Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Čínský algoritmus uhodne heslo na 73 procent, stačilo mu sto pokusů

Následkem poslední dobou velmi častých úniků je obří množství citlivých dat dostupných na internetu. Kromě uniklých hesel jsou to i osobní informace - jména, data narození. Čínští výzkumníci se zaměřili na možnost vykonávat útoky za pomocí těchto informací a dosáhli překvapivého úspěchu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M69a53r63c46e58l 39B79a28k34o83š 4451226933

Prispejem mojim sposobom uschovy a pamatania hesiel. Pamatam si len pin k mojej kreditke, ale aj ten mam zapisany. Inak si ziadne heslo nepamatam...... v antikvariate som si kupil staru komunisticku knizku, ktoru mam ulozenu v kniznici v obyvacke a v nej vsetky hesla napisane. Samoz

0/0
23.11.2016 16:12

M93a36r81c55e13l 25B16a54k51o48š 4241316553

rejme ze tieto hesla su v texte medzi ostatnymi znakmi ale len ja viem ktory text to je. Nie je to nijako oznacene. Viem to len opticky. Tento text mam vsak odfoteny v mobile a teda vsetky hesla mam vzdy so sebou. Neverim ze v ramci matice textu 20x20 znakov vie niekto vycitat kde je heslo a ku ktorej aplikacii patri. Heslo je umiestnene kdekolbek v texte a aj zvidlo aj vodorovne. Nieco ako osemsmerovka. Samozrejme ze heslo nema ziadny slovny vyznam. Ale pre zmylenie protivnika su tam aj normalne slova. :-)

0/0
23.11.2016 16:18

K42a31r96e84l 86U30r63b17a93n 2364624101959

Nejlepší hesla jsou typu: jdidoprdeletykterene apod..

0/−1
23.11.2016 9:30

L59u46k76a13s 86M94u79d71r18a 6756146352381

K článkům tohoto typu jaksi obvykle "zapomene" autor dodat dvě informace.

Zaprvé - čistě heslům ke službám, které musí být z principu opravdu bezpečné a ne si na to jen hrát, už dávno "odzvonilo", a na vzestupu je vícefaktorová autentizace. A i v případě, že jedním z autentizačních faktorů je stále kombinace "uživatelské jméno/heslo", neznamená onen čínský algoritmus i tak vůbec nic.

Zadruhé - tam, kde jde opravdu o bezpečí, a není možné z různých důvodů použít vícefaktorovou autentizaci, používají se další techniky, jak přímo vynutit silné heslo. Namátkově - minimální přípustný počet znaků, povinnost mít v heslo speciální znaky a jejich minimální počet, nemožnost mít v hesle jakoukoliv část uživatelského jména, případně jiného dalšího údaje uvedeného v registraci k dané službě (např.: máte-li v registraci jako příjmení "Mudra" nebo jako titul "MUDr.", tuto kombinaci znaků nebo jí velmi podobnou vás systém nenechá uložit jako součást hesla), automatická povinnost měnit heslo za určitý časový úsek, porovnávání hesla se slovníkem hesel (prevence proti heslům typu Heslo.1, Password01, ToJEmojeHeslo apod.), a tak dále. Potom je opět ten čínský algoritmus v podstatě úplně k ničemu.

Pořád ještě platí, že pokud budete mít 12ti znakové komplexní heslo, jeho prolomení zvenčí se obávat nemusíte. Zvlášť pokud ho "občas" změníte. Úniku hesla od druhé strany samozřejmě i tak ale nezabráníte.

Smutné případy typu "stejné heslo ke všem službám a účtům" nebo "heslo mám napsané na papírku na klávesnici" jsou přímou analogií k otázkám: Taky máte ke všem dveřím, které odemykáte, stejný jeden klíč (včetně dveří u auta)? A pokud ne, necháváte svůj svazek klíčů volně někde dostupný, aby si klíče mohl kdykoliv kdokoliv půjčit, zkopírovat? Má pro vás zámek na kůlně na chatě stejný význam a důležitost jako klíč k autu nebo k trezoru?

0/0
20.11.2016 13:05

P18e41t28r 27J14a48r24o12š 2964581315497

Jako jedno z hesel pouzivam lehce pozmeneny klic k jedne verzi windows. Sveho casu jsem ho reinstaloval windows tak casto, ze jsem si ho zapamatoval :). No a je to venku. Snad me ted Mrkvosoft nebude zalovat za poruseni autorskych prav :).

0/0
19.11.2016 14:02

P25e58t86r 10J98a28r55o17š 2654691765477

Cim vice hesel pouzivame, tim spise potrebujeme prave programy na spravu hesel.

Cimz se paradoxne dostavame do situace, kdy k ziskani vsech hesel staci uhadnout jedno jedine heslo.

+1/0
19.11.2016 13:57

K60a29r50e82l 33K54o91v58a57ř22í31k 3885752315232

Přesně to je důvod proč používám jen cca 4 hesla dle třídy důležitosti. a správce hesel na všech zařízeních zakazuji nebo rovnou likviduji...

0/0
23.11.2016 12:54

K84a92r61e87l 55N63e89d79o31p84i18l 7768856799314

Asi si budu muset zmenit heslo. 12345 uz asi neni bezpecne...

0/0
18.11.2016 12:16

L52u71k50a79s 53M29u72d29r73a 6136386892481

Všechny posloupnosti jsou nebezpečné, ale můžete na to jít jinak - pokud třeba máte rád historii a její významná data, pak můžete zkusit třeba něco jako watE18061815Rloo - 16 znaků je dostatečně dlouhé, a kombinace "malé", "velké", "číslo" je při této délce zcela dostatečná. A přitom se to velmi dobře pamatuje, stačí vědět (nebo mít poznamenáno) to místo (jméno, událost atd.), a pokud vám náhodou "vypadne" ten datum, Google vám ho kdykoliv a kdekoliv připomene. A studnice dalších potenciálních hesel tohoto typu je prakticky nevyčerpatelná.

0/−1
20.11.2016 13:11

M13i36c96h34a76l 14J69a23r13o81š 7314830702485

Většina podstatných úniků dat není přes heslo uživatele, ale přímo před správce dat, ať už hackerským útokem nebo vlastním pracovníkem. Nehladě na toi, že dneska má k emailům na vyžádání přístup kdejaký policajt.

Algoritmus založení na sociálním inženýrství vyžaduje předchozí bezpečnostní chybu uživatele (třeba prozrazení starého hesla) a zveřejnění příliš mnoha osobních údajů v sítích. Stará škola se toho zpravidla nedopustí.

0/0
18.11.2016 9:40

J29a97r25o77s16l78a36v 69L59e48b95e77d93a 3216739877840

Co třeba "Spss,pJMM2!" nebo "Ksoot>sbnaj0" ? Jsem ochoten dát i nápovědu :-)

0/0
17.11.2016 15:49

T26o72m51á76š 94T87a83t98í80č19e17k 5480882280948

Sem s ňó!

+1/0
17.11.2016 18:07

J82a79r53o31s57l34a32v 20L22e42b75e58d38a 3986209587490

Písničky. První lidová, druhá od Gotta.

0/0
18.11.2016 9:10

T25o96m15á20š 28T71a34t20í41č78e34k 5690282300698

Tak to je hodně dobrý! To bez dlouhýho bádání nerozluštím ani přes nápovědu. Díky! :-)R^

0/0
19.11.2016 12:28

J29a10r94o23s67l51a39v 59L92e62b38e43d28a 3386549987690

Ono nejde o to, jak dlouho vy luštíte písničku, ale o to, jak dlouho bude nějaký algoritmus luštit vaše heslo ;-) Druhé je tak odolné, že se opravdu nemusíte strachovat. www.grc.com

Ale hlavně jde i o to, jak snadno si ho zapamatujete: Pít, či nepít? To je to, oč tu běží! P,čn?Tjt,otb!

0/0
19.11.2016 13:09

T60o66m33á91š 23T83a63t18í29č21e26k 5540962500928

Tak to mně je jasné, že účelem není utajení písničky. :-) Ale pěkně to dokládá, jak se tímto způsobem snadno zapamatovatelné heslo změní v domněle naprosto nahodilý shluk znaků.

0/0
19.11.2016 13:16
Foto

R22a16d39i37m 14K96r90o97u84t46i21l 7570891386169

Že by si šly panenky silnicí osladit ke Karlovi kávu?

0/0
18.11.2016 16:02

J85a79r64o19s60l96a77v 15L25e40b14e48d40a 3226159947210

Ba. Chtěl jsem jen ukázat, že obdobná tvorba hesla je IMO dost bezpečná a na rozdíl od hesla 8}q)6[z(`{7h mnohem snadněji zapamatovatelná. Samozřejmě si můžete zvolit i libovolnou básničku nebo vlastní nesmyslnou větu typu Hodiny tečou po zdi a říkají "To je ale ostuda!".

+1/0
18.11.2016 16:15

M44a31r21t98i27n 94F71r69a68n47t55i12š36e73k 7785220393405

Počkejte, to heslo s hodinama si musim zapsat, to je dobrý.

0/0
18.11.2016 21:43

R74e42g41i42n24e 38M33a21r72t91i52n 6662728400258

;-) Zkušenost. Dostane se Vám do ruky komp. Uživatel kvílí, že vždy ho jen uspával, a teď z nějakého důvodu che komp zadat heslo. :-) Největšího úspěchu dosahuji u Windows zadáním "Jiného účtu" a to "Administrator" nebo "Admin" nebo "User" a hle... jsem v kompu i bez hesla. Jó, když po instalaci ty účty nikdo nezahesluje...:-P

0/0
17.11.2016 14:40

L46a54d17a 93N80o68v83a91k 4492913597

já největšího úspěchu dosahuju tím, že heslo prostě jen smažu...

+3/0
17.11.2016 15:43

M31i12c88h66a34l 35S10e80m40r62á79d 3122166827749

Pokud není nastavena vyšší bezpečnost lze heslo zpětně získat pomocí

Ophcrack cd... Využívá se dělení hesla na dva hashe a na dnešních strojích jednoduché prolomitelnosti...

Pokud to nejde... heslo prostě resetuji...

+1/0
17.11.2016 22:43

M15a31r78t27i11n 74V24a86l89o28s71e28k 7583714897492

No já bych největší problém viděl v ukládání hesel. Spousta lidí si neuvědomují, že např. pracovní počítač je věc, ke které může mít přístup spoustu lidí a jejich uložená hesla si prohlédnout.

Např. ve Firefoxu zadáte možnosti-zabezpečení-uložená přihlášení a dáte zobrazit hesla.

0/0
18.11.2016 10:41

L91a49d64a 16N30o32v15a66k 4262653907

no ale nejdřív se vás to zeptá, jestli chcete opravdu zobrazit svá hesla..., což je dost nelogická otázka, protože člověk většinou chce zobrazit cizí hesla....;-D

+1/0
18.11.2016 13:20

J10a61r65o52s10l20a15v 62L62e22b32e89d83a 3176259987480

A proto tam je volba Použít hlavní heslo.

0/0
18.11.2016 16:18

L62a16d51a 19N50o22v86a61k 4502763547

podle mého by jedním z rozumných přístupů k šifrování opravdu důležitých informací bylo vytvořit program jako byl TrueCrypt, který by ale ještě vyžadoval ověření přístupu na jiném zařízení, než na kterém máte soubor a na kterém píšete heslo... (například ověřovací sms, nebo něco podobného..)

Můžete mít neprolomitelné heslo (nejlepší moje heslo má kolem 30 znaků, neni to žádné známé slovo, ani neobsahuje žádné s něčím související číslice a znaky a pamatuju si ho..) no a stačí obyčejný keylogger a jste v pytli.. Nikdo dnes neví co si vlastně do počítače instaluje spolu s tunami různého freeware, s doplňkama aplikací, prohlížečů atd (to vůbec nemluvim o těch, kdo si crackují ukradené programy a hry)

Známý je také "fyzický" odposlech zvuku kláves, kde se dá po nahrání dostatečného množství zvuku rozklíčovat která klávesa má jaký zvuk... Zkrátka silná hesla jsou fajn věc, dokud neexistuje možnost přečíst si je, když je píšete..

+3/0
17.11.2016 13:14

P81a25v21e10l 45N83á24r34o33ž75n71ý 1175523186372

Dojímají mě místní nadšenci s 20 místními hesly na email.

No pokud vás baví při každém přihlášení zadávat šílenost typu

Dobro je prisjetiti se da prividno prav put prema cilju predstavlja u stvari pravodlivo krivudanje

Vše volba, ale věřte, že pokud si budu chtít přečíst vaší poštu tak mi v tom vážně vaše šílené heslo nezbrání, Tomu zabráníte pouze šifrováním oné pošty a ne nesmyslnými hesly k emailovému učtu.

Jen tak mimochodem už 12 místně heslo z čísel, písmen velké a malé abecedy a speciálních znaků dává 5,46E23 to se nedá napadnout ani za použití masivně paralelního stroje, který by si teoreticky mohlo pořídit třeba NSA.

+6/0
17.11.2016 12:23

L36a69d59a 79N98o15v32a66k 4142203237

skoro každý používá jako hesla slova, která nějak souvisí s ním a jeho okolím, totéž s čísly.., pak stačí jen všechno nacpat do nějaké knihovny a při dešifrování už nepracujete s 12 náhodnými znaky, ale třeba jen se 4, které kombinujete se slovy a čísly ze slovníku dané oběti...

+5/0
17.11.2016 13:17
Foto

R81o58b49e78r89t 58R43a60j80s 7465109311544

Myslíte tím šifrování komunikace pomocí SSL/TLS nebo STARTTLS? Nebo na webmailu HTTPS? To už je snad dnes standard, ne? No ale v opačném případě by stačilo jen odposlouchávat dění na síti. Uznávám. Bohužel dnes je to už jen bláhová představa. Nebo se pletu? Má ještě někde někdo takto nezabezpečený email?

0/0
18.11.2016 0:00

O10t91a90k75a71r 89Z97e98m10e23k 3846274111709

Ne, tak se to nedělá. Když chcete používat silná hesla, používáte správce hesel, například LastPass. Zadáte jedno heslo, a ten správce vám už jednotlivá hesla do příslušných služeb vyplňuje sám. Taky vám hesla umí generovat, takže můžete mít opravdu silná hesla, která se neopakují, a jediné co stačí si pamatovat, je to " centrální " heslo.

Synchronizuje to i mezi pc a Androidem, takže na mobilu vám stačí k přihlášení jen otisk prstu.

0/0
18.11.2016 8:14

M77i49l58a58n 17V88o31l11e64k 5849543846229

Dá se někde ten program stáhnout? Mně na uhodnutí vlastních hesel 100 pokusů nestačí.

+7/0
17.11.2016 12:20

L73a90d37a 89N35o47v15a79k 4162233567

:-P taky mám jeden zašifrovaný hdd asi 15 let starý a čas od času si zkoušim vzpomenout na to heslo...

+3/0
17.11.2016 13:18

P93e24t21r 24N80e45d63o60m87a 4879647218310

to znam :))

0/0
18.11.2016 0:09

L87u92k42á32š 97L36i16p30n85i77c33k18ý 1725321598798

Ja to po 8 letech vzdal...

+1/0
18.11.2016 7:04

T95o89m70á35š 12T63a92t77í16č30e29k 5310922960348

;-D

0/0
17.11.2016 18:21
Foto

J18a79n 16V12a42l15a81l80í78k 6176359170466

Když zapomenu heslo tak si nechám poslat nové :-D jinak heslo do hlavního mailu 25 znaků

0/0
17.11.2016 10:12

M86a16t18e22j 14F80i91l96i92p 9852284336

Gratuluji ale četl jste ten článek? Oni se právě nesnaží hacknout vaše heslo ale snaží se "hacknout" vaše myšlenkové pochody při vytváření hesla. Takže pak můžete mít klidně heslo o 100 znacích ale je vám to prd platné. Mimochodem, pokud si necháváte hesla generovat systémem při ztrátě hesla a toto heslo si pak už nezměníte, tak vidím také hned 2 bezpečnostní rizika. 1) ty hesla určitě nedržíte v hlavě, takže používáte nějaké úložiště hesel, napr. automatické ukládání v prohlížeči. 2) může být napadnutá ta webová služba generování hesel, takže útočník má vaše heslo okamžitě k dispozici i když je nově vygenerované.

+1/0
17.11.2016 10:25

M10a64r25t77i17n 83J37i88r52o25u38s65e29k 7266735235198

Tak jasně. Stejně tak může být v PC keylogger. :-)

+1/0
17.11.2016 11:12

J91a27k75u55b 56Z89o10u22b16e26k 3225154362

Nezáleží jen na počtu míst, ale také na znacích. Ověřit sílu hesla můžete třeba zde www.grc.com

0/0
17.11.2016 11:42
Foto

V24o92j86t77ě41c50h 65P13a70v32l97í28k 5924711774518

Na použité množině znaků nezáleží - pokud útočník neví, které znaky tam máte (například, že jste použil pouze malou abecedu), stejně musí zkusit všechno.

Bude samozřejmě nejdřív zkoušet pravděpodobnější hesla, nicméně 20-místné heslo pouze z písmen není oblíbená věc a tak na něj dojde asi až ke konci prohledávání možností.

To vše samozřejmě platí pouze v případě, že má útočník hash+salt - jako třeba z krádeže databáze, případně že má zašifrovaný soubor/disk a je schopen ověřit správnost rozšifrování. Pokud by se pokoušel například zalogovat do webové služby, i relativně krátké neslovníkové heslo je bezpečné, protože počet pokusů za sekundu je na webu někde mezi 0.1-10 a ne v miliardách jako u lokálního prolamování.

0/0
17.11.2016 16:25

P92e86t16r 77N87e11d68o52m77a 4539737258650

na mnozine znaku zalezi. Utocnik nejdrive zkusi nejmensi mnozinu, napr. cisla a az kdyz selze ji bude rozsirovat

+1/0
18.11.2016 0:12

T11o67m24á83š 26M10a44t78ě51j 9845338573162

To je výborný nápad... doplnit někomu slovník...

+1/0
17.11.2016 21:37

R30o93m77a36n 63Š27e32n69k23e39ř16í36k 1472235344449

A přitom je to tak jednoduche... Ano spravne by melo byt pro kazdy ucet unikátní heslo, nejlepe o délce 14-20 znaku. Ale kdo si to ma pamatovat? A proto vymysleli appky typu 1password, LastPass, Keepass atd. Neni to zadarmo, ale mate online/offline správce hesel/generátor po ruce v mobilu, tabletu, notasu atd. Nejvetsi blbost je pouzivat kombinaci prvni velke písmeno a na konci cisla - tak jak to většina systemu požaduje, typu zadejte min jedno velke a cislo a min 8 znaku, tak kazdy napise Franta01 a na tohle jsou vsechny algoritmy pripraveny. BTW normalne se legálně vyrábí hacking server (8 gpu - Tesla Kepler a lepsi...) ktere jedou rychlosti 80 miliard sha-1 za sekundu. Takze heslo o délce 8 znaku maji do vteřiny breakle :-)

0/0
17.11.2016 9:27

O10n87d75ř50e46j 69L64o82š43o75t71h 9420722504122

No třeba na můj web by na to potřebovali hodně času, protože po 5. špatném přihlášení se účet na den zablokuje.

+2/0
17.11.2016 9:33

R81o30b81i79n 73Ž73i50ž89k56a 2928944876376

den je relativně brutální - respektive je to už na kontakt admina, což plejtvá čas :-) mně přijde optimální cokoliv mezi 15 minutami a hodinou podle aplikace.

i těch patnáct minut stačí na eliminaci tohoto typu bruteforce útoku.

+1/0
17.11.2016 21:55

K18a56r77e86l 19E43n50d95l57e16r 3683600380935

Keepass zadarmo je. A synchronizaci šifrovaného souboru s hesly není problém zařídit přes cloud.

+1/0
17.11.2016 9:39

J92a86n 55C88h95o71d37u33r16a 1652429593693

v dropboxu

0/0
18.11.2016 8:44

D58a96n29i57e51l 81K37r73o86n96e83r 7324384986157

A k cemu je to dobre, kdyz zadny system neumozni tolik kombinaci vyzkouset?

0/0
17.11.2016 10:13

R34o23m23a29n 45Š78e57n12k10e13ř97í25k 1982845494229

Boha moj, a kdo se baví o přímém bruteforce do funkčního on-line systemu?? Víte kolik databází s klientskymi údaji, hash záznamy hesel atd je ročně ukradeno z e-shopu, social/profi siti for, a vsehomoznyho a tento leak je prodavan na black marketu. Bavím se o brute force na hashe ukradenych databazi. Znáte stránku haveibeenpwned? Zkuste si tam zadat nejake id/loginy/mejly ktere používáte pro přihlašování... Používáte LinkedIn? 2013 obrovsky únik, přiznali nedavno, pokud stejne/podobne heslo do LinkedIn používáte i jinde, tak si jo změňte a budete překvapeni kde vsude co uteklo a prodavaji se vase osobni udaje, s registračními údaji a hesly

0/0
17.11.2016 11:20

K53a59r72e91l 98D38v58o27ř77á10k 7309154887708

Používám 20-ti místné heslo pro emailové schránky, který si naštěstí pamatuji, další asi tři hesla pro svých 6 bankovních účtů, který ještě vyžadují osobní číslo. Hesla si pamatuji, osobní čísla občas dohledávám. Mám na to zašifrovaný soubor od Truecryptu zabezpečený 128 bitovým šifrováním a zabezpečený 30-ti místným heslem, který si naštěstí taky "zatím" pamatuji, protože ho jinak nemám nikde napsaný. Zašifrovaný soubor jinak obsahuje všechny hesla, co jsem kdy použil. V telefonu mám aplikace svých 6 bankovních účtů, které na přihlášení používají jiné heslo, než při klasickém přihlášení v internetovém prohlížeči. Telefon mám zabezpečený PINEM o 8 znacích ( žádná čtečka otisku prstu nebo čmárání linek po displeji).

Tak si říkám, jak v tomhle "šíleném" světě může přežít někdo, kdo si není schopen zapamatovat ani 4 místné PIN svojí jediný bankovní karty.

0/−3
17.11.2016 9:16







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.