Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Expert: Nebuďte naivní, neopakujte hesla. Pozor na malé weby

Heartbleed - chyba v internetovém šifrování - zasáhla celý svět. S bezpečnostní expertem jsme hledali, jak se největší bezpečnostní problém posledních let dotkne jednotlivých uživatelů. Rady jsou jednoduché: používejte unikátní hesla, dvojitou autorizaci a aktualizujte software i hardware.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

L31u82d55v15í43k 58G91a24j23d74o86š24í82k 2195203564702

Stejná hesla: "...Stačí, když se jedna z mnoha stránek, na kterých heslo používá, stane terčem útoku. V tu chvíli má útočník snadný přístup i do všech ostatních..."

.

To je sice pravda, problém je ale v tom, že útočník NEMŮŽE znát další služby daného uživatelel a zjistit by to mohl jen intenzivním a dlouhodobým sledováním tohoto konkrétního člověka. To můžou jistě dělat tajné služby. Nikoliv však nějaký hacker z Pakistánu po netu. A hlavně - proč by to dělal (pokud tedy zrovna nevyvíjíte nějaké jaderné zařízení nebo podobně).

Asi není dobré si dávat stejné heslo co máte v bankovnictví do účtu e-shopu se psím žrádlem, ale jinak nevidím důvod, proč u bezvýznamných účtů nepoužívat stejné heslo. Případné odcizení identity u takových účtů pro vás obvykle stejně neznamená vůbec nic.

+3/−2
16.4.2014 10:28

F40r73a63n48t27i79š80e74k 81L26u22f13t 5387179924726

Taky takhle uvažuju. Hesla mám 3 - do banky, datové schranky a vsechno ostatni. Takže NSA sem bude moci psát příspěvky pod mým jménem. :-)

0/0
16.4.2014 10:54

J25a34n 56M78o21h50y29l26a 6302569309291

Tak největší škody stejně způsobí nejznámější stránky - emaily, sociální sítě,PayPal… a na to přijde i ten Pákistánec.

+2/0
16.4.2014 12:58

F43i59l28i81p 27T81ř34e31b92a 6363500118796

On ale vůbec nepotřebuje vědět, jaké služby používáte. Stačí znát funkční kombinaci username:password (resp. desetitisíce takových kombinací), které pak metodou brute force zkouší přístup kamkoliv, kam zrovna chce získat přístup.

A vůbec to nemusí být hacker z Afganistánu, stačí schopnější puberťák, co se snaží dostat na placené porno.

A protože procento lidí, kteří používají na všechno stejné heslo (včetně mě, ještě relativně nedávno), byl byste překvapen, jak často je tento postup úspěšný.

0/0
16.4.2014 16:29

T33o26m45á88š 85S15k80á23l97a 6578627

právě že vůbec nemusíte sledovat. Prostě zkusíte hlavní stránky. Jednou mi stačilo vytvořit účet s "anonymním" heslem na dxtreme a do pěti minut mi přišli maily z facebooku, blizzardu, CCP, že se tam někdo pokoušel dostat z čínské adresy. 

Hlavní a kritické je mít unikátní heslo na mail používaný k registraci ostatních účtů. Protože mail, username, password dostává každá z těchto stránek. Z mailu WWW rozhraní většinou zjistíte (pokud existuje) a pokud heslo sedí, stačí projít archiv. Nebo prostě čekat až se objeví zajímavý potvrzovací mail k novému účtu kdekoliv. Ani o tom nemusíte vědět, že vám nějaký bot prolézá schránku.

0/0
16.4.2014 17:20

V41l44a30s20t57i42m90i96l 59T46e24n63c43e94r 4300140847100

Mám si taky změnit heslo, když chci zdarma odeslat SMS přes bránu T-Mobile? Co když se mi tam někdo nabourá. :-/

0/0
16.4.2014 10:19

Š45t73ě32p75á55n 93F14r40a39n24c75l 8164309844960

Ano, protože T-Mobile také používá OpenSSL.

0/0
16.4.2014 16:18

B85l46a95ž71e75j 88M12o39t90y64č65k68a 8827507675810

Představa,  že manželka využije této díry a nabourá se mi emailu mě velice rozrušila.

0/0
16.4.2014 10:14
Foto

F30r80a76n34t34i85š84e49k 26H78r27a27b25a89l 3393609266768

Když už jsme u té paranoie s hesly, tak bych jí nasměřoval i na ty nástroje pro ukládání hesel.

Já si krásně zvolím cca 80 různých hesel, které splňují bezpečnostní zásady. Tyto uložím do online aplikace, o které se tvrdí, že je bezpečná. V tu chvíli má potenciální útočník možnost se dostat ne k jednomu mému účtu, ale ke všem. Vše tedy za předpokladu, že se dostane do té aplikace.  

To samé bych mohl říct o správci hesel, který není online - útočník se může dostat do mého počítače a přístup k němu získat.

Tím nechci říct, že bych podporoval hesla typu Mama0123, bezpečnost internetu je všeobecně podceňována. Já také používám správce hesel, protože si je prostě nedokážu zapamatovat. Ovšem je třeba najít nějaký rozumný kompromis mezi bezpečností a uživatelskou přívětivostí. Potenciální bezpečnostní díru můžeme dnes najít v podstatě všude.

+1/0
16.4.2014 10:04
Foto

P96a97v58e37l 94K97a16s82í67k19, 85T21e62c71h57n93e94t38.94c59z

To je správná úvaha. Proto je potřeba vybrat správce hesel, který ukládá hesla šifrovaná. Například LastPass šifruje hesla vaším klíčem (Master Password) a oni sami tak vaše hesla neznají (samozřejmě, že je tu určitá úroveň důvěry). Celkem pěkné (i když nadšené) shrnutí je na http://lifehacker.com/is-lastpass-secure-what-happens-if-it-gets-hacked-1555511389

+2/0
16.4.2014 10:17

L20u11d95v79í91k 58G70a85j48d60o13š48í91k 2855523194542

Jak říká pan Kasík. Tito správci mají data skoro vždy šifrovaná a na zabezpečení takové databáze je zaměřena převážná část snažení autorů takové aplikace. Onlineovým správcům hesel bych se určitě vyhnul velkým obloukem. Nicméně je mraky i portable aplikací, které můžete mít na flashce, nosit je všude sebou a fungují i napříč počítačovými systémy včetně chytrých telefonů.

0/0
16.4.2014 10:37
Foto

F34r81a69n50t66i76š98e38k 62H16r69a33b29a60l 3433119166748

Použití offline správce (PasswordSafe například) je pro mne samozřejmostí. Asi nikdy bych nedal svá hesla někam do Cloudu nebo na jiné online úložiště. Prostě jim nedůvěřuji i když je to možná trochu anachronismus. Online si nechávám jen záložky (jsem příliš pohodlný je synchronizovat s přenosným médiem). A heslo do správce jsem zvolil skutečně složité.

+1/0
16.4.2014 11:16

R10a27d65e78k 34Z21e67l31y64c69z 1928358202620

No, jsem mozna konzerva, ale ja si zapisuji hesla uz drahnu let do excel tabulky, zalohy samozrejme mam..

0/0
17.4.2014 18:00

R13o68m22a68n 54G92o43r11č67í26k 9846873479656

Jsem někde slyšel, že "komunita" chyby odhaluje a opravuje rychlostí blesku... Kde soudruzi udělali chybu???

0/0
16.4.2014 7:43

D87a27v12i42d 26Š84m34í52d 8747105699129

To jste slyšel špatně.

To tvrzení mohlo znít že "Chyby v OSS jsou zpravidla opraveny mnohem rychleji než v proprietárním softwaru."

Odhalování chyb je jiná písnička, ale vzhledem k tomu, že má podstatně více lidí přístup ke zdrojovým kódům, bych věřil tomu, že i odhalování je rychlejší.

0/0
16.4.2014 7:48

K28a12r16e15l 12E52n53d66l63e17r 3913880170715

Klidně tomu věřte - tadyta tam byla jen dva roky.

0/0
16.4.2014 9:32

L73u41d11v79í89k 85G54a79j14d61o37š75í49k 2845193374682

akorát o ní nikdo nevěděl. :-)

0/0
16.4.2014 10:06

M52a65r35e90k 37D94e65m73č41á31k 9835584946375

Spíš věděl a hodilo se mu, že tam je. Nebo, a to už je spekulace, ji tam sám nějak propašoval, a zveřejnil to až v momentě, kdy o tom vědělo a zneužívalo to moc lidí.

0/0
16.4.2014 10:10
Foto

P93a70v52e53l 33K72a83s23í24k32, 24T49e78c39h61n66e43t38.93c63z

Pokud o ní věděl někdo, kdo věděl, jak ji prodat, tak ji pravděpodobně nenahlásil. A protože je to útok, který se (bez jeho znalosti) těžko detekuje, tak se sotva dozvíme, kolik útoků bylo provedeno ještě před 2014.

0/0
16.4.2014 10:19

L35u63d26v44í77k 75G37a48j68d12o94š83í76k 2665663324952

S tím nelze než souhlasit.

Na druhou stranu zveřejnění takto závažné chyby na černém trhu by se asi dlouho neututlalo a především by napadení jistě nějak negativně pocítili, že se něco děje. Byť by nevěděli odkud útok přichází.

Žádné takové signály ale zatím nejsou.

0/0
16.4.2014 10:43
Foto

D61a46n52i54e37l 42K21o50č57i65c13a 4165968926882

Domnívám se, že právě takto na to borci od google přišli. Nebo alespoň mi to přijde jako mnohem pravděpodobnější způsob odhalení chyby než ta oficiální verze. Zkrátka než sdělit uživatelům: "průser, dva roky nám někdo tahal hesla z google accountů" je vždycky marketingově lepší říct: "náš skvělý tým testující bezpečnost odhalil, že někdo jiný udělal chybu a proto si raději změňte hesla" Kdo ví jak dlouho jim ta data z jejich srdíčka vlastně tekla :-/

0/0
16.4.2014 22:02

L94u68d73v77í35k 74G77a94j33d25o21š28í48k 2465823224162

Tak v tomto konkrétním případě byla knihovna opravena ještě před tím, než to u nás zveřejnila média. Zde se o tom psalo tuším poprvé minulé úterý a servery se záplatovaly už v sobotu před tím.

0/0
16.4.2014 10:05

D65a15v96i84d 49Š36m91í51d 8757855229719

To je ale "expert".

Naopak. Nezapamatovatelná hesla s podivnými znaky jsou nebezpečná: http://xkcd.com/936/

Ale když se to vezme kolem a kolem, 99,9 % uživatelů stejně nedisponuje ničím zajímavým, kvůli čemu by se hackerům vyplatilo vůbec se pokoušet hesla k jejich nebankovním účtům hádat/odhalovat.

A kdo používá stupidní hesla k Internetovému bankovnictví, tomu to patří.

+2/0
16.4.2014 7:40

J31a50n 74M23a10t24u12c88h40a 5575289667226

Máte pravdu, ale řada systémů stále vyžaduje hesla o délce max 8 znaků.

0/0
16.4.2014 9:54

B37l43a19ž93e73j 67M45o58t47y11č10k17a 8497677755310

bankovnictví máte ještě ověřováno na váš mobil, takže tam je to taky jedno:-)

0/0
16.4.2014 10:09

L12u48d62v15í73k 82G49a97j27d33o44š93í80k 2575473474832

Dovedu si představit i lidi, kterým nemusí být úplně jedno, když někdo sleduje byť jen pohyb na jejich účtech. :-) Rath, Janoušek, Oulický, Rittig...

+1/0
16.4.2014 10:46
Foto

P57a15v26e97l 77K17a49s62í34k29, 49T67e72c41h47n80e85t90.94c22z

To jsou zkrátka dva druhy úvah o heslech. Jenže ono to xkcd heslo (kterážto úvaha je mi blízká) má taky svoje vady, konkrétně lidé často volí slova příbuzná apod.

0/0
16.4.2014 10:23

J91a39n 86M45o90h70y39l73a 6642119989621

O některých správcích nemám nejmenší iluze vzhledem k tomu, že celá řada stránek mi je schopna poslat zapomenuté heslo otevřeně do emailu, což znamená, že jim tam někde vesele leží v plaintextu.;-D

+5/0
15.4.2014 23:49

V26í58ť43a 51N77o53v93á97k 1108803535421

123456 mám vyměnit?

+3/−1
15.4.2014 23:07

M81a34r84t84i62n 17F89r62a34n55t53i70š69e35k 7365480433845

je to krátký. přidejte 78

+2/0
16.4.2014 11:56

A60l34e66x33a18n38d89r 69K37o90s91t94k41a 5479966149206

Sory, ale u obyčejného uživatele ja daleko, daleko větším bzepečnostním rizikem "bezpečnostní otázka" případně nezabezpečený mail. Minimálně každý druhý má jako "security question" něco, co lze poměrně snadno zjistit. Jméno manželky, dcery, psa.. Tipoval bych si, že u poloviny z nich toho psa jmenují na facebooku. A spolu s ním tam také mají napsáno, kdy budou na dovolené.. A pak se diví, že jim někdo vybere kvartýr.  A přez nezabezpečený mail se resetne jakékoliv heslo že? :)

0/−1
15.4.2014 22:51

B15e84n 75P65a73v47k74a 1167723877731

99,999999... % internetu je stejně informační žumpa a porno.

+6/0
15.4.2014 20:45

J25a51n 14P59r23o48v55a85z18n72í94k 6938254350251

Abych řekl pravdu, nepracuji s plány na invazi do USA, nemám klíče k jaderným zbraním a žádný převratný patent v počítači nemám. Sice by bylo celkem nepříjemné, kdyby se mi někdo dostal na facebook, do mailu a nebo na účet idnes.cz a psal tady nějaké stupidní komentáře ale rozhodně mi to nestojí za to, abych měl na každé stránce jiné heslo obsahující velké písmeno, malé písmeno, číslo, speciální znak, aby netvořila tato písmena slovo a další blbosti na zabezpečení.

+12/−1
15.4.2014 19:47

T96o67n92d17a 55H65e58j29l50í71k 1778213229597

E-banking? Tam už jde do tuhého...

0/0
15.4.2014 21:35

J60a60r30o64m74í27r 32K41r78á55l 4840609884419

Ten zpravidla využívá jiný způsob.

0/0
15.4.2014 23:02

A25l21e69x49a49n76d79r 80K97o26s32t25k94a 5109426819116

Jak tak nad tím přemýšlím.. Ono by šlo naprosto stejným způsobem i chytat smsky na SMS bráně. SIce by to vyžadovalo opravdu dost snahy, ale v kombinaci s tím bankovnictvím je potenciální zisk minimálně v milionech USD.

0/0
15.4.2014 23:45

B35e95n 35P57a52v40k29a 1967133837271

Jste mně připomněl známou, která se mě ptala, jestli se jí někdo nemůže jako nabourat do notebooku a tak. Jsem jí na to s klidem odpověděl, že lehčí je ten notebook ukrást.

Já jako nezlehčuji kyber kriminalitu, ale prostě to by se z toho člověk musel zbláznit. Jestli někdo má větší množství peněz, a nechť si každý dosadí částku dle libosti, tak si prostě zařídí speciální účet a ten nechá bez dálkového přístupu. A prachy se vydají např. kontra hlavou manželky;-D

+5/0
16.4.2014 0:21

T21o18m56á66š 34S42k18á80l31a 6378437

proto internetová bankovnictví mívají limit převodu a kontroluje se to ještě úplně zvlášť i u běžných malých účtů. Ono popravdě, není problém ty peníze z účtu někomu převést. To je to nejmenší. Ono je trochu problém s nimi utéct a užít si jich.

0/0
16.4.2014 17:30

J42a77n 61P43a96v48e78l27k88a 3587761304871

Uvedomujete si, ze tim rikate: nic nedelam, nic nemam a dohlednu nejdal na spicku bot?

+3/0
15.4.2014 22:05

J35a41r87o84m90í71r 46K65r58á68l 4720519594979

Ano, uvědomuji si, že se někdo může z mailu dozvědět, kdy přijedou děcka na oběd a jak se mají vnoučata. ;-D

+2/0
15.4.2014 23:04

M81a86r28e20k 53H67r92u27b72y 6237542901498

Hmm, a co kdyz vasim jmenem z vaseho nabouraneho mailu nekomu napise neco oskliveho? Pripadne ziskanim mailove schranky ziska moznost resetovani pristupu do vasich dalsich uctu? Porad je to v pohode?

+2/−1
16.4.2014 0:38

J78a23r34o50m89í29r 31K35r45á57l 4260199844719

Pak mohu celkem snadno prokázat, že to neodešlo z mého počítače

0/0
16.4.2014 7:07

K84a72r15e20l 83E98n66d91l98e78r 3153190370705

To teda nemůžete. Neexistence něčeho se dokazuje velmi špatně.

0/0
16.4.2014 9:34

B61l27a42ž92e51j 91M32o40t18y77č52k30a 8347617335690

zprávy emailu nemužete brát vážně a není třeba nic dokazovat, to by si měl každý uvědomit.

0/0
16.4.2014 10:07

B19l35a80ž82e29j 21M62o38t54y33č56k79a 8447297405620

pod jakymkoliv emailem vám pošlu cokoli, na to se nemusím bourat do emailu;-)

+1/0
16.4.2014 10:03

I58v68o 17Z12d64e74b26o61r41s75k93ý 3623891590471

Prostě jeden z devíti miliónů Čechů.

+1/0
15.4.2014 23:36

T42o32m89á52š 33J36e17l58í98n88e86k 3687939226879

Tak si jen představte, že útočník se dostane do všech Vámi využívaných služeb, kde, jak říkáte, není nic zajímavého. Ale co když Vám pouze vymaže obsah vše těchto služeb. Jste si jistý, že Vám nebude scházet, žádný e-mail, fotka, kontakt, soubor?

0/0
16.4.2014 1:52

J20a76r24o93m60í26r 59K68r93á91l 4720499164349

Cloud nemám důvod využívat, na jiných veřejných úložištích nic důležitého nemám, atlas hub (fb) pokládám za ztrátu času a přímo do počítače s těmi důležitými daty není tak snadné se dostat.  Zkrátka heslo má být úměrné důležitosti.

0/0
16.4.2014 7:14

B58l71a78ž17e90j 34M89o91t95y14č55k98a 8697287245940

a kvuli fotce si dam nezapamatovatelné heslo,  které zapomenu,  ale hlavně že fotka bude v bezpečí.

0/0
16.4.2014 10:11

M79i14l73a31n 98K79r68u38p42a 5868733378963

Jenom drobnost.

6x je ve článku uvedeno jméno "Jacoby", ale 3x se tam máte překlep "Jakoby".

0/0
15.4.2014 19:30







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.