NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
David Hartinger
Vlastník
Avatar
David Hartinger:27.11.2015 11:10

Ahoj, chtěl bych se zeptat, jakým způsobem si spravujete svá hesla k různým službám. Jako malý jsem měl na všechno stejné heslo, potom jsem začal používat KeePass (desktop klíčenka) a na každou službu mám většinou úplně jiné heslo. Bohužel jsem se dostal do bodu, kdy si je absolutně nepamatuji a musím se stále dívat, což mě zdržuje a tak selhal i tento systém :) Říkám si, že si vymyslím jen několik hesel (3-5), které si budu pamatovat a ty si přiřadím pro různé služby. Myslíte, že je to dobrý nápad? Jak to řešíte vy?

Odpovědět
27.11.2015 11:10
New kid back on the block with a R.I.P
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na David Hartinger
Adam Ježek:27.11.2015 11:18

Pro každou "citlivou" službu jiný heslo, většinou je to naprostej patvar písmen a znaků, ale když víš, že to vzniklo z počátečních písmen jedné věty, a že třeba abyly nahrazený znaky a>@, o>0 apod, tak se pamatuje snadno.
A správce hesel nikdy, žádný zabezpečení neni neproniknutelný, a až jednou padne, tak mít všechny hesla na jednom místě bude největší pitomost co člověk může udělat.
Možná sem paranoidní, ale mam hesla v dýlkách 16-150 znaků, malý, velký písmena, čísla, speciální znaky... Na první pohled patvar, ale stojí za tim snadno zapamatovatelná smysluplnost.

Nahoru Odpovědět
27.11.2015 11:18
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na Adam Ježek
David Hartinger:27.11.2015 11:38

Jestli máš na každou službu heslo v délce 16-150 znaků, které si pamatuješ, tak máš buď geniální paměť nebo tu něco nesedí.

Nahoru Odpovědět
27.11.2015 11:38
New kid back on the block with a R.I.P
Avatar
Adam Ježek
Tvůrce
Avatar
Adam Ježek:27.11.2015 11:47

ono te neni zas až tak těžký - například si vezmeme heslo

Jpn,@kmhn,ts0

Zapamatoval by sis ho? Já asi taky ne. A co takhle
Jelenovi pivo nelej, a když mu ho naleješ, tak se opije. Potom ještě prohodíš písmena za podobný znaky, jako třeba a -> @, o -> 0.
Použij delsí větu, nacpi do ní něco co tě zajímá, charakteristiku služby, celé to převeď na patvary a osol oblíbeným číslem.
O mě je známo, že mam paměť hodně špatnou, takže na tom nic těžkýho bejt nemůže :D

Tohle mam jenom na důležotý věci jako banka, google, fb, skype, MS účet, paypal a další. Na ty "hovadinky", kde odcizení hesla nebude takovej problém nebo mi to může bejt úplně jedno používam kratší a sobě dosti podobný hesla.

Nahoru Odpovědět
27.11.2015 11:47
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Adam Ježek
Tvůrce
Avatar
Adam Ježek:27.11.2015 11:47

ono te neni zas až tak těžký - například si vezmeme heslo

Jpn,@kmhn,ts0

Zapamatoval by sis ho? Já asi taky ne. A co takhle
Jelenovi pivo nelej, a když mu ho naleješ, tak se opije. Potom ještě prohodíš písmena za podobný znaky, jako třeba a -> @, o -> 0.
Použij delsí větu, nacpi do ní něco co tě zajímá, charakteristiku služby, celé to převeď na patvary a osol oblíbeným číslem.
O mě je známo, že mam paměť hodně špatnou, takže na tom nic těžkýho bejt nemůže :D

Tohle mam jenom na důležotý věci jako banka, google, fb, skype, MS účet, paypal a další. Na ty "hovadinky", kde odcizení hesla nebude takovej problém nebo mi to může bejt úplně jedno používam kratší a sobě dosti podobný hesla.

Nahoru Odpovědět
27.11.2015 11:47
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Tonda Kozák
Člen
Avatar
Odpovídá na Adam Ježek
Tonda Kozák:27.11.2015 11:57

Jelenovi pivo nelej, a když mu ho naleješ, tak se opije. Potom ještě prohodíš písmena za podobný znaky, jako třeba a -> @, o -> 0.

A víš, že kdybys měl heslo: "Jelenovi_pivo_ne­lej,_a_když_mu_ho_na­leješ,_tak_se_­opije.",
měl bys to mnohokrát silnější, než ta tvoje míchanice?

David Hartinger
Pro citlivé služby (banka, e-mail, Facebook...) unikátní. Pro méně citlivé a podobné služby heslo se stejným základem, pro ostatní společné 3 - 5 hesel.

 
Nahoru Odpovědět
27.11.2015 11:57
Avatar
Antonín Tonini
Člen
Avatar
Antonín Tonini:27.11.2015 11:57

Taky jsem kdysi měl stejná hesla. Později jsem už používal na každou službu jiná. Většinu jsem měl zapsanou v sešitě. Dnes používám asi 7 hesel (na služby, na které chodím aktivně). Pokud použiji stejné heslo pro jiný účet, tak pouze v rámci služeb, které nejsou stejné (např. emaily). Většinu mám v délce 12-16 znaků (kombinace velkých, malých a čísel + nějaký ten speciální znak). Každopádně dle mého názoru, je dělat si pro každou službu jiné heslo akorát ztěžování si života. Sice je to bezpečnější, ale nepraktické (pokud se tedy nejedná o nějaké důležité účty).

 
Nahoru Odpovědět
27.11.2015 11:57
Avatar
Tonda Kozák
Člen
Avatar
Tonda Kozák:27.11.2015 11:58

Nejdebilnější služby jsou ty, které mi omezují maximální délku hesla, nebo mi nedovolí tam dávat diakritiku.

 
Nahoru Odpovědět
27.11.2015 11:58
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Tonda Kozák
Adam Ježek:27.11.2015 12:48

Jenže pokud použiješ původní větu bez úprav, tak při psaní ti člověk koukající na klávesnici snadno odhadne co píšeš, pokud to bude dávat smysl a písmena, která neviděl si logicky domyslí. A hlavně patvarové heslo je o dost horší na zapamatování ostatním, takže tím je to bezpečnější. Jednou si nedam pozor a uvidíš mě, jak si píšu heslo. Co odkoukáš a zapamatuješ si líp? Smyslplnou větu, nebo patvar znaků? A taky výrazně klesá možnost prolomení hesla přes slovník.

Nahoru Odpovědět
27.11.2015 12:48
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:27.11.2015 13:00

Wow, já používám všude stejná hesla(jen pro např. pro FB mam vše malý, a pro banky mam nějaké písmeno velké). Už tomu je asi tak 12let a ani jednou jsem s tím problém neměl(že by mi někdo odcizil nějaký účet).
Spíše problém jsem měl když jsem se snažil vymýšlet víc hesel protože mi to každý radil, ale nakonec jsem zapomněl jaké jsem kde dal. A zapisovat si ho někam mi přišlo jako blbost.

PS: Když na pc bude keylogger, tak vás nezachrání ani heslo jako tohle: "FSsk&SD&^6d6s\d7 5765&^D% 67s5d675"

Nahoru Odpovědět
27.11.2015 13:00
Neaktivní uživatelský účet
Avatar
mkub
Tvůrce
Avatar
Odpovídá na David Hartinger
mkub:27.11.2015 13:13

podla mna pamatat si 3-5 hesiel na 20 sluzieb je totalna bezpecnostna hlupost

 
Nahoru Odpovědět
27.11.2015 13:13
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na mkub
Michal Žůrek - misaz:27.11.2015 13:17

taky si jde vymyslet 20 hesel, a pak 19 zapomenout....

 
Nahoru Odpovědět
27.11.2015 13:17
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Tonda Kozák
mkub:27.11.2015 13:21

a co takto tzv. slovnikovy utok? tvoje heslo by v nom totiz uplne prepadlo nehovoriac o uz spomenutom dovode

 
Nahoru Odpovědět
27.11.2015 13:21
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Michal Žůrek - misaz
mkub:27.11.2015 13:25

a co takto vymysliet nejaku pomocku na zapamatanie? napr. dana fraza? vysledok je tazkozapamatatelna skomolenina, ktora bez danej vety nedava ziadny zmysel a tym padom sa tazko pamata

 
Nahoru Odpovědět
27.11.2015 13:25
Avatar
Atrament
Člen
Avatar
Atrament:27.11.2015 14:56

Používám KeePass, pro každou službu/web si generuji nové heslo pomocí vestavěného generátoru. Pamatuju si akorát heslo k tomu souboru s hesly a heslo k gmailu :)

 
Nahoru Odpovědět
27.11.2015 14:56
Avatar
hitzoR
Člen
Avatar
hitzoR:27.11.2015 18:01

Používat nějaké programy na "schovávání" hesel je blbost.. Takhle ti někdo zjistí jedno heslo a dostane se kamkoliv. Já teda mám 4 různé náhodné hesla složené z a-zA-Z0-9, které různě kombinuju a zatím mi to vždycky stačilo. :-)

 
Nahoru Odpovědět
27.11.2015 18:01
Avatar
Milan Křepelka
Tvůrce
Avatar
Milan Křepelka:27.11.2015 18:52

Keepass+rotaci hesel pro služby bez nějakého reálného dopadu

Editováno 27.11.2015 18:52
 
Nahoru Odpovědět
27.11.2015 18:52
Avatar
Tonda Kozák
Člen
Avatar
Odpovídá na mkub
Tonda Kozák:27.11.2015 20:20

Propadlo? Víš, za jak dlouho by se útočník dostal jen k tomu, že by se mu povedla kombinace správných slov ve správném pořadí? Tak to vynásob něčím pěkným a dostaneš čas, kdy uhádne, že mezery jsou nahrazeny spojovníky. Pak ještě něčím a dostaneš výsledný čas, kdy dostane tohle heslo včetně těch dvou čárek a tečky.
Pokud to chceš sakra silné, tak použij velké písmeno třeba ve slově naleješ a místo opije napiš ožere. Slovníkový ani hrubosilový útočník nemá šanci.

Odkoukání na klávesnici není zas tak moc jednoduché. Mnohem větší nebezpečí je, že máš šmíráka v počítači nebo že je na síti.

 
Nahoru Odpovědět
27.11.2015 20:20
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Tonda Kozák
mkub:27.11.2015 23:07

vaciu hlupost som este necital...
pokial mas slovnikove heslo, tak pomocou nastrojov urcenych na cracking hesiel (napr. john the riper) a pomocou slovnikov, to mas v ramci par hodin, az radovo par mesiacov, cize ovela kratsie, nez nic nehovoriaca kombinacia znakov, kde slovnikove utoky nemaju ziadnu sancu

pokial mas keyloger, tak voci tomu nie je ziadne heslo bezpecne, s tym jedinym mozem suhlasit, ale aj proti Man in the Middle utoku sa da branit pomocou sifrovaniu spojenia silnou sifrou

 
Nahoru Odpovědět
27.11.2015 23:07
Avatar
Atrament
Člen
Avatar
Odpovídá na hitzoR
Atrament:28.11.2015 0:48

Pokud je někdo schopen se mi nabourat do počítače, šlohnout mi soubor s tou databází hesel a prolomit k ní heslo (které rozhodně není triviální), pak má ten člověk už dávno schopnosti/nástroje na to aby se dostal kamkoliv, proč by se zabýval mojí maličkostí??? :)

 
Nahoru Odpovědět
28.11.2015 0:48
Avatar
hitzoR
Člen
Avatar
Odpovídá na Atrament
hitzoR:28.11.2015 1:30

K tomu heslu se nemusí nutně dostat nějakým složitým crackováním. Klidně můžou autoři toho programu udělat nějakou bezpečnostní chybu a útočník se k tomu heslu i databázi dostane během okamžiku. Nejsem sice ten typ člověka, co by na bezpečnosti nějak "ujížděl", ale když jsem o nějakém takovém programu slyšel poprvé, tak jsem si jen poklepal na čelo, protože chránit několik hesel jedním heslem absoultně nedává logiku. Radši si budu pamatovat pět nějakých složitějších hesel, které budu různě kombinovat podle důležitosti služby.

Editováno 28.11.2015 1:30
 
Nahoru Odpovědět
28.11.2015 1:30
Avatar
Atrament
Člen
Avatar
Atrament:28.11.2015 2:13

Tak já nejsem žádný bezpečnostní specialista, a taky na bezpečnosti nijak moc neujíždím, ale rád věřím tomu, že lidi od KeePass ví co dělají, koneckonců za ten svůj prográmek posbírali docela slušné množství různých ocenění. Na http://keepass.info/…ecurity.html je detailní počtení o tom co a jak používají a docela to ve mně vzbuzuje důvěru. Rozhodně větší, než jakou mám ve svoji schopnost zapamatovat si víc jak dvě hesla ;)

Taky si myslím, že je pořád větší pravděpodobnost, že ti někdo nějak odposlechne heslo cestou.

 
Nahoru Odpovědět
28.11.2015 2:13
Avatar
Honza Bittner
Tvůrce
Avatar
Odpovídá na Adam Ježek
Honza Bittner:28.11.2015 19:23

Tvoje metoda je určitě lepší než psát heslo jako větu/slovo jen tak, ale i tak je dost snadná na prolomení pomocí slovníkových útoků.

Nejlepší je IMHO vytvořit nesouvisející směs čísel, znaků a speciálních symbolů, ideálně 16 znaků+. To je nějakých 2.8e+30 možných kombinací (při 80 znaků a 16 místech), což ti jen tak někdo neprolomí.

Samozřejmě je ideální mít pro každý důležitý účet své vlastní silné heslo (reálně budeš mít tak 3).

Ideální je také využívat two factor authentication, což má snad každá aplikace, která to myslí s bezpečím uživatelů vážně. Ehm, David Hartinger. :-` Kromě samotné autentizace heslem totiž musíš zadat ještě speciálně vygenerovaný kód (či whatever), který ti přijde pomocí SMS či se vygeneruje v appce. Jsou na to i přímo aplikace, takže není potřeba tvořit svou (např. https://goo.gl/uhjTu). Samozřejmě to je to vždy na uživateli, jestli to zapne či ne.

Nahoru Odpovědět
28.11.2015 19:23
FIT ČVUT alumnus :-) Sleduj mě na https://twitter.com/tenhobi a ptej se na cokoli na https://github.com/tenhobi/ama.
Avatar
Libor Šimo (libcosenior)
Tvůrce
Avatar
Libor Šimo (libcosenior):28.11.2015 19:29

Ja to vlastne už neriešim. Mám 3 heslá (pomerne náročné), ktoré používam a pamätám si ich. Myslím, že pri mojich príjmoch nikoho nebudú zaujímať. :-D

Nahoru Odpovědět
28.11.2015 19:29
Aj tisícmíľová cesta musí začať jednoduchým krokom.
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Libor Šimo (libcosenior)
Dominik Klapuch:28.11.2015 19:39

Pokud používáš všude 3 hesla, ať jsou jakkoliv silná, tak může nastat, že některá databáze, která ukládá tvoje heslo může být kompromitována a potom není problém se přihlásit někam jinam.

Nahoru Odpovědět
28.11.2015 19:39
Kód a data patří k sobě.
Avatar
Milan Křepelka
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
Milan Křepelka:28.11.2015 20:34

Přeně tak. To je základní kámen problému rotace pár hesel. Človek rozdá cca přes 50 (někteří i daleko více) registrací tedy hesel a nikdy nevíš co za kterou je, jak je to udělaný a kdo všechno se k tomu dostane. A hlavně je to bez práce. Zatímto u průrazu PC kvůli heslům platí úměra odměny a pracnosti, tady je to prakticky zadarmo a může to být bez problémů předmětem obchodu nekalých živlů.

 
Nahoru Odpovědět
28.11.2015 20:34
Avatar
Atrament
Člen
Avatar
Odpovídá na Milan Křepelka
Atrament:28.11.2015 20:40

Koukám, že já jich mám momentálně 134 :) Ale je fakt, že hromadu už dávno vůbec nepoužívám, měl bych to promazat :)

 
Nahoru Odpovědět
28.11.2015 20:40
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na David Hartinger
Dominik Klapuch:28.11.2015 20:41

Ahoj,

používám LastPass a na každou službu mám tak naprosto jiné heslo o 100 znacích. V prohlížeči mám doplněk. Hlavní heslo k LastPass mám napsané a shované na papíře, takže ho použiji jen když reinstaluju počítač. LastPass používá i dvojitou autorizaci přes telefon.

Na služby, kde se často přihlašuji, třeba i mimo svůj počítač mám hesla o 10ti znacích, aby mi opisování heslo z mobilu nezabralo moc času - ve škole. LastPass aplikaci mám tak i mobilu pro tyto účely.

Nicméně, nejdůležitější heslo je to od e-mailu. K e-mailu mám připojené veškeré služby. Heslo k e-mailu mám tak dostatečně silné a je to jediné heslo, které si pamatuji.

Nahoru Odpovědět
28.11.2015 20:41
Kód a data patří k sobě.
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:28.11.2015 20:44

Keepass zašifrovaný souborem, který je znovu zašifrovaný bezpečným heslem. Rozšifrovací soubor je na všech zařízeních, Dropboxu a externím HDD (šifrovaný, jsou na něm i SSH a GPG klíče)

Nahoru Odpovědět
28.11.2015 20:44
Neaktivní uživatelský účet
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
mkub:28.11.2015 21:12

heslo do apky na zapamatovanie hesiel a celkovo hesla, pin kody a pod. by sa nemali zapisovat na papier... totiz nikdy nevies, kto sa ti moze vlamat a ked natrafi na ten papier, tak ma potom pristup ku vsetkemu

 
Nahoru Odpovědět
28.11.2015 21:12
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na mkub
Dominik Klapuch:28.11.2015 21:48

To máš pravdu, ale jaká je šance, že najdou papír, který je dobře schovaný? Třeba pod stolem, na dnu šuplíku, zastrčený někde ve škvíře, či v nějakém větracím otvoru? Co bys potom navrhnul za alternativu? Nabízí se koupit si flashku, která nabízí HW šifrování a tu nosit neustále s sebou, popřípadě jako záchranu mít někde na neznámém místě venku skrytou zašifrovanou flashku.

Nahoru Odpovědět
28.11.2015 21:48
Kód a data patří k sobě.
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na mkub
Dominik Klapuch:28.11.2015 21:51

Nicméně, jestě stále mám na LastPass dvojité ověření přes SMS (Authy) a mobil nosím stále s sebou (který má šifrování sám o sobě), takže papír s heslem by jim byl relativně k ničemu.

Nahoru Odpovědět
28.11.2015 21:51
Kód a data patří k sobě.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Michal Žůrek - misaz:28.11.2015 22:02

mě trochu zaráží že všichni co považujte své zabezpečení za dokonalé (a poučujte ostatní o tom jak je anprd pamatovat si několik málo hesel v hlavě) používáte obvykle pro uloženi hesla několik služeb a moc nepřemýšlíte nad dopadem co se stane, když se objeví chyba v nějakém z těchto pilířů.

př. titulku zprávy na živě: KeePass umožňoval hackerům odcizovat hesla!
docela by mě zajímalo, jaká by byla vaše reakce na to.

vezměme třeba například facedown, on používá

  • LastPass
  • Authy
  • Mobil

pokud jakékoliv z těchto 3 věcí selže (odhaduji, že nejdřív to bude asi mobil), celé jeho bezpečnostní snažení vyletí z okna nebo bude alespoň velmi výrazně ohroženo.

Přemýšleli jste třeba někdy nad záchranným plánem co se stane, když už Vám někdo heslo jakoukoliv cestou ukrade?

 
Nahoru Odpovědět
28.11.2015 22:02
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Michal Žůrek - misaz
Neaktivní uživatel:28.11.2015 22:08

Kdyby to byl titulek zprávy na živě tak bych se tím ani nezabýval. A pleteš si KeePass s LastPassem.

Nahoru Odpovědět
28.11.2015 22:08
Neaktivní uživatelský účet
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
Dominik Klapuch:28.11.2015 22:19

LastPass bylo nedávno napadeno a byla doporučena změna hesla u uživatelů, kteří nemají své hlavní heslo silné. Jelikož samotné šifrování se provadí u klienta a zároveň na serveru, tak ukradená hesla nejsou jednoduchá prolomit.

Authy jako takové povoluje nastavit také heslo a zároveň určit kolik zařízení ho mohou používat pararelně.

Mobil mám šifrován, ale je fakt, že Android je jedna velká díra bez aktualizací - tedy spíše v případě Lenova a jeho dodání aktualizací uživatelům.

Záchraný plán:
Pokud ztratím heslo od LastPass stále vím, že všechny služby mám na e-mailu, kde si heslo pamatuji a je dostatně silné. Pokud se něco stane s Authy, stále tam je tuším možnost přesměrování na jiné číslo či mohu jít na konkrétní služby a nechat si zasílat SMS zprávy. Pro případ nouze si ještě pamatuji záložní kód k gmailu, kdyby bylo nejhůř. Mám poté ještě záložní e-mail, kdyby bylo nejhůř.

Tedy, v případě selhání přijdu o všechna hesla, budu mít práci navíc při resetu hesel, ale nic fatálního pro mou bezpečnost se nestane.

Stále to považuji za lepší způsob, než mít všude stejné heslo. Většina webů ti klidně i zašle heslo v plain textu do e-mailu, někteří používají SHA1 pro šifrování hesel, SQL Injection je ještě stále rozsáhlá, viděl jsem i databázové heslo a jméno při výskytu chyby v DB - fatal error a přístupové údaje k databázi. Opravdu chceš těmto lidem svěřit své heslo, které používáš všude?

Nahoru Odpovědět
28.11.2015 22:19
Kód a data patří k sobě.
Avatar
hitzoR
Člen
Avatar
Odpovídá na Milan Křepelka
hitzoR:28.11.2015 22:22

Většina seriózních webů (banka, mail, fb apod.) má to zabezpečení na nejvyšší možné úrovni a tam používám pár silných hesel, které různě nakombinuju. A ikdyby se náhodou stalo, že jedno heslo unikne, tak všude jinde mám sice stejné hesla, ale v jiné kombinaci, což útočník stejně neví a nemá šanci se mi tam dostat jinak než brute-forcem (a tím vlastně taky ne, protože snad všechny tyhle weby mají proti brute-forcu ochranu).

Na všechno ostatní, kde člověk neví, co se po příhlášení děje, používám jednodušší heslo. Když na něj někdo přijde, tak mi stejně žádnou reálnou škodu nezpůsobí (mimo jiné třeba i itnetwork, různé fóra, portály atd.).

 
Nahoru Odpovědět
28.11.2015 22:22
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
Dominik Klapuch:28.11.2015 22:35

Nikoho nepoučiju, ať si každej dělá co chce, jen jsem řekl jaký k tomu mám postoj. Naopak si rád přečtu názory jiných a podle toho se zařídím. Místo dávání mínusů bych si rád přečetl názory jiných či jejich výtky a podle toho se pokusil zařídit :)

Nahoru Odpovědět
28.11.2015 22:35
Kód a data patří k sobě.
Avatar
Milan Křepelka
Tvůrce
Avatar
Odpovídá na Michal Žůrek - misaz
Milan Křepelka:28.11.2015 22:53

Nečetl jsem že by tady někdo považoval svoje řešení na tutovku. Je to o pravděpodobnostech. V zásadě tu máme dva modely. Rotaci N hesel který je človek schopen si pamatovat nebo násobně složitějších hesla v násobném počtu.

Vtip je v tom, že rotace "rozdává" v podstatě stejná hesla. Pokud někomu sedneš na internetu na lep bez jakékoli snahy útočník dostane přístup XX/malé číslo tvých přístupů. Ale zadarmo. Útočník má vesměs jenom rozhozené sítě. Nejúsměvnější může na tom být třeba to, že ti útočních naschvál změní heslo a ty na tom jednom účtu prozkoušíš valnou část rotace, protože nebudeš dojmu, žes tam teda dal některý jiný.

Obráceně je teoreticky možné že dojde k průrazu systému který je na to stavěný, ale ta pravděpodobnost je o dost menší, útočník musí vynaložit značnou snahu a hlavně můsíš být vesměs konkrétním cílem.

Ta pravděpodobnost kompromitace modelu dva je podle mého mnohem menší. Prostě je to profesionální řešení které už na bezpečnost myslí od svého prvopočátku.

Je to dost podobné jako bys rozhazoval klíče(XX/malé číslo od tvého zámku) po celém městě a utočníci sbírali jenom čekali na příležitost. Nebo si měl střežený barák a útočníci by vykradli bezpečnostní agenturu která ti hlídá barák. Ta druhá možnost je prostě značně vyšší level.

Záchrané akce nejsou model od modelu různé. Pokud nastane problém, můsíš navštívit potencionálně kompromitované účty a tam ta hesla změnit. Druhý model je lehce lepší v tom, že přesně víš kam máš jít. Protože v tom máš pořádek.

 
Nahoru Odpovědět
28.11.2015 22:53
Avatar
Milan Křepelka
Tvůrce
Avatar
Odpovídá na hitzoR
Milan Křepelka:28.11.2015 22:58

Mě model rotace nevadí. Sám ho ostatně používám taktéž. Na veřejných webech bez valného impaktu. Taktéž variace několika základních možností. Jen tu popisuji jeho reálné slabiny.

 
Nahoru Odpovědět
28.11.2015 22:58
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
Michal Žůrek - misaz:28.11.2015 23:46

moc jsem teda nečekal, že někdo si všechny hesla šifruje jak jen to jde a pak....

... stále vím, že všechny služby mám na e-mailu ....

 
Nahoru Odpovědět
28.11.2015 23:46
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
Dominik Klapuch:29.11.2015 0:28

Všechno služby ke kterým jsem kde registrován mám na jednom e-mailu. Co je na tom špatně?

Nahoru Odpovědět
29.11.2015 0:28
Kód a data patří k sobě.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
Michal Žůrek - misaz:29.11.2015 0:32

a v tom emailu jsou k nim hesla?

 
Nahoru Odpovědět
29.11.2015 0:32
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
Dominik Klapuch:29.11.2015 0:37

Žádné hesla v e-mailu uložená nemám.

Nahoru Odpovědět
29.11.2015 0:37
Kód a data patří k sobě.
Avatar
hitzoR
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
hitzoR:29.11.2015 1:18

Předpokládám, že to myslel tak, že ty služby má zaregistrované na ten mail = reset hesla mu přijde právě na ten mail 8-)

 
Nahoru Odpovědět
29.11.2015 1:18
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
mkub:29.11.2015 8:05

co je to dobre schovany?

 
Nahoru Odpovědět
29.11.2015 8:05
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
mkub:29.11.2015 8:19

a co sa tyka Androidov, aj ked je to system postaveny na jadre Linuxu, chyba mu bezpecnost Linuxu a takisto v tvojich rieseniach, co pouzivas mozu bet aj backdoory, ci je to apka na ukladanie hesiel, alebo samotny telefon
a takisto predcasom mi moj znamy povedal, ze doslo k naburaniu sa na jeho telefon s tym padom dvojfazove prihlasovanie uz prestalo byt bezpecne

takze netreba slepo verit v bezpecnost techniky, ako ani by sa nemalo pisat hesla na papier, ci ukladat na flashku, ale pokial to musis, tak papier, alebo flashku s heslom daj na uplne ine miesto, nez je pocitac, od ktoreho je to heslo a zamkni ho do trezoru

 
Nahoru Odpovědět
29.11.2015 8:19
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na mkub
Dominik Klapuch:29.11.2015 11:25

Neříkám, že je to bezpečné, ale jaké řešení je tedy bezpečné? Podle mě jsou řešení bezpečnější a méně bezpečná.

Trezor je podle mě více na očích než kdybych ten papír schoval třeba pod vanu nebo pod umyvadlo :) Pokud se řekne heslo na papíru, tak si všichni představí heslo napsané vedle počítače, ale tak to u mě není.

Co tedy navrhuješ ty, popř. co používáš ty?

Nahoru Odpovědět
29.11.2015 11:25
Kód a data patří k sobě.
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na mkub
Dominik Klapuch:29.11.2015 11:28

Neříkám, že je to bezpečné, ale jaké řešení je tedy bezpečné? Podle mě jsou řešení bezpečnější a méně bezpečná.

Trezor je podle mě více na očích než kdybych ten papír schoval třeba pod vanu nebo pod umyvadlo :) Pokud se řekne heslo na papíru, tak si všichni představí heslo napsané vedle počítače, ale tak to u mě není.

Co tedy navrhuješ ty, popř. co používáš ty?

Nahoru Odpovědět
29.11.2015 11:28
Kód a data patří k sobě.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na Dominik Klapuch
Michal Žůrek - misaz:29.11.2015 11:39

souhlasím s tím, že žádné nejbezpečnější řešení neexistuje.

Ale moc mi pořád nejde do hlavy proč má někdo nějaké heslo uloženo normálně v čitelné podobě a je jedno jestli to je v trezoru, pod vanou, nebo bůh ví kde ještě, v případě nalezení hesla je heslo okamžitě prolomeno.

 
Nahoru Odpovědět
29.11.2015 11:39
Avatar
Dominik Klapuch
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
Dominik Klapuch:29.11.2015 11:51

Pokud chci, aby heslo bylo dostateně silné, tzn. 30 znaků, kombinace velkých malých písmen a znaky, tak si toto heslo opravdu nebudu pamatovat. Tohle heslo navíc ještě nemá žádný systém, je to směsice znaků.

Myslím, že si heslo k LastPass zaslouží být dostateně silné, nicméně na úkor toho, že je někde schované, je jedno jak a kde.

Neříkám opět, že je to bezpečné, ale lepší způsob mě zatím nenapadl a rád se přizpůsobím jinému.

Nahoru Odpovědět
29.11.2015 11:51
Kód a data patří k sobě.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 50 zpráv z 62.