Délka hesla

[andybe]

"Nemusis kazdu vetu davat do noveho prispevku."

pochopitelně, jenže když mě nenapadne hned vše naráz. I když by možná mělo. Však jsme "všehochuť" a vděčnost za to, ne?:)

[andybe]

stále jsem se nedozvěděl, kolik znaků nějakého toho hesla, včetně veškerých variací malých a velkých písmen plus nějaké ty číslice, je vzhledem k jeho SHA aj. šifrování pro uživatele ještě zajímavé. (asi na to budu muset přijít sám, ale když mi to mezitím trochu osvětlíš, zlobit se nebudu)

[altrok]

od kazdeho alespon jedno...

alespon jedno male pismeno,
alespon jedno velke pismeno,
alespon jedna cislice,
alespon jeden specialni znak

a musi to byt v dostatecne dlouhem heslu viz muj predchozi prispevek


protoze matematika (kombinatorika)... pocital jsem to v prvnim prispevku

[cernohous13]

Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku (mala, velka pismena, cislice, specialni znaky),

Ahoj, nevím jakým způsobem kdo z vás obsluhuje IB ale moje banka mi pro přihlášení dala osmimístné identifikační číslo a pětimístný číselný kód
po jehož odeslání mi pošle na můj mobil devítimístnou kombinaci pro přístup k účtu
stejně tak pro každou bankovní operaci - tak se domnívám, že je to dostatečná ochrana

[altrok]

s timto zkusenosti nemam, takze me to ani nenapadlo... ja se totiz do IB prihlasuju jen pomoci loginu a hesla a az potvrzeni transakce je pomoci kodu, ktery zasilaji SMSkou
zas jsem o neco chytrejsi, diky

[andybe]

Zpusob ukladani hesel na serveru...
Nektere servery hesla ukladaji v otevrene podobe, takze v pripade uspesneho utoku jsou hesla plne k dispozici a pokud nekdo totez heslo pouziva i na mail, bankovnictvi, dokazete si dusledky predstavit... verte, ze takovych lidi neni malo!

Čili taky pěkný důvod, proč používat různá hesla pro různé účely - router admin, heslo pro připojení na wifi, admin systému, uživatel, mail, sociální sítě, bankovnictví nemáte-li od banky nějaký ten pevně daný kód (štěstí, že u bankingu posílají ještě potvrzovací kód na SMS, jak už jste taky zmínili, alespoň co vím já).

Teď jak si ta různá hesla pamatovat:

oblibene souveti a z neho vybrat prvni 2 pismena z kadeho slova, idealne nahodne vlozit cislici (ci jiny znak)
Nepotesil jste mne, ale ani ja Vas nepotesim -> NeJsMn6AlAnJaVaNe
...
uvadim priklad zname fraze/vety, ci jine mnemotechnicke pomucky, ktere zapamatovani usnadni

Použití známé fráze mě předtím nenapadlo, možná také nahradit písmena v nějakém smysluplném sousloví číslicemi, které s trochou fantazie znázorňují dané písmeno, například MojePrababička = M0j3Pr46461ck4 - vida, celkem pěkné heslo, teď už ho nepoužiju;)

Případně další nápad, prostě si pamatovat dvě tři zcela chaotická hesla, každé např. 8 znaků a různě je kombinovat i dělit třeba v polovině, podle toho jak si to je člověk ještě schopen rozumně zapamatovat.

Stale spolehame na bezpecne ukladani hesla na serveru, absenci Man in the Middle utoku, absenci keyloggeru...

S tím už jako uživatel myslím nic nenadělám.

Pak existuje tzv. hash - jednosmerna funkce (ze "zasifrovaneho" retezce neni mozne dohledat puvodni retezec), kdy je retezec libovolne delky "zasifrovan" na retezec delky konstantni. Na tohle existuji ruzne algoritmy (MD5, SHA-1, ...). Problem je v tom, ze pokud uzivatel1 a uzivatel2 maji stejne heslo, hashe tohoto hesla jsou shodne... existuji databaze jiz "predpocitanych" hashu, takze ani toto neni idealni zpusob.

V něčem takovém měl spočívat i ten můj původní dotaz, resp. v tom, že se domnívám, že nejen stejná, ale i rozdílná hesla můžou mít stejný hash ale hlavně, třeba čtyřmístné heslo by teoreticky mohlo mít stejný hash jako heslo šestnáctimístné? Proto jsem se ptal, jestli má délka hesla smysl. Ale protože říkáte, že na hash (říkal jste "na hašovací funkce", snad je tím myšleno to samé) se útočí málokdy, většinou tedy na délce hesla, které někam zadávám, určitě záleží.

Jak má vypadat správné heslo:

alespon jedno male pismeno,
alespon jedno velke pismeno,
alespon jedna cislice,
alespon jeden specialni znak

a musi to byt v dostatecne dlouhem heslu viz muj predchozi prispevek: Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku

Ještě jsem si všiml, že někdy nejsou speciální znaky akceptované, ale co se dá dělat.


ad. keylogger - odchytávání počtu stisků kláves někde na síti, jestli to chápu. Ze zajímavosti, pokud bych např. osmimístné heslo napsal tak, že bych ho v průběhu zase smazal backspacem a napsal znovu, jevilo by se keyloggeru jako 24-ti místné

Ještě by mě zajímalo a doufám, že nejsem sám: dá se použití password managerů nějak doporučit nebo nedoporučit?


Jinak jsem se dozvěděl hned několik nových věcí, díky za ty informace!

[altrok]

Teď jak si ta různá hesla pamatovat:

oblibene souveti a z neho vybrat prvni 2 pismena z kadeho slova, idealne nahodne vlozit cislici (ci jiny znak)
Nepotesil jste mne, ale ani ja Vas nepotesim -> NeJsMn6AlAnJaVaNe
...
uvadim priklad zname fraze/vety, ci jine mnemotechnicke pomucky, ktere zapamatovani usnadni

Použití známé fráze mě předtím nenapadlo, možná také nahradit písmena v nějakém smysluplném sousloví číslicemi, které s trochou fantazie znázorňují dané písmeno, například MojePrababička = M0j3Pr46461ck4 - vida, celkem pěkné heslo, teď už ho nepoužiju;)

Případně další nápad, prostě si pamatovat dvě tři zcela chaotická hesla, každé např. 8 znaků a různě je kombinovat i dělit třeba v polovině, podle toho jak si to je člověk ještě schopen rozumně zapamatovat.

Prvni dve pismena jsou jen jednim z mnoha zpusobu reseni... kamarad chemik si do internet bankingu dal heslo jeho oblibene chemikalie o 36 pismenech a nahodne zmenil velka/mala pismena... tady narazime na problem... opravdu se Vam pri kazdem prihlasovani chce vyplnovat 36 mistne heslo? Je dobre zvolit kompromis. Proti "chaotickym heslum" nemam namitky

Stale spolehame na bezpecne ukladani hesla na serveru, absenci Man in the Middle utoku, absenci keyloggeru...

S tím už jako uživatel myslím nic nenadělám.

Presne tak, ale povazuju za dulezite o tom mit alespon povedomi... ja se ridim prevenci a tato informace pro me ma nemalou vahu

Pak existuje tzv. hash - jednosmerna funkce (ze "zasifrovaneho" retezce neni mozne dohledat puvodni retezec), kdy je retezec libovolne delky "zasifrovan" na retezec delky konstantni. Na tohle existuji ruzne algoritmy (MD5, SHA-1, ...). Problem je v tom, ze pokud uzivatel1 a uzivatel2 maji stejne heslo, hashe tohoto hesla jsou shodne... existuji databaze jiz "predpocitanych" hashu, takze ani toto neni idealni zpusob.

V něčem takovém měl spočívat i ten můj původní dotaz, resp. v tom, že se domnívám, že nejen stejná, ale i rozdílná hesla můžou mít stejný hash ale hlavně, třeba čtyřmístné heslo by teoreticky mohlo mít stejný hash jako heslo šestnáctimístné? Proto jsem se ptal, jestli má délka hesla smysl. Ale protože říkáte, že na hash (říkal jste "na hašovací funkce", snad je tím myšleno to samé) se útočí málokdy, většinou tedy na délce hesla, které někam zadávám, určitě záleží.

Jsem rad, ze nad timto uvazujete... popisoval jsem to nepresne a videt to nekdo, kdo kryptografii rozumi, asi by me na miste ukrizoval
hashovaci funkce mapuji vstup na konstantni delku (MD5 = 128 bitu = "32 znaku", SHA-1 = 160 bitu = "40 znaku", ...), takze logicky lze dva ruzne vstupy namapovat na stejnou hodnotu. Jednou z vlastnosti hashovacich funkci je ta, ze je obtizne najit tzv. kolize neboli:
1) obecne 2 ruzne vstupy, ktere se mapuji na stejnou hodnotu (2 vstupy, ktere maji stejny hash)
2) pro jeden konkretni vstup (ktery da urcity hash) najit jinou vstupni hodnotu, ktera se mapuje na stejny hash
pro absolutni pochopeni je dobre vedet, co se vubec pri konkretnim vypoctu hashovaci funkce dela, ale to by bylo na dalsich par desitek radku (komplikovane algoritmy)... pokud bude zajem, muzeme to probrat

konkretni odpoved na Vasi otazku "třeba čtyřmístné heslo by teoreticky mohlo mít stejný hash jako heslo šestnáctimístné?"
u takto kratkych retezcu je to nemozne... hashe (hasovaci funkce) se casto pouzivaji pri stahovani souboru - hash je vypocitany pro soubor, ktery Vam server poskytuje a kdyz si po ulozeni souboru na disk spocitate hash tohoto souboru a porovnate s hashem na strankach, jde urcit, zda pri prenosu az ukladani doslo k chybe (ztrata paketu, uprava souboru virem, chyba pri zapisu na disk, apod.)... zminuju to z duvodu poctu bitu souboru (bavili jsme se o heslu, ktere je radove v desitkach bitu a soubory jsou o nekolik radu jinde, ale i tak se zde hashe pouzivaji)... spravne se tomuto rika kontrola integrity

Jak má vypadat správné heslo:

alespon jedno male pismeno,
alespon jedno velke pismeno,
alespon jedna cislice,
alespon jeden specialni znak

a musi to byt v dostatecne dlouhem heslu viz muj predchozi prispevek: Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku

Ještě jsem si všiml, že někdy nejsou speciální znaky akceptované, ale co se dá dělat.

Na toto uz jsem odpovidal - pozor... muze byt limitovano ze strany serveru (jedna cislice, minimalni delka 6 znaku a maximalni 14) atd.
a nezbyva mi nez souhlasit s Vami... "co se da delat"

ad. keylogger - odchytávání počtu stisků kláves někde na síti, jestli to chápu. Ze zajímavosti, pokud bych např. osmimístné heslo napsal tak, že bych ho v průběhu zase smazal backspacem a napsal znovu, jevilo by se keyloggeru jako 24-ti místné

Tady mam pro Vas spatnou zpravu... keylogger stisk kazde klavesy okamzite zaznamenava do textoveho dokumentu a nasledne (v pravidelnem intervalu) toto odesila utocnikovi... tento report muze vypadat napr. takto https://www.keelog.com/images/kusb_inst1v.gif
keylogger je casto nakaza pritomna ve Vasem pocitaci a v nasich podminkach (diakritika) ho pozna i laik, protoze (vetsinou) nezvlada diakritiku a uzivatele si stezuji, ze jim nejde psat Ž apod, ale pocitac jim pise ˇˇZ nebo Zˇˇ... vetsinou. Takze Vase uvaha neni spravna

Ještě by mě zajímalo a doufám, že nejsem sám: dá se použití password managerů nějak doporučit nebo nedoporučit?

s password managery zkusenosti nemam, protoze si vetsinu hesel pamatuju a na zbytek pouzivam TrueCrypt 7.1a, coz zrovna neni puvodne password manager. Tady bych byl rad, kdyby se vyjadril nekdo, kdo s temito nastroji ma zkusenosti.

Jinak jsem se dozvěděl hned několik nových věcí, díky za ty informace!

Nemate zac Pokud tyto informace pomuzou alespon jednomu navstevnikovi tohoto fora, pak svuj ucel splnily

[dodo148]

Dobry den, ako dlho by trvalo rozsifrovanie mojho 30 miestneho hesla, tvoreneho len z malych pismen. Ďakujem

[altrok]

Dobry den,

toto zalezi na nekolika faktorech...
- vi utocnik, ze mam 30 mistne heslo slozene jen z malych pismen (tj. z mnoziny 26 znaku)? Je rozdil utocit hrubou silou na vsechny kombinace hesel od jednomistnych po tricetimistna nebo jen na tricetimistna.
- ma utocnik k zaheslovanemu archivu (napr. TrueCrypt) primy pristup nebo je heslo bezpecne ulozene na serveru, ktery disponuje dodatecnou ochranu, ze muzete 5x zadat spatne heslo, pak 15 vterin pauza?
- ikdyby mel utocnik k souboru primy pristup, rozhodujici roli hraje vypocetni vykon jeho stroje/stroju, coz je v pripade 30 mistneho hesla relativne jedno (26^30 je proste moc kombinaci). Takze pokud se jedna o neco, co ma pro utocniky takovou cenu (cileny utok), bylo by snazsi utocit jinak nez brute-forcem na 30 mistne heslo.


btw existuji jakesi nastroje, ktere aspon naznaci, jak silne heslo mate
https://howsecureismypassword.net/
http://www.passwordmeter.com/

[industrol]

Chtěl bych se zeptat. V internetovem bankovnictvi zadávám klientské číslo pomocí té klávesnice myší. Heslo už klasicky bouchám, ale žiji v domnění, že je to bezpečnější proti keyloggeru. Je to celkově bezpečnější způsob nebo je to pouze má iluze?

[altrok]

Pouziti virtualni klavesnice proti keyloggerum opravdu pomaha.


Tatry03 dal do jine sekce odkaz na trojdilny clanek, ktery se utoky na internet banking (IB) zabyva. Zajimave pocteni http://forum.viry.cz/viewtopic.php?p=1373403#p1373403

[Pavuk29]

Dobry den,

toto zalezi na nekolika faktorech...
- vi utocnik, ze mam 30 mistne heslo slozene jen z malych pismen (tj. z mnoziny 26 znaku)? Je rozdil utocit hrubou silou na vsechny kombinace hesel od jednomistnych po tricetimistna nebo jen na tricetimistna.
- ma utocnik k zaheslovanemu archivu (napr. TrueCrypt) primy pristup nebo je heslo bezpecne ulozene na serveru, ktery disponuje dodatecnou ochranu, ze muzete 5x zadat spatne heslo, pak 15 vterin pauza?
- ikdyby mel utocnik k souboru primy pristup, rozhodujici roli hraje vypocetni vykon jeho stroje/stroju, coz je v pripade 30 mistneho hesla relativne jedno (26^30 je proste moc kombinaci). Takze pokud se jedna o neco, co ma pro utocniky takovou cenu (cileny utok), bylo by snazsi utocit jinak nez brute-forcem na 30 mistne heslo.


btw existuji jakesi nastroje, ktere aspon naznaci, jak silne heslo mate
https://howsecureismypassword.net/
http://www.passwordmeter.com/

Altrok na danu otazku je podla mna odpoved nemozna.
Tam je tolko faktorov, ktore neboli zadane, ze sa da odpovedat od nuly do nekonecna

[altrok]

btw existuji jakesi nastroje, ktere aspon naznaci, jak silne heslo mate
https://howsecureismypassword.net/
http://www.passwordmeter.com/

zajimavy clanek (anglicky), ktery zpochybnuje ucinnost techto nastroju a na samem konci clanku je dvouminutove video, ktere dava navod, jak vytvorit bezpecne heslo
https://nakedsecurity.sophos.com/2015/0 ... +Sophos%29

samotne video https://www.youtube.com/watch?v=pMPhBEoVulQ
ve videu je ukazane, proc je heslo o delce 8 znaku slozene jen z malych pismen malo bezpecne,
pri tvorbe silneho hesla jsou pouzity mnemotechnicke pomucky,
password managery