Ahoj, nevím jakým způsobem kdo z vás obsluhuje IB ale moje banka mi pro přihlášení dala osmimístné identifikační číslo a pětimístný číselný kódaltrok píše:Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku (mala, velka pismena, cislice, specialni znaky),
Čili taky pěkný důvod, proč používat různá hesla pro různé účely - router admin, heslo pro připojení na wifi, admin systému, uživatel, mail, sociální sítě, bankovnictví nemáte-li od banky nějaký ten pevně daný kód (štěstí, že u bankingu posílají ještě potvrzovací kód na SMS, jak už jste taky zmínili, alespoň co vím já).altrok píše:Zpusob ukladani hesel na serveru...
Nektere servery hesla ukladaji v otevrene podobe, takze v pripade uspesneho utoku jsou hesla plne k dispozici a pokud nekdo totez heslo pouziva i na mail, bankovnictvi, dokazete si dusledky predstavit... verte, ze takovych lidi neni malo!
Použití známé fráze mě předtím nenapadlo, možná také nahradit písmena v nějakém smysluplném sousloví číslicemi, které s trochou fantazie znázorňují dané písmeno, například MojePrababička = M0j3Pr46461ck4 - vida, celkem pěkné heslo, teď už ho nepoužiju;)altrok píše:oblibene souveti a z neho vybrat prvni 2 pismena z kadeho slova, idealne nahodne vlozit cislici (ci jiny znak)
Nepotesil jste mne, ale ani ja Vas nepotesim -> NeJsMn6AlAnJaVaNe
...
uvadim priklad zname fraze/vety, ci jine mnemotechnicke pomucky, ktere zapamatovani usnadni
S tím už jako uživatel myslím nic nenadělám.altrok píše:Stale spolehame na bezpecne ukladani hesla na serveru, absenci Man in the Middle utoku, absenci keyloggeru...
V něčem takovém měl spočívat i ten můj původní dotaz, resp. v tom, že se domnívám, že nejen stejná, ale i rozdílná hesla můžou mít stejný hash ale hlavně, třeba čtyřmístné heslo by teoreticky mohlo mít stejný hash jako heslo šestnáctimístné? Proto jsem se ptal, jestli má délka hesla smysl. Ale protože říkáte, že na hash (říkal jste "na hašovací funkce", snad je tím myšleno to samé) se útočí málokdy, většinou tedy na délce hesla, které někam zadávám, určitě záleží.altrok píše:Pak existuje tzv. hash - jednosmerna funkce (ze "zasifrovaneho" retezce neni mozne dohledat puvodni retezec), kdy je retezec libovolne delky "zasifrovan" na retezec delky konstantni. Na tohle existuji ruzne algoritmy (MD5, SHA-1, ...). Problem je v tom, ze pokud uzivatel1 a uzivatel2 maji stejne heslo, hashe tohoto hesla jsou shodne... existuji databaze jiz "predpocitanych" hashu, takze ani toto neni idealni zpusob.
Ještě jsem si všiml, že někdy nejsou speciální znaky akceptované, ale co se dá dělat.altrok píše:alespon jedno male pismeno,
alespon jedno velke pismeno,
alespon jedna cislice,
alespon jeden specialni znak
a musi to byt v dostatecne dlouhem heslu viz muj predchozi prispevek: Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku
Prvni dve pismena jsou jen jednim z mnoha zpusobu reseni... kamarad chemik si do internet bankingu dal heslo jeho oblibene chemikalie o 36 pismenech a nahodne zmenil velka/mala pismena... tady narazime na problem... opravdu se Vam pri kazdem prihlasovani chce vyplnovat 36 mistne heslo? Je dobre zvolit kompromis. Proti "chaotickym heslum" nemam namitkyandybe píše:Teď jak si ta různá hesla pamatovat:Použití známé fráze mě předtím nenapadlo, možná také nahradit písmena v nějakém smysluplném sousloví číslicemi, které s trochou fantazie znázorňují dané písmeno, například MojePrababička = M0j3Pr46461ck4 - vida, celkem pěkné heslo, teď už ho nepoužiju;)altrok píše:oblibene souveti a z neho vybrat prvni 2 pismena z kadeho slova, idealne nahodne vlozit cislici (ci jiny znak)
Nepotesil jste mne, ale ani ja Vas nepotesim -> NeJsMn6AlAnJaVaNe
...
uvadim priklad zname fraze/vety, ci jine mnemotechnicke pomucky, ktere zapamatovani usnadni
Případně další nápad, prostě si pamatovat dvě tři zcela chaotická hesla, každé např. 8 znaků a různě je kombinovat i dělit třeba v polovině, podle toho jak si to je člověk ještě schopen rozumně zapamatovat.
Presne tak, ale povazuju za dulezite o tom mit alespon povedomi... ja se ridim prevenci a tato informace pro me ma nemalou vahuandybe píše:S tím už jako uživatel myslím nic nenadělám.altrok píše:Stale spolehame na bezpecne ukladani hesla na serveru, absenci Man in the Middle utoku, absenci keyloggeru...
Jsem rad, ze nad timto uvazujete... popisoval jsem to nepresne a videt to nekdo, kdo kryptografii rozumi, asi by me na miste ukrizovalandybe píše:V něčem takovém měl spočívat i ten můj původní dotaz, resp. v tom, že se domnívám, že nejen stejná, ale i rozdílná hesla můžou mít stejný hash ale hlavně, třeba čtyřmístné heslo by teoreticky mohlo mít stejný hash jako heslo šestnáctimístné? Proto jsem se ptal, jestli má délka hesla smysl. Ale protože říkáte, že na hash (říkal jste "na hašovací funkce", snad je tím myšleno to samé) se útočí málokdy, většinou tedy na délce hesla, které někam zadávám, určitě záleží.altrok píše:Pak existuje tzv. hash - jednosmerna funkce (ze "zasifrovaneho" retezce neni mozne dohledat puvodni retezec), kdy je retezec libovolne delky "zasifrovan" na retezec delky konstantni. Na tohle existuji ruzne algoritmy (MD5, SHA-1, ...). Problem je v tom, ze pokud uzivatel1 a uzivatel2 maji stejne heslo, hashe tohoto hesla jsou shodne... existuji databaze jiz "predpocitanych" hashu, takze ani toto neni idealni zpusob.
Na toto uz jsem odpovidal - pozor... muze byt limitovano ze strany serveru (jedna cislice, minimalni delka 6 znaku a maximalni 14) atd.andybe píše:Jak má vypadat správné heslo:Ještě jsem si všiml, že někdy nejsou speciální znaky akceptované, ale co se dá dělat.altrok píše:alespon jedno male pismeno,
alespon jedno velke pismeno,
alespon jedna cislice,
alespon jeden specialni znak
a musi to byt v dostatecne dlouhem heslu viz muj predchozi prispevek: Pro pristup k dulezitym sluzbam (bankovnictvi, ...) bych osobne volil heslo v rozsahu 10-16 znaku
Tady mam pro Vas spatnou zpravu... keylogger stisk kazde klavesy okamzite zaznamenava do textoveho dokumentu a nasledne (v pravidelnem intervalu) toto odesila utocnikovi... tento report muze vypadat napr. takto https://www.keelog.com/images/kusb_inst1v.gifandybe píše:ad. keylogger - odchytávání počtu stisků kláves někde na síti, jestli to chápu. Ze zajímavosti, pokud bych např. osmimístné heslo napsal tak, že bych ho v průběhu zase smazal backspacem a napsal znovu, jevilo by se keyloggeru jako 24-ti místné
s password managery zkusenosti nemam, protoze si vetsinu hesel pamatuju a na zbytek pouzivam TrueCrypt 7.1a, coz zrovna neni puvodne password manager. Tady bych byl rad, kdyby se vyjadril nekdo, kdo s temito nastroji ma zkusenosti.andybe píše:Ještě by mě zajímalo a doufám, že nejsem sám: dá se použití password managerů nějak doporučit nebo nedoporučit?
Nemate zacandybe píše:Jinak jsem se dozvěděl hned několik nových věcí, díky za ty informace!
Pokud tyto informace pomuzou alespon jednomu navstevnikovi tohoto fora, pak svuj ucel splnily Altrok na danu otazku je podla mna odpoved nemozna.altrok píše:Dobry den,
toto zalezi na nekolika faktorech...
- vi utocnik, ze mam 30 mistne heslo slozene jen z malych pismen (tj. z mnoziny 26 znaku)? Je rozdil utocit hrubou silou na vsechny kombinace hesel od jednomistnych po tricetimistna nebo jen na tricetimistna.
- ma utocnik k zaheslovanemu archivu (napr. TrueCrypt) primy pristup nebo je heslo bezpecne ulozene na serveru, ktery disponuje dodatecnou ochranu, ze muzete 5x zadat spatne heslo, pak 15 vterin pauza?
- ikdyby mel utocnik k souboru primy pristup, rozhodujici roli hraje vypocetni vykon jeho stroje/stroju, coz je v pripade 30 mistneho hesla relativne jedno (26^30 je proste moc kombinaci). Takze pokud se jedna o neco, co ma pro utocniky takovou cenu (cileny utok), bylo by snazsi utocit jinak nez brute-forcem na 30 mistne heslo.
btw existuji jakesi nastroje, ktere aspon naznaci, jak silne heslo mate
https://howsecureismypassword.net/
http://www.passwordmeter.com/
zajimavy clanek (anglicky), ktery zpochybnuje ucinnost techto nastroju a na samem konci clanku je dvouminutove video, ktere dava navod, jak vytvorit bezpecne hesloaltrok píše:btw existuji jakesi nastroje, ktere aspon naznaci, jak silne heslo mate
https://howsecureismypassword.net/
http://www.passwordmeter.com/
