Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone

Pokud jste si někdy udělali účet v českém herním obchodu XZone, doporučujeme okamžitou změnu hesla na všech službách, kam jste použili stejné přihlašovací údaje. Ty současné totiž kolují po internetu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J55a53n 64S40t73r70a12k40a 6355502892632

Moje zkušenosti z ukradením moji mailové adresy i hesla i když jsem heslo nikdy nikomu nesdělil jsou následující: ze zahraničí mi nyní chodí zprávy o nedoručené poště, kterou jsem nikdy neodeslal, ale jsou odesílány z moji mailové adresy. Změnil jsem si HESLO dle doporučení Seznamu.cz a musím prý počkat až odesílání z mé adresy ze zahraničí ustane. Seznam nemá prý možnosti v zahraničních serverech zasáhnout Adresu nechci měnit. Tak poraď pokud víš co s tím udělat?

?

0/0
23.11.2016 15:44

R64a52d86i26m 66Z11e14h15e12r 3674180763751

Tady v Brně mají prodejnu že by jeden brečel. Zastrčenou ve forhauzu, který vypadá jako vybydlený. Jestli tahle vedou i své servery, task potěš pánbu. Kupoval jsem u nich jednou jedinkrát, never more. Garážovka jak vyšitá, aspoň tady v Brně jo.

0/0
28.10.2016 12:33

M60i17c46h51a84l 47M39i70n54a34ř60í92k 9212196469868

Přece nejdem debil, abych při registraci uvedl e-mailovou adresu a heslo, které je zárověň i k tomu e-mailu;-D;-D

+1/0
26.10.2016 21:34

J54a19r13o19m73i58r 36C52h11a10l14o64u27p17k38a 4859627355677

Minimálně třetina lidí to tak dělá... To ale v zásadě nevadí. Nejhorší z toho celého je fakt, že hesla jsou ukládaná jako plaintext. Za to bych dával tak 1000 let v průvanu za víte co...

+6/0
27.10.2016 12:50

M68i43c32h57a73l 38M56i27n10a11ř77í37k 9402586809518

To nevadí, že třetina uživatelů předá e-mailovou adresu i s heslem soukromé firmě?

To je jako by dali zloději klíče od svého domu a pak se divili, že byli vykradení.

Víš co řekne policie člověku, který předal zloději své klíče od domu?

To samé by měla policie říct lidem, kteří předávají tak citlivé údaje jako helsa ke sým mailům atd.;-D

0/0
28.10.2016 10:21

Z73b95y67n39ě73k 61Š37a48f75a72r79č43í11k 5327608885564

Pokud vím, tak facebook po vás při registraci chce heslo k vašemu emailu, aby proskenoval vaše kontakty. Zajímalo by mě, kolik lidí mu ho dá, ale evidentně to není nic výjimečného, jak se vy tváříte.

+2/0
28.10.2016 13:17

M90i39c57h67a55l 76M51i15n24a14ř94í37k 9702566469278

Facebook nepoužívám, ale kdyby jo, heslo ke svému mailu bych mu nikdy nedal. Ani žádné jiné soukromé firmě nebo osobě.

Není důvod, aby mi jakákoliv firma proskenovala kontakty nebo cokoliv jiného.

+2/0
28.10.2016 14:43

J16á60c58h32y75m 85K26v69a35s89n44i64č94k89a 9611358146565

Takže pokud mi od xzone nic nepřijde jsem mezi těmi 90000 tisíci šťastlivci?

0/0
26.10.2016 17:03

M95a57r58t90i84n 49B75á10r25t93a 4805706336672

"zašifrování (MD5) "

-> když pominu, že MD5 není šifra tak i použití md5 v roce 2016 je dost úsměvné...

+4/−2
26.10.2016 17:02

P64a39v16e94l 88S42o20b73o32t96k18a 5330104

MD5 není problém, není prolomeno tak, aby bylo možno získat z hashe zpět heslo (jen brute force nebo slovníkovým útokem, ale to je pak jedno jestli použijete MD5 nebo SHA256, jen se liší potřebný čas).

Takže chyba byla jinde - nejspíš v tom, že dotyčný (jako je nejen v Česku zvykem) nedokáže navrhnout systém tak, aby hesla ověřoval, ale nevyzrazoval.

+1/−4
26.10.2016 21:21

M64a88r54t77i15n 92B15á61r55t64a 4795556126362

Díky inteligentním uživatelům je slovníkový útok jednoduchý.

Každopádně ani SHA256 není žádný zazrak. Když už tak minimálně bcrypt.

+1/−3
26.10.2016 21:31

P28a37v34e83l 85S23o44b48o11t19k90a 5120464

fakt netušíte, že v tomhle případě je to jedno?

+2/−1
26.10.2016 21:48

P90e65t50r 63S11o52k39o12l 8762271847561

Není to jedno, kdyby to jedno bylo tak je SHA256 se saltem mezi doporučenou ochranou, ale on není, důvodem je rychlost zpracování.

+2/0
27.10.2016 18:25

E69d68a 77D20r60á11b11e82k 7799632193527

md5 ani nikdy nebude "prolomeno tak, aby bylo možno získat z hashe zpět heslo", to totiž z principu nejde, jde jen ověřit, zda vám i zvolené slovo je nebo není heslem.... takže "zpětně získat" nic nejde, jde jen "uhodnout heslo" a pak ověřit, zda bylo hádání úspěšné či nikoliv

+1/0
29.10.2016 0:46

A51n16n96a 80T36r63o70c91h91t58o66v59a 1467725761181

Pak jak je internet bezpečně nebezpečný a nespolehliví, jen můžeme doufat, že zákonodárce udělá pořádek a zákon se bude více v těchto případech přiklánět na stranu poškozeného, poškozených i ta skutečnost, že se tyto informace se ocitli na Ruském serveru i ta něco odhaluje a o mnohém svědčí![>-]R^EUX

+1/−9
26.10.2016 16:36

V20á69c77l73a33v 41P56o20u66s30t26k61a 3300431672

O čem třeba?

0/0
26.10.2016 18:33

T80o15m49a61s 27H71a74c92e33k 6754777595877

Pro boha to je ale vyblitek. Proc mate takovou touhu se vyjadrovat k necemu cemu absolutne nerozumite?

Jaky ma zakonodarce udelat poradek? Jak se ma zakon vice priklanet? A co odhaluje ze se informace objevila na ruskem serveru? 8-o

Zenka nechci Vam do toho kecat, ale rubrika ona.idnes.cz je pro Vas vhodnejsi cteni.

+3/0
27.10.2016 16:18

A41n24n48a 67T19r52o26c30h27t45o74v42a 1957365131611

Proboha co je to za výlitek, začínáte hned v úvodu pěkně primitivně útočně, asi se doma také tímto nevybíravým způsobem chováte ke své ženě a pokud o této technologii a problémech digitální technologie víte více, tak o tom pište, ale NE absurdně a ne demagogicky a lživě a i toto nakonec může pomoci v narovnání spravedlnosti v oblasti digitální technologie! Tak prosím můžete lid České republiky svým odborným psaním udivit, tak jako Snowden udivil jak znalostmi, tak ukradenými dokumenty Američanům o této digitální technogii, kterou vyvinuli a která jim patří!

0/0
30.10.2016 7:58

J40a38r45o80m90í45r 43K84r51á43l 4500389634379

A pokud skočíte z okna a zabijete se, také za to může stát ?

0/0
28.10.2016 7:07

A22n15n68a 80T27r43o54c48h11t41o11v53a 1417465391181

Tak skočte z okna, stát Vám v tom nebrání a za Vaší hloupou hlavu, vůbec nijak neručí, nebo článek je o spolehlivosti, nebo nespolehlivosti internetu a pokud je nespolehliví, tak se má tato skutečnost vzít v potaz v pravdivém posouzení a nakonec ve spravedlivém soudním rozsudku!! ;-D[>-]R^EU!!

0/0
30.10.2016 7:20

P11e51t57e56r 57V42a80ň32u84š78a83n20i32k 4377616806852

nic ve zlym, ale md5? Jine nez sha256 + salt by obchod pouzivat nemel probuh!!

0/−1
26.10.2016 16:28

P42e92t41r 91S67o72k74o49l 8342681637621

sha256 tedy rozhodně nikdy ne. Bcrypt, scrypt, PBKDF2.

+1/−1
26.10.2016 16:41

J56a90r94o82s19l42a95v 95S26k97a13l14i27c33k69ý 7857214668772

jeste ze se odbornici domluvi, pak to tak taky vypada co? ;-D

+1/−1
27.10.2016 10:19

P56e32t68r 31S24o12k56o30l 8652241627261

Odborníci se už dávno domluvili, jen ten pán to nereflektuje, takže jsem ho opravil.

+1/0
27.10.2016 18:24

M50a23r59t19i39n 58K50u67k73o14l 8880897585

Tam naštěstí nenakupuji, ale na mnohých obchodech jsem registrovaný nakupující... :-/

+1/0
26.10.2016 16:26

J82a97n 94C70o55n76s45t30a51n40t92i70n 1782371143610

tak díky, dropboxi! ;-€;-€

0/0
26.10.2016 16:22

J20i37n73d12r94a 56N83o61v18á16k 1686704532289

Co někdy místo bujarých prohlášení, trestních oznámení a přiblblého marketingu investovat do penetračních testů? A to je obecná poznámka, nejen XZone.

0/0
26.10.2016 16:07

M47i92l19a80n 56Š37e51l40i74g64a 7781274543513

No zaklad je mit na mailu jine heslo, nez kdekoliv, kam se mailem clovek prihlasuje. Ale mit v kazde sluzbe jinaci heslo je naprosta utopie.

+13/−2
26.10.2016 15:35

M13a41t92e38j 97F36i80l43i20p 9612544306

Proč utopie když existují správci hesel? Ať už v prohlížečích (ten v Opeře byl bohužel nedávno prolomen 8-o ) nebo v podobě externích prográmků. Takže mít v každé službě jinou kombinaci jméno/heslo není zase až tak složité.

+2/−3
26.10.2016 16:46

M87i67l95o53š 80Z88a45v88ř31e85l 9111185833857

To nemate pravdu. Hesla lze volit a zamenovat tak, ze vzdy budete vedet jake jste na tom danem serveru zadaval - a i kdyby se k nemu nekdo dostal, na dalsim serveru to heslo nezrekonstruuje

+2/−1
26.10.2016 16:54
Foto

H24a27n27a 92A54n67t14o53n86o52v37á 6507259114244

jako že mám heslo ananas a na seznamu mám ananasSez, na alze ananasAlz, v bance ananasBan a podobně?

0/0
30.10.2016 11:37

M15i98l80o82š 29Z55a18v30ř22e20l 9581385863557

Tak okate to delat nesmite :)

+1/0
30.10.2016 12:10

P59e59t13r 91P18e14t94r41á11s77e67k 7162707496133

Mozne to je úplne v pohode, ja používám eTrezor a jsem vysmaty ;-)

0/0
26.10.2016 17:03

M97i22c84h91a12l 78K58r60e92j81č71a 5188276466193

Tak pred rokem je hackli a oni presto nehnuli pr.deli, aby upozornili zakazniky na moznoun ztratu a nutnost zmeny hesla? Holt profici...

+24/−1
26.10.2016 15:30

T35o22m94á32š 74N41e78u21m37a55i63e54r 9959870738247

Bože, ti inteligenti, co tu obhajují md5... Tak z pozice programátora:

Drtivá většina kombinací do osmi znaků má již známý hash. Takový hash vám stačí pak dát do nějaké online databáze, která vám vrátí heslo. Téměř nikdo nepoužívá heslo o třiceti znacích a pokud ano, pak je zpravidla takový člověk pro hackery nezajímavý, protože stejně bude (opět pravděpodobně) používat na různých služeb různá hesla.

Z prvního důvodu se přidává sůl (salt) do hesla, což je jeho manuální prodloužení o x znaků. Tedy z hesla "heslo" uděláte třeba "heslo#1!\/584ssa" a máte téměř jistotu, že ačkoliv "heslo" bude mít již známý hash, vaše uměle vytvořené heslo jej mít nebude (tohle se dělá na straně serveru).

MD5 je pak zastaralé ze dvou důvodů. Prvně je znám způsob dešifrování. Tedy, přesněji, je znám způsob, jak vytvořit souhrn znaků, které budou mít stejný hash, jako původní (neznámé) heslo. Na internetu jsou o tom vědecké práce. Podobně dochází pomalu k odrolování SHA1. Druhým důvodem je pak jeho "věk" a velké množství hashů v databázích.

Ale samozřejmě, že když pošlu článek skrz MD5, tak (téměř s jistotou) vznikne takový hash, který v žádné databázi není. Jednoduše proto, že nikdo v oněch online databázích neprohnal onen článek skrz hashovací funkci.

+16/−1
26.10.2016 14:36

P59e76t28r 43N52i51v67n46i51c61k47ý 3282984165357

Takže sám uznáváš, že problém není v MD5, ale v uživatelích, kteří si dávají jednoduchá hesla. To je zásadní rozdíl.

+3/−9
26.10.2016 14:51

T46o80m17á95š 95N96e53u13m92a72i10e88r 9689370468797

Teď jsem si zkoušel decrypt hesla "abcdefg1234!". Mně to přijde jako solidní heslo a přesto se v databázích nachází. Ne, MD5 je prostě problém. A pokud je zkombinováno MD5 s programátory, co neslyšeli o něčem jako je salt hesla, tak skutečně, jak tu bylo zmíněno, mohou být hesla rovnou v plain textu.

Mimochodem, kdysi jsem u jedné služby, která si chránila přístup k jedné službě přes MD5 (externí služba s autorizací přes hash, kde porovnávala očekávané hodnoty s hashem), se snažil dostat skrz ono zabezpečení. Zhruba ~7 let zpět, ač jsem měl ~100 000 hashů, nebyl o nich žádný záznam. Dva roky zpět jsem nechal tuto svoji databázi projet skrz online databáze a podařilo se několik z těchto hasů dešifrovat. Na základě toho jsem byl schopen určit tvorbu hashů a dešifrovat celou zbývající databázi. Tedy přesněji jsem nic nemusel dešifrovat, když jsem znal algoritmus tvorby hashe. A tohle celé jen kvůli tomu, že obrovské (biliony) množstvé hashů je již někde uloženo a volně přístupno. Služba si mohla dělat zabezpečení sebelépe, ale zradila je MD5.

0/−1
26.10.2016 15:08

M48a65r35t17i62n 30C57e45r20v62e28n14y 2403888366538

V zasade dneska hashovat cimkoli slabsim nez SHA512 je naivita krizena s blbosti a jeste bez soli to je uz jen cista blbost.

+3/−1
26.10.2016 15:33

J89a13r12o17m76í87r 67K87r22á95l 4200479554539

;-D Pokládáte "abcdefg1234!" za solidní heslo ?

+1/−1
28.10.2016 7:10

M23a43r58t87i46n 39M40e77l88k66a 2429518692872

Problém je i v hashovací funkci jako takové. Hash funkce má být odolná vůči kolizím, tj. zjednodušeně, má být složité sestavit takový vstup, na který funkce odpoví požadovaným hashem. Pro kvalitní hash funkci musí být takovýto zpětný chod nemožný (resp. vyžaduje zkoušení vstupů hrubou silou a to zabere čas).

Pro MD5 byly popsány postupy a "zlepšováky", které zmenšují prostor vstupů, které je potřeba vyzkoušet, aby se útočník dostal k požadovanému hashi. Z tohoto důvodu není MD5 bezpečná.

Dále, o délku hesla tolik nejde. Hesla se solí a spolu se solí se hashují, takže i když je možné mít předpřipravené tabulky "heslo:hash", útočníkovi to nepomůže, jelikož i k heslu o délce jeden znak se připojí (dostatečně dlouhá) sůl.

Taky jde také o šířku kontextu, tj. množství bitů, které jsou výstupem funkce na každý vstup. V případě MD5 je to 128, v modernější SHA1 pak 160, ještě lépe SHA256 s 256 bity a tak dále. 128 jednoduše nestačí.

+2/0
26.10.2016 15:19

R44a32d54e56k 61H46o70d64a95ň 9566527931743

Ukládat hesla do MD5 je tak zhruba rok 2000-2005. Mít ta hesla v něčem kloudnějším - například bcrypt, tak jsou bezpečná i ta "jednoduchá".

0/0
26.10.2016 16:06

A32d15a54m 53Ř69e77z31n49í31č92e92k 3424815394553

Je nejak mozne zjistit z te sluzby, z jake website/slyzby leakl muj login?

Pry tam existuje jeden zaznam...

+1/0
26.10.2016 14:34

J23a70n 47C57o88n98s55t63a67n76t67i19n 1902871113350

jeďte níž, já tam mám dropbox...

+2/0
26.10.2016 16:23

A98d68a74m 80Ř41e24z47n75í47č82e88k 3784845784403

Diky moc, taky dropbox z mid-2012 ��

0/0
26.10.2016 17:35

L44u90b25o48m40í39r 86S98t47r66a88k78a 8561673956462

Někdo by panu manažerovi obchodu (Martin Schovanec) měl vysvětlit, že schování se za MD5 je na stejné úrovni jako dveře bez zámku. Na dotaz auditu odpoví ano, zabezpečení hesel (dveře) máme. Jo vy se ptáte po algoritmu (zámku)? To je moc technický dotaz na to se mě neptejte! Odborníci mi řekli MD5 a víc po mě nechtějte.

Obávám se, že je to bohužel "normální" stav v malých společnostech, hlavně že je ÚOOÚ nutí k různým souhlasům se zpracováním údajů. ale na praktickou bezpečnost nedosáhnou.

+6/0
26.10.2016 13:56

P76e63t88r 44N15i20v51n21i14c69k23ý 3502194295637

Zpochybňuješ MD5, tak ukaž, jak fungují "dveře bez zámku":

48821b5537731599824a75aab108f586

0/−3
26.10.2016 14:14

J66a73n 63S37o73u39k58u90p 1354474596425

Že si tady hashnete záměrně složité heslo, není nijak průkazné. Naopak, pokud někdo z nějaké databáze vytáhne 50% hesel naprosto (virtuálně) otrockým způsobem, tak je zřejmé, že je tento kryptovací systém (!!!sám o sobě!!!) naprosto k ničemu.

Příklad: 5f4dcc3b5aa765d61d8327deb882cf99

0/0
26.10.2016 14:46

P88e75t89r 12N35i40v22n66i51c77k94ý 3482214495597

Jistě, toto přece nezpochybňuje a je notoricky známá věc. Předřečník ale tvrdí, že "schování se za MD5 je na stejné úrovni jako dveře bez zámku", což rozhodně není pravda. Problém tedy není v MD5, jak se snaží naznačit.

0/−3
26.10.2016 14:50

T33o13m79á75š 33N11e70u45m42a36i61e24r 9259660788597

Pravda, není to jak dveře bez zámku. Jsou to jak dveře s obyčejnou fabkou. Když vezmu za kliku, neotevřu je, ale když se na ně zamračím, rozpadnou se.

+3/0
26.10.2016 15:10

J57a31n 54K45a95r12e29l 29N22o62v20a36k 5176824878746

Souhlas, na druhou stranu vase prezentace nazoru se me zda az histericky pojata. ;-D

0/0
26.10.2016 15:33







Najdete na iDNES.cz