Nalezeno 31 komentářů.
Odebírat | ||
|
Obrázek 'jak na hesla' (Nope) (8.11.2017 9:17) | reagovat |
Osobně jsem taky začal používat správce hesel, kde mám pak ještě 2 factor, jelikož i když jsem si pamatoval rozdílná hesla na weby, často se mi stalo, že jsem zapomněl které heslo bylo na který web 
Nyní si musím pamatovat jedno hodně dlouhé heslo a o zbytek je postaráno. I když ty správci hesel jsou IMO celkem nedodělaní a dost vecí tam stojí za hovno, no možnost po pár měsících změnit heslo jediným klikem (na podporovaných webech) je fajn  |
||
|
|
||
|
|
Obrázek 'jak na hesla' (Nope) (8.11.2017 9:14) | reagovat |
| ..: hlavně veliká část "hackování" se do účtů je social engineering. Není tak složité si udělat slovník který bude obsahovat texty rozdílných písniček, knih i filmů a zkoušet právě to, jelikož jsi útočníkovi řekl co má použít aby se k tobě naboural. IMO to samé jako říci někomu že máš heslo dlouhé 8 znaků u brute force, nyní můžu eliminovat všechny ostatní délky a rapidně se mi zkrátí čas na odhalení tvého hesla. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (PaulZy) RP (8.11.2017 1:53) | reagovat |
Další omílaná věc je "daisy chain". Týpek používal jedno heslo na 10 různých místech, tak mu nejen vybílili účet, ale málem i dostali do basy za rasismus a pedofilii.  |
||
|
|
||
|
|
Obrázek 'jak na hesla' (PaulZy) RP (8.11.2017 1:51) | reagovat |
| ..: No exekutoři jsou jak z jiné planety. Notebook Assus (detaily ani rok neuvedeny), vyvolávací cena 10000, televizor Samsunk... | ||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 15:47) | reagovat |
|
Btw ale i samotný přednášející z Humanova videa toto používal... správce hesel, to je taková sofistikovaná podoba lepíku na monitoru |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 15:42) | reagovat |
Dež0n: nutno říct, že u lámání hesla průměrného zaměstnance se hackerovi ani nevyplatí vstávat ze židle a vyřeší to právě slovníkový útok. Než útok proběhne, může "hacker" třeba zčekovat kočičky na roumingu nebo zkouknout nějakej starej díl Hvězdné Brány a nemusí chodit do schodů a prohlížet lepíky  |
||
|
|
||
|
|
Obrázek 'jak na hesla' (Dež0n Nereg) (7.11.2017 15:37) | reagovat |
|
Pracovní heslo se nejsnáze odhalí prozkoumáním stolního kalendáře nebo rubu lepíků u poloviny kancelářských zaměstnanců. Lze na tom krásně demonstrovat posunuté myšlení IT, kteří ve své sociální idiocii řeší, jak dlouhé řady, kombinace znaků použít a jak často měnit - ale že pro normálního člověka je počítač jen nástroj a potřebuje s ním pracovat a ne si pamatovat hovadiny, proto si to stejně někde napíše, to je fuk. Viz diskuze níže |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 14:09) | reagovat |
|
Human: díky za link. Dočkal jsem se i příkladů hesel a moc mě to teda nepřekvapilo Cracknutá věta "kobylamamalybok" se skládá ze 4 jednoduchejch slov a ničeho navíc (a navíc to je extrémně známá věta, takže se dá brát i jako pouze 1 slovo). Útoky, které zmiňuje Nope, tam bohužel probral jen hodně zlehka až vůbec. Moje strategie (delší oblíbená pasáž z něčeho málo známého) by popsaným útokům odolávala i roky. Nějakému sofistikovanému jazykovému útoku asi méně, ale o takových útocích vím prd. |
||
|
|
||
|
|
Obrázek 'jak na hesla' (pc2005) (7.11.2017 13:33) | reagovat |
| https://www.youtube.com/watch?v=oNrWgjh9tnU | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Human.) (7.11.2017 13:15) | reagovat |
|
Tak to bych měl Prezentace hýr https://www.michalspacek.com/talks/crackovani-hesel-nejen-z-uniku-mall.cz-linuxdays a video hýr https://youtu.be/oYNnvTXwlAw Je to moc zajímavá přednáška když vás zajímá taková ta základní a dostupná bezpečnost. |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 13:04) | reagovat |
| Zajímaly by mě hlavně příklady těch odhalených hesel. Občas po mě chce rodina něco opravit na PC a jejich hesla, to je něco... "jiskra", "honzíček", "ťapka" a když to potřebuje třeba písmeno tak pochopitelně "pospíšil1" a tak. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 13:02) | reagovat |
|
Human: video by se hodilo, třeba bych se něco přiučil. Že je náhodnej šum těžkej na odhalení je jasné, ale komix byl hlavně o tom, že to není zapamatovatelné lidským mozkem, takže lidi potom mají tendenci volit si kratší hesla, nebo hesla různě zjednodušovat. Pokud si pamatuješ náhodnej šum o 50 písmenech, tak to používej |
||
|
|
||
|
|
Obrázek 'jak na hesla' (Gag) (7.11.2017 12:59) | reagovat |
| .Human: Zajímající! Nemáš po ruce odkaz odkaz na to video? | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Human.) (7.11.2017 12:57) | reagovat |
|
On tam i zmiňoval jak zlepšit bezpečnost šifrování a doporučoval jednak používat pouze moderní šifrovací algoritmy s velkými klíči, kdy rychlost i jejich lámání je i o klidně 3 řády pomalejší než u těch starších a 12+znaků hesla tvořená náhodně ze všech ASCII znaků. 12 znaků je tak běžně na rok, 15+ i na déle nebo proti odhodlanějším útočníkům, 20+ zamotá hlavu i NSA. |
||
|
|
||
|
|
Obrázek 'jak na hesla' (Human.) (7.11.2017 12:53) | reagovat |
|
Dostatečně exotický jazyk bude leda tak křováčtina, jak dokazuje úspěšný slovní útok na databázi Mall, kde spousta hesel byla v češtině. Nedávno na to bylo moc pěkné video na rootu z přednášky o hackování hesel. Nějaký bořík si tam za asi 100 $ pronajal pár počítačů na Amazonu a rozlouskal s nimi mnoho a mnoho hesel, přičemž nejdelší mělo snad 28 znaků a byla to -tramtadadá- věta . Některé 8-10 znakové složené patrně z šumu ASCII za těch pár hodin nerozlouskl, ale to jen proto že nechtěl investovat víc $ |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 12:34) | reagovat |
|
Popřípadě jsou i umělci, kteří používají různý novotvary, vlastní slova a tak... úryvek z Babičky bych zrovna nepoužil |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 12:30) | reagovat |
| Nope: k tomu slovníku: tak možné to je. Výhodou je ale podle mě text v nějakém méně používaném jazyku a taky nějakej text kterej nedává valnej smysl (spousta písniček a básniček nedává z lingvistickýho pohledu moc smysl). | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Gag) (7.11.2017 12:28) | reagovat |
| Nope: A tak to se dá ještě trochu ozvláštnit, může přidat náhodně vybrané oddělovače mezi slova, hrát si s malými/velkými písmeny,.... Navíc z hlediska bezpečnosti je asi čeština pořád dostatečně exotickej jazyk. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 12:24) | reagovat |
Nope: to já jsem se účastnil dražby na byt, udělal jsem si na nejmenovaném dražebním portálu účet, poslal jsem exekutorovi statisíce jistinu... a ti čůráci mi poslali heslo k tomu online účtu v plaintextu mailem. No já myslel že to je blbej sen  |
||
|
|
||
|
|
Obrázek 'jak na hesla' (Nope) (7.11.2017 12:23) | reagovat |
| ..: Bacha, máš i slovníkové útoky které se specificky zaměřují na frázy a věty, takže je možné že některý slovník by to tvé heslo zjistil celkem rychle. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Nope) (7.11.2017 12:21) | reagovat |
|
Problém jsou pak weby kde je maximální délka hesla omezena Jsem zažil již párkrát (jednou kde to bylo na max 10 znaků, jako WTF?). Takovým webem se vyhýbám, nebo pokud musím, tak se registruji pomocí 10 minutového e-mailu, jelikož pokud někdo omezuje délku hesla, znamená to, že jej ukládá v plaintextu. |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 12:19) | reagovat |
|
Sorry když to tak po sobě čtu... napsal jsem to trošku zmateně, snad mě chápete |
||
|
|
||
|
|
Obrázek 'jak na hesla' (..) (7.11.2017 12:17) | reagovat |
| Human: jj, heslo z toho komixu je moc krátký. Mě se osvědčil úryvek z nějaké málo známé básně, knihy, písničky... když to člověk zadává na PC klávesnici a umí psát všema deseti, tak napíše heslo s 15 slovy rychleji, než by vyťukal Tr0ub4dor&3. A potom je ta náročnost i pro slovníkovej útok velká protože slovník má X stovek nebo tisíc slov, takže je to jako 15 místný slovo, akorát že "abcededa" nemá řekněme 80 znaků, ale tisíce znaků. A pro brute force to má třeba 60 znaků, což je dost. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Gag) (7.11.2017 12:03) | reagovat |
| Jsem měl právě za to, že slovníkový útok je ve své podstatě to samé co útok hrubou silou na normální heslo. Akorát místo těch 15+ pozic kde se mi může náhodně střídat ~100 znaků tady mám jen 4+ pozice (případ xkcd), kde můžu točit náhodně násobně víc slov, který si navíc můžu i zapamatovat). | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Jenerál Debil) (7.11.2017 12:01) | reagovat |
| Heč, já si pamatuju data narození hodně lidí a ty pak používám jako hesla. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Human.) (7.11.2017 11:55) | reagovat |
| Na XKCD taky používají heslo o 11 znacích vs. heslo o 28 znacích. Aby to bylo srovnatelné hádalo by se tam Tr0ub4dor&3 proti correct_hor což už pro slovníkový útok nevypadá zdaleka tak složitě... Když se používá náhodných alespoň 12 znaků a mění se heslo co 3 měsíce, je jen mizivá šance že někdo s běžným vybavením bude schopný toto heslo rozlousknout. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Nope) (7.11.2017 11:43) | reagovat |
| Bohužel ten XKCD komix taky není vhodný z ohledu bezpečnosti. Slovníkový útok to heslo rozlouskne celkem brzo. IMO náhodná 15+ znaková hesla jsou dostačující. Vlastně téměř cokoliv nad 13 znaků co nelze napadnout slovníkem, nebo odhadnout je fajn, jelikož na tak dlouhá hesla ani neexistují Rainbow tabulky. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (Human.) (7.11.2017 11:42) | reagovat |
| Všechny hesla kde jsou slova s písmeny nahrazenými za čísla jsou nebezpečná protože slovníkově napadnutelná a tvoří pořád relativně malou část z množiny všech možných hesel. Jedině heslo typu náhodný šum všech ASCII znaků se nedá napadnout jinak než hrubou silou, když není nějaká cesta oklikou přes bezpečnostní díru nebo tak. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (asdfasdfasdfasfasfasdfasdf) (7.11.2017 11:19) | reagovat |
| paulzy: Je to spravne. s Randallom si to nijak neodporuje. Vytvor si heslo podla xkcd a potom sa k nemu spravaj podla tohto navodu. | ||
|
|
||
|
|
Obrázek 'jak na hesla' (PaulZy) RP (7.11.2017 10:38) | reagovat |
| Byrokraticky správně, bezpečnostně špatně: [odkaz] | ||
|
|
||
|
|
Obrázek 'jak na hesla' (mrdukráľ) (7.11.2017 10:24) | reagovat |
| heslo: osrat3bomb@rdaky | ||
|
|
||