Comments on: Máte problémy se zapamatováním hesel?

By: Antilles

Antilles — Thu, 21 May 2009 17:47:36 +0000

Souhlasím se vším. V Cisco Networking Academy jsem se učil, že jedno ze základních pravidel bezpečnosti je, že každé heslo má mít přesně (v nějakym řádu nebo co ) definovánou dobu trvanlivosti a poté se musí změnit.

Na tomtéž webu pro registraci musím mít heslo složené z minimálně tří písmen, tří číslic a tří speciálních znaků. Jinak to prostě neprojde. To je ale Cisco, naneštěstí jak zmínil pan Hulán krutou pravdu - některé weby si ukládají heslo jako plain text. Věřím že kdyby to uživatelé věděli (popřípadě brali více vážně) tak by si dávali větší bacha a v noci o dost méně spali. Stačí prolomit heslo do databáze a výsledkem řádek s mým heslem a taky e-mailem a ještě navíc icq. Kdo má heslo všude stejný - je nahranej.

Já používám více hesel, a k abych s mou mizernou pamětí tak používám jako Huncut KeePass Pasword Safe, kterej používá pro otevření DB s hesly master heslo a možností je taky nutnost mít nějaký speciální soubor což je podle mne dostatečné zabezpeční. Když už prolomí nějakej šmejd moje heslo, tak mu můžu popřát hodně štěstí při tvorbě nutného souboru ;).

By: Petr Brádler

Petr Brádler — Thu, 21 May 2009 13:45:37 +0000

[12] Věřím, že takhle si člověk výborně cvičí paměť, ale přiznám se, že nemám na to, abych si v hlavě nosil byť třeba jen 30 hesel, každé ve tvaru “TT2oKBW5uKOwF”. O tom by se mi muselo v noci i zdávat .

By: Vydrus

Vydrus — Thu, 21 May 2009 13:36:39 +0000

I dlouhé shluky znaků, které nedávají smysl, se dají dobře zapamatovat. Stačí si nové heslo napsat na papír a při každém přihlášení se snažit na něj vzpomenout. Pokud si jej nevybavíte, nahlédnete do papíru a příště se přihlásíte už bez něj.

Všem vřele doporučuji mít na každý účet jiné heslo a hesla si ukládat jen v hlavě.

By: shmally

shmally — Thu, 21 May 2009 12:59:10 +0000

…(hrubá sílá, slovníkové útoky, ad.)
no ve dvacatym stoleti mozna ale dnes fakt ne
leda lamy z nudy

By: Radek Hulán

Radek Hulán — Wed, 20 May 2009 16:55:15 +0000

[6] to brzy narazíš Osobně používám asi 500 velice složitých hesel, typu “TT2oKBW5uKOwF2tNucy&^xrD”, zhruba 2 roky, na každý web a službu samozřejmě jiné. Problém totiž je, že hodně webů si ukládá hesla jako plaintext, a pokud je na jednom webu ukradeno, máš problém na 500 jiných webech.

A mám s tím osobní zkušenost Na tento rok hackuntém phpbb.com jsem si kdysi dávno založil jednorázový účet (na položení jedné otázky) a to samé na 5 dalších fórech. Toto heslo (triviální, na fórech o nic nejde) bylo ukradeno a zveřejněno. Pokud bych měl ovšem to samé heslo na citlivé weby a informace, tak je velký problém, protože kriminální živly toho snadno zneužijí. Nezáleží na tom, zda to heslo je složité či jednoduché, třeba SvětHardware je má jako plaintext. Pokud máš stejné heslo na SvetHardware.cz i jinde, jejich admin to může -teoreticky- zneužít. A to není moc příjemné.

Zhruba 2 roky používám RoboForm, který si pamatuje a generuje hesla na veškeré weby, na každý odlišná, a celé je to zajištěné jedním master heslem, plus samozřejmě šifrováním disku. To je výborná metoda. Takto, i když někdo napadne jeden web z těch 500, tak k dalším 499 se nedostane.

By: Huncut

Huncut — Wed, 20 May 2009 13:42:25 +0000

Jo to slovo “zatim” je zradne Ja pouzivam nekolik hesel, ktere si pamatuji s tim ze pro ty nejrizikovejsi veci jako je paypal, banka a podobne si holt pamatuju unikatni hesla, ktera nepouziva nikde jinde a snazim se je jednou za delsi cas obmenit.

Ale libi se mi treba ze freepasswordgenerator.com umoznuje vygenerovat nahodne “Pronounceable passwords” tedy slova, ktere sice nemaji zadny vyznam, ale dobre se pamatuji, protoze se daji dobre precist (lezou pres pusu). Kdyz maji rozumnou delku a jeste je obohatite dejme tomu o nejake cislo na konci, tak jinak nez odchycenim v nejake nezabezpecene siti takove heslo neprolomite. To je podle me asi nejrozumnejsi cesta.

No a jinak pouzivam take vynikajici KeePass Password Safe, nebot ne vsechna hesla, ktera potrebuju si volim ja a tak to prenecham jemu, aby si je pamatoval za me

By: Multimotyl

Multimotyl — Wed, 20 May 2009 13:36:22 +0000

Největší fígl je stejně v tom, že těch hesel musí mít člověk pomalu tisíc, protože nikdy nevíš, kdo si je u sebe ukládá a nechá si vykrást databázi.

By: Petr Brádler

Petr Brádler — Wed, 20 May 2009 13:29:43 +0000

Pravda, ne všechny weby tento typ hesla podporují, ale co mě pobavilo byla věta “osobne pouzivam jen jedno jedine heslo ke vsemu a zatim jsem spokojen.”. Klíčové je slovo zatím. Já jsem taky začal pravidelně zálohovat až poté, co jsem před pár lety ztratil 80 GB dat, když mi odešel disk.

By: Radim

Radim — Wed, 20 May 2009 13:11:34 +0000

Bohuzel se obavam, ze hesla, ktera obsahuji mezeru (v nekterych pripadech i velka pismena) nejsou pouzitelna na vsech webech, ktera hesla vyzaduji. Ja osobne pouzivam jen jedno jedine heslo ke vsemu a zatim jsem spokojen.

By: Martin

Martin — Wed, 20 May 2009 11:41:46 +0000

Myslim, ze zalezi aj ake slova pouzije clovek pri vytvarani hesla,
napr. je jednoduche spojit niekolko slov, ktore v istom jazyku davaju zmysel, pripadne je vhodne spojit napr. slovencinu s anglictinou:
letsgosnehulienka - dlhe a zaroven zlozite na bruteforce utok, na zapamatanie si uplne jednoduche…

By: Dundee

Dundee — Wed, 20 May 2009 11:40:58 +0000

Heslo s mezerama jsem ještě nikdy neviděl a moc se mi to ani nelíbí.
Osobně používám Password Gorillu, protože pamatovat si hesla k FTP, MySQL a administraci všech klientů opravdu nejde.

By: Petr Brádler

Petr Brádler — Wed, 20 May 2009 11:35:47 +0000

[2] Všechno samozřejmě pravdivé a užitečné rady - nemít všude stejné heslo, hesla po čase obměňovat, atp. S těmi nezabezpečenými programy nebo Wi-Fi sítěmi je to už ale většinou o nevědomosti nebo “nepozornosti” lidí.

Mimochodem Total Commander se po té aféře už konečně dokopal k tomu, že bude hesla nějakým způsobem šifrovat. Od verze 7.5 (zatím beta).

By: Pavel Prostřední

Pavel Prostřední — Wed, 20 May 2009 11:23:11 +0000

Bohužel i kvalitní heslo “Secure forever” vlastně ve skutečnosti navždycky a na všechno bezpečné není. Pokud má člověk jen jedno, byť i kvalitní, heslo pro všechno a na vždycky, v bezpečí rozhodně není. Hesla je potřeba čas od času obměňovat, mít více variant na různé služby a pokud možno se nepřihlašovat na žádné služby přes nezabezpečené Wifi sítě, o používání programů typu TotalComander, které ukládají na Váš disk Vaše hesla v nezakódované podobě ani nemluvě. Obávám se, že pomocí brute force nebo slovníkových metod se už dnes hackuje minimálně. Spíše někdo v centru města zaparkuje auto a nechá tam běžet notebook, který zachytává provoz na veřejných Wifi sítích. Z takto nasbíraných dat se pak většinou dají vytáhnout zajímavé přístupy a hesla. Cca před rokem byl tímto způsobem hacknut jeden větší brněnský webhosting.

By: Dero

Dero — Wed, 20 May 2009 11:03:54 +0000

Pokud budou dvě z těch tří slov velmi netradiční, tak to vidím jako dostatečné řešení. Pokud budou všechna tři slova frekventovaná a budou v jazyce dávat logický výraz, tak před dobře napsaným syntaktickým útokem založeným na statisticky správně ohodnoceném slovníku (dle zastoupení slov v jazyce) neobstojí.