Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Čínský algoritmus uhodne heslo na 73 procent, stačilo mu sto pokusů

Následkem poslední dobou velmi častých úniků je obří množství citlivých dat dostupných na internetu. Kromě uniklých hesel jsou to i osobní informace - jména, data narození. Čínští výzkumníci se zaměřili na možnost vykonávat útoky za pomocí těchto informací a dosáhli překvapivého úspěchu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M94a50r65c82e80l 52B41a76k25o71š 4561936773

Prispejem mojim sposobom uschovy a pamatania hesiel. Pamatam si len pin k mojej kreditke, ale aj ten mam zapisany. Inak si ziadne heslo nepamatam...... v antikvariate som si kupil staru komunisticku knizku, ktoru mam ulozenu v kniznici v obyvacke a v nej vsetky hesla napisane. Samoz

0/0
23.11.2016 16:12

M92a37r89c84e94l 63B21a17k14o67š 4961306193

rejme ze tieto hesla su v texte medzi ostatnymi znakmi ale len ja viem ktory text to je. Nie je to nijako oznacene. Viem to len opticky. Tento text mam vsak odfoteny v mobile a teda vsetky hesla mam vzdy so sebou. Neverim ze v ramci matice textu 20x20 znakov vie niekto vycitat kde je heslo a ku ktorej aplikacii patri. Heslo je umiestnene kdekolbek v texte a aj zvidlo aj vodorovne. Nieco ako osemsmerovka. Samozrejme ze heslo nema ziadny slovny vyznam. Ale pre zmylenie protivnika su tam aj normalne slova. :-)

0/0
23.11.2016 16:18

K21a15r31e76l 21U87r19b61a83n 2694134401869

Nejlepší hesla jsou typu: jdidoprdeletykterene apod..

0/−1
23.11.2016 9:30

L59u11k91a67s 67M72u15d60r74a 6346546442831

K článkům tohoto typu jaksi obvykle "zapomene" autor dodat dvě informace.

Zaprvé - čistě heslům ke službám, které musí být z principu opravdu bezpečné a ne si na to jen hrát, už dávno "odzvonilo", a na vzestupu je vícefaktorová autentizace. A i v případě, že jedním z autentizačních faktorů je stále kombinace "uživatelské jméno/heslo", neznamená onen čínský algoritmus i tak vůbec nic.

Zadruhé - tam, kde jde opravdu o bezpečí, a není možné z různých důvodů použít vícefaktorovou autentizaci, používají se další techniky, jak přímo vynutit silné heslo. Namátkově - minimální přípustný počet znaků, povinnost mít v heslo speciální znaky a jejich minimální počet, nemožnost mít v hesle jakoukoliv část uživatelského jména, případně jiného dalšího údaje uvedeného v registraci k dané službě (např.: máte-li v registraci jako příjmení "Mudra" nebo jako titul "MUDr.", tuto kombinaci znaků nebo jí velmi podobnou vás systém nenechá uložit jako součást hesla), automatická povinnost měnit heslo za určitý časový úsek, porovnávání hesla se slovníkem hesel (prevence proti heslům typu Heslo.1, Password01, ToJEmojeHeslo apod.), a tak dále. Potom je opět ten čínský algoritmus v podstatě úplně k ničemu.

Pořád ještě platí, že pokud budete mít 12ti znakové komplexní heslo, jeho prolomení zvenčí se obávat nemusíte. Zvlášť pokud ho "občas" změníte. Úniku hesla od druhé strany samozřejmě i tak ale nezabráníte.

Smutné případy typu "stejné heslo ke všem službám a účtům" nebo "heslo mám napsané na papírku na klávesnici" jsou přímou analogií k otázkám: Taky máte ke všem dveřím, které odemykáte, stejný jeden klíč (včetně dveří u auta)? A pokud ne, necháváte svůj svazek klíčů volně někde dostupný, aby si klíče mohl kdykoliv kdokoliv půjčit, zkopírovat? Má pro vás zámek na kůlně na chatě stejný význam a důležitost jako klíč k autu nebo k trezoru?

0/0
20.11.2016 13:05

P95e60t65r 86J45a97r84o59š 2434291705937

Jako jedno z hesel pouzivam lehce pozmeneny klic k jedne verzi windows. Sveho casu jsem ho reinstaloval windows tak casto, ze jsem si ho zapamatoval :). No a je to venku. Snad me ted Mrkvosoft nebude zalovat za poruseni autorskych prav :).

0/0
19.11.2016 14:02

P93e44t16r 67J40a52r30o80š 2644761605167

Cim vice hesel pouzivame, tim spise potrebujeme prave programy na spravu hesel.

Cimz se paradoxne dostavame do situace, kdy k ziskani vsech hesel staci uhadnout jedno jedine heslo.

+1/0
19.11.2016 13:57

K21a98r39e57l 13K59o40v95a32ř76í13k 3235112285812

Přesně to je důvod proč používám jen cca 4 hesla dle třídy důležitosti. a správce hesel na všech zařízeních zakazuji nebo rovnou likviduji...

0/0
23.11.2016 12:54

K41a11r98e67l 72N95e72d77o69p54i16l 7928116239134

Asi si budu muset zmenit heslo. 12345 uz asi neni bezpecne...

0/0
18.11.2016 12:16

L41u82k15a80s 33M97u54d12r39a 6686406962701

Všechny posloupnosti jsou nebezpečné, ale můžete na to jít jinak - pokud třeba máte rád historii a její významná data, pak můžete zkusit třeba něco jako watE18061815Rloo - 16 znaků je dostatečně dlouhé, a kombinace "malé", "velké", "číslo" je při této délce zcela dostatečná. A přitom se to velmi dobře pamatuje, stačí vědět (nebo mít poznamenáno) to místo (jméno, událost atd.), a pokud vám náhodou "vypadne" ten datum, Google vám ho kdykoliv a kdekoliv připomene. A studnice dalších potenciálních hesel tohoto typu je prakticky nevyčerpatelná.

0/−1
20.11.2016 13:11

M13i53c39h34a47l 22J32a74r60o47š 7484130662785

Většina podstatných úniků dat není přes heslo uživatele, ale přímo před správce dat, ať už hackerským útokem nebo vlastním pracovníkem. Nehladě na toi, že dneska má k emailům na vyžádání přístup kdejaký policajt.

Algoritmus založení na sociálním inženýrství vyžaduje předchozí bezpečnostní chybu uživatele (třeba prozrazení starého hesla) a zveřejnění příliš mnoha osobních údajů v sítích. Stará škola se toho zpravidla nedopustí.

0/0
18.11.2016 9:40

J43a15r33o12s31l62a98v 81L27e23b10e44d43a 3566969377130

Co třeba "Spss,pJMM2!" nebo "Ksoot>sbnaj0" ? Jsem ochoten dát i nápovědu :-)

0/0
17.11.2016 15:49

T64o74m16á12š 51T62a63t76í74č90e18k 5170532420838

Sem s ňó!

+1/0
17.11.2016 18:07

J93a87r32o95s63l16a93v 49L14e13b71e21d21a 3476779887280

Písničky. První lidová, druhá od Gotta.

0/0
18.11.2016 9:10

T44o48m90á71š 41T63a70t48í54č86e18k 5720202680678

Tak to je hodně dobrý! To bez dlouhýho bádání nerozluštím ani přes nápovědu. Díky! :-)R^

0/0
19.11.2016 12:28

J59a48r68o73s40l49a57v 79L66e96b47e90d51a 3656379237290

Ono nejde o to, jak dlouho vy luštíte písničku, ale o to, jak dlouho bude nějaký algoritmus luštit vaše heslo ;-) Druhé je tak odolné, že se opravdu nemusíte strachovat. https://www.grc.com/haystack.htm

Ale hlavně jde i o to, jak snadno si ho zapamatujete: Pít, či nepít? To je to, oč tu běží! P,čn?Tjt,otb!

0/0
19.11.2016 13:09

T88o90m32á48š 55T95a60t64í10č45e55k 5930262940978

Tak to mně je jasné, že účelem není utajení písničky. :-) Ale pěkně to dokládá, jak se tímto způsobem snadno zapamatovatelné heslo změní v domněle naprosto nahodilý shluk znaků.

0/0
19.11.2016 13:16
Foto

R11a51d78i27m 49K59r88o78u94t89i20l 7140431256799

Že by si šly panenky silnicí osladit ke Karlovi kávu?

0/0
18.11.2016 16:02

J96a88r59o94s53l31a77v 45L21e91b71e23d75a 3486229347710

Ba. Chtěl jsem jen ukázat, že obdobná tvorba hesla je IMO dost bezpečná a na rozdíl od hesla 8}q)6[z(`{7h mnohem snadněji zapamatovatelná. Samozřejmě si můžete zvolit i libovolnou básničku nebo vlastní nesmyslnou větu typu Hodiny tečou po zdi a říkají "To je ale ostuda!".

+1/0
18.11.2016 16:15

M79a51r92t50i23n 58F94r78a38n11t52i53š65e85k 7555300833655

Počkejte, to heslo s hodinama si musim zapsat, to je dobrý.

0/0
18.11.2016 21:43

R57e15g66i10n53e 78M73a43r16t57i86n 6752138550768

;-) Zkušenost. Dostane se Vám do ruky komp. Uživatel kvílí, že vždy ho jen uspával, a teď z nějakého důvodu che komp zadat heslo. :-) Největšího úspěchu dosahuji u Windows zadáním "Jiného účtu" a to "Administrator" nebo "Admin" nebo "User" a hle... jsem v kompu i bez hesla. Jó, když po instalaci ty účty nikdo nezahesluje...:-P

0/0
17.11.2016 14:40

L84a42d63a 73N86o55v74a11k 4982743917

já největšího úspěchu dosahuju tím, že heslo prostě jen smažu...

+3/0
17.11.2016 15:43

M75i92c66h36a85l 66S54e64m56r75á65d 3222506487709

Pokud není nastavena vyšší bezpečnost lze heslo zpětně získat pomocí

Ophcrack cd... Využívá se dělení hesla na dva hashe a na dnešních strojích jednoduché prolomitelnosti...

Pokud to nejde... heslo prostě resetuji...

+1/0
17.11.2016 22:43

M49a24r88t31i51n 34V48a96l87o10s23e66k 7193784127392

No já bych největší problém viděl v ukládání hesel. Spousta lidí si neuvědomují, že např. pracovní počítač je věc, ke které může mít přístup spoustu lidí a jejich uložená hesla si prohlédnout.

Např. ve Firefoxu zadáte možnosti-zabezpečení-uložená přihlášení a dáte zobrazit hesla.

0/0
18.11.2016 10:41

L65a11d78a 86N96o50v48a30k 4112183587

no ale nejdřív se vás to zeptá, jestli chcete opravdu zobrazit svá hesla..., což je dost nelogická otázka, protože člověk většinou chce zobrazit cizí hesla....;-D

+1/0
18.11.2016 13:20

J89a29r18o75s50l32a47v 83L35e85b19e52d49a 3516549687480

A proto tam je volba Použít hlavní heslo.

0/0
18.11.2016 16:18

L84a53d86a 54N77o73v35a56k 4492683827

podle mého by jedním z rozumných přístupů k šifrování opravdu důležitých informací bylo vytvořit program jako byl TrueCrypt, který by ale ještě vyžadoval ověření přístupu na jiném zařízení, než na kterém máte soubor a na kterém píšete heslo... (například ověřovací sms, nebo něco podobného..)

Můžete mít neprolomitelné heslo (nejlepší moje heslo má kolem 30 znaků, neni to žádné známé slovo, ani neobsahuje žádné s něčím související číslice a znaky a pamatuju si ho..) no a stačí obyčejný keylogger a jste v pytli.. Nikdo dnes neví co si vlastně do počítače instaluje spolu s tunami různého freeware, s doplňkama aplikací, prohlížečů atd (to vůbec nemluvim o těch, kdo si crackují ukradené programy a hry)

Známý je také "fyzický" odposlech zvuku kláves, kde se dá po nahrání dostatečného množství zvuku rozklíčovat která klávesa má jaký zvuk... Zkrátka silná hesla jsou fajn věc, dokud neexistuje možnost přečíst si je, když je píšete..

+3/0
17.11.2016 13:14

P51a73v50e11l 50N25á88r16o67ž91n46ý 1265863406272

Dojímají mě místní nadšenci s 20 místními hesly na email.

No pokud vás baví při každém přihlášení zadávat šílenost typu

Dobro je prisjetiti se da prividno prav put prema cilju predstavlja u stvari pravodlivo krivudanje

Vše volba, ale věřte, že pokud si budu chtít přečíst vaší poštu tak mi v tom vážně vaše šílené heslo nezbrání, Tomu zabráníte pouze šifrováním oné pošty a ne nesmyslnými hesly k emailovému učtu.

Jen tak mimochodem už 12 místně heslo z čísel, písmen velké a malé abecedy a speciálních znaků dává 5,46E23 to se nedá napadnout ani za použití masivně paralelního stroje, který by si teoreticky mohlo pořídit třeba NSA.

+6/0
17.11.2016 12:23

L14a79d91a 35N46o55v95a78k 4812253647

skoro každý používá jako hesla slova, která nějak souvisí s ním a jeho okolím, totéž s čísly.., pak stačí jen všechno nacpat do nějaké knihovny a při dešifrování už nepracujete s 12 náhodnými znaky, ale třeba jen se 4, které kombinujete se slovy a čísly ze slovníku dané oběti...

+5/0
17.11.2016 13:17
Foto

R70o45b51e43r49t 93R82a77j11s 7835219681514

Myslíte tím šifrování komunikace pomocí SSL/TLS nebo STARTTLS? Nebo na webmailu HTTPS? To už je snad dnes standard, ne? No ale v opačném případě by stačilo jen odposlouchávat dění na síti. Uznávám. Bohužel dnes je to už jen bláhová představa. Nebo se pletu? Má ještě někde někdo takto nezabezpečený email?

0/0
18.11.2016 0:00

O98t35a64k62a79r 92Z16e70m67e47k 3566314761579

Ne, tak se to nedělá. Když chcete používat silná hesla, používáte správce hesel, například LastPass. Zadáte jedno heslo, a ten správce vám už jednotlivá hesla do příslušných služeb vyplňuje sám. Taky vám hesla umí generovat, takže můžete mít opravdu silná hesla, která se neopakují, a jediné co stačí si pamatovat, je to " centrální " heslo.

Synchronizuje to i mezi pc a Androidem, takže na mobilu vám stačí k přihlášení jen otisk prstu.

0/0
18.11.2016 8:14

M43i45l95a77n 70V28o34l60e27k 5709263576969

Dá se někde ten program stáhnout? Mně na uhodnutí vlastních hesel 100 pokusů nestačí.

+7/0
17.11.2016 12:20

L32a13d61a 26N30o67v32a82k 4472303407

:-P taky mám jeden zašifrovaný hdd asi 15 let starý a čas od času si zkoušim vzpomenout na to heslo...

+3/0
17.11.2016 13:18

P26e11t32r 57N10e76d14o86m27a 4269357448640

to znam :))

0/0
18.11.2016 0:09

L86u43k96á33š 74L73i46p90n62i45c19k48ý 1645841398118

Ja to po 8 letech vzdal...

+1/0
18.11.2016 7:04

T19o34m59á97š 75T46a54t26í11č13e27k 5930222690788

;-D

0/0
17.11.2016 18:21
Foto

J15a77n 26V60a42l33a35l59í71k 6556929340476

Když zapomenu heslo tak si nechám poslat nové :-D jinak heslo do hlavního mailu 25 znaků

0/0
17.11.2016 10:12

M86a48t60e22j 28F56i26l17i10p 9842654216

Gratuluji ale četl jste ten článek? Oni se právě nesnaží hacknout vaše heslo ale snaží se "hacknout" vaše myšlenkové pochody při vytváření hesla. Takže pak můžete mít klidně heslo o 100 znacích ale je vám to prd platné. Mimochodem, pokud si necháváte hesla generovat systémem při ztrátě hesla a toto heslo si pak už nezměníte, tak vidím také hned 2 bezpečnostní rizika. 1) ty hesla určitě nedržíte v hlavě, takže používáte nějaké úložiště hesel, napr. automatické ukládání v prohlížeči. 2) může být napadnutá ta webová služba generování hesel, takže útočník má vaše heslo okamžitě k dispozici i když je nově vygenerované.

+1/0
17.11.2016 10:25

M95a51r16t72i70n 29J96i50r74o39u43s85e68k 7786685845978

Tak jasně. Stejně tak může být v PC keylogger. :-)

+1/0
17.11.2016 11:12

J98a36k29u53b 29Z77o24u64b65e81k 3925224622

Nezáleží jen na počtu míst, ale také na znacích. Ověřit sílu hesla můžete třeba zde https://www.grc.com/haystack.htm

0/0
17.11.2016 11:42
Foto

V96o76j41t93ě30c37h 83P53a97v84l73í37k 5964211184278

Na použité množině znaků nezáleží - pokud útočník neví, které znaky tam máte (například, že jste použil pouze malou abecedu), stejně musí zkusit všechno.

Bude samozřejmě nejdřív zkoušet pravděpodobnější hesla, nicméně 20-místné heslo pouze z písmen není oblíbená věc a tak na něj dojde asi až ke konci prohledávání možností.

To vše samozřejmě platí pouze v případě, že má útočník hash+salt - jako třeba z krádeže databáze, případně že má zašifrovaný soubor/disk a je schopen ověřit správnost rozšifrování. Pokud by se pokoušel například zalogovat do webové služby, i relativně krátké neslovníkové heslo je bezpečné, protože počet pokusů za sekundu je na webu někde mezi 0.1-10 a ne v miliardách jako u lokálního prolamování.

0/0
17.11.2016 16:25

P35e59t77r 57N32e12d84o39m91a 4529317378580

na mnozine znaku zalezi. Utocnik nejdrive zkusi nejmensi mnozinu, napr. cisla a az kdyz selze ji bude rozsirovat

+1/0
18.11.2016 0:12

T16o63m25á57š 62M75a45t18ě36j 9835478573242

To je výborný nápad... doplnit někomu slovník...

+1/0
17.11.2016 21:37

R54o37m43a78n 91Š80e13n55k47e55ř43í44k 1152745744559

A přitom je to tak jednoduche... Ano spravne by melo byt pro kazdy ucet unikátní heslo, nejlepe o délce 14-20 znaku. Ale kdo si to ma pamatovat? A proto vymysleli appky typu 1password, LastPass, Keepass atd. Neni to zadarmo, ale mate online/offline správce hesel/generátor po ruce v mobilu, tabletu, notasu atd. Nejvetsi blbost je pouzivat kombinaci prvni velke písmeno a na konci cisla - tak jak to většina systemu požaduje, typu zadejte min jedno velke a cislo a min 8 znaku, tak kazdy napise Franta01 a na tohle jsou vsechny algoritmy pripraveny. BTW normalne se legálně vyrábí hacking server (8 gpu - Tesla Kepler a lepsi...) ktere jedou rychlosti 80 miliard sha-1 za sekundu. Takze heslo o délce 8 znaku maji do vteřiny breakle :-)

0/0
17.11.2016 9:27

O64n38d83ř61e26j 49L78o19š22o49t58h 9420812264322

No třeba na můj web by na to potřebovali hodně času, protože po 5. špatném přihlášení se účet na den zablokuje.

+2/0
17.11.2016 9:33

R93o19b73i86n 39Ž12i58ž72k38a 2558544596266

den je relativně brutální - respektive je to už na kontakt admina, což plejtvá čas :-) mně přijde optimální cokoliv mezi 15 minutami a hodinou podle aplikace.

i těch patnáct minut stačí na eliminaci tohoto typu bruteforce útoku.

+1/0
17.11.2016 21:55

K68a23r28e69l 70E43n80d28l19e72r 3613380860635

Keepass zadarmo je. A synchronizaci šifrovaného souboru s hesly není problém zařídit přes cloud.

+1/0
17.11.2016 9:39

J69a79n 41C53h22o65d38u21r49a 1952109863253

v dropboxu

0/0
18.11.2016 8:44

D61a78n20i33e69l 94K28r92o52n35e40r 7714214826507

A k cemu je to dobre, kdyz zadny system neumozni tolik kombinaci vyzkouset?

0/0
17.11.2016 10:13

R74o10m11a35n 11Š25e93n13k58e23ř10í46k 1602405114779

Boha moj, a kdo se baví o přímém bruteforce do funkčního on-line systemu?? Víte kolik databází s klientskymi údaji, hash záznamy hesel atd je ročně ukradeno z e-shopu, social/profi siti for, a vsehomoznyho a tento leak je prodavan na black marketu. Bavím se o brute force na hashe ukradenych databazi. Znáte stránku haveibeenpwned? Zkuste si tam zadat nejake id/loginy/mejly ktere používáte pro přihlašování... Používáte LinkedIn? 2013 obrovsky únik, přiznali nedavno, pokud stejne/podobne heslo do LinkedIn používáte i jinde, tak si jo změňte a budete překvapeni kde vsude co uteklo a prodavaji se vase osobni udaje, s registračními údaji a hesly

0/0
17.11.2016 11:20

K73a69r55e65l 66D39v61o38ř67á91k 7459754377158

Používám 20-ti místné heslo pro emailové schránky, který si naštěstí pamatuji, další asi tři hesla pro svých 6 bankovních účtů, který ještě vyžadují osobní číslo. Hesla si pamatuji, osobní čísla občas dohledávám. Mám na to zašifrovaný soubor od Truecryptu zabezpečený 128 bitovým šifrováním a zabezpečený 30-ti místným heslem, který si naštěstí taky "zatím" pamatuji, protože ho jinak nemám nikde napsaný. Zašifrovaný soubor jinak obsahuje všechny hesla, co jsem kdy použil. V telefonu mám aplikace svých 6 bankovních účtů, které na přihlášení používají jiné heslo, než při klasickém přihlášení v internetovém prohlížeči. Telefon mám zabezpečený PINEM o 8 znacích ( žádná čtečka otisku prstu nebo čmárání linek po displeji).

Tak si říkám, jak v tomhle "šíleném" světě může přežít někdo, kdo si není schopen zapamatovat ani 4 místné PIN svojí jediný bankovní karty.

0/−3
17.11.2016 9:16







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.