Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Čínský algoritmus uhodne heslo na 73 procent, stačilo mu sto pokusů

Následkem poslední dobou velmi častých úniků je obří množství citlivých dat dostupných na internetu. Kromě uniklých hesel jsou to i osobní informace - jména, data narození. Čínští výzkumníci se zaměřili na možnost vykonávat útoky za pomocí těchto informací a dosáhli překvapivého úspěchu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času
Foto

M36a90r94c69e89l 59B84a58k85o61š 4741756483

Prispejem mojim sposobom uschovy a pamatania hesiel. Pamatam si len pin k mojej kreditke, ale aj ten mam zapisany. Inak si ziadne heslo nepamatam...... v antikvariate som si kupil staru komunisticku knizku, ktoru mam ulozenu v kniznici v obyvacke a v nej vsetky hesla napisane. Samoz

0/0
23.11.2016 16:12
Foto

M95a69r64c31e19l 85B25a44k38o96š 4941126973

rejme ze tieto hesla su v texte medzi ostatnymi znakmi ale len ja viem ktory text to je. Nie je to nijako oznacene. Viem to len opticky. Tento text mam vsak odfoteny v mobile a teda vsetky hesla mam vzdy so sebou. Neverim ze v ramci matice textu 20x20 znakov vie niekto vycitat kde je heslo a ku ktorej aplikacii patri. Heslo je umiestnene kdekolbek v texte a aj zvidlo aj vodorovne. Nieco ako osemsmerovka. Samozrejme ze heslo nema ziadny slovny vyznam. Ale pre zmylenie protivnika su tam aj normalne slova. :-)

0/0
23.11.2016 16:18

K80a34r71e15l 93U75r71b37a47n 2294814871129

Nejlepší hesla jsou typu: jdidoprdeletykterene apod..

0/−1
23.11.2016 9:30

L41u92k10a51s 49M91u79d52r63a 6236786682181

K článkům tohoto typu jaksi obvykle "zapomene" autor dodat dvě informace.

Zaprvé - čistě heslům ke službám, které musí být z principu opravdu bezpečné a ne si na to jen hrát, už dávno "odzvonilo", a na vzestupu je vícefaktorová autentizace. A i v případě, že jedním z autentizačních faktorů je stále kombinace "uživatelské jméno/heslo", neznamená onen čínský algoritmus i tak vůbec nic.

Zadruhé - tam, kde jde opravdu o bezpečí, a není možné z různých důvodů použít vícefaktorovou autentizaci, používají se další techniky, jak přímo vynutit silné heslo. Namátkově - minimální přípustný počet znaků, povinnost mít v heslo speciální znaky a jejich minimální počet, nemožnost mít v hesle jakoukoliv část uživatelského jména, případně jiného dalšího údaje uvedeného v registraci k dané službě (např.: máte-li v registraci jako příjmení "Mudra" nebo jako titul "MUDr.", tuto kombinaci znaků nebo jí velmi podobnou vás systém nenechá uložit jako součást hesla), automatická povinnost měnit heslo za určitý časový úsek, porovnávání hesla se slovníkem hesel (prevence proti heslům typu Heslo.1, Password01, ToJEmojeHeslo apod.), a tak dále. Potom je opět ten čínský algoritmus v podstatě úplně k ničemu.

Pořád ještě platí, že pokud budete mít 12ti znakové komplexní heslo, jeho prolomení zvenčí se obávat nemusíte. Zvlášť pokud ho "občas" změníte. Úniku hesla od druhé strany samozřejmě i tak ale nezabráníte.

Smutné případy typu "stejné heslo ke všem službám a účtům" nebo "heslo mám napsané na papírku na klávesnici" jsou přímou analogií k otázkám: Taky máte ke všem dveřím, které odemykáte, stejný jeden klíč (včetně dveří u auta)? A pokud ne, necháváte svůj svazek klíčů volně někde dostupný, aby si klíče mohl kdykoliv kdokoliv půjčit, zkopírovat? Má pro vás zámek na kůlně na chatě stejný význam a důležitost jako klíč k autu nebo k trezoru?

0/0
20.11.2016 13:05

P22e64t32r 20J55a65r72o94š 2574851775617

Jako jedno z hesel pouzivam lehce pozmeneny klic k jedne verzi windows. Sveho casu jsem ho reinstaloval windows tak casto, ze jsem si ho zapamatoval :). No a je to venku. Snad me ted Mrkvosoft nebude zalovat za poruseni autorskych prav :).

0/0
19.11.2016 14:02

P89e68t81r 71J34a41r27o11š 2374971235137

Cim vice hesel pouzivame, tim spise potrebujeme prave programy na spravu hesel.

Cimz se paradoxne dostavame do situace, kdy k ziskani vsech hesel staci uhadnout jedno jedine heslo.

+1/0
19.11.2016 13:57

K45a95r53e61l 16K10o80v17a91ř25í17k 3625252815952

Přesně to je důvod proč používám jen cca 4 hesla dle třídy důležitosti. a správce hesel na všech zařízeních zakazuji nebo rovnou likviduji...

0/0
23.11.2016 12:54

K70a41r45e67l 97N52e64d71o39p89i82l 7818506539364

Asi si budu muset zmenit heslo. 12345 uz asi neni bezpecne...

0/0
18.11.2016 12:16

L90u20k37a34s 95M52u30d75r50a 6946796762801

Všechny posloupnosti jsou nebezpečné, ale můžete na to jít jinak - pokud třeba máte rád historii a její významná data, pak můžete zkusit třeba něco jako watE18061815Rloo - 16 znaků je dostatečně dlouhé, a kombinace "malé", "velké", "číslo" je při této délce zcela dostatečná. A přitom se to velmi dobře pamatuje, stačí vědět (nebo mít poznamenáno) to místo (jméno, událost atd.), a pokud vám náhodou "vypadne" ten datum, Google vám ho kdykoliv a kdekoliv připomene. A studnice dalších potenciálních hesel tohoto typu je prakticky nevyčerpatelná.

0/−1
20.11.2016 13:11

M81i76c66h64a70l 26J44a15r65o65š 7764440462535

Většina podstatných úniků dat není přes heslo uživatele, ale přímo před správce dat, ať už hackerským útokem nebo vlastním pracovníkem. Nehladě na toi, že dneska má k emailům na vyžádání přístup kdejaký policajt.

Algoritmus založení na sociálním inženýrství vyžaduje předchozí bezpečnostní chybu uživatele (třeba prozrazení starého hesla) a zveřejnění příliš mnoha osobních údajů v sítích. Stará škola se toho zpravidla nedopustí.

0/0
18.11.2016 9:40

J87a89r76o20s96l35a50v 70L79e70b14e54d71a 3736889247910

Co třeba "Spss,pJMM2!" nebo "Ksoot>sbnaj0" ? Jsem ochoten dát i nápovědu :-)

0/0
17.11.2016 15:49

T56o56m84á93š 58T18a15t24í85č81e20k 5560152700678

Sem s ňó!

+1/0
17.11.2016 18:07

J29a18r82o32s62l14a12v 66L82e55b36e95d83a 3106219897430

Písničky. První lidová, druhá od Gotta.

0/0
18.11.2016 9:10

T90o76m61á51š 89T95a12t95í28č12e90k 5210632870688

Tak to je hodně dobrý! To bez dlouhýho bádání nerozluštím ani přes nápovědu. Díky! :-)R^

0/0
19.11.2016 12:28

J24a98r82o13s54l79a40v 68L93e52b81e37d74a 3616789277110

Ono nejde o to, jak dlouho vy luštíte písničku, ale o to, jak dlouho bude nějaký algoritmus luštit vaše heslo ;-) Druhé je tak odolné, že se opravdu nemusíte strachovat. https://www.grc.com/haystack.htm

Ale hlavně jde i o to, jak snadno si ho zapamatujete: Pít, či nepít? To je to, oč tu běží! P,čn?Tjt,otb!

0/0
19.11.2016 13:09

T81o97m65á70š 79T89a66t65í92č36e59k 5180832640908

Tak to mně je jasné, že účelem není utajení písničky. :-) Ale pěkně to dokládá, jak se tímto způsobem snadno zapamatovatelné heslo změní v domněle naprosto nahodilý shluk znaků.

0/0
19.11.2016 13:16
Foto

R44a71d18i25m 85K22r17o39u46t96i30l 7820951526309

Že by si šly panenky silnicí osladit ke Karlovi kávu?

0/0
18.11.2016 16:02

J68a52r49o22s92l62a15v 69L57e37b12e23d86a 3246479427430

Ba. Chtěl jsem jen ukázat, že obdobná tvorba hesla je IMO dost bezpečná a na rozdíl od hesla 8}q)6[z(`{7h mnohem snadněji zapamatovatelná. Samozřejmě si můžete zvolit i libovolnou básničku nebo vlastní nesmyslnou větu typu Hodiny tečou po zdi a říkají "To je ale ostuda!".

+1/0
18.11.2016 16:15

M44a96r72t83i26n 16F19r85a95n85t57i41š43e92k 7455820963825

Počkejte, to heslo s hodinama si musim zapsat, to je dobrý.

0/0
18.11.2016 21:43

R38e48g41i24n78e 51M19a12r54t37i84n 6142268580828

;-) Zkušenost. Dostane se Vám do ruky komp. Uživatel kvílí, že vždy ho jen uspával, a teď z nějakého důvodu che komp zadat heslo. :-) Největšího úspěchu dosahuji u Windows zadáním "Jiného účtu" a to "Administrator" nebo "Admin" nebo "User" a hle... jsem v kompu i bez hesla. Jó, když po instalaci ty účty nikdo nezahesluje...:-P

0/0
17.11.2016 14:40

L82a49d61a 18N32o95v68a33k 4152823757

já největšího úspěchu dosahuju tím, že heslo prostě jen smažu...

+3/0
17.11.2016 15:43

M19i83c98h95a68l 29S50e40m49r58á14d 3942656577149

Pokud není nastavena vyšší bezpečnost lze heslo zpětně získat pomocí

Ophcrack cd... Využívá se dělení hesla na dva hashe a na dnešních strojích jednoduché prolomitelnosti...

Pokud to nejde... heslo prostě resetuji...

+1/0
17.11.2016 22:43

M74a95r17t41i68n 10V53a24l83o20s62e42k 7453744167522

No já bych největší problém viděl v ukládání hesel. Spousta lidí si neuvědomují, že např. pracovní počítač je věc, ke které může mít přístup spoustu lidí a jejich uložená hesla si prohlédnout.

Např. ve Firefoxu zadáte možnosti-zabezpečení-uložená přihlášení a dáte zobrazit hesla.

0/0
18.11.2016 10:41

L72a90d72a 67N43o92v69a37k 4882453957

no ale nejdřív se vás to zeptá, jestli chcete opravdu zobrazit svá hesla..., což je dost nelogická otázka, protože člověk většinou chce zobrazit cizí hesla....;-D

+1/0
18.11.2016 13:20

J17a51r42o90s56l22a66v 47L63e57b18e75d44a 3506839557800

A proto tam je volba Použít hlavní heslo.

0/0
18.11.2016 16:18

L84a18d87a 97N13o83v97a52k 4912663407

podle mého by jedním z rozumných přístupů k šifrování opravdu důležitých informací bylo vytvořit program jako byl TrueCrypt, který by ale ještě vyžadoval ověření přístupu na jiném zařízení, než na kterém máte soubor a na kterém píšete heslo... (například ověřovací sms, nebo něco podobného..)

Můžete mít neprolomitelné heslo (nejlepší moje heslo má kolem 30 znaků, neni to žádné známé slovo, ani neobsahuje žádné s něčím související číslice a znaky a pamatuju si ho..) no a stačí obyčejný keylogger a jste v pytli.. Nikdo dnes neví co si vlastně do počítače instaluje spolu s tunami různého freeware, s doplňkama aplikací, prohlížečů atd (to vůbec nemluvim o těch, kdo si crackují ukradené programy a hry)

Známý je také "fyzický" odposlech zvuku kláves, kde se dá po nahrání dostatečného množství zvuku rozklíčovat která klávesa má jaký zvuk... Zkrátka silná hesla jsou fajn věc, dokud neexistuje možnost přečíst si je, když je píšete..

+3/0
17.11.2016 13:14

P16a62v23e71l 40N21á18r27o75ž68n29ý 1515883616492

Dojímají mě místní nadšenci s 20 místními hesly na email.

No pokud vás baví při každém přihlášení zadávat šílenost typu

Dobro je prisjetiti se da prividno prav put prema cilju predstavlja u stvari pravodlivo krivudanje

Vše volba, ale věřte, že pokud si budu chtít přečíst vaší poštu tak mi v tom vážně vaše šílené heslo nezbrání, Tomu zabráníte pouze šifrováním oné pošty a ne nesmyslnými hesly k emailovému učtu.

Jen tak mimochodem už 12 místně heslo z čísel, písmen velké a malé abecedy a speciálních znaků dává 5,46E23 to se nedá napadnout ani za použití masivně paralelního stroje, který by si teoreticky mohlo pořídit třeba NSA.

+6/0
17.11.2016 12:23

L14a19d42a 63N91o97v52a84k 4802173607

skoro každý používá jako hesla slova, která nějak souvisí s ním a jeho okolím, totéž s čísly.., pak stačí jen všechno nacpat do nějaké knihovny a při dešifrování už nepracujete s 12 náhodnými znaky, ale třeba jen se 4, které kombinujete se slovy a čísly ze slovníku dané oběti...

+5/0
17.11.2016 13:17
Foto

R87o29b52e38r16t 57R69a73j80s 7325519551614

Myslíte tím šifrování komunikace pomocí SSL/TLS nebo STARTTLS? Nebo na webmailu HTTPS? To už je snad dnes standard, ne? No ale v opačném případě by stačilo jen odposlouchávat dění na síti. Uznávám. Bohužel dnes je to už jen bláhová představa. Nebo se pletu? Má ještě někde někdo takto nezabezpečený email?

0/0
18.11.2016 0:00

O72t19a72k47a62r 18Z49e68m56e24k 3326584471829

Ne, tak se to nedělá. Když chcete používat silná hesla, používáte správce hesel, například LastPass. Zadáte jedno heslo, a ten správce vám už jednotlivá hesla do příslušných služeb vyplňuje sám. Taky vám hesla umí generovat, takže můžete mít opravdu silná hesla, která se neopakují, a jediné co stačí si pamatovat, je to " centrální " heslo.

Synchronizuje to i mezi pc a Androidem, takže na mobilu vám stačí k přihlášení jen otisk prstu.

0/0
18.11.2016 8:14

M34i76l24a63n 70V85o58l13e56k 5399563256899

Dá se někde ten program stáhnout? Mně na uhodnutí vlastních hesel 100 pokusů nestačí.

+7/0
17.11.2016 12:20

L44a40d90a 74N33o85v90a18k 4392353427

:-P taky mám jeden zašifrovaný hdd asi 15 let starý a čas od času si zkoušim vzpomenout na to heslo...

+3/0
17.11.2016 13:18

P22e43t54r 51N47e59d95o24m83a 4989317908550

to znam :))

0/0
18.11.2016 0:09
Foto

L55u37k90á90š 86L60i68p89n32i60c34k77ý 1215821408828

Ja to po 8 letech vzdal...

+1/0
18.11.2016 7:04

T23o95m43á67š 83T38a38t72í25č57e15k 5910952280748

;-D

0/0
17.11.2016 18:21

J60a41n 69V83a76l40a62l27í48k 6486819520526

Když zapomenu heslo tak si nechám poslat nové :-D jinak heslo do hlavního mailu 25 znaků

0/0
17.11.2016 10:12

M31a90t23e81j 84F41i52l25i17p 9932224876

Gratuluji ale četl jste ten článek? Oni se právě nesnaží hacknout vaše heslo ale snaží se "hacknout" vaše myšlenkové pochody při vytváření hesla. Takže pak můžete mít klidně heslo o 100 znacích ale je vám to prd platné. Mimochodem, pokud si necháváte hesla generovat systémem při ztrátě hesla a toto heslo si pak už nezměníte, tak vidím také hned 2 bezpečnostní rizika. 1) ty hesla určitě nedržíte v hlavě, takže používáte nějaké úložiště hesel, napr. automatické ukládání v prohlížeči. 2) může být napadnutá ta webová služba generování hesel, takže útočník má vaše heslo okamžitě k dispozici i když je nově vygenerované.

+1/0
17.11.2016 10:25

M52a61r62t23i44n 20J84i40r63o15u12s60e51k 7706975465658

Tak jasně. Stejně tak může být v PC keylogger. :-)

+1/0
17.11.2016 11:12

J79a49k45u89b 56Z29o71u36b23e77k 3245434432

Nezáleží jen na počtu míst, ale také na znacích. Ověřit sílu hesla můžete třeba zde https://www.grc.com/haystack.htm

0/0
17.11.2016 11:42
Foto

V17o25j61t89ě63c51h 20P65a85v34l46í42k 5664891374178

Na použité množině znaků nezáleží - pokud útočník neví, které znaky tam máte (například, že jste použil pouze malou abecedu), stejně musí zkusit všechno.

Bude samozřejmě nejdřív zkoušet pravděpodobnější hesla, nicméně 20-místné heslo pouze z písmen není oblíbená věc a tak na něj dojde asi až ke konci prohledávání možností.

To vše samozřejmě platí pouze v případě, že má útočník hash+salt - jako třeba z krádeže databáze, případně že má zašifrovaný soubor/disk a je schopen ověřit správnost rozšifrování. Pokud by se pokoušel například zalogovat do webové služby, i relativně krátké neslovníkové heslo je bezpečné, protože počet pokusů za sekundu je na webu někde mezi 0.1-10 a ne v miliardách jako u lokálního prolamování.

0/0
17.11.2016 16:25

P78e33t88r 81N27e70d37o42m47a 4169717168920

na mnozine znaku zalezi. Utocnik nejdrive zkusi nejmensi mnozinu, napr. cisla a az kdyz selze ji bude rozsirovat

+1/0
18.11.2016 0:12

T72o83m71á61š 48M70a68t52ě35j 9185188813232

To je výborný nápad... doplnit někomu slovník...

+1/0
17.11.2016 21:37

R68o83m59a64n 19Š86e14n45k84e70ř45í19k 1532345974899

A přitom je to tak jednoduche... Ano spravne by melo byt pro kazdy ucet unikátní heslo, nejlepe o délce 14-20 znaku. Ale kdo si to ma pamatovat? A proto vymysleli appky typu 1password, LastPass, Keepass atd. Neni to zadarmo, ale mate online/offline správce hesel/generátor po ruce v mobilu, tabletu, notasu atd. Nejvetsi blbost je pouzivat kombinaci prvni velke písmeno a na konci cisla - tak jak to většina systemu požaduje, typu zadejte min jedno velke a cislo a min 8 znaku, tak kazdy napise Franta01 a na tohle jsou vsechny algoritmy pripraveny. BTW normalne se legálně vyrábí hacking server (8 gpu - Tesla Kepler a lepsi...) ktere jedou rychlosti 80 miliard sha-1 za sekundu. Takze heslo o délce 8 znaku maji do vteřiny breakle :-)

0/0
17.11.2016 9:27

O62n31d14ř13e92j 78L40o72š57o94t38h 9870452204802

No třeba na můj web by na to potřebovali hodně času, protože po 5. špatném přihlášení se účet na den zablokuje.

+2/0
17.11.2016 9:33

R63o73b18i88n 23Ž72i63ž56k17a 2958164676476

den je relativně brutální - respektive je to už na kontakt admina, což plejtvá čas :-) mně přijde optimální cokoliv mezi 15 minutami a hodinou podle aplikace.

i těch patnáct minut stačí na eliminaci tohoto typu bruteforce útoku.

+1/0
17.11.2016 21:55

K85a90r13e61l 24E28n36d27l54e59r 3193640890795

Keepass zadarmo je. A synchronizaci šifrovaného souboru s hesly není problém zařídit přes cloud.

+1/0
17.11.2016 9:39

J33a45n 38C19h17o96d34u35r38a 1892609883113

v dropboxu

0/0
18.11.2016 8:44

D49a57n50i56e85l 82K34r15o20n19e47r 7844834946627

A k cemu je to dobre, kdyz zadny system neumozni tolik kombinaci vyzkouset?

0/0
17.11.2016 10:13

R36o55m62a38n 13Š18e72n75k82e59ř76í58k 1402885654769

Boha moj, a kdo se baví o přímém bruteforce do funkčního on-line systemu?? Víte kolik databází s klientskymi údaji, hash záznamy hesel atd je ročně ukradeno z e-shopu, social/profi siti for, a vsehomoznyho a tento leak je prodavan na black marketu. Bavím se o brute force na hashe ukradenych databazi. Znáte stránku haveibeenpwned? Zkuste si tam zadat nejake id/loginy/mejly ktere používáte pro přihlašování... Používáte LinkedIn? 2013 obrovsky únik, přiznali nedavno, pokud stejne/podobne heslo do LinkedIn používáte i jinde, tak si jo změňte a budete překvapeni kde vsude co uteklo a prodavaji se vase osobni udaje, s registračními údaji a hesly

0/0
17.11.2016 11:20

K32a33r66e47l 26D15v12o68ř17á14k 7959974407288

Používám 20-ti místné heslo pro emailové schránky, který si naštěstí pamatuji, další asi tři hesla pro svých 6 bankovních účtů, který ještě vyžadují osobní číslo. Hesla si pamatuji, osobní čísla občas dohledávám. Mám na to zašifrovaný soubor od Truecryptu zabezpečený 128 bitovým šifrováním a zabezpečený 30-ti místným heslem, který si naštěstí taky "zatím" pamatuji, protože ho jinak nemám nikde napsaný. Zašifrovaný soubor jinak obsahuje všechny hesla, co jsem kdy použil. V telefonu mám aplikace svých 6 bankovních účtů, které na přihlášení používají jiné heslo, než při klasickém přihlášení v internetovém prohlížeči. Telefon mám zabezpečený PINEM o 8 znacích ( žádná čtečka otisku prstu nebo čmárání linek po displeji).

Tak si říkám, jak v tomhle "šíleném" světě může přežít někdo, kdo si není schopen zapamatovat ani 4 místné PIN svojí jediný bankovní karty.

0/−3
17.11.2016 9:16







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.