozici.Každopádně netrpělivě očekávám druhou část vašeho komentáře, kterou jste asi jen zapomněl napsat – totiž odkud byste seznam nejpoužívanějších hesel vzal vy. Zejména když jeho získání musí být levné, protože to není žádná placená bezpečnostní akce, ale pouhý marketing, který má oblibu zveřejňování nejrůznějších žebříčků na konci roku využít k drobnému upozornění lidí, že používat jednoduchá hesla fakt není dobrý nápad.
-
Především bych se snažil ty zdroje částečně popsat a vést úvahu nad tím, jestli se nepřekrývají. To není kritika na root.cz ale na původní autory. Směrem k root.cz bych směroval kritiku za nekritické přebírání zpráv "ber kde ber, když to zveřejnili jiní, zveřejníme to taky".
Bohužel to není jediný příklad. Kolem benešovské nemocnice měla neodborná média hlubší zprávy, dokonce i odpovědi přímo z NÚKIB. Tady ticho po pěšině. Když byl šéf NÚKIB vyražen, zde ani řádka - přitom se na jeho hlavu snesla kritika mimo jiné (krom Číny) i pro bezzubost úřadu a nekompetentnost konání. Opět, neodborná média referovala. Podle mě je to škoda a konstruktivní kritika práce redakce je na místě.
Z této zprávy víme opravdu prd a vybublalo to jen díky tomu, že se v TOP20 objevila opravdu podivná hesla.
-
Filip JirsákStříbrný podporovatel
Především bych se snažil ty zdroje částečně popsat a vést úvahu nad tím, jestli se nepřekrývají.
Proč ten podmiňovací způsob? Nikdo vám přece nebrání to udělat.Směrem k root.cz bych směroval kritiku za nekritické přebírání zpráv "ber kde ber, když to zveřejnili jiní, zveřejníme to taky".
Co s tím podle vás měl Root udělat? Nezveřejňovat to vůbec? proč?Kolem benešovské nemocnice měla neodborná média hlubší zprávy, dokonce i odpovědi přímo z NÚKIB.
No jo, když vy nerozlišujete vyjádření správce sociálních sítí nemocnice a NÚKIBu.Podle mě je to škoda a konstruktivní kritika práce redakce je na místě.
Připomněl bych vám, že diskutujeme pod zprávičkami. A že z té vaší „konstruktivní kritiky“ plyne akorát to, co všechno byste nezveřejňoval. Řešení, které by vyhovovalo vašim požadavkům, by bylo, aby Root nevydával žádné zprávičky. Ale to by zase vadilo spoustě jiných lidí, například mně. Ještě je jedno řešení – že ty zprávičky nebudete číst, když vás nezajímají.Z této zprávy víme opravdu prd a vybublalo to jen díky tomu, že se v TOP20 objevila opravdu podivná hesla.
Vybublal jste tu akorát vy. Ze zprávy víme, že lidé stále hojně používají velmi jednoduchá hesla. Nic víc, nic méně. Pokud vás to nezajímá, nečtěte to. Pokud chcete podrobnější analýzu hesel, udělejte si jí sám – zdroje, které použili analytici z NordPass, jsou veřejné. -
Co s tím podle vás měl Root udělat? Nezveřejňovat to vůbec? proč?
Nepatří k novinářské etice ověřovat fakta a zdroje?
Řešení, které by vyhovovalo vašim požadavkům, by bylo, aby Root nevydával žádné zprávičky. Ale to by zase vadilo spoustě jiných lidí, například mně. Ještě je jedno řešení – že ty zprávičky nebudete číst, když vás nezajímají.
Ano, bezcenné zprávy nebo kachny má redakce zastavit, nebo svojí redakční činností (odborné redakce) doplnit. Spousta zpráviček má svoji hodnotu, takže nepodsouvejte, že by redakce neměla zveřejňovat nic.
Ze zprávy víme, že lidé stále hojně používají velmi jednoduchá hesla.
Víme to obecně, ale ne z této zprávy. Předložené výsledky ukazují, že je v metodice nějaká chyba. Díky tomu, že detaily nejsou k dispozici, nemůžeme domyslet, jak významná ta chyba je.
-
Filip JirsákStříbrný podporovatel
Nepatří k novinářské etice ověřovat fakta a zdroje?
To není odpověď na mou otázku. Navíc tady je faktem „společnost NordPass tvrdí to a to“, najít příslušný zápisek na jejich blogu je otázka asi tak na dvacet vteřin – proč si myslíte, že si redakce neověřila, že to NordPass skutečně tvrdí?Ano, bezcenné zprávy nebo kachny má redakce zastavit, nebo svojí redakční činností (odborné redakce) doplnit. Spousta zpráviček má svoji hodnotu, takže nepodsouvejte, že by redakce neměla zveřejňovat nic.
Proč bych vám to nepodsouval? Vy zase podsouváte, že když ty zprávičky nemají žádnou hodnotu pro vás, nemají ji pro nikoho.Předložené výsledky ukazují, že je v metodice nějaká chyba.
Zase si vymýšlíte. To, že vy něčemu nerozumíte, ještě neznamená, že je to špatně. -
Filip JirsákStříbrný podporovatel
K tomu se bohužel vyjádřit nemůžu, protože nic takového netvrdím. Tvrdíte to vy, takže je na vás, abyste dokázal, že tam jsou nějaká podivná hesla a jak jste přišel na to, že jsou podivná. Zbytek je jen plkání.
-
Stačí, aby si to heslo zvolil jediný člověk. Na počet v milionech pak stačí nějaký automat, co zakládá uživatele. Tohle je obvyklé zkreslení způsobené tím, že někdo stáhne něco z cloudu nebo ze služby, na kterou někdo zkoušel DOS.
Nám před mnoha lety omylem utekla testovací databáze (jeden z kolegů špatně nastavil server v Azure). Jestli se dostala do tohohle seznamu, to nevím. Pokud ano, pak přispěla zhruba 250 000 uživateli s heslem "changeme#test".
Osobně tedy s "g_czechout" předpokládám podobný scénář - buď někomu utekla testovací databáze s miliony "dummy" účtů, nebo utekla někomu databáze, do které mu někdo před tím pomocí DOS vygeneroval miliony účtů. S ohledem na "czech" opravdu nevěřím tomu, že by si čtvrtina naší populace zvolila právě tohle heslo.
-
je tam dost hesiel len s numerickymi znakmi. btw: myslim, ze tento rok bolo leakov viac nez dost. komu nestacila Collection 1, mohol si stiahnut Collection2-5, Antipublic, a dalsie dobroty. je pravda, ze sa tam nachadzaju velmi obskurne zaznamy. len jeden zo suborov Collection1 tvrdi, ze najcastejsie hesla su tieto. nechce sa mi palit vypoctovy vykon na vsetkych suboroch.
1 123456
2 123456789
3 qwerty
4 password
5 abc123
6 12345678
7 1234567
8 1234567890
9 111111
10 password1
11 qwe123
12 iloveyou
13 123123
14 000000
15 1q2w3e4r5t
16 asdfgh
17 qwertyuiop
18 123456a
19 q1w2e3r4t5
20 654321
21 stalker
22 111111a
23 qwedcxz
24 08mart1980
25 f01071017. 12. 2019, 11:16 editováno autorem komentáře
-
To máš jednoduché. Na webu jsou políčka jako "write username" a "write password" ... no a spousta lidí prostě poslechne.
Stejné to je s bankovnictvím George. U políčka Variabilní symbol je napsáno "nepovinné". Člověk pak nechápe, kolik lidí najednou začne prostě na tento poměrně důležitý údaj kašlat.
-
Ono je otázkou, zda lze tato hesla brát automaticky za nebezpečná... Sám používám jen o málo lepší heslo na kdejakou nesmyslnou registraci taktéž opakovaně - jenže taky je mi v podstatě jedno, když se někdo dostane do registrace v nějakém eshopu. V bankách, Paypalu a dalších věcech, kde se již jedná o peníze (či třeba riziko škod, kdyby někdo mým jménem přispíval) mám přirozeně hesla podstatně složitější a méně opakovaná.
Upřímně si myslím, že s touto tabulkou to bude podobné, třeba u hesla 12345 prostě nevěřím, že si ho někdo dá do závažnějšího systému, bude to k vidění spíš právě u hesel, která uživatelé neberou moc vážně zcela záměrně...
-
