Máte problémy se zapamatováním hesel?

20. 5. 2009  •  Petr Brádler  •  14 komentářů 

…a nepoužíváte, nebo nemůžete používat různé programy na pamatování hesel? Nemusíte používat dlouhé sestavy písmen různých velikostí, čísel a nestandardních znaků, jak je to běžně doporučováno. Na webu baekdal.com v článku The Usability of Passwords (Použitelnost hesel) píšou o tom, jaké druhy luštění hesel se mohou používat (hrubá sílá, slovníkové útoky, ad.) a jakou efektivitu mají jednotlivá hesla – obecná slova, shluky písmen a dalších znaků.

Zajímavým zjištěním pro mě bylo to, že je účinnější použít 2-3 klasická slova včetně mezer než ony šílené hesla, která se běžně v hlavě udržet nedají. Tedy například heslo „this is fun“ je účinnější než „j4fS<2“, jak uvádějí v článku.

Účinnost hesel

Jaký na to máte názor?

Související články

Rubrika: Zajímavosti

Štítky:


14 komentářů Přidat komentář RSS komentářů

  • 1 | Dero

    Pokud budou dvě z těch tří slov velmi netradiční, tak to vidím jako dostatečné řešení. Pokud budou všechna tři slova frekventovaná a budou v jazyce dávat logický výraz, tak před dobře napsaným syntaktickým útokem založeným na statisticky správně ohodnoceném slovníku (dle zastoupení slov v jazyce) neobstojí.

  • 2 | Pavel Prostřední

    Bohužel i kvalitní heslo “Secure forever” vlastně ve skutečnosti navždycky a na všechno bezpečné není. Pokud má člověk jen jedno, byť i kvalitní, heslo pro všechno a na vždycky, v bezpečí rozhodně není. Hesla je potřeba čas od času obměňovat, mít více variant na různé služby a pokud možno se nepřihlašovat na žádné služby přes nezabezpečené Wifi sítě, o používání programů typu TotalComander, které ukládají na Váš disk Vaše hesla v nezakódované podobě ani nemluvě. Obávám se, že pomocí brute force nebo slovníkových metod se už dnes hackuje minimálně. Spíše někdo v centru města zaparkuje auto a nechá tam běžet notebook, který zachytává provoz na veřejných Wifi sítích. Z takto nasbíraných dat se pak většinou dají vytáhnout zajímavé přístupy a hesla. Cca před rokem byl tímto způsobem hacknut jeden větší brněnský webhosting.

  • 3 | Petr Brádler

    [2] Všechno samozřejmě pravdivé a užitečné rady – nemít všude stejné heslo, hesla po čase obměňovat, atp. S těmi nezabezpečenými programy nebo Wi-Fi sítěmi je to už ale většinou o nevědomosti nebo “nepozornosti” lidí.

    Mimochodem Total Commander se po té aféře už konečně dokopal k tomu, že bude hesla nějakým způsobem šifrovat. Od verze 7.5 (zatím beta).

  • 4 | Dundee

    Heslo s mezerama jsem ještě nikdy neviděl a moc se mi to ani nelíbí.
    Osobně používám Password Gorillu, protože pamatovat si hesla k FTP, MySQL a administraci všech klientů opravdu nejde.

  • 5 | Martin

    Myslim, ze zalezi aj ake slova pouzije clovek pri vytvarani hesla,
    napr. je jednoduche spojit niekolko slov, ktore v istom jazyku davaju zmysel, pripadne je vhodne spojit napr. slovencinu s anglictinou:
    letsgosnehulienka – dlhe a zaroven zlozite na bruteforce utok, na zapamatanie si uplne jednoduche…

  • 6 | Radim

    Bohuzel se obavam, ze hesla, ktera obsahuji mezeru (v nekterych pripadech i velka pismena) nejsou pouzitelna na vsech webech, ktera hesla vyzaduji. Ja osobne pouzivam jen jedno jedine heslo ke vsemu a zatim jsem spokojen.

  • 7 | Petr Brádler

    Pravda, ne všechny weby tento typ hesla podporují, ale co mě pobavilo byla věta “osobne pouzivam jen jedno jedine heslo ke vsemu a zatim jsem spokojen.”. Klíčové je slovo zatím. :-) Já jsem taky začal pravidelně zálohovat až poté, co jsem před pár lety ztratil 80 GB dat, když mi odešel disk.

  • 8 | Multimotyl

    Největší fígl je stejně v tom, že těch hesel musí mít člověk pomalu tisíc, protože nikdy nevíš, kdo si je u sebe ukládá a nechá si vykrást databázi.

  • 9 | Huncut

    Jo to slovo “zatim” je zradne :) Ja pouzivam nekolik hesel, ktere si pamatuji s tim ze pro ty nejrizikovejsi veci jako je paypal, banka a podobne si holt pamatuju unikatni hesla, ktera nepouziva nikde jinde a snazim se je jednou za delsi cas obmenit.

    Ale libi se mi treba ze freepasswordgenerator.com umoznuje vygenerovat nahodne “Pronounceable passwords” tedy slova, ktere sice nemaji zadny vyznam, ale dobre se pamatuji, protoze se daji dobre precist (lezou pres pusu). Kdyz maji rozumnou delku a jeste je obohatite dejme tomu o nejake cislo na konci, tak jinak nez odchycenim v nejake nezabezpecene siti takove heslo neprolomite. To je podle me asi nejrozumnejsi cesta.

    No a jinak pouzivam take vynikajici KeePass Password Safe, nebot ne vsechna hesla, ktera potrebuju si volim ja a tak to prenecham jemu, aby si je pamatoval za me :)

  • 10 | Radek Hulán

    [6] to brzy narazíš :) Osobně používám asi 500 velice složitých hesel, typu “TT2oKBW5uKOwF2tNucy&^xrD”, zhruba 2 roky, na každý web a službu samozřejmě jiné. Problém totiž je, že hodně webů si ukládá hesla jako plaintext, a pokud je na jednom webu ukradeno, máš problém na 500 jiných webech.

    A mám s tím osobní zkušenost :) Na tento rok hackuntém phpbb.com jsem si kdysi dávno založil jednorázový účet (na položení jedné otázky) a to samé na 5 dalších fórech. Toto heslo (triviální, na fórech o nic nejde) bylo ukradeno a zveřejněno. Pokud bych měl ovšem to samé heslo na citlivé weby a informace, tak je velký problém, protože kriminální živly toho snadno zneužijí. Nezáleží na tom, zda to heslo je složité či jednoduché, třeba SvětHardware je má jako plaintext. Pokud máš stejné heslo na SvetHardware.cz i jinde, jejich admin to může -teoreticky- zneužít. A to není moc příjemné.

    Zhruba 2 roky používám RoboForm, který si pamatuje a generuje hesla na veškeré weby, na každý odlišná, a celé je to zajištěné jedním master heslem, plus samozřejmě šifrováním disku. To je výborná metoda. Takto, i když někdo napadne jeden web z těch 500, tak k dalším 499 se nedostane.

  • 11 | shmally

    …(hrubá sílá, slovníkové útoky, ad.)
    no ve dvacatym stoleti mozna ale dnes fakt ne
    leda lamy z nudy

  • 12 | Vydrus

    I dlouhé shluky znaků, které nedávají smysl, se dají dobře zapamatovat. Stačí si nové heslo napsat na papír a při každém přihlášení se snažit na něj vzpomenout. Pokud si jej nevybavíte, nahlédnete do papíru a příště se přihlásíte už bez něj.

    Všem vřele doporučuji mít na každý účet jiné heslo a hesla si ukládat jen v hlavě.

  • 13 | Petr Brádler

    [12] Věřím, že takhle si člověk výborně cvičí paměť, ale přiznám se, že nemám na to, abych si v hlavě nosil byť třeba jen 30 hesel, každé ve tvaru “TT2oKBW5uKOwF”. O tom by se mi muselo v noci i zdávat :-) .

  • 14 | Antilles

    Souhlasím se vším. V Cisco Networking Academy jsem se učil, že jedno ze základních pravidel bezpečnosti je, že každé heslo má mít přesně (v nějakym řádu nebo co :D ) definovánou dobu trvanlivosti a poté se musí změnit.

    Na tomtéž webu pro registraci musím mít heslo složené z minimálně tří písmen, tří číslic a tří speciálních znaků. Jinak to prostě neprojde. To je ale Cisco, naneštěstí jak zmínil pan Hulán krutou pravdu – některé weby si ukládají heslo jako plain text. Věřím že kdyby to uživatelé věděli (popřípadě brali více vážně) tak by si dávali větší bacha a v noci o dost méně spali. Stačí prolomit heslo do databáze a výsledkem řádek s mým heslem a taky e-mailem a ještě navíc icq. Kdo má heslo všude stejný – je nahranej.

    Já používám více hesel, a k abych s mou mizernou pamětí tak používám jako Huncut KeePass Pasword Safe, kterej používá pro otevření DB s hesly master heslo a možností je taky nutnost mít nějaký speciální soubor což je podle mne dostatečné zabezpeční. Když už prolomí nějakej šmejd moje heslo, tak mu můžu popřát hodně štěstí při tvorbě nutného souboru ;) .

Přidat komentář


Komentáře můžete sledovat přes RSS kanál.


Dinosaurus Pleo

Petr Brádler, Na volné noze
View Petr Brádler's profile on LinkedIn