Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone

Pokud jste si někdy udělali účet v českém herním obchodu XZone, doporučujeme okamžitou změnu hesla na všech službách, kam jste použili stejné přihlašovací údaje. Ty současné totiž kolují po internetu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J41a10n 14S93t63r65a53k51a 6875272382552

Moje zkušenosti z ukradením moji mailové adresy i hesla i když jsem heslo nikdy nikomu nesdělil jsou následující: ze zahraničí mi nyní chodí zprávy o nedoručené poště, kterou jsem nikdy neodeslal, ale jsou odesílány z moji mailové adresy. Změnil jsem si HESLO dle doporučení Seznamu.cz a musím prý počkat až odesílání z mé adresy ze zahraničí ustane. Seznam nemá prý možnosti v zahraničních serverech zasáhnout Adresu nechci měnit. Tak poraď pokud víš co s tím udělat?

?

0/0
23.11.2016 15:44

R19a76d70i91m 74Z79e98h82e25r 3204300443271

Tady v Brně mají prodejnu že by jeden brečel. Zastrčenou ve forhauzu, který vypadá jako vybydlený. Jestli tahle vedou i své servery, task potěš pánbu. Kupoval jsem u nich jednou jedinkrát, never more. Garážovka jak vyšitá, aspoň tady v Brně jo.

0/0
28.10.2016 12:33

M18i92c49h25a18l 97M24i47n92a22ř85í16k 9632296209798

Přece nejdem debil, abych při registraci uvedl e-mailovou adresu a heslo, které je zárověň i k tomu e-mailu;-D;-D

+1/0
26.10.2016 21:34

J94a52r88o95m67i65r 24C42h93a18l15o25u88p45k31a 4789697755547

Minimálně třetina lidí to tak dělá... To ale v zásadě nevadí. Nejhorší z toho celého je fakt, že hesla jsou ukládaná jako plaintext. Za to bych dával tak 1000 let v průvanu za víte co...

+6/0
27.10.2016 12:50

M71i14c35h79a29l 24M17i26n64a84ř85í21k 9602876129298

To nevadí, že třetina uživatelů předá e-mailovou adresu i s heslem soukromé firmě?

To je jako by dali zloději klíče od svého domu a pak se divili, že byli vykradení.

Víš co řekne policie člověku, který předal zloději své klíče od domu?

To samé by měla policie říct lidem, kteří předávají tak citlivé údaje jako helsa ke sým mailům atd.;-D

0/0
28.10.2016 10:21

Z66b40y48n58ě51k 78Š17a30f98a91r97č58í56k 5907168455864

Pokud vím, tak facebook po vás při registraci chce heslo k vašemu emailu, aby proskenoval vaše kontakty. Zajímalo by mě, kolik lidí mu ho dá, ale evidentně to není nic výjimečného, jak se vy tváříte.

+2/0
28.10.2016 13:17

M73i47c75h68a72l 69M80i59n49a59ř56í18k 9962546369858

Facebook nepoužívám, ale kdyby jo, heslo ke svému mailu bych mu nikdy nedal. Ani žádné jiné soukromé firmě nebo osobě.

Není důvod, aby mi jakákoliv firma proskenovala kontakty nebo cokoliv jiného.

+2/0
28.10.2016 14:43

J25á63c47h31y27m 13K92v95a14s80n36i25č58k68a 9721778496335

Takže pokud mi od xzone nic nepřijde jsem mezi těmi 90000 tisíci šťastlivci?

0/0
26.10.2016 17:03

M85a49r36t60i93n 70B66á98r11t28a 4595226116472

"zašifrování (MD5) "

-> když pominu, že MD5 není šifra tak i použití md5 v roce 2016 je dost úsměvné...

+4/−2
26.10.2016 17:02

P70a71v40e37l 68S24o69b70o54t78k63a 5900434

MD5 není problém, není prolomeno tak, aby bylo možno získat z hashe zpět heslo (jen brute force nebo slovníkovým útokem, ale to je pak jedno jestli použijete MD5 nebo SHA256, jen se liší potřebný čas).

Takže chyba byla jinde - nejspíš v tom, že dotyčný (jako je nejen v Česku zvykem) nedokáže navrhnout systém tak, aby hesla ověřoval, ale nevyzrazoval.

+1/−4
26.10.2016 21:21

M65a10r80t86i78n 67B72á67r86t59a 4645686766632

Díky inteligentním uživatelům je slovníkový útok jednoduchý.

Každopádně ani SHA256 není žádný zazrak. Když už tak minimálně bcrypt.

+1/−3
26.10.2016 21:31

P27a11v74e46l 91S78o88b53o86t38k44a 5190344

fakt netušíte, že v tomhle případě je to jedno?

+2/−1
26.10.2016 21:48

P63e25t94r 56S95o13k36o10l 8972301407801

Není to jedno, kdyby to jedno bylo tak je SHA256 se saltem mezi doporučenou ochranou, ale on není, důvodem je rychlost zpracování.

+2/0
27.10.2016 18:25

E53d37a 78D83r21á74b68e90k 7599512683787

md5 ani nikdy nebude "prolomeno tak, aby bylo možno získat z hashe zpět heslo", to totiž z principu nejde, jde jen ověřit, zda vám i zvolené slovo je nebo není heslem.... takže "zpětně získat" nic nejde, jde jen "uhodnout heslo" a pak ověřit, zda bylo hádání úspěšné či nikoliv

+1/0
29.10.2016 0:46

A41n71n21a 54T21r23o52c51h69t43o19v51a 1907125681651

Pak jak je internet bezpečně nebezpečný a nespolehliví, jen můžeme doufat, že zákonodárce udělá pořádek a zákon se bude více v těchto případech přiklánět na stranu poškozeného, poškozených i ta skutečnost, že se tyto informace se ocitli na Ruském serveru i ta něco odhaluje a o mnohém svědčí![>-]R^EUX

+1/−9
26.10.2016 16:36

V49á63c29l80a44v 65P47o51u19s68t74k62a 3750271732

O čem třeba?

0/0
26.10.2016 18:33

T22o56m26a24s 33H90a81c87e84k 6774877205207

Pro boha to je ale vyblitek. Proc mate takovou touhu se vyjadrovat k necemu cemu absolutne nerozumite?

Jaky ma zakonodarce udelat poradek? Jak se ma zakon vice priklanet? A co odhaluje ze se informace objevila na ruskem serveru? 8-o

Zenka nechci Vam do toho kecat, ale rubrika ona.idnes.cz je pro Vas vhodnejsi cteni.

+3/0
27.10.2016 16:18

A28n37n92a 19T16r12o51c95h31t87o44v75a 1347695441511

Proboha co je to za výlitek, začínáte hned v úvodu pěkně primitivně útočně, asi se doma také tímto nevybíravým způsobem chováte ke své ženě a pokud o této technologii a problémech digitální technologie víte více, tak o tom pište, ale NE absurdně a ne demagogicky a lživě a i toto nakonec může pomoci v narovnání spravedlnosti v oblasti digitální technologie! Tak prosím můžete lid České republiky svým odborným psaním udivit, tak jako Snowden udivil jak znalostmi, tak ukradenými dokumenty Američanům o této digitální technogii, kterou vyvinuli a která jim patří!

0/0
30.10.2016 7:58

J47a89r75o52m68í95r 94K73r86á45l 4740669744449

A pokud skočíte z okna a zabijete se, také za to může stát ?

0/0
28.10.2016 7:07

A12n55n54a 36T32r81o75c65h55t72o74v76a 1897675811481

Tak skočte z okna, stát Vám v tom nebrání a za Vaší hloupou hlavu, vůbec nijak neručí, nebo článek je o spolehlivosti, nebo nespolehlivosti internetu a pokud je nespolehliví, tak se má tato skutečnost vzít v potaz v pravdivém posouzení a nakonec ve spravedlivém soudním rozsudku!! ;-D[>-]R^EU!!

0/0
30.10.2016 7:20

P98e30t47e46r 46V87a22ň67u50š31a42n28i31k 4707376836312

nic ve zlym, ale md5? Jine nez sha256 + salt by obchod pouzivat nemel probuh!!

0/−1
26.10.2016 16:28

P86e84t88r 31S96o46k62o75l 8812431127761

sha256 tedy rozhodně nikdy ne. Bcrypt, scrypt, PBKDF2.

+1/−1
26.10.2016 16:41

J16a36r91o48s45l53a29v 38S96k24a42l85i84c11k48ý 7567434848452

jeste ze se odbornici domluvi, pak to tak taky vypada co? ;-D

+1/−1
27.10.2016 10:19

P90e55t12r 82S91o27k12o82l 8832691647531

Odborníci se už dávno domluvili, jen ten pán to nereflektuje, takže jsem ho opravil.

+1/0
27.10.2016 18:24

M20a90r59t25i16n 36K82u34k82o63l 8920897705

Tam naštěstí nenakupuji, ale na mnohých obchodech jsem registrovaný nakupující... :-/

+1/0
26.10.2016 16:26

J55a44n 21C45o23n29s47t57a66n85t45i13n 1532981313430

tak díky, dropboxi! ;-€;-€

0/0
26.10.2016 16:22

J70i45n67d42r69a 32N94o35v84á42k 4301599600613

Co někdy místo bujarých prohlášení, trestních oznámení a přiblblého marketingu investovat do penetračních testů? A to je obecná poznámka, nejen XZone.

0/0
26.10.2016 16:07

M36i61l22a22n 46Š81e89l47i69g50a 7261954523153

No zaklad je mit na mailu jine heslo, nez kdekoliv, kam se mailem clovek prihlasuje. Ale mit v kazde sluzbe jinaci heslo je naprosta utopie.

+13/−2
26.10.2016 15:35

M23a22t62e36j 61F89i22l28i35p 9562104326

Proč utopie když existují správci hesel? Ať už v prohlížečích (ten v Opeře byl bohužel nedávno prolomen 8-o ) nebo v podobě externích prográmků. Takže mít v každé službě jinou kombinaci jméno/heslo není zase až tak složité.

+2/−3
26.10.2016 16:46

M49i84l59o80š 97Z86a95v14ř58e83l 9891415623487

To nemate pravdu. Hesla lze volit a zamenovat tak, ze vzdy budete vedet jake jste na tom danem serveru zadaval - a i kdyby se k nemu nekdo dostal, na dalsim serveru to heslo nezrekonstruuje

+2/−1
26.10.2016 16:54
Foto

H52a32n74a 27A25n73t78o89n22o72v79á 6927979704484

jako že mám heslo ananas a na seznamu mám ananasSez, na alze ananasAlz, v bance ananasBan a podobně?

0/0
30.10.2016 11:37

M17i36l64o21š 23Z42a15v86ř88e51l 9381985473557

Tak okate to delat nesmite :)

+1/0
30.10.2016 12:10

P38e31t31r 73P22e46t88r53á18s40e35k 7522587716853

Mozne to je úplne v pohode, ja používám eTrezor a jsem vysmaty ;-)

0/0
26.10.2016 17:03

M11i14c88h35a64l 50K57r34e29j48č16a 5478446856743

Tak pred rokem je hackli a oni presto nehnuli pr.deli, aby upozornili zakazniky na moznoun ztratu a nutnost zmeny hesla? Holt profici...

+24/−1
26.10.2016 15:30

T86o73m41á43š 82N50e57u29m84a33i59e63r 9289330848697

Bože, ti inteligenti, co tu obhajují md5... Tak z pozice programátora:

Drtivá většina kombinací do osmi znaků má již známý hash. Takový hash vám stačí pak dát do nějaké online databáze, která vám vrátí heslo. Téměř nikdo nepoužívá heslo o třiceti znacích a pokud ano, pak je zpravidla takový člověk pro hackery nezajímavý, protože stejně bude (opět pravděpodobně) používat na různých služeb různá hesla.

Z prvního důvodu se přidává sůl (salt) do hesla, což je jeho manuální prodloužení o x znaků. Tedy z hesla "heslo" uděláte třeba "heslo#1!\/584ssa" a máte téměř jistotu, že ačkoliv "heslo" bude mít již známý hash, vaše uměle vytvořené heslo jej mít nebude (tohle se dělá na straně serveru).

MD5 je pak zastaralé ze dvou důvodů. Prvně je znám způsob dešifrování. Tedy, přesněji, je znám způsob, jak vytvořit souhrn znaků, které budou mít stejný hash, jako původní (neznámé) heslo. Na internetu jsou o tom vědecké práce. Podobně dochází pomalu k odrolování SHA1. Druhým důvodem je pak jeho "věk" a velké množství hashů v databázích.

Ale samozřejmě, že když pošlu článek skrz MD5, tak (téměř s jistotou) vznikne takový hash, který v žádné databázi není. Jednoduše proto, že nikdo v oněch online databázích neprohnal onen článek skrz hashovací funkci.

+16/−1
26.10.2016 14:36

P82e42t11r 86N46i49v72n81i14c80k96ý 3112344165977

Takže sám uznáváš, že problém není v MD5, ale v uživatelích, kteří si dávají jednoduchá hesla. To je zásadní rozdíl.

+3/−9
26.10.2016 14:51

T53o66m42á53š 60N21e25u88m44a52i83e13r 9119150858397

Teď jsem si zkoušel decrypt hesla "abcdefg1234!". Mně to přijde jako solidní heslo a přesto se v databázích nachází. Ne, MD5 je prostě problém. A pokud je zkombinováno MD5 s programátory, co neslyšeli o něčem jako je salt hesla, tak skutečně, jak tu bylo zmíněno, mohou být hesla rovnou v plain textu.

Mimochodem, kdysi jsem u jedné služby, která si chránila přístup k jedné službě přes MD5 (externí služba s autorizací přes hash, kde porovnávala očekávané hodnoty s hashem), se snažil dostat skrz ono zabezpečení. Zhruba ~7 let zpět, ač jsem měl ~100 000 hashů, nebyl o nich žádný záznam. Dva roky zpět jsem nechal tuto svoji databázi projet skrz online databáze a podařilo se několik z těchto hasů dešifrovat. Na základě toho jsem byl schopen určit tvorbu hashů a dešifrovat celou zbývající databázi. Tedy přesněji jsem nic nemusel dešifrovat, když jsem znal algoritmus tvorby hashe. A tohle celé jen kvůli tomu, že obrovské (biliony) množstvé hashů je již někde uloženo a volně přístupno. Služba si mohla dělat zabezpečení sebelépe, ale zradila je MD5.

0/−1
26.10.2016 15:08

M10a43r77t33i15n 43C98e37r47v11e58n38y 2123538556948

V zasade dneska hashovat cimkoli slabsim nez SHA512 je naivita krizena s blbosti a jeste bez soli to je uz jen cista blbost.

+3/−1
26.10.2016 15:33

J78a35r15o96m84í79r 33K58r67á53l 4650439614459

;-D Pokládáte "abcdefg1234!" za solidní heslo ?

+1/−1
28.10.2016 7:10

M71a76r28t51i95n 67M55e82l92k20a 2679148152592

Problém je i v hashovací funkci jako takové. Hash funkce má být odolná vůči kolizím, tj. zjednodušeně, má být složité sestavit takový vstup, na který funkce odpoví požadovaným hashem. Pro kvalitní hash funkci musí být takovýto zpětný chod nemožný (resp. vyžaduje zkoušení vstupů hrubou silou a to zabere čas).

Pro MD5 byly popsány postupy a "zlepšováky", které zmenšují prostor vstupů, které je potřeba vyzkoušet, aby se útočník dostal k požadovanému hashi. Z tohoto důvodu není MD5 bezpečná.

Dále, o délku hesla tolik nejde. Hesla se solí a spolu se solí se hashují, takže i když je možné mít předpřipravené tabulky "heslo:hash", útočníkovi to nepomůže, jelikož i k heslu o délce jeden znak se připojí (dostatečně dlouhá) sůl.

Taky jde také o šířku kontextu, tj. množství bitů, které jsou výstupem funkce na každý vstup. V případě MD5 je to 128, v modernější SHA1 pak 160, ještě lépe SHA256 s 256 bity a tak dále. 128 jednoduše nestačí.

+2/0
26.10.2016 15:19

R62a85d86e90k 96H88o33d75a10ň 9886537301193

Ukládat hesla do MD5 je tak zhruba rok 2000-2005. Mít ta hesla v něčem kloudnějším - například bcrypt, tak jsou bezpečná i ta "jednoduchá".

0/0
26.10.2016 16:06

A29d64a60m 77Ř64e74z11n38í80č20e59k 3564875484953

Je nejak mozne zjistit z te sluzby, z jake website/slyzby leakl muj login?

Pry tam existuje jeden zaznam...

+1/0
26.10.2016 14:34

J41a94n 38C79o73n73s95t80a66n73t46i72n 1212941763380

jeďte níž, já tam mám dropbox...

+2/0
26.10.2016 16:23

A96d75a57m 36Ř27e41z41n13í39č14e30k 3804745364433

Diky moc, taky dropbox z mid-2012 ��

0/0
26.10.2016 17:35

L18u49b37o44m14í60r 72S55t45r33a82k93a 8131273126892

Někdo by panu manažerovi obchodu (Martin Schovanec) měl vysvětlit, že schování se za MD5 je na stejné úrovni jako dveře bez zámku. Na dotaz auditu odpoví ano, zabezpečení hesel (dveře) máme. Jo vy se ptáte po algoritmu (zámku)? To je moc technický dotaz na to se mě neptejte! Odborníci mi řekli MD5 a víc po mě nechtějte.

Obávám se, že je to bohužel "normální" stav v malých společnostech, hlavně že je ÚOOÚ nutí k různým souhlasům se zpracováním údajů. ale na praktickou bezpečnost nedosáhnou.

+6/0
26.10.2016 13:56

P43e14t81r 61N80i39v22n77i98c62k35ý 3502694525247

Zpochybňuješ MD5, tak ukaž, jak fungují "dveře bez zámku":

48821b5537731599824a75aab108f586

0/−3
26.10.2016 14:14

J16a39n 40S37o33u82k60u71p 1774344296225

Že si tady hashnete záměrně složité heslo, není nijak průkazné. Naopak, pokud někdo z nějaké databáze vytáhne 50% hesel naprosto (virtuálně) otrockým způsobem, tak je zřejmé, že je tento kryptovací systém (!!!sám o sobě!!!) naprosto k ničemu.

Příklad: 5f4dcc3b5aa765d61d8327deb882cf99

0/0
26.10.2016 14:46

P12e43t46r 38N84i37v23n86i75c92k73ý 3612784365597

Jistě, toto přece nezpochybňuje a je notoricky známá věc. Předřečník ale tvrdí, že "schování se za MD5 je na stejné úrovni jako dveře bez zámku", což rozhodně není pravda. Problém tedy není v MD5, jak se snaží naznačit.

0/−3
26.10.2016 14:50

T44o51m34á31š 85N92e18u76m64a71i88e77r 9169810428137

Pravda, není to jak dveře bez zámku. Jsou to jak dveře s obyčejnou fabkou. Když vezmu za kliku, neotevřu je, ale když se na ně zamračím, rozpadnou se.

+3/0
26.10.2016 15:10

J37a60n 27K19a43r61e33l 50N23o55v64a48k 5236644778586

Souhlas, na druhou stranu vase prezentace nazoru se me zda az histericky pojata. ;-D

0/0
26.10.2016 15:33







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.