Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone

Pokud jste si někdy udělali účet v českém herním obchodu XZone, doporučujeme okamžitou změnu hesla na všech službách, kam jste použili stejné přihlašovací údaje. Ty současné totiž kolují po internetu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J69a28n 26S47t33r15a22k49a 6665982462552

Moje zkušenosti z ukradením moji mailové adresy i hesla i když jsem heslo nikdy nikomu nesdělil jsou následující: ze zahraničí mi nyní chodí zprávy o nedoručené poště, kterou jsem nikdy neodeslal, ale jsou odesílány z moji mailové adresy. Změnil jsem si HESLO dle doporučení Seznamu.cz a musím prý počkat až odesílání z mé adresy ze zahraničí ustane. Seznam nemá prý možnosti v zahraničních serverech zasáhnout Adresu nechci měnit. Tak poraď pokud víš co s tím udělat?

?

0/0
23.11.2016 15:44

R28a85d65i17m 72Z23e48h21e29r 3894810263441

Tady v Brně mají prodejnu že by jeden brečel. Zastrčenou ve forhauzu, který vypadá jako vybydlený. Jestli tahle vedou i své servery, task potěš pánbu. Kupoval jsem u nich jednou jedinkrát, never more. Garážovka jak vyšitá, aspoň tady v Brně jo.

0/0
28.10.2016 12:33

M31i81c11h72a96l 67M53i57n89a28ř98í45k 9522806209388

Přece nejdem debil, abych při registraci uvedl e-mailovou adresu a heslo, které je zárověň i k tomu e-mailu;-D;-D

+1/0
26.10.2016 21:34

J51a52r50o64m20i66r 66C72h61a51l25o80u37p55k78a 4459987135117

Minimálně třetina lidí to tak dělá... To ale v zásadě nevadí. Nejhorší z toho celého je fakt, že hesla jsou ukládaná jako plaintext. Za to bych dával tak 1000 let v průvanu za víte co...

+6/0
27.10.2016 12:50

M32i21c76h69a41l 92M96i38n67a66ř70í29k 9412386819768

To nevadí, že třetina uživatelů předá e-mailovou adresu i s heslem soukromé firmě?

To je jako by dali zloději klíče od svého domu a pak se divili, že byli vykradení.

Víš co řekne policie člověku, který předal zloději své klíče od domu?

To samé by měla policie říct lidem, kteří předávají tak citlivé údaje jako helsa ke sým mailům atd.;-D

0/0
28.10.2016 10:21

Z46b41y61n33ě63k 24Š37a20f54a52r71č30í43k 5487628455494

Pokud vím, tak facebook po vás při registraci chce heslo k vašemu emailu, aby proskenoval vaše kontakty. Zajímalo by mě, kolik lidí mu ho dá, ale evidentně to není nic výjimečného, jak se vy tváříte.

+2/0
28.10.2016 13:17

M79i86c26h73a81l 19M70i23n38a98ř16í89k 9312826519548

Facebook nepoužívám, ale kdyby jo, heslo ke svému mailu bych mu nikdy nedal. Ani žádné jiné soukromé firmě nebo osobě.

Není důvod, aby mi jakákoliv firma proskenovala kontakty nebo cokoliv jiného.

+2/0
28.10.2016 14:43

J77á41c13h47y78m 46K17v83a66s24n88i31č75k93a 9281138346795

Takže pokud mi od xzone nic nepřijde jsem mezi těmi 90000 tisíci šťastlivci?

0/0
26.10.2016 17:03

M61a51r65t13i64n 32B89á20r35t25a 4305296336682

"zašifrování (MD5) "

-> když pominu, že MD5 není šifra tak i použití md5 v roce 2016 je dost úsměvné...

+4/−2
26.10.2016 17:02

P29a74v65e16l 59S97o69b42o78t42k17a 5670294

MD5 není problém, není prolomeno tak, aby bylo možno získat z hashe zpět heslo (jen brute force nebo slovníkovým útokem, ale to je pak jedno jestli použijete MD5 nebo SHA256, jen se liší potřebný čas).

Takže chyba byla jinde - nejspíš v tom, že dotyčný (jako je nejen v Česku zvykem) nedokáže navrhnout systém tak, aby hesla ověřoval, ale nevyzrazoval.

+1/−4
26.10.2016 21:21

M49a46r44t80i13n 64B51á30r10t88a 4745766806562

Díky inteligentním uživatelům je slovníkový útok jednoduchý.

Každopádně ani SHA256 není žádný zazrak. Když už tak minimálně bcrypt.

+1/−3
26.10.2016 21:31

P68a20v91e62l 46S90o29b11o11t38k21a 5530364

fakt netušíte, že v tomhle případě je to jedno?

+2/−1
26.10.2016 21:48

P20e28t71r 32S94o95k12o50l 8722901437271

Není to jedno, kdyby to jedno bylo tak je SHA256 se saltem mezi doporučenou ochranou, ale on není, důvodem je rychlost zpracování.

+2/0
27.10.2016 18:25

E63d81a 47D29r84á90b38e77k 7509102323857

md5 ani nikdy nebude "prolomeno tak, aby bylo možno získat z hashe zpět heslo", to totiž z principu nejde, jde jen ověřit, zda vám i zvolené slovo je nebo není heslem.... takže "zpětně získat" nic nejde, jde jen "uhodnout heslo" a pak ověřit, zda bylo hádání úspěšné či nikoliv

+1/0
29.10.2016 0:46

A78n70n76a 10T48r45o16c68h59t38o40v12a 1377655791801

Pak jak je internet bezpečně nebezpečný a nespolehliví, jen můžeme doufat, že zákonodárce udělá pořádek a zákon se bude více v těchto případech přiklánět na stranu poškozeného, poškozených i ta skutečnost, že se tyto informace se ocitli na Ruském serveru i ta něco odhaluje a o mnohém svědčí![>-]R^EUX

+1/−9
26.10.2016 16:36

V77á16c95l29a57v 45P81o18u80s81t25k47a 3810741842

O čem třeba?

0/0
26.10.2016 18:33

T19o95m84a53s 34H29a12c11e36k 6844747665357

Pro boha to je ale vyblitek. Proc mate takovou touhu se vyjadrovat k necemu cemu absolutne nerozumite?

Jaky ma zakonodarce udelat poradek? Jak se ma zakon vice priklanet? A co odhaluje ze se informace objevila na ruskem serveru? 8-o

Zenka nechci Vam do toho kecat, ale rubrika ona.idnes.cz je pro Vas vhodnejsi cteni.

+3/0
27.10.2016 16:18

A50n45n90a 28T20r57o98c44h14t12o37v43a 1877675281661

Proboha co je to za výlitek, začínáte hned v úvodu pěkně primitivně útočně, asi se doma také tímto nevybíravým způsobem chováte ke své ženě a pokud o této technologii a problémech digitální technologie víte více, tak o tom pište, ale NE absurdně a ne demagogicky a lživě a i toto nakonec může pomoci v narovnání spravedlnosti v oblasti digitální technologie! Tak prosím můžete lid České republiky svým odborným psaním udivit, tak jako Snowden udivil jak znalostmi, tak ukradenými dokumenty Američanům o této digitální technogii, kterou vyvinuli a která jim patří!

0/0
30.10.2016 7:58

J30a67r86o84m52í30r 16K51r22á55l 4600759144689

A pokud skočíte z okna a zabijete se, také za to může stát ?

0/0
28.10.2016 7:07

A44n82n77a 56T67r45o89c95h36t33o74v50a 1157925561201

Tak skočte z okna, stát Vám v tom nebrání a za Vaší hloupou hlavu, vůbec nijak neručí, nebo článek je o spolehlivosti, nebo nespolehlivosti internetu a pokud je nespolehliví, tak se má tato skutečnost vzít v potaz v pravdivém posouzení a nakonec ve spravedlivém soudním rozsudku!! ;-D[>-]R^EU!!

0/0
30.10.2016 7:20

P45e60t82e44r 16V26a86ň81u81š29a38n49i16k 4647966336392

nic ve zlym, ale md5? Jine nez sha256 + salt by obchod pouzivat nemel probuh!!

0/−1
26.10.2016 16:28

P45e67t54r 64S40o98k82o75l 8342411627191

sha256 tedy rozhodně nikdy ne. Bcrypt, scrypt, PBKDF2.

+1/−1
26.10.2016 16:41

J11a25r22o93s12l19a98v 92S68k62a28l94i94c74k47ý 7167494888702

jeste ze se odbornici domluvi, pak to tak taky vypada co? ;-D

+1/−1
27.10.2016 10:19

P36e51t21r 68S35o12k54o15l 8612101677801

Odborníci se už dávno domluvili, jen ten pán to nereflektuje, takže jsem ho opravil.

+1/0
27.10.2016 18:24

M83a34r72t79i13n 26K54u13k55o96l 8390697825

Tam naštěstí nenakupuji, ale na mnohých obchodech jsem registrovaný nakupující... :-/

+1/0
26.10.2016 16:26

J48a58n 69C65o61n75s36t44a70n35t67i89n 1552851903570

tak díky, dropboxi! ;-€;-€

0/0
26.10.2016 16:22

J14i47n92d10r80a 43N70o32v93á43k 4881939850253

Co někdy místo bujarých prohlášení, trestních oznámení a přiblblého marketingu investovat do penetračních testů? A to je obecná poznámka, nejen XZone.

0/0
26.10.2016 16:07

M39i21l50a85n 85Š53e83l49i98g33a 7411464233973

No zaklad je mit na mailu jine heslo, nez kdekoliv, kam se mailem clovek prihlasuje. Ale mit v kazde sluzbe jinaci heslo je naprosta utopie.

+13/−2
26.10.2016 15:35

M14a89t57e40j 63F55i51l58i46p 9682124156

Proč utopie když existují správci hesel? Ať už v prohlížečích (ten v Opeře byl bohužel nedávno prolomen 8-o ) nebo v podobě externích prográmků. Takže mít v každé službě jinou kombinaci jméno/heslo není zase až tak složité.

+2/−3
26.10.2016 16:46

M86i47l70o27š 85Z41a58v55ř95e55l 9481695983467

To nemate pravdu. Hesla lze volit a zamenovat tak, ze vzdy budete vedet jake jste na tom danem serveru zadaval - a i kdyby se k nemu nekdo dostal, na dalsim serveru to heslo nezrekonstruuje

+2/−1
26.10.2016 16:54
Foto

H72a64n47a 68A68n43t30o71n27o14v85á 6587409394724

jako že mám heslo ananas a na seznamu mám ananasSez, na alze ananasAlz, v bance ananasBan a podobně?

0/0
30.10.2016 11:37

M79i73l81o83š 80Z65a46v77ř81e47l 9101875673127

Tak okate to delat nesmite :)

+1/0
30.10.2016 12:10

P58e50t86r 40P26e81t86r20á77s10e67k 7842257296663

Mozne to je úplne v pohode, ja používám eTrezor a jsem vysmaty ;-)

0/0
26.10.2016 17:03

M40i37c11h28a81l 26K80r66e85j28č80a 5368856656313

Tak pred rokem je hackli a oni presto nehnuli pr.deli, aby upozornili zakazniky na moznoun ztratu a nutnost zmeny hesla? Holt profici...

+24/−1
26.10.2016 15:30

T68o55m61á69š 68N62e97u27m24a57i85e68r 9959800258957

Bože, ti inteligenti, co tu obhajují md5... Tak z pozice programátora:

Drtivá většina kombinací do osmi znaků má již známý hash. Takový hash vám stačí pak dát do nějaké online databáze, která vám vrátí heslo. Téměř nikdo nepoužívá heslo o třiceti znacích a pokud ano, pak je zpravidla takový člověk pro hackery nezajímavý, protože stejně bude (opět pravděpodobně) používat na různých služeb různá hesla.

Z prvního důvodu se přidává sůl (salt) do hesla, což je jeho manuální prodloužení o x znaků. Tedy z hesla "heslo" uděláte třeba "heslo#1!\/584ssa" a máte téměř jistotu, že ačkoliv "heslo" bude mít již známý hash, vaše uměle vytvořené heslo jej mít nebude (tohle se dělá na straně serveru).

MD5 je pak zastaralé ze dvou důvodů. Prvně je znám způsob dešifrování. Tedy, přesněji, je znám způsob, jak vytvořit souhrn znaků, které budou mít stejný hash, jako původní (neznámé) heslo. Na internetu jsou o tom vědecké práce. Podobně dochází pomalu k odrolování SHA1. Druhým důvodem je pak jeho "věk" a velké množství hashů v databázích.

Ale samozřejmě, že když pošlu článek skrz MD5, tak (téměř s jistotou) vznikne takový hash, který v žádné databázi není. Jednoduše proto, že nikdo v oněch online databázích neprohnal onen článek skrz hashovací funkci.

+16/−1
26.10.2016 14:36

P50e26t21r 50N20i98v68n85i84c76k83ý 3112224455557

Takže sám uznáváš, že problém není v MD5, ale v uživatelích, kteří si dávají jednoduchá hesla. To je zásadní rozdíl.

+3/−9
26.10.2016 14:51

T10o54m56á41š 22N32e54u60m14a41i19e85r 9709940568847

Teď jsem si zkoušel decrypt hesla "abcdefg1234!". Mně to přijde jako solidní heslo a přesto se v databázích nachází. Ne, MD5 je prostě problém. A pokud je zkombinováno MD5 s programátory, co neslyšeli o něčem jako je salt hesla, tak skutečně, jak tu bylo zmíněno, mohou být hesla rovnou v plain textu.

Mimochodem, kdysi jsem u jedné služby, která si chránila přístup k jedné službě přes MD5 (externí služba s autorizací přes hash, kde porovnávala očekávané hodnoty s hashem), se snažil dostat skrz ono zabezpečení. Zhruba ~7 let zpět, ač jsem měl ~100 000 hashů, nebyl o nich žádný záznam. Dva roky zpět jsem nechal tuto svoji databázi projet skrz online databáze a podařilo se několik z těchto hasů dešifrovat. Na základě toho jsem byl schopen určit tvorbu hashů a dešifrovat celou zbývající databázi. Tedy přesněji jsem nic nemusel dešifrovat, když jsem znal algoritmus tvorby hashe. A tohle celé jen kvůli tomu, že obrovské (biliony) množstvé hashů je již někde uloženo a volně přístupno. Služba si mohla dělat zabezpečení sebelépe, ale zradila je MD5.

0/−1
26.10.2016 15:08

M84a69r31t39i19n 74C24e21r68v85e75n83y 2903778956158

V zasade dneska hashovat cimkoli slabsim nez SHA512 je naivita krizena s blbosti a jeste bez soli to je uz jen cista blbost.

+3/−1
26.10.2016 15:33

J78a11r85o24m49í48r 12K72r94á65l 4160189104229

;-D Pokládáte "abcdefg1234!" za solidní heslo ?

+1/−1
28.10.2016 7:10

M96a89r38t91i98n 41M89e15l46k35a 2409448712352

Problém je i v hashovací funkci jako takové. Hash funkce má být odolná vůči kolizím, tj. zjednodušeně, má být složité sestavit takový vstup, na který funkce odpoví požadovaným hashem. Pro kvalitní hash funkci musí být takovýto zpětný chod nemožný (resp. vyžaduje zkoušení vstupů hrubou silou a to zabere čas).

Pro MD5 byly popsány postupy a "zlepšováky", které zmenšují prostor vstupů, které je potřeba vyzkoušet, aby se útočník dostal k požadovanému hashi. Z tohoto důvodu není MD5 bezpečná.

Dále, o délku hesla tolik nejde. Hesla se solí a spolu se solí se hashují, takže i když je možné mít předpřipravené tabulky "heslo:hash", útočníkovi to nepomůže, jelikož i k heslu o délce jeden znak se připojí (dostatečně dlouhá) sůl.

Taky jde také o šířku kontextu, tj. množství bitů, které jsou výstupem funkce na každý vstup. V případě MD5 je to 128, v modernější SHA1 pak 160, ještě lépe SHA256 s 256 bity a tak dále. 128 jednoduše nestačí.

+2/0
26.10.2016 15:19

R55a70d68e35k 44H13o17d69a19ň 9426447451663

Ukládat hesla do MD5 je tak zhruba rok 2000-2005. Mít ta hesla v něčem kloudnějším - například bcrypt, tak jsou bezpečná i ta "jednoduchá".

0/0
26.10.2016 16:06

A57d44a53m 67Ř15e20z56n87í85č55e98k 3784645244733

Je nejak mozne zjistit z te sluzby, z jake website/slyzby leakl muj login?

Pry tam existuje jeden zaznam...

+1/0
26.10.2016 14:34

J64a60n 83C14o76n75s27t34a95n80t73i95n 1142371803950

jeďte níž, já tam mám dropbox...

+2/0
26.10.2016 16:23

A56d62a73m 41Ř69e91z66n34í34č24e47k 3694245684563

Diky moc, taky dropbox z mid-2012 ��

0/0
26.10.2016 17:35

L79u88b43o14m58í58r 40S68t89r40a19k56a 8861413236522

Někdo by panu manažerovi obchodu (Martin Schovanec) měl vysvětlit, že schování se za MD5 je na stejné úrovni jako dveře bez zámku. Na dotaz auditu odpoví ano, zabezpečení hesel (dveře) máme. Jo vy se ptáte po algoritmu (zámku)? To je moc technický dotaz na to se mě neptejte! Odborníci mi řekli MD5 a víc po mě nechtějte.

Obávám se, že je to bohužel "normální" stav v malých společnostech, hlavně že je ÚOOÚ nutí k různým souhlasům se zpracováním údajů. ale na praktickou bezpečnost nedosáhnou.

+6/0
26.10.2016 13:56

P92e17t69r 33N32i47v25n93i82c11k59ý 3452794925207

Zpochybňuješ MD5, tak ukaž, jak fungují "dveře bez zámku":

48821b5537731599824a75aab108f586

0/−3
26.10.2016 14:14

J71a85n 64S65o26u41k87u17p 1404424646985

Že si tady hashnete záměrně složité heslo, není nijak průkazné. Naopak, pokud někdo z nějaké databáze vytáhne 50% hesel naprosto (virtuálně) otrockým způsobem, tak je zřejmé, že je tento kryptovací systém (!!!sám o sobě!!!) naprosto k ničemu.

Příklad: 5f4dcc3b5aa765d61d8327deb882cf99

0/0
26.10.2016 14:46

P59e16t61r 82N10i30v62n47i16c82k37ý 3812214365317

Jistě, toto přece nezpochybňuje a je notoricky známá věc. Předřečník ale tvrdí, že "schování se za MD5 je na stejné úrovni jako dveře bez zámku", což rozhodně není pravda. Problém tedy není v MD5, jak se snaží naznačit.

0/−3
26.10.2016 14:50

T18o80m52á36š 23N65e68u89m51a92i53e20r 9919150988397

Pravda, není to jak dveře bez zámku. Jsou to jak dveře s obyčejnou fabkou. Když vezmu za kliku, neotevřu je, ale když se na ně zamračím, rozpadnou se.

+3/0
26.10.2016 15:10

J89a66n 47K64a86r31e28l 59N24o26v54a14k 5886584818536

Souhlas, na druhou stranu vase prezentace nazoru se me zda az histericky pojata. ;-D

0/0
26.10.2016 15:33







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.