8 znaku - je to jeste dnes bezpecne heslo?

[Vao02]

Dobry den,

na igiho strance je velice hezky clanek o heslech ( tam je teda spousta hezkych clanku )

http://www.viry.cz/go.php?p=viry&t=clanek&id=61

no a autor clanku pise:

...Pokud to bylo nejkomplikovanější možné heslo o délce šesti znaků včetně symbolů typu !@#$%^&*, pak na průměrném stroji max. 1 den. U expertů, kteří se tím "živí", opět max. pár minut. Tudíž délku ani kvalitu hesla nepodceňovat!

matematika me nikdy od prirody moc nesla, ale zajimal by me nazor. Vetsinou se uvadi, ze 8 znakove heslo ( mineno spravne silne heslo ) je dostacujici. Nicmene ... 6 zanku = profik par minut... cili teda ... 8 znaku = profik napr. 1 den..

Je mi jasne, ze je to vzdy otazka znalosti, casu a hw v dnesni dobe prolomit nejakou sifru a taky proc by me nekdo lamal heslo do emailu na seznamu, kdyz tam pisu akorat blbosti a posilam stupidni prezentace Ale nejaka data, ktera clovek chce opravdu chranit se na pc najdou. Kolik by teda melo v dnesni dobe stacit, aby si clovek mohl rici .... x znaku - to je dobre schovany a jen tak nekdo ( kdyz ztratim ntb ) si to neprohledne?

A jeste pro kombinatoristy ... rekneme 10 znakove ( spravne, silne ) heslo... da se nejak rici, urcit jak dlouho je potreba k prolomeni napr. 10 znaku = 2 roky a je prolomeno ( ale je mi take jasne, ze se to heslo da trefit treba po tydnu )

diky za nazory

[Marek-26]

Tady máš nějakej článeček ještě
http://technet.idnes.cz/kratke-heslo-ve ... ftware_nyv

Ve svý podstatě heslo by dnes mělo mít 14 znaků obsahující čísla, speciální znaky, velká a malá písmena.

[Vao02]

take hezky clanek... prekvapilo me, jak rychle jde prolomit 6 znakove heslo Matika me nikdy moc "prirozene inteligentne" nesla, ale neco si jeste pamatuju a tak je mi jasne, ze kazdy rad navic zveda exponencialne pocet kombinaci. A ze tudiz 8 znakove heslo je zhlediska kvantity vypoctu uplne o necem jinem. Nicmene si stejne myslim, ze uz by se mela ta hesla, ktera opravdu neco chrani, doporucovat delsi ( minim tim ono vseobecne doporuceni, ktere se docte clovek vsude, ze silne heslo ma mit minimalne 8 znaku atd...) Protoze jestlize se daji koupit ty "predvypoctene tabulky", tak ten hw zase uz tak extrasuper na tu 8 byt nemusi. No faktem je, ze se 14 mistnim heslem by mela asi dost prace i CIA

[Gorog]

8 si myslím že je dostatečně bezpečné. Problém tkví v tom že dost lidí používá stejná hesla pro hodně služeb. Bohužel některým lidem nic jiného nezbude, protože pracovat např. s 20+ hesly, které se samozřejmě vetšinou musí měnit po 3 měsících není moc dobrá zábava. Určitě by si ale lidi měli uvědomit že pokud někdo ukořistí heslo např. do fóra tak moc velká škoda nevzniká. Problém pokud se někomu podaří získat heslo do emailu bankovního účtu, datové schránky atd. Proto stejná hesla ano, ale pro kritické aplikace klidně i 2x delší hesla. A do kritických služeb jedině přes známé (zabezpečené) PC.

[Unlimited_Killer]

Jediná služba (zatím), které si cením je RapidShare Premium - a zde používám heslo patnáctimístné, což je dost

[Vrtule]

Ono velmi záleží na tom, jaké znaky v hesle používáte. Pokud se heslo skládá pouze z písmen anglické abecedy, počet kombinací je 52^N pro heslo délky N znaků (26 pro malá písmena plus 26 pro velká písmena), číslicke k základu přidají dalších deset. Takže například existuje asi 10 miliard (velmi hrubý odhad) různých šestiznakových hesel. Počet kombinací osmiznakových hesel je víc jak 3600x vyšší.

Také ale záleží na tom, jaký se používá algoritmus pro ověřování hesla a jak jsou hesla uložena a jestli se například potenciální útočník dostane k nějaké formě těch hesel, například k jejich hašům. Pak také záleží na hašovací funkci, kterou systém pro ukládání hesel používá. Pokud je to třeba MD5, tak se s neprolomitelností hesla asi můžeme rozloučit.

[sudanec]

Suhlas s vrtule 8 zaujimavych znakov uz moze byt celkom dost, ak su naozaj zaujimave a pseudonahodne. Nezlomitelnost slovnikovym utokom by uz mala byt samozrejmost. Ako MD5 ako take podla mna velmi problem nie je, dolezite je vsak pouzivat hesla, ktore nepokryvaju rainbow tables.

[betinka]

Jediná služba (zatím), které si cením je RapidShare Premium - a zde používám heslo patnáctimístné, což je dost

Žeby "unlimitedkiller" ?
To bol vtip
No ja používam iba 9-miestne... ale nemám nič také dôležité, takže myslím, že to postačuje ... ale mám tam aj veľké písmená, čísla, atď...

[Čarls]

Bohužel co se týká hesel v Pc tak zde pokud vam někdo čmajzne NTB tak jedině snad snímání otisku a zaheslovaný bios.
Jinak se vám do pc dostane kdokoliv.Ophcrack-xp-livecd-2.1.0.iso je pomalý
Mrkvosoft ma vlastní cd jak XP tak Vista a to po nabootovaní rovnou vynuluje hesla k přístupu Pc v registrech.
Nazev Cd raději sem snad raději ani nedám a nebo jo stejně to běhá po netu všude
MICROSOFT VISTA a XP REPAIR BOOT RECOVERY PASWORD RESET DISC jedná se o 2 CD
PS vyzkoušel sem XP CD u kamaráda co má šikovný malý děcka kompletne mu změnili hesla ke všem učtum včetně administrátorského Byla to otázka jen nabootování a odkliknutí
Tak a za tenhle pruser nadavejte na Mrkvosoft že to někde upustil ven

[Vao02]

Tak samozrejme, ze pokud nekdo ma fyzicky k dispozici dane pc, tak je to o necem jinem,nez kdyz ma zkouset prolomit "brutalne" heslo nekde na webu. Hesla jsou jen jedna, ikdyz extremne dulezita, cast zapezpeceni. Me kdyby nekdo ukradl ntb, tak se me sice dostane uplne vsude ( root ne root ), ale protoze pocitam s tim, ze si muj ntb muze nekdo vypujcit.... tak mu to proste nebude nic platne. Teda krome toho,ze se potom dostane mym jmenem na viry forum a udela me tu vostudu protoze tohle heslo v ntb mam. Nedavno jsem koukal na tv a tam jsem neveril svym ocim a usim. Lide za poskytnutou slevu sdelovali utocnikum svuj PIN od platebni karty. no comment... v takovem pripade nepomuze ani 100 mistne heslo, kdyz ho z vas nekdo takto socialne vytahne. O to me ale neslo. Me prave zajimala ciste jenom ta matematicka stranka bezpecnosti hesel. Stejne tak ukradeni keylogerem atp. je jina zalezitost = neni prolomeni ale ziskani. No myslim, ze v bankovnim sektoru vcas pochopili, ze spolehat na zabezpeceni pc klientu, ci na jejich "bezpecnostni inteligenci" spolehat nemuzou a tak jsou tu tokeny a jednorazove pristupove kody. Stejne tak si myslim, ze vetsina kriminalnich kradezi na internetu souvisi ne s prolomenim, ale se ziskanim hesla, PINu atd.,neb lidska blbost a vodik jsou na teto planete vsudepritomne!

PS.: prolomeni hesla typu "heslo" beru jako lidskou blbost

[Martag.o.N]

PS.: prolomeni hesla typu "heslo" beru jako lidskou blbost

Teraz si mi pripomenul spoluziacku
Ona: Niekto mi ukradol heslo na pokec, a pise kazdemu hovadiny
Ja: No... a ake si mala heslo?
Ona: Ta... telefonne cislo
Ja a par kamaratov:
Ona: Co jeeee? Uz som si ho ale zmenilaaa...
Kamarat: Hej, dala si si datum narodenia nie?
Ona: Cooooo? Ako vieeeeeees?
My vsetci:

[Vao02]

...dolezite je vsak pouzivat hesla, ktore nepokryvaju rainbow tables.

to sudanec:no jo, ale to jsou ktera? Ty rainbow tables pro ty kratka jsou dostupna bezproblemove a ty rozsahlejsi stoji stovky dolaru... ale dostupne jsou .... viz ten clanek...cili se nabizi otazka... jake tabulky se daji sehnat za desitky tisic USD Ja vim, ze je to spis uz fantazmagorie, nez aby to melo neco spolecneho s realnou hrozbou beznemu clovekovi, ale teoreticky....

to matfyz Vrtule: jak rikam, matiku uz jsem zapomnel a od gymplu me staci ta klasicka pro moji profesi ... ale je nejake heslo... k jeho prolomeni je potreba vyzkouset rekneme tech 52^n kombinaci... dle hw moznosti je potrebny urcity cas.... placnu.... dva roky. Cili tzn. za dva roky se vyzkousi vsechny kombinace a jedna z nich to urcite bude = za dva roky mame heslo. Ale to prece take znamena, ze to heslo muze byt hned ta 1453. moznost a tudiz to mame za dve sekundy a nemusime cekat dva roky? A tudiz i sebedelsi a bezpecnejsi heslo, muze byt rozlousknuto kdykoliv drive, nez se vyzkousi vsechny kombinace? Je tento muj selsky rozum na tuto problematiku aplikovatelny a nebo mam jit radeji pocitat brambory do sklepa a uz tu nespamovat

[Martag.o.N]

No ano, ale je pravdepodobnost 1:52^n, ze to pride tak skoro. Samozrejme, pravdepodobnost je tu vzdy, ale je hrooozne mala.
To je akoby som teraz zacal luskat tvoje heslo na viry.cz/forum. Za par rokov ho urcite najdem, ale kludne ho mozem natukat hned tretie

[Vrtule]

Vao02: Jo, možné to je. Vysoký počet kombinací, které je třeba vyzkoušet, negarantuje, že útočník tu správnou kombinaci vyzkouší až jako poslední. Je to v podstatě jen o pravděpodobnosti. Třeba si nastavíš někam heslo:

asůdl$#@^$%+éěšáejfůaljf3545

A přijde útočník a bude se ho pokoušet prolomit tím, že bude zkoušet všechny kombinace. A žádný zákon mu nebrání začít zrovna od kombinace:

asůdl$#@^$%+éěšáejfůaljf3545

a tak uhodnout třeba napoprvé. Ale čím víc kombinací je nutné prohledat, tím je menší pravděpodobnost, že se trefí nějak brzo. Když by vyzkoušení těch všech kombinací trvalo třeba dva roky, tak útočníík může to heslo uhodnout třeba za rok zkoušení. Což je pořád slušně dlouhá doba, že se mu to nevyplatí dělat, pokud to heslo nestřeží něco opravdu důležitého.

Samozřejmě je tu další problém (pro útočníka), když se heslo posílá třeba na server a pokusy o přihlášení se logují. Tak si pravděpodobně někdo všimne, že se nějaká osoba snaží přihlásit na nějaký účet stotisíckrát za sekundu. To normální člověk přece jen nesvede .

Takže se může vyplatit útočit i jinak - přes sociání inženýrství, keyloggery, postranní kanály atd.

Ono na papíře vypadá spousta věcí hrozně neprůstřelně z matematického hlediska. Leč reálný svět nejsou jen komutativní grupy, permutace a jiné pro obyč. člověka naprosto neužitečné věci, které mi připadají krásné . Když procesor počítá, vydává nějakou energii a ta energie závisí na tom, co počítá, jaké instrukce provádí. Ze záření vyzařovaného monitory, prý i třeba síťovými kabely, lze leccos usoudit (pokud máme speciální techniku), co se právě děje.

Ještě k té pravděpodobnosti: celkem často se využívají postupy, které správně fungují jen s určitou pravděpodobností. Ale pravděpodobnost, že postup selže je tak malá, že v podstatě selhání nenastane - (pravděpodobnost selhání může být třeba 1/2^50).

Hm, teď nevím, jestli jsem to nezamotal zase.

[Vao02]

...ale kludne ho mozem natukat hned tretie

ja to moje s prehledem vzdycky natukam tak napoctvrte

ted vazne... pravdepodobnost je matematicka velicina, ale nemusi mit s realnym jevem nic spolecneho! Pravdepodobnost, ze hodim z sesti hodu koskou sestku je 1/6 , ale necht si kazdy zkusi hodit sestkrat kostkou padne hned... padne trikrat... nepane vubec. Ja vim ze cim vetsi je pocet hodu, tim se ta matematika asi blizi realite.... 1000 hodu.... 1000000 hodu....10^12 hodu... tohle jsem nejak nikdy moc nechapal... jdu na ty brambory, aby jich bylo dost na svatecni bramborovy salat, protoze pravdepodobnost, ze v pripade, ze jsem jich koupil dneska malo, tak ze pro ne pojedu znova a to hned ted, az to zjisti manzelka je vice nez 100%

to Vrtule: thx sice me desi myslenka, ze kdyz me budou stavet dum, tak ze zvoli postup, ktery bude fungovat jen s urcitou pravdepodonosti a tak me barak nespadne na hlavu .... ale vazne, vim ze tohle je o necem jinem a o jine oblasti lidskeho mysleni a konani.