Diskuse k článku

Expert: Nebuďte naivní, neopakujte hesla. Pozor na malé weby

Heartbleed - chyba v internetovém šifrování - zasáhla celý svět. S bezpečnostní expertem jsme hledali, jak se největší bezpečnostní problém posledních let dotkne jednotlivých uživatelů. Rady jsou jednoduché: používejte unikátní hesla, dvojitou autorizaci a aktualizujte software i hardware.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

L59u71d23v71í21k 81G95a28j63d42o29š48í46k 2115873434162

Stejná hesla: "...Stačí, když se jedna z mnoha stránek, na kterých heslo používá, stane terčem útoku. V tu chvíli má útočník snadný přístup i do všech ostatních..."

.

To je sice pravda, problém je ale v tom, že útočník NEMŮŽE znát další služby daného uživatelel a zjistit by to mohl jen intenzivním a dlouhodobým sledováním tohoto konkrétního člověka. To můžou jistě dělat tajné služby. Nikoliv však nějaký hacker z Pakistánu po netu. A hlavně - proč by to dělal (pokud tedy zrovna nevyvíjíte nějaké jaderné zařízení nebo podobně).

Asi není dobré si dávat stejné heslo co máte v bankovnictví do účtu e-shopu se psím žrádlem, ale jinak nevidím důvod, proč u bezvýznamných účtů nepoužívat stejné heslo. Případné odcizení identity u takových účtů pro vás obvykle stejně neznamená vůbec nic.

+3/−2
16.4.2014 10:28

F96r61a79n91t18i27š97e97k 31L97u31f81t 5987889704606

Taky takhle uvažuju. Hesla mám 3 - do banky, datové schranky a vsechno ostatni. Takže NSA sem bude moci psát příspěvky pod mým jménem. :-)

0/0
16.4.2014 10:54

J52a47n 27M84o33h37y83l24a 6722439669651

Tak největší škody stejně způsobí nejznámější stránky - emaily, sociální sítě,PayPal… a na to přijde i ten Pákistánec.

+2/0
16.4.2014 12:58

F16i22l63i67p 46T96ř28e16b13a 6663630948726

On ale vůbec nepotřebuje vědět, jaké služby používáte. Stačí znát funkční kombinaci username:password (resp. desetitisíce takových kombinací), které pak metodou brute force zkouší přístup kamkoliv, kam zrovna chce získat přístup.

A vůbec to nemusí být hacker z Afganistánu, stačí schopnější puberťák, co se snaží dostat na placené porno.

A protože procento lidí, kteří používají na všechno stejné heslo (včetně mě, ještě relativně nedávno), byl byste překvapen, jak často je tento postup úspěšný.

0/0
16.4.2014 16:29

T23o60m97á95š 80S43k39á77l84a 6578507

právě že vůbec nemusíte sledovat. Prostě zkusíte hlavní stránky. Jednou mi stačilo vytvořit účet s "anonymním" heslem na dxtreme a do pěti minut mi přišli maily z facebooku, blizzardu, CCP, že se tam někdo pokoušel dostat z čínské adresy. 

Hlavní a kritické je mít unikátní heslo na mail používaný k registraci ostatních účtů. Protože mail, username, password dostává každá z těchto stránek. Z mailu WWW rozhraní většinou zjistíte (pokud existuje) a pokud heslo sedí, stačí projít archiv. Nebo prostě čekat až se objeví zajímavý potvrzovací mail k novému účtu kdekoliv. Ani o tom nemusíte vědět, že vám nějaký bot prolézá schránku.

0/0
16.4.2014 17:20

V26l31a83s68t77i65m28i73l 60T41e91n18c43e62r 4440120707640

Mám si taky změnit heslo, když chci zdarma odeslat SMS přes bránu T-Mobile? Co když se mi tam někdo nabourá. :-/

0/0
16.4.2014 10:19

Š57t84ě83p31á21n 20F76r85a27n90c10l 8374879304640

Ano, protože T-Mobile také používá OpenSSL.

0/0
16.4.2014 16:18

B23l51a25ž23e58j 38M47o48t88y44č41k31a 8517637435460

Představa,  že manželka využije této díry a nabourá se mi emailu mě velice rozrušila.

0/0
16.4.2014 10:14
Foto

F41r67a23n37t71i66š93e19k 72H90r91a47b36a73l 3333539716538

Když už jsme u té paranoie s hesly, tak bych jí nasměřoval i na ty nástroje pro ukládání hesel.

Já si krásně zvolím cca 80 různých hesel, které splňují bezpečnostní zásady. Tyto uložím do online aplikace, o které se tvrdí, že je bezpečná. V tu chvíli má potenciální útočník možnost se dostat ne k jednomu mému účtu, ale ke všem. Vše tedy za předpokladu, že se dostane do té aplikace.  

To samé bych mohl říct o správci hesel, který není online - útočník se může dostat do mého počítače a přístup k němu získat.

Tím nechci říct, že bych podporoval hesla typu Mama0123, bezpečnost internetu je všeobecně podceňována. Já také používám správce hesel, protože si je prostě nedokážu zapamatovat. Ovšem je třeba najít nějaký rozumný kompromis mezi bezpečností a uživatelskou přívětivostí. Potenciální bezpečnostní díru můžeme dnes najít v podstatě všude.

+1/0
16.4.2014 10:04
Foto

P29a21v28e87l 22K36a19s46í93k85, 79T88e34c31h83n54e68t68.74c91z

To je správná úvaha. Proto je potřeba vybrat správce hesel, který ukládá hesla šifrovaná. Například LastPass šifruje hesla vaším klíčem (Master Password) a oni sami tak vaše hesla neznají (samozřejmě, že je tu určitá úroveň důvěry). Celkem pěkné (i když nadšené) shrnutí je na http://lifehacker.com/is-lastpass-secure-what-happens-if-it-gets-hacked-1555511389

+2/0
16.4.2014 10:17

L91u56d56v16í49k 66G45a10j21d25o21š86í59k 2975443314272

Jak říká pan Kasík. Tito správci mají data skoro vždy šifrovaná a na zabezpečení takové databáze je zaměřena převážná část snažení autorů takové aplikace. Onlineovým správcům hesel bych se určitě vyhnul velkým obloukem. Nicméně je mraky i portable aplikací, které můžete mít na flashce, nosit je všude sebou a fungují i napříč počítačovými systémy včetně chytrých telefonů.

0/0
16.4.2014 10:37
Foto

F52r55a85n28t34i71š17e38k 83H66r70a62b81a14l 3633779786608

Použití offline správce (PasswordSafe například) je pro mne samozřejmostí. Asi nikdy bych nedal svá hesla někam do Cloudu nebo na jiné online úložiště. Prostě jim nedůvěřuji i když je to možná trochu anachronismus. Online si nechávám jen záložky (jsem příliš pohodlný je synchronizovat s přenosným médiem). A heslo do správce jsem zvolil skutečně složité.

+1/0
16.4.2014 11:16

R63a21d48e54k 89Z19e35l78y74c91z 1388368862610

No, jsem mozna konzerva, ale ja si zapisuji hesla uz drahnu let do excel tabulky, zalohy samozrejme mam..

0/0
17.4.2014 18:00

R36o26m22a87n 73G67o83r49č77í64k 9106733469396

Jsem někde slyšel, že "komunita" chyby odhaluje a opravuje rychlostí blesku... Kde soudruzi udělali chybu???

0/0
16.4.2014 7:43

D20a56v19i79d 46Š70m67í15d 8137115959189

To jste slyšel špatně.

To tvrzení mohlo znít že "Chyby v OSS jsou zpravidla opraveny mnohem rychleji než v proprietárním softwaru."

Odhalování chyb je jiná písnička, ale vzhledem k tomu, že má podstatně více lidí přístup ke zdrojovým kódům, bych věřil tomu, že i odhalování je rychlejší.

0/0
16.4.2014 7:48

K97a92r42e45l 54E39n83d10l54e87r 3503890150925

Klidně tomu věřte - tadyta tam byla jen dva roky.

0/0
16.4.2014 9:32

L88u24d43v83í53k 25G72a95j67d27o82š58í88k 2255933314222

akorát o ní nikdo nevěděl. :-)

0/0
16.4.2014 10:06

O21d91s64t68r90a17n41ě19n69ý 89U45ž83i32v15a28t73e53l

Uživatel požádal o vymazání
0/0
16.4.2014 10:10
Foto

P80a52v70e29l 56K79a45s12í34k24, 62T95e50c67h15n32e74t39.97c50z

Pokud o ní věděl někdo, kdo věděl, jak ji prodat, tak ji pravděpodobně nenahlásil. A protože je to útok, který se (bez jeho znalosti) těžko detekuje, tak se sotva dozvíme, kolik útoků bylo provedeno ještě před 2014.

0/0
16.4.2014 10:19

L34u97d17v12í73k 83G35a36j21d45o22š63í83k 2445433514592

S tím nelze než souhlasit.

Na druhou stranu zveřejnění takto závažné chyby na černém trhu by se asi dlouho neututlalo a především by napadení jistě nějak negativně pocítili, že se něco děje. Byť by nevěděli odkud útok přichází.

Žádné takové signály ale zatím nejsou.

0/0
16.4.2014 10:43
Foto

D92a64n21i28e65l 65K91o78č23i29c31a 4395608566752

Domnívám se, že právě takto na to borci od google přišli. Nebo alespoň mi to přijde jako mnohem pravděpodobnější způsob odhalení chyby než ta oficiální verze. Zkrátka než sdělit uživatelům: "průser, dva roky nám někdo tahal hesla z google accountů" je vždycky marketingově lepší říct: "náš skvělý tým testující bezpečnost odhalil, že někdo jiný udělal chybu a proto si raději změňte hesla" Kdo ví jak dlouho jim ta data z jejich srdíčka vlastně tekla :-/

0/0
16.4.2014 22:02

L30u33d29v82í45k 68G55a72j54d18o89š88í12k 2975213154332

Tak v tomto konkrétním případě byla knihovna opravena ještě před tím, než to u nás zveřejnila média. Zde se o tom psalo tuším poprvé minulé úterý a servery se záplatovaly už v sobotu před tím.

0/0
16.4.2014 10:05

D63a72v81i74d 85Š31m67í42d 8247335599639

To je ale "expert".

Naopak. Nezapamatovatelná hesla s podivnými znaky jsou nebezpečná: http://xkcd.com/936/

Ale když se to vezme kolem a kolem, 99,9 % uživatelů stejně nedisponuje ničím zajímavým, kvůli čemu by se hackerům vyplatilo vůbec se pokoušet hesla k jejich nebankovním účtům hádat/odhalovat.

A kdo používá stupidní hesla k Internetovému bankovnictví, tomu to patří.

+2/0
16.4.2014 7:40

J13a95n 59M87a45t42u59c25h60a 5155899467906

Máte pravdu, ale řada systémů stále vyžaduje hesla o délce max 8 znaků.

0/0
16.4.2014 9:54

B65l20a75ž76e89j 79M11o23t96y74č87k74a 8117437125600

bankovnictví máte ještě ověřováno na váš mobil, takže tam je to taky jedno:-)

0/0
16.4.2014 10:09

L50u30d45v94í18k 50G21a39j10d65o64š61í88k 2725583814442

Dovedu si představit i lidi, kterým nemusí být úplně jedno, když někdo sleduje byť jen pohyb na jejich účtech. :-) Rath, Janoušek, Oulický, Rittig...

+1/0
16.4.2014 10:46
Foto

P82a30v21e91l 64K33a52s58í50k15, 31T71e23c43h97n56e64t19.84c54z

To jsou zkrátka dva druhy úvah o heslech. Jenže ono to xkcd heslo (kterážto úvaha je mi blízká) má taky svoje vady, konkrétně lidé často volí slova příbuzná apod.

0/0
16.4.2014 10:23

J51a81n 24M97o45h76y34l24a 6492349349261

O některých správcích nemám nejmenší iluze vzhledem k tomu, že celá řada stránek mi je schopna poslat zapomenuté heslo otevřeně do emailu, což znamená, že jim tam někde vesele leží v plaintextu.;-D

+5/0
15.4.2014 23:49

V15í39ť27a 23N90o68v84á96k 1918463675451

123456 mám vyměnit?

+3/−1
15.4.2014 23:07

M89a67r85t31i66n 14F34r62a72n37t91i10š15e23k 7555870983375

je to krátký. přidejte 78

+2/0
16.4.2014 11:56

A25l80e14x65a83n25d83r 65K94o34s87t61k15a 5249786179776

Sory, ale u obyčejného uživatele ja daleko, daleko větším bzepečnostním rizikem "bezpečnostní otázka" případně nezabezpečený mail. Minimálně každý druhý má jako "security question" něco, co lze poměrně snadno zjistit. Jméno manželky, dcery, psa.. Tipoval bych si, že u poloviny z nich toho psa jmenují na facebooku. A spolu s ním tam také mají napsáno, kdy budou na dovolené.. A pak se diví, že jim někdo vybere kvartýr.  A přez nezabezpečený mail se resetne jakékoliv heslo že? :)

0/−1
15.4.2014 22:51

B89e12n 57P44a98v70k52a 1777463277181

99,999999... % internetu je stejně informační žumpa a porno.

+6/0
15.4.2014 20:45

J77a22n 95P96r64o36v51a63z85n11í12k 6168814470391

Abych řekl pravdu, nepracuji s plány na invazi do USA, nemám klíče k jaderným zbraním a žádný převratný patent v počítači nemám. Sice by bylo celkem nepříjemné, kdyby se mi někdo dostal na facebook, do mailu a nebo na účet idnes.cz a psal tady nějaké stupidní komentáře ale rozhodně mi to nestojí za to, abych měl na každé stránce jiné heslo obsahující velké písmeno, malé písmeno, číslo, speciální znak, aby netvořila tato písmena slovo a další blbosti na zabezpečení.

+12/−1
15.4.2014 19:47

T38o84n74d86a 85H35e15j77l96í96k 1798733269207

E-banking? Tam už jde do tuhého...

0/0
15.4.2014 21:35

J60a87r46o97m75í87r 81K37r89á96l 4770719254309

Ten zpravidla využívá jiný způsob.

0/0
15.4.2014 23:02

A76l87e95x75a95n69d42r 66K13o59s40t81k71a 5449976109836

Jak tak nad tím přemýšlím.. Ono by šlo naprosto stejným způsobem i chytat smsky na SMS bráně. SIce by to vyžadovalo opravdu dost snahy, ale v kombinaci s tím bankovnictvím je potenciální zisk minimálně v milionech USD.

0/0
15.4.2014 23:45

B62e35n 52P34a23v64k17a 1157593567101

Jste mně připomněl známou, která se mě ptala, jestli se jí někdo nemůže jako nabourat do notebooku a tak. Jsem jí na to s klidem odpověděl, že lehčí je ten notebook ukrást.

Já jako nezlehčuji kyber kriminalitu, ale prostě to by se z toho člověk musel zbláznit. Jestli někdo má větší množství peněz, a nechť si každý dosadí částku dle libosti, tak si prostě zařídí speciální účet a ten nechá bez dálkového přístupu. A prachy se vydají např. kontra hlavou manželky;-D

+5/0
16.4.2014 0:21

T76o18m24á20š 83S10k19á11l13a 6768557

proto internetová bankovnictví mívají limit převodu a kontroluje se to ještě úplně zvlášť i u běžných malých účtů. Ono popravdě, není problém ty peníze z účtu někomu převést. To je to nejmenší. Ono je trochu problém s nimi utéct a užít si jich.

0/0
16.4.2014 17:30

J77a92n 83P86a67v93e25l46k38a 3897221254451

Uvedomujete si, ze tim rikate: nic nedelam, nic nemam a dohlednu nejdal na spicku bot?

+3/0
15.4.2014 22:05

J71a95r63o33m87í69r 45K22r41á71l 4350509254709

Ano, uvědomuji si, že se někdo může z mailu dozvědět, kdy přijedou děcka na oběd a jak se mají vnoučata. ;-D

+2/0
15.4.2014 23:04

M86a44r88e97k 80H84r78u74b41y 6387772481218

Hmm, a co kdyz vasim jmenem z vaseho nabouraneho mailu nekomu napise neco oskliveho? Pripadne ziskanim mailove schranky ziska moznost resetovani pristupu do vasich dalsich uctu? Porad je to v pohode?

+2/−1
16.4.2014 0:38

J44a19r71o14m63í92r 77K48r87á46l 4850229434419

Pak mohu celkem snadno prokázat, že to neodešlo z mého počítače

0/0
16.4.2014 7:07

K42a45r30e57l 45E51n32d37l12e48r 3903410400655

To teda nemůžete. Neexistence něčeho se dokazuje velmi špatně.

0/0
16.4.2014 9:34

B95l64a34ž54e48j 58M11o13t68y67č71k57a 8477327985960

zprávy emailu nemužete brát vážně a není třeba nic dokazovat, to by si měl každý uvědomit.

0/0
16.4.2014 10:07

B13l85a47ž53e45j 38M20o79t41y96č88k16a 8177327225310

pod jakymkoliv emailem vám pošlu cokoli, na to se nemusím bourat do emailu;-)

+1/0
16.4.2014 10:03

I62v21o 51Z33d21e40b72o83r39s39k76ý 3623851870141

Prostě jeden z devíti miliónů Čechů.

+1/0
15.4.2014 23:36

T98o38m14á45š 15J93e86l29í66n54e54k 3227519686949

Tak si jen představte, že útočník se dostane do všech Vámi využívaných služeb, kde, jak říkáte, není nic zajímavého. Ale co když Vám pouze vymaže obsah vše těchto služeb. Jste si jistý, že Vám nebude scházet, žádný e-mail, fotka, kontakt, soubor?

0/0
16.4.2014 1:52

J94a46r54o49m93í35r 80K74r85á71l 4220629234169

Cloud nemám důvod využívat, na jiných veřejných úložištích nic důležitého nemám, atlas hub (fb) pokládám za ztrátu času a přímo do počítače s těmi důležitými daty není tak snadné se dostat.  Zkrátka heslo má být úměrné důležitosti.

0/0
16.4.2014 7:14

B61l56a92ž53e91j 89M76o12t86y16č36k74a 8907837785660

a kvuli fotce si dam nezapamatovatelné heslo,  které zapomenu,  ale hlavně že fotka bude v bezpečí.

0/0
16.4.2014 10:11

M27i31l24a44n 44K40r18u46p92a 5778283628283

Jenom drobnost.

6x je ve článku uvedeno jméno "Jacoby", ale 3x se tam máte překlep "Jakoby".

0/0
15.4.2014 19:30

Najdete na iDNES.cz