Zdravím, dotaz za 3 bludišťáky:
Jak řešite stále se rozrůstající kvantum hesel na fóra, net-obchody, banky a podobné…Mobil vs PC…jedno heslo/různá hesla…aktualizace/ jedno heslo navždy…psané v deníčku/ využití programu na správu
Případně pokud máte další tip na zajímavé programy na běžnou správu PC s přesahem do běžného života :-) sem s ním…
používám tohle
+1
Aktuálně 932 záznamů v 52 skupinách, některé záznamy jsou i celkem komplexní (závěrečná zpráva z hostingu atd), takže je nesmysl si to pamatovat jinak. Tyto věci z mailu hned mažu, kdyby se mi do něj náhodou někdo později dostal – kromě toho, že přidělená hesla stejně hned změním. Všechna hesla náhodně generovaná, ty systémy generování hesla z domény atd co tu někteří popisují jsou velmi lehko uhodnutelné a hlavně vůbec neřeší to, když nějaká služba vyžaduje spc. pravidla pro heslo, pravidelnou změnu atd. Pak přijdou přidělená hesla, která si nelze zvolit – různé PUKy atd a je konec.
Sync s mobilem dělám přes Syncthing (nejde to přes něčí cloud), svobodná alternativa k Bittorent Sync, i když není problém to dát klidně i na Dropbox, soubor s hesly je dostatečně šifrovaný.
+1
K tomu ještě výhoda zrychleného vyplnění přihlašovacího formuláře (Ctrl + V).
Ctrl+v je ještě slabý odvar od v defaultu CTRL, ALT+A (Global auto-type). To je teprve pro často používáné okna to správné žrádlo :-)
To jsem nenašel. :-(
Není to nějaká specialita verze 2.x?
Aktuáně používám 2.27. Nastavení je v tools/options/integaration. A pokud to chce člověk použít, tak musím mít u patřičného „Entry“ nastaveno „Target Window“ v „Auto-Type“. Potom stačí v příslušném okně s přihlašováním formulářem stisknout tuto „Global auto-type“ hot key a Keepass automaticky vloží patřičné credentials. Stačí jej mít spuštěný někde na pozadí.
Máš pravdu, je to i v 1.27…
+1
používám mozeq
:-D
Klasickej TXT soubor a zašifrovanej. Nebo apk v mobilu Color notes.
Zašifrovaný TrueCrypt
Keepass v PC + Keepass2Android
Mám jedno složité heslo, které mám pouze v hlavě a z něho vznikají mutace různých hesel. Obyčejně je to přidáním podtržítka a nějaké zkratky.
+1, to samé pro každý server podobné heslo ale s nějakou mutací.
Nejsnazsi je unikatni heslo pro kazdy web, ktere si nemusite pamatovat.
Jinak LastPass.
Tohle se da snadno zneuzit pokud se nekdo dostane alespon k jednomu heslu a uhadne tvuj system.
Asi si to predstavujes jako hurvinek valku…
Nepredstavuju. Naopak o tom neco malo vim ;)
co o tom víš?
Uz z principu tohle neni tezke heslo:)
Je to funkcni a je to dobré. A heslo ma solidni obtiznost. Uplne mimo slovnikove utoky – projdi si ty seznamy ukradenych hesel nekdy :D
robim toak nejak podobne, pokial „zaklad“ je slusne bezpecny a nieco ako „nbu123“ tak neni to zle. (pre veci neznalych heslo „nbu123“ bol superuser password do nasho narodneho bezpecnostneho uradu :-) )
nicmenej problem je inde a sice v tom, ze kopa webow raz vyzaduje v hesle velke pismeno, cislo, specialny znak atd., ine ho nepovoluje, niekde je 10 znakon malo inde uz vela, niektore napr. banky vyzaduju obcas zmenu hesla atd.atd. no proste najst nejaky univerzalny kluc neni celkom easy, aspon mne sa to este nepodarilo. je to slusna pakaren.
Už dlouho jsem spokojen s prográmkem Pins
Obecne vsechny pw agregatory jsou nebezpecny… aby jste se jednoho dne nedivili. Jedina metoda je pamet a naucit se hesla o random znakach min 20+ a pouzivat jeho variace samo ze co ucet to unikatni heslo, nebo aspon naky skatulky hesel… U tech pw agregatoru je to stejny, jak kdyby jste duplikat „vaseho“ klice od bytu nechali s dobrym svedomin na nadrazce v trezoru po celej zbytek zivota…
Tak nevim ale dostatecne zasifrovana klicenka s lokalne ulozenymi hesly mi prijde cajk.
Jinak hesla o randoim znakach jsou kravina, staci dostatecne dlouhe fraze (bezne kratke vety/souslovi).
Jasny ze neco jako //1234!@$!{"}dlouhaveta!@##$ je ok nemyslel jsem uplne random ;) Ono nejveci problem vidim v tom ze lidi hesla nemenej a pouzivaj x let stejny… jenze ty hashe ktery se vsude valej v zalohach z webu pred 5 rokama je strasne mnozstvi mno a vecinou jde o naky trapny hashe z pohledu dnesni technologie. Pokud toto aplikujes na budoucnost, tak ulozeni a zasifrovani v offline podobe je asi nejbezpecnejsi s tim, ze to cele konrolujes ty, nikdy nepustis online a budes dusledne vyhledavat neprolomene sifrovaci standardy neco jako je dnes AES.. (doufejme)… coz s prichodem kvantovych pocitacu nebude nic jednoduchyho ;)
„kdyzkpulnocidumnebesjest“ je stejne bezpecny a radove lip se pamatuje :)
Jenze ted k tomu pridej ty mutace pro kazdy web, aby to nemelo logiku a zaroven se to dalo zapamatovat.
Tak jasne, takovych hesel muzes mit jen par. Snazil jsem se vysvetlit, ze (pseudo)nahodna hesla jsou zcela zbytecna. Sam pouzivam na vetsinu veci Keepass s generovanymi hesly (a k tomu kolem desitky hesel, ktere znam z pameti a drzim zvlast).
Chjo..kdyby jsi byl porybnej, tak mas rybnik davno prazdnej..... Preci jde o to jakou metodou chces to heslo lamat jestli bruteforce nebo z hashe. Oproti bruteforce slovnikovy metode to sakra pomaha mit znaky v hesle… tim o xxx radu stezujes prolomeni a navic tim ze das znak je razem o xxxx kombinaci vice… vecina bruteforce riperu je zalozena na tom ze jako vstup udavas pocet znaku, jejich rozsah napr velke male, kombinace znaku apod. ve chvili kdy reknes ze chces zkouset pismena znaky cislice, tak se dostabas na nekonecne moznosti a tim padem tva sance je mala / resp to bude trvat dlouho.
Pokud tam budou jenom pismena a jen mala – heslo je o xxxxxx radu jedodusi prolomit pomoci bruteforce.
Ono tady sice michame jabka s hruskama pac oproti tomu pokud potrebujes dehashovat heslo z hashe – tam to jedno v podstate je resp zalezi jak kvalitni rainbow table pro dany hashe mas ;)
To co tady v te diskusi ctu je dobra nightmare… Presne to odpovida realite …pocaitace pouziva kazdy, ale gramotnych je tak 5% z nich. Tragicke… Na druhou stranu co by clovek cekal na bikovem foru v debatě ohledně bezpečnosti :)
Peace.
hlavně musíš mít helmu
Peace.
tu mam, ale bohuzel ne integralni ;))
Tak jí začni používat peace.
Cela pointa meho prispevku je, ze pri dostatecne delce hesla staci pouzivat jen pismenka ;) Za domaci ukol si zkus spocitat, kolik moznosti musi bruteforce utok vyzkouset pri delce hesla 24 (muj priklad) slozeneho jen z malych a velkych pismen ;)
Hele promin, nechci se hadat ani nikoho poucovat… mam toho v praci dost, takze sem rad kdyz nemusim bejt paranoidni i normalne… ale beru to tak, ze lidem by se nemela podsouvat polopravda pac si pak budou myslet ze to je ok. Tva uvaha o dostatecnem poctu znaku je sice ok, ale fakticky pri prlomeni hesla bruteforce metodou je rozdil v bezpecnosti hesla pokud ma a nema atip. znaky. Heslo o 16pozicich kde 8 z toho budou atip. znaky bude horsi na porolomeni nez heslo o 30 znakach jen pismen tj proste holej fakt.
Pokud rad laborujes zkus si neco zlamat bruteforce metodou a uvidis o co jde…
Takze tak… sorry za prudu, ale na me tyhle veci pusobi jak citron na oko.
Jj jakmile přidáš číslici tak je to o dost lepší. Třeba sedmimístné heslo bez spec. znaků a malých písmenech prolomíš za 13min. Jakmile přidáš číslici jsi na 3 dnech. Základní bezpečné heslo je prostě 8 znaků – malá a velká písmena, číslice.
Porad se nechapeme. Vtip je v tom, ze heslo o 30 pismenech je prakticky neprolomitelne. K tomu se radove lip pamatuje, takze si ho nikdo nema potrebu psat (dokud neni nucen ho menit kazdy mesic).
Jo, aten tvuj priklad neni moc dobrej ;) Rekneme, ze je zhruba 26 atyp. znaku, plus dovolime cisla.
30 znaku, jen mala pismena: 2630 ~ 2.8132e+42 kombinací
30 znaku, mala a velka: (2*26)^30 ~ 3.0206e+51 kombinací
16 znaku, povoleno vse: (2*26+26+10)^16 ~ 1.2934e+31 kombinací
Tolik k tvým „holým faktům“
Souhlas nevybral jsem spravny priklad ~ prevedeno na pocet radu, ale o to asi nejde, protoze to nic nemeni na faktu ze znaky cisla maji svoje opodstatneni v bezpecnosti hesla @ oprava mame heslo o 30 malejch pismenech a pak heslo o 30 random znakach – cas pro zdolani hesla v pripade jedna bude nohem kratsi nez v pripade dva, ale pokud si zaridis botnet je to celkem rychlee .. a na toto jsem reagoval… nic nerikam o zapamatovani jednoduchosti atd..... pokud se v tomto shodneme jsem jedine rad. Samo pokud chces polemizovat, tak mi klido napis pm nechci to tu spamit OT pac pro BFU jsou tyhle debaty asi o nicem.
Náhodou mě to celkem zajímá jak jej v tehle číslech proskolis :) jen mi to přijde posunutý někam k teoretické stránce věci. Vy se tady budete dohadovat, který heslo je heslovitejsi a ve finále pak data prodá nějaké zaměstnanec jako balíček převazany červenou stuhou.
Jine nez alfanumericke znaky samozrejme pouzivat muzes, ale je to zbytecne. Co je u hesla dulezite, je delka (na tom se shodneme). Pokud je dostatecne velka, heslo je bezpecne. Rekneme, ze vybiras ze slovniku 4096 slov, a pozivas jen mala pismena. (Pro zjednoduseni. Aktivni slovni zasoba pro prumerneho ceskeho mluvci je kolem 4000–8000 slov, pasivni pak 30 000 – 50 000. V cestine se navic pridava zmena tvaru sklonovanim apod.) Entropie jednoho slova je pak 12 bitů (212 = 4096). Pro čtyři slova je to už 248, což je vic nez pro 16 zcela nahodnych znaku (vcetne cisel a symbolu to da 1.2934e+31 kombinací, viz výpočet výše).
Mne proste stve, ze admini/firemni predpisy nuti lidi do kratkych hesel, ktere je relativne snadne zlomit, ale tezke si zapamatovat (a proto si je lidi radsi nekam napisou). Misto toho pozadavek na dostatecne dlouhe heslo (napr. slozene ze ctyr slov) da ve vysledku mnohem bezpecnejsi hesla (ktere si lide navic zvladnou zapamatovat).
BTW pisu to sice pod tebe, ale je to mysleno spis pro ostatni
nikdo nikoho nenuti do kratkych nezapamatovatelnych hesel. kdyz mas podminku, ze musi byt velka, mala pismena, cislo a delka alespon 8 znaku, vlezes se lehce do tech kriterii i s tvym dlouhym heslem. problem je ten, ze kdyby to bylo na lidech, daji si jako heslo nejlip jedno pismenko. ;-) napsat dlouhe heslo je pro 9 z 10 lidi problem. kdyz k tomu prictes, ze nekde maji nastavenou politiku po trech spatnych zadanich se zamce ucet…
proste a jednoduse – bezny uzivatel si snadnej zapamutuje nahodnych 8 znaku nez bezchybne napise zapamatovatelne heslo o 20 znacich. to je rozdil mezi akademickou teorii a praxi bezneho zivota. ;-P
Oni by ty 4 slova i pouzili, ale musel by jim (nejlip admin ;)) poradit, jak takove hesla vypadaji, a ze muzou pouzit treba ctyri slova z prostredka nejake sve oblibene pisnicky. (Teda pokud mozno ne vsichni z te stejne :-P) Kdyz jim das dvacet prikladu, tak to pochopi docela rychle :)
tak jeste jednou… problem je ta prilisna delka, proto je pro vetsinu lidi pohodlnejsi kratsi heslo. mam empiricky overene, ze lidi lip prijali nahodne generovanou a pridelenou zmet sesti znaku, nez kdyz se pak preslo na jinou technologii zabezpeceni a mohli si zvolit vlastni, minimalne osmiznakove, heslo splnujici stejna pravidla jako predchozi kratsi.
mne proste vychazi, ze obecne je vetsi problem napsat bezchybne dlouhe heslo (kor kdyz nevidis, co pises ;-) ) nez si zapamatovat kratsi smysluproste. ;-)
pridej tomu prepinani CZ a En klavesnice a podpora nedela nic jineho, nez ze pul sichty resetuje hesla uctu…
Problem bych videl v tom „splnujici stejna pravidla jako predchozi kratsi“.
tak naposled – problem je delka. :-)
pokavad heslo pouzijes jednou do tydne pro prihlaseni do banky, budiz. ale pokavad ho mas zadavat nekolikrat denne, trva samotne nadatleni dlouho, zvysuje se pravdepodobnost preklepu, s preklepem se cas zadani hesla minimalne zdvounasobi a uzivatel zacina byt nebo uz je nasrany, protoze musi zas psat to pojebane dlouhe heslo. ;-)
jsem myslel, že to řeší hlavně ženský…a oni i ajťáci :-)
Když je uživatel trubka a nenechá si poradit správce hesel, který to vyplní za něj… tak ať je ********.
BFU jistě znamená „Bike Forum User“ :-)
Ty pocty jsou sice hezke, ale plati to jenom pro totalne nahodne generovane znaky. Uz kdyz prastis rukou klavesnice, tak to nejsou nahodne znaky:)))
pokud má Parkinsona…
Ani to ne, ty pismenka jsou proste pri sobe podle definovaneho vzoru…rikas si, ze to je nahovno, ale i takovy drobek ti snizi pocet kombinaci o nejaky ten rad:)
Máš samozřejmě pravdu, tímhle výpočtem jsem chtěl jen ukázat k3nyL-ovi, že jeho příklad je nejspíš rozbitý :) Jinak správněji se to musí počítat přes entropii, viz ten odkaz na xkcd („crazyhorsebatterystaple“ ~ 244).
Je spousta webů které ti ověří sílu hesla. Stačí použít už jen jedno malé písmeno a heslo se stane o dost těžší na prolomení. Číslice toto posune o level výše.
hlavně je dobré heslo, které sis otestoval na webu na ověřování síly hesla pak opravdu použít ;-)
Sky Wallet v mobilu.
primo v blackberry telefonu mam spravce hesel, hodne povedená aplikace
Password Safe .. pc, android zdarma .. na ios je potreba zaplatit, jako skoro za vse
jo, to je přesně o tom „dám klíče od bytu cizímu chlápkovi, kterej tvrdí, že mi je bezpečně pohlídá“
:-)
proc? vytvoris si vlastni zaheslovany db file a ten si rozkopirujes na zarizeni, nebo hodis do dropboxu atd. .. nic nelezi u nekoho na webu
A dropbox je co? :-)
CLOUD
Jasne, ale psal „nic nelezi u nekoho na webu“. Vsechny tyhlety sluzby jsou u nekoho na webu (serveru).
tak mit to tam ulozeno nemusis, jen si tim da ulehcit zivot kdyz chces mit hesla dostupne vzdy na vsech zarizenich … neco jineho je darovat hesla nekomu na web
Na webu ale zašifrované tebou, to je dost velký rozdíl.
Většinu přihlašovacích jmen a hesel do internetových obchodů si za mne pamatuje Chrome.
podobne, sak co keby za mna niekto chcel napr na bike24 nieco zaplatit :-). nicmenej zopar ich tam radsej nemam a pamatat si to neni uplne easy :-)
Jakýkoliv program pro evidenci hesel je v dnešní době potencionální jízdenka do pekla.
Proč myslíš?
Větší než jedno heslo na všechno?
mam jedno heslo na všechny weby a pod srandy. Moc důležitosti v tom nevidím, tak je mi to celkem putna. Do pracovního PC, přístupy na firemní servery, banky mám odlišný hesla který si pamatuju, cca 20. Hesla mám pro případ divoký noci a výpadku paměti napsaný a zamčený v trezoru, ale zatím nebyly potřeba.
kolik tech dulezitych unikatnich hesel bezny clovek opravdu potrebuje? spravne by je mel taky cas od casu menit. kdo to dela? :-)
Cas od casu mozna jo, ale obecne se to hodne prehani.
spis bych rekl podcenuje. ;-)
Tak nevim, ale menit hesla cca kazde tri mesice, jak se v mnoha firmach deje, je kravina.
Je, ale bohuzel nektery audit klientu to tak vyzaduje. Pak to v realu uzivatele resi nalepenim hesel na monitor ci napsanim do kalendare.
to je ten lepsi pripad. ve vetsi spouste firem jen zmacknes power na kastli a vsechna hesla mas ulozeny v prohlizecu. ;-)
Pozadavky na meneni hesel casto vedou k tomu, ze si bud hesla nejak vylepuji (papirky kolem monitoru), nebo na iteracni hesla…a pak jde zabezpeceni do kytek:)
Přesně. Ale snažím se být optimista, mohlo by se to časem zlepšit. Kolegové to studentům u nás vysvětlují dobře. (I když u státnic by jeden někdy brečel :( )
Iterační heslo je asi nejčastější řešení běžnýho uživatele na požadavek na změnu hesla. Když ti přijde člověk a ptá se „systém mi píše, že mám staré heslo a mám si dát nové… a můžu si tam dát to původní?“, tak co na to říct:))
Kdyz ti takovy clovek prijde, tak pul bidy, nas system to donedavna jeste umoznoval, ted to kontroluje shody s nekolika predeslymi hesly…nemuzes mit cisla po sobe (ale nasobky to neodhali:) a podobne blbosti…obecne pozadavky „mala, velka pismena a cisla“ vedou k heslum slabym a slovnikovy utok nebo papirkum na monitoru.
vy tu budete chlapi asi ajtaci ze :-)
No, spise nez ajtak jsme clovek, ktery je s nima kazdy den ve valce:D
Přiznám se, že mi celkově uniká smysl periodické změny hesel. Slyšel jsem vysvětlení, že se tím prodlouží doba potřebná na prolomení brutal force metodou, ale ani v tom nevidím logiku…
na nejakou hrubou silu pri lamani hesel, zejmena k beznym zamestnaneckym uctum, se ti muze kazdej ******. ;-)
ale nemuzes vyloucit, ze nekdo to svoje heslo nekomu rekne, pak dal nemuzes vyloucit, ze ten druhy to rekne nekolika tretim atd. po vyprseni hesla je uvedeno vse do puvodniho poradku. kde o neco jde se dneska casto resi cipovyma kartama, otiskama prstu, zdvojenim uvedneho i v kombinaci s heslem apod.
pokavad staci jen neco natukat do klavesnice, nedostanes se k nicemu citlivemu nebo jsou ve firme diletanti. ;-) to vyprseni hesla vlastne slouzi jen pro vyssi bezpeci zamestnancu, aby si z nich kolegove mohli delat legraci jen urcity cas. ;-)
obecně biometrie (PalmSecure, fingerprint, scan sítnice…) na login + přes kameru (face recognition) kontrola přítomnosti a jak jsi pryč, tak automatické odhlášení. spolu se šifrováním disku (TPM) je to dost neprůstřelný…
bezne je, ze nemuzes pouzit frazi z nekolika predeslych hesel. ;-)
Povidej, prehanej.
provozujes si sam svuj mailovy server? jestli ne, je to taky svym zpusobem jizdenka do pekla. ;-)
Jako souhlas. V tomto kontextu už jsem potkal eshopy, které posílají username a heslo přes mail a to nejen nově generované, ale i po změně uživatelem. Co k tomu dodat.
Proč chodit tak daleko, že…
Když si ale ten email přečteš až do konce, tak se většinou dozvíš, že si máš heslo při prvním přihlášení změnit. To, že to téměř nikdo nedělá je jeho věc. Jak jinak bys to heslo chtěl získat?? Poštou, holubem????
normálka – přijde za tebou admin a pošeptá ti ho do ouška ;-)
Heslo bys měl zadávat sám v rámci registrace.
a protože vyplněnej formulář z tvýho počítače na cílové stránky odchází nezašifrovanej, je to mnohem bezpečnější ;-)
Pochopitelně pod https.
Diskuse jak u blbých, končím.
na celý řadě stránek jsi na HTTPS až když se přihlašuješ, ale tvorba účtu/vyplňování formu je často nešifrované
Asi jsi nepochopil, že naráží především na to „i po změně uživatelem“ a nemyslí tím, když zapomeneš heslo a necháš si poslat nové, tam je to jasné, to moc jinak nejde. Pokud je login přes https, máš při zadání hesla celkem jistotu (vynechám NSA, keyloggery atd), že ho kromě provozovatele nikdo nezíská. A i provozovatel by ho měl okamžitě zahashovat, aby se s ním nikde nepracovalo a neznal ho ani on. Pokud ti to heslo pošlou zpět poštou, nemáš šanci to heslo změnit tak, aby se nedostalo mimo daný web. A vůbec vrchol je, když ti zapomenuté heslo klidně pošlou místo generování nového – tzn. mají ho uloženo. Pak stačí aby unikla db (od webu který ukládá plaintext hesla to jistě nebude těžké) + ty systémy některých lidí na tvorbu hesla z domény (případně a vidím to často, jedno heslo na všechno) a útočník má přístup skoro všude. V tomto případě generované náhodné heslo pro každý web jedinečné pomůže aspoň tak, že unikne heslo, které nemám nikde jinde použité, tj. dojde ke kompromitaci jen jedné služby.
Sticky Password
Ale tady máš rozdíl v tom že to šifruješ ty a ne provozovatel.
