Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone

Pokud jste si někdy udělali účet v českém herním obchodu XZone, doporučujeme okamžitou změnu hesla na všech službách, kam jste použili stejné přihlašovací údaje. Ty současné totiž kolují po internetu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J27a23n 75S55t86r52a46k57a 6785122812892

Moje zkušenosti z ukradením moji mailové adresy i hesla i když jsem heslo nikdy nikomu nesdělil jsou následující: ze zahraničí mi nyní chodí zprávy o nedoručené poště, kterou jsem nikdy neodeslal, ale jsou odesílány z moji mailové adresy. Změnil jsem si HESLO dle doporučení Seznamu.cz a musím prý počkat až odesílání z mé adresy ze zahraničí ustane. Seznam nemá prý možnosti v zahraničních serverech zasáhnout Adresu nechci měnit. Tak poraď pokud víš co s tím udělat?

?

0/0
23.11.2016 15:44

R24a39d40i72m 21Z97e77h47e17r 3354620223271

Tady v Brně mají prodejnu že by jeden brečel. Zastrčenou ve forhauzu, který vypadá jako vybydlený. Jestli tahle vedou i své servery, task potěš pánbu. Kupoval jsem u nich jednou jedinkrát, never more. Garážovka jak vyšitá, aspoň tady v Brně jo.

0/0
28.10.2016 12:33

M35i69c49h44a19l 94M72i48n34a87ř55í62k 9212716299498

Přece nejdem debil, abych při registraci uvedl e-mailovou adresu a heslo, které je zárověň i k tomu e-mailu;-D;-D

+1/0
26.10.2016 21:34

J23a26r72o46m62i46r 50C18h59a23l97o94u49p94k91a 4609637375607

Minimálně třetina lidí to tak dělá... To ale v zásadě nevadí. Nejhorší z toho celého je fakt, že hesla jsou ukládaná jako plaintext. Za to bych dával tak 1000 let v průvanu za víte co...

+6/0
27.10.2016 12:50

M82i95c23h69a16l 18M51i89n51a84ř20í98k 9352576979938

To nevadí, že třetina uživatelů předá e-mailovou adresu i s heslem soukromé firmě?

To je jako by dali zloději klíče od svého domu a pak se divili, že byli vykradení.

Víš co řekne policie člověku, který předal zloději své klíče od domu?

To samé by měla policie říct lidem, kteří předávají tak citlivé údaje jako helsa ke sým mailům atd.;-D

0/0
28.10.2016 10:21

Z18b88y74n63ě88k 29Š40a83f95a95r77č97í38k 5957948985834

Pokud vím, tak facebook po vás při registraci chce heslo k vašemu emailu, aby proskenoval vaše kontakty. Zajímalo by mě, kolik lidí mu ho dá, ale evidentně to není nic výjimečného, jak se vy tváříte.

+2/0
28.10.2016 13:17

M21i45c52h10a56l 65M37i20n55a98ř33í49k 9242716469518

Facebook nepoužívám, ale kdyby jo, heslo ke svému mailu bych mu nikdy nedal. Ani žádné jiné soukromé firmě nebo osobě.

Není důvod, aby mi jakákoliv firma proskenovala kontakty nebo cokoliv jiného.

+2/0
28.10.2016 14:43

J11á83c71h87y73m 70K63v65a38s72n20i40č53k61a 9541888206245

Takže pokud mi od xzone nic nepřijde jsem mezi těmi 90000 tisíci šťastlivci?

0/0
26.10.2016 17:03

M24a22r54t93i60n 32B46á52r42t30a 4165446816332

"zašifrování (MD5) "

-> když pominu, že MD5 není šifra tak i použití md5 v roce 2016 je dost úsměvné...

+4/−2
26.10.2016 17:02

P41a55v37e21l 33S20o20b49o81t86k70a 5820554

MD5 není problém, není prolomeno tak, aby bylo možno získat z hashe zpět heslo (jen brute force nebo slovníkovým útokem, ale to je pak jedno jestli použijete MD5 nebo SHA256, jen se liší potřebný čas).

Takže chyba byla jinde - nejspíš v tom, že dotyčný (jako je nejen v Česku zvykem) nedokáže navrhnout systém tak, aby hesla ověřoval, ale nevyzrazoval.

+1/−4
26.10.2016 21:21

M96a66r93t53i44n 38B98á57r34t96a 4175326486512

Díky inteligentním uživatelům je slovníkový útok jednoduchý.

Každopádně ani SHA256 není žádný zazrak. Když už tak minimálně bcrypt.

+1/−3
26.10.2016 21:31

P30a38v43e58l 92S90o85b98o96t33k43a 5650104

fakt netušíte, že v tomhle případě je to jedno?

+2/−1
26.10.2016 21:48

P14e74t39r 66S32o76k76o49l 8852481757711

Není to jedno, kdyby to jedno bylo tak je SHA256 se saltem mezi doporučenou ochranou, ale on není, důvodem je rychlost zpracování.

+2/0
27.10.2016 18:25

E16d82a 75D16r58á29b87e83k 7689882213487

md5 ani nikdy nebude "prolomeno tak, aby bylo možno získat z hashe zpět heslo", to totiž z principu nejde, jde jen ověřit, zda vám i zvolené slovo je nebo není heslem.... takže "zpětně získat" nic nejde, jde jen "uhodnout heslo" a pak ověřit, zda bylo hádání úspěšné či nikoliv

+1/0
29.10.2016 0:46

A38n76n91a 68T96r69o69c19h77t38o93v81a 1937395831551

Pak jak je internet bezpečně nebezpečný a nespolehliví, jen můžeme doufat, že zákonodárce udělá pořádek a zákon se bude více v těchto případech přiklánět na stranu poškozeného, poškozených i ta skutečnost, že se tyto informace se ocitli na Ruském serveru i ta něco odhaluje a o mnohém svědčí![>-]R^EUX

+1/−9
26.10.2016 16:36

V71á11c44l88a66v 86P86o18u20s91t47k14a 3540811402

O čem třeba?

0/0
26.10.2016 18:33

T24o89m38a84s 17H51a25c77e65k 6934767875927

Pro boha to je ale vyblitek. Proc mate takovou touhu se vyjadrovat k necemu cemu absolutne nerozumite?

Jaky ma zakonodarce udelat poradek? Jak se ma zakon vice priklanet? A co odhaluje ze se informace objevila na ruskem serveru? 8-o

Zenka nechci Vam do toho kecat, ale rubrika ona.idnes.cz je pro Vas vhodnejsi cteni.

+3/0
27.10.2016 16:18

A21n29n44a 42T22r66o54c31h81t50o88v83a 1577155321651

Proboha co je to za výlitek, začínáte hned v úvodu pěkně primitivně útočně, asi se doma také tímto nevybíravým způsobem chováte ke své ženě a pokud o této technologii a problémech digitální technologie víte více, tak o tom pište, ale NE absurdně a ne demagogicky a lživě a i toto nakonec může pomoci v narovnání spravedlnosti v oblasti digitální technologie! Tak prosím můžete lid České republiky svým odborným psaním udivit, tak jako Snowden udivil jak znalostmi, tak ukradenými dokumenty Američanům o této digitální technogii, kterou vyvinuli a která jim patří!

0/0
30.10.2016 7:58

J64a94r96o78m28í14r 11K38r70á63l 4590289214109

A pokud skočíte z okna a zabijete se, také za to může stát ?

0/0
28.10.2016 7:07

A91n20n29a 26T79r27o68c21h68t73o69v42a 1187865651101

Tak skočte z okna, stát Vám v tom nebrání a za Vaší hloupou hlavu, vůbec nijak neručí, nebo článek je o spolehlivosti, nebo nespolehlivosti internetu a pokud je nespolehliví, tak se má tato skutečnost vzít v potaz v pravdivém posouzení a nakonec ve spravedlivém soudním rozsudku!! ;-D[>-]R^EU!!

0/0
30.10.2016 7:20

P59e45t92e22r 11V97a79ň19u74š17a28n16i71k 4587176366192

nic ve zlym, ale md5? Jine nez sha256 + salt by obchod pouzivat nemel probuh!!

0/−1
26.10.2016 16:28

P80e58t78r 63S40o34k14o96l 8522351337191

sha256 tedy rozhodně nikdy ne. Bcrypt, scrypt, PBKDF2.

+1/−1
26.10.2016 16:41

J84a94r23o72s69l13a23v 35S98k98a93l39i19c51k71ý 7987614498202

jeste ze se odbornici domluvi, pak to tak taky vypada co? ;-D

+1/−1
27.10.2016 10:19

P66e43t32r 36S38o85k46o28l 8212871247571

Odborníci se už dávno domluvili, jen ten pán to nereflektuje, takže jsem ho opravil.

+1/0
27.10.2016 18:24

M56a10r89t21i14n 43K12u54k92o10l 8200817635

Tam naštěstí nenakupuji, ale na mnohých obchodech jsem registrovaný nakupující... :-/

+1/0
26.10.2016 16:26

J62a14n 44C13o25n65s75t61a68n84t85i32n 1842121463830

tak díky, dropboxi! ;-€;-€

0/0
26.10.2016 16:22

J50i31n82d19r60a 59N93o28v46á65k 4721429220543

Co někdy místo bujarých prohlášení, trestních oznámení a přiblblého marketingu investovat do penetračních testů? A to je obecná poznámka, nejen XZone.

0/0
26.10.2016 16:07

M42i65l44a37n 12Š20e25l65i59g91a 7421494233203

No zaklad je mit na mailu jine heslo, nez kdekoliv, kam se mailem clovek prihlasuje. Ale mit v kazde sluzbe jinaci heslo je naprosta utopie.

+13/−2
26.10.2016 15:35

M48a41t55e53j 62F13i95l74i92p 9842334166

Proč utopie když existují správci hesel? Ať už v prohlížečích (ten v Opeře byl bohužel nedávno prolomen 8-o ) nebo v podobě externích prográmků. Takže mít v každé službě jinou kombinaci jméno/heslo není zase až tak složité.

+2/−3
26.10.2016 16:46

M73i71l67o95š 81Z78a85v23ř41e81l 9551105553737

To nemate pravdu. Hesla lze volit a zamenovat tak, ze vzdy budete vedet jake jste na tom danem serveru zadaval - a i kdyby se k nemu nekdo dostal, na dalsim serveru to heslo nezrekonstruuje

+2/−1
26.10.2016 16:54
Foto

H64a87n96a 96A90n86t39o19n18o47v22á 6467119324444

jako že mám heslo ananas a na seznamu mám ananasSez, na alze ananasAlz, v bance ananasBan a podobně?

0/0
30.10.2016 11:37

M66i71l59o13š 94Z45a53v96ř62e19l 9631635983787

Tak okate to delat nesmite :)

+1/0
30.10.2016 12:10

P66e84t55r 96P88e48t17r77á94s92e46k 7762647626303

Mozne to je úplne v pohode, ja používám eTrezor a jsem vysmaty ;-)

0/0
26.10.2016 17:03

M82i45c76h62a78l 73K19r94e95j60č38a 5218906436863

Tak pred rokem je hackli a oni presto nehnuli pr.deli, aby upozornili zakazniky na moznoun ztratu a nutnost zmeny hesla? Holt profici...

+24/−1
26.10.2016 15:30

T36o33m39á40š 51N61e66u48m22a83i36e88r 9769660668277

Bože, ti inteligenti, co tu obhajují md5... Tak z pozice programátora:

Drtivá většina kombinací do osmi znaků má již známý hash. Takový hash vám stačí pak dát do nějaké online databáze, která vám vrátí heslo. Téměř nikdo nepoužívá heslo o třiceti znacích a pokud ano, pak je zpravidla takový člověk pro hackery nezajímavý, protože stejně bude (opět pravděpodobně) používat na různých služeb různá hesla.

Z prvního důvodu se přidává sůl (salt) do hesla, což je jeho manuální prodloužení o x znaků. Tedy z hesla "heslo" uděláte třeba "heslo#1!\/584ssa" a máte téměř jistotu, že ačkoliv "heslo" bude mít již známý hash, vaše uměle vytvořené heslo jej mít nebude (tohle se dělá na straně serveru).

MD5 je pak zastaralé ze dvou důvodů. Prvně je znám způsob dešifrování. Tedy, přesněji, je znám způsob, jak vytvořit souhrn znaků, které budou mít stejný hash, jako původní (neznámé) heslo. Na internetu jsou o tom vědecké práce. Podobně dochází pomalu k odrolování SHA1. Druhým důvodem je pak jeho "věk" a velké množství hashů v databázích.

Ale samozřejmě, že když pošlu článek skrz MD5, tak (téměř s jistotou) vznikne takový hash, který v žádné databázi není. Jednoduše proto, že nikdo v oněch online databázích neprohnal onen článek skrz hashovací funkci.

+16/−1
26.10.2016 14:36

P79e89t76r 78N73i85v10n30i14c56k88ý 3582464595377

Takže sám uznáváš, že problém není v MD5, ale v uživatelích, kteří si dávají jednoduchá hesla. To je zásadní rozdíl.

+3/−9
26.10.2016 14:51

T26o43m17á65š 23N47e34u21m67a25i95e64r 9789520848427

Teď jsem si zkoušel decrypt hesla "abcdefg1234!". Mně to přijde jako solidní heslo a přesto se v databázích nachází. Ne, MD5 je prostě problém. A pokud je zkombinováno MD5 s programátory, co neslyšeli o něčem jako je salt hesla, tak skutečně, jak tu bylo zmíněno, mohou být hesla rovnou v plain textu.

Mimochodem, kdysi jsem u jedné služby, která si chránila přístup k jedné službě přes MD5 (externí služba s autorizací přes hash, kde porovnávala očekávané hodnoty s hashem), se snažil dostat skrz ono zabezpečení. Zhruba ~7 let zpět, ač jsem měl ~100 000 hashů, nebyl o nich žádný záznam. Dva roky zpět jsem nechal tuto svoji databázi projet skrz online databáze a podařilo se několik z těchto hasů dešifrovat. Na základě toho jsem byl schopen určit tvorbu hashů a dešifrovat celou zbývající databázi. Tedy přesněji jsem nic nemusel dešifrovat, když jsem znal algoritmus tvorby hashe. A tohle celé jen kvůli tomu, že obrovské (biliony) množstvé hashů je již někde uloženo a volně přístupno. Služba si mohla dělat zabezpečení sebelépe, ale zradila je MD5.

0/−1
26.10.2016 15:08

M38a39r42t57i30n 23C63e23r49v32e19n35y 2933728186128

V zasade dneska hashovat cimkoli slabsim nez SHA512 je naivita krizena s blbosti a jeste bez soli to je uz jen cista blbost.

+3/−1
26.10.2016 15:33

J61a56r19o54m68í10r 53K79r55á78l 4190639774319

;-D Pokládáte "abcdefg1234!" za solidní heslo ?

+1/−1
28.10.2016 7:10

M30a76r29t24i59n 28M13e12l16k13a 2799938262892

Problém je i v hashovací funkci jako takové. Hash funkce má být odolná vůči kolizím, tj. zjednodušeně, má být složité sestavit takový vstup, na který funkce odpoví požadovaným hashem. Pro kvalitní hash funkci musí být takovýto zpětný chod nemožný (resp. vyžaduje zkoušení vstupů hrubou silou a to zabere čas).

Pro MD5 byly popsány postupy a "zlepšováky", které zmenšují prostor vstupů, které je potřeba vyzkoušet, aby se útočník dostal k požadovanému hashi. Z tohoto důvodu není MD5 bezpečná.

Dále, o délku hesla tolik nejde. Hesla se solí a spolu se solí se hashují, takže i když je možné mít předpřipravené tabulky "heslo:hash", útočníkovi to nepomůže, jelikož i k heslu o délce jeden znak se připojí (dostatečně dlouhá) sůl.

Taky jde také o šířku kontextu, tj. množství bitů, které jsou výstupem funkce na každý vstup. V případě MD5 je to 128, v modernější SHA1 pak 160, ještě lépe SHA256 s 256 bity a tak dále. 128 jednoduše nestačí.

+2/0
26.10.2016 15:19

R37a97d27e93k 17H93o13d32a42ň 9396727381853

Ukládat hesla do MD5 je tak zhruba rok 2000-2005. Mít ta hesla v něčem kloudnějším - například bcrypt, tak jsou bezpečná i ta "jednoduchá".

0/0
26.10.2016 16:06

A62d11a51m 13Ř10e44z28n11í41č16e78k 3224885974583

Je nejak mozne zjistit z te sluzby, z jake website/slyzby leakl muj login?

Pry tam existuje jeden zaznam...

+1/0
26.10.2016 14:34

J49a16n 74C73o83n62s51t57a60n24t55i83n 1272971443890

jeďte níž, já tam mám dropbox...

+2/0
26.10.2016 16:23

A50d31a42m 50Ř10e64z98n78í59č96e88k 3954905474803

Diky moc, taky dropbox z mid-2012 ��

0/0
26.10.2016 17:35

L27u94b54o81m36í63r 98S53t32r20a53k89a 8871533606112

Někdo by panu manažerovi obchodu (Martin Schovanec) měl vysvětlit, že schování se za MD5 je na stejné úrovni jako dveře bez zámku. Na dotaz auditu odpoví ano, zabezpečení hesel (dveře) máme. Jo vy se ptáte po algoritmu (zámku)? To je moc technický dotaz na to se mě neptejte! Odborníci mi řekli MD5 a víc po mě nechtějte.

Obávám se, že je to bohužel "normální" stav v malých společnostech, hlavně že je ÚOOÚ nutí k různým souhlasům se zpracováním údajů. ale na praktickou bezpečnost nedosáhnou.

+6/0
26.10.2016 13:56

P13e96t26r 37N90i55v56n57i84c17k95ý 3242864735557

Zpochybňuješ MD5, tak ukaž, jak fungují "dveře bez zámku":

48821b5537731599824a75aab108f586

0/−3
26.10.2016 14:14

J66a22n 43S37o87u71k25u17p 1354514766195

Že si tady hashnete záměrně složité heslo, není nijak průkazné. Naopak, pokud někdo z nějaké databáze vytáhne 50% hesel naprosto (virtuálně) otrockým způsobem, tak je zřejmé, že je tento kryptovací systém (!!!sám o sobě!!!) naprosto k ničemu.

Příklad: 5f4dcc3b5aa765d61d8327deb882cf99

0/0
26.10.2016 14:46

P39e56t74r 20N34i97v94n84i97c73k20ý 3892714485957

Jistě, toto přece nezpochybňuje a je notoricky známá věc. Předřečník ale tvrdí, že "schování se za MD5 je na stejné úrovni jako dveře bez zámku", což rozhodně není pravda. Problém tedy není v MD5, jak se snaží naznačit.

0/−3
26.10.2016 14:50

T96o29m67á83š 66N58e64u86m76a54i26e72r 9389860888907

Pravda, není to jak dveře bez zámku. Jsou to jak dveře s obyčejnou fabkou. Když vezmu za kliku, neotevřu je, ale když se na ně zamračím, rozpadnou se.

+3/0
26.10.2016 15:10

J84a23n 45K26a11r20e95l 70N26o90v87a56k 5916124538656

Souhlas, na druhou stranu vase prezentace nazoru se me zda az histericky pojata. ;-D

0/0
26.10.2016 15:33







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.