Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone

Pokud jste si někdy udělali účet v českém herním obchodu XZone, doporučujeme okamžitou změnu hesla na všech službách, kam jste použili stejné přihlašovací údaje. Ty současné totiž kolují po internetu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J85a57n 61S73t25r91a82k23a 6265582832532

Moje zkušenosti z ukradením moji mailové adresy i hesla i když jsem heslo nikdy nikomu nesdělil jsou následující: ze zahraničí mi nyní chodí zprávy o nedoručené poště, kterou jsem nikdy neodeslal, ale jsou odesílány z moji mailové adresy. Změnil jsem si HESLO dle doporučení Seznamu.cz a musím prý počkat až odesílání z mé adresy ze zahraničí ustane. Seznam nemá prý možnosti v zahraničních serverech zasáhnout Adresu nechci měnit. Tak poraď pokud víš co s tím udělat?

?

0/0
23.11.2016 15:44

R64a97d32i17m 12Z24e54h56e28r 3594910633921

Tady v Brně mají prodejnu že by jeden brečel. Zastrčenou ve forhauzu, který vypadá jako vybydlený. Jestli tahle vedou i své servery, task potěš pánbu. Kupoval jsem u nich jednou jedinkrát, never more. Garážovka jak vyšitá, aspoň tady v Brně jo.

0/0
28.10.2016 12:33

M66i56c18h12a41l 11M91i89n31a79ř98í19k 9932446179968

Přece nejdem debil, abych při registraci uvedl e-mailovou adresu a heslo, které je zárověň i k tomu e-mailu;-D;-D

+1/0
26.10.2016 21:34

J57a41r96o88m43i77r 29C29h73a77l19o92u65p10k36a 4649977805587

Minimálně třetina lidí to tak dělá... To ale v zásadě nevadí. Nejhorší z toho celého je fakt, že hesla jsou ukládaná jako plaintext. Za to bych dával tak 1000 let v průvanu za víte co...

+6/0
27.10.2016 12:50

M44i73c21h84a57l 90M62i43n27a33ř96í18k 9792466589708

To nevadí, že třetina uživatelů předá e-mailovou adresu i s heslem soukromé firmě?

To je jako by dali zloději klíče od svého domu a pak se divili, že byli vykradení.

Víš co řekne policie člověku, který předal zloději své klíče od domu?

To samé by měla policie říct lidem, kteří předávají tak citlivé údaje jako helsa ke sým mailům atd.;-D

0/0
28.10.2016 10:21

Z27b94y74n58ě87k 37Š88a38f63a90r98č33í30k 5537438205224

Pokud vím, tak facebook po vás při registraci chce heslo k vašemu emailu, aby proskenoval vaše kontakty. Zajímalo by mě, kolik lidí mu ho dá, ale evidentně to není nic výjimečného, jak se vy tváříte.

+2/0
28.10.2016 13:17

M85i71c32h46a56l 49M96i79n43a11ř94í75k 9692396559168

Facebook nepoužívám, ale kdyby jo, heslo ke svému mailu bych mu nikdy nedal. Ani žádné jiné soukromé firmě nebo osobě.

Není důvod, aby mi jakákoliv firma proskenovala kontakty nebo cokoliv jiného.

+2/0
28.10.2016 14:43

J39á18c69h33y31m 69K17v84a81s31n66i90č39k23a 9731888856945

Takže pokud mi od xzone nic nepřijde jsem mezi těmi 90000 tisíci šťastlivci?

0/0
26.10.2016 17:03

M92a73r36t34i70n 55B76á78r54t35a 4925626926602

"zašifrování (MD5) "

-> když pominu, že MD5 není šifra tak i použití md5 v roce 2016 je dost úsměvné...

+4/−2
26.10.2016 17:02

P53a27v90e44l 73S86o90b25o64t46k63a 5350814

MD5 není problém, není prolomeno tak, aby bylo možno získat z hashe zpět heslo (jen brute force nebo slovníkovým útokem, ale to je pak jedno jestli použijete MD5 nebo SHA256, jen se liší potřebný čas).

Takže chyba byla jinde - nejspíš v tom, že dotyčný (jako je nejen v Česku zvykem) nedokáže navrhnout systém tak, aby hesla ověřoval, ale nevyzrazoval.

+1/−4
26.10.2016 21:21

M15a50r30t37i16n 88B74á46r80t79a 4155476246552

Díky inteligentním uživatelům je slovníkový útok jednoduchý.

Každopádně ani SHA256 není žádný zazrak. Když už tak minimálně bcrypt.

+1/−3
26.10.2016 21:31

P52a25v80e91l 29S37o15b47o21t32k38a 5250984

fakt netušíte, že v tomhle případě je to jedno?

+2/−1
26.10.2016 21:48

P13e76t19r 88S69o44k72o71l 8372331977861

Není to jedno, kdyby to jedno bylo tak je SHA256 se saltem mezi doporučenou ochranou, ale on není, důvodem je rychlost zpracování.

+2/0
27.10.2016 18:25

E73d28a 24D71r46á84b96e59k 7409482103827

md5 ani nikdy nebude "prolomeno tak, aby bylo možno získat z hashe zpět heslo", to totiž z principu nejde, jde jen ověřit, zda vám i zvolené slovo je nebo není heslem.... takže "zpětně získat" nic nejde, jde jen "uhodnout heslo" a pak ověřit, zda bylo hádání úspěšné či nikoliv

+1/0
29.10.2016 0:46

A43n96n76a 66T38r97o97c90h88t70o68v70a 1907445121511

Pak jak je internet bezpečně nebezpečný a nespolehliví, jen můžeme doufat, že zákonodárce udělá pořádek a zákon se bude více v těchto případech přiklánět na stranu poškozeného, poškozených i ta skutečnost, že se tyto informace se ocitli na Ruském serveru i ta něco odhaluje a o mnohém svědčí![>-]R^EUX

+1/−9
26.10.2016 16:36

V83á24c90l82a15v 55P19o89u74s73t46k41a 3650671642

O čem třeba?

0/0
26.10.2016 18:33

T76o35m43a35s 46H94a14c97e35k 6984947835567

Pro boha to je ale vyblitek. Proc mate takovou touhu se vyjadrovat k necemu cemu absolutne nerozumite?

Jaky ma zakonodarce udelat poradek? Jak se ma zakon vice priklanet? A co odhaluje ze se informace objevila na ruskem serveru? 8-o

Zenka nechci Vam do toho kecat, ale rubrika ona.idnes.cz je pro Vas vhodnejsi cteni.

+3/0
27.10.2016 16:18

A55n10n55a 50T93r18o56c33h18t10o48v87a 1877855901641

Proboha co je to za výlitek, začínáte hned v úvodu pěkně primitivně útočně, asi se doma také tímto nevybíravým způsobem chováte ke své ženě a pokud o této technologii a problémech digitální technologie víte více, tak o tom pište, ale NE absurdně a ne demagogicky a lživě a i toto nakonec může pomoci v narovnání spravedlnosti v oblasti digitální technologie! Tak prosím můžete lid České republiky svým odborným psaním udivit, tak jako Snowden udivil jak znalostmi, tak ukradenými dokumenty Američanům o této digitální technogii, kterou vyvinuli a která jim patří!

0/0
30.10.2016 7:58

J61a65r34o31m16í91r 45K56r18á64l 4550799254659

A pokud skočíte z okna a zabijete se, také za to může stát ?

0/0
28.10.2016 7:07

A82n19n71a 61T44r73o28c94h47t57o21v40a 1677345941471

Tak skočte z okna, stát Vám v tom nebrání a za Vaší hloupou hlavu, vůbec nijak neručí, nebo článek je o spolehlivosti, nebo nespolehlivosti internetu a pokud je nespolehliví, tak se má tato skutečnost vzít v potaz v pravdivém posouzení a nakonec ve spravedlivém soudním rozsudku!! ;-D[>-]R^EU!!

0/0
30.10.2016 7:20

P58e19t22e43r 72V43a69ň62u49š62a64n98i41k 4387616756182

nic ve zlym, ale md5? Jine nez sha256 + salt by obchod pouzivat nemel probuh!!

0/−1
26.10.2016 16:28

P52e27t39r 26S35o50k27o46l 8652281767191

sha256 tedy rozhodně nikdy ne. Bcrypt, scrypt, PBKDF2.

+1/−1
26.10.2016 16:41

J75a34r20o61s70l16a45v 67S81k91a49l48i19c22k80ý 7197284638182

jeste ze se odbornici domluvi, pak to tak taky vypada co? ;-D

+1/−1
27.10.2016 10:19

P94e44t32r 24S17o64k31o32l 8672941967171

Odborníci se už dávno domluvili, jen ten pán to nereflektuje, takže jsem ho opravil.

+1/0
27.10.2016 18:24

M24a92r52t73i38n 54K47u70k31o26l 8180367605

Tam naštěstí nenakupuji, ale na mnohých obchodech jsem registrovaný nakupující... :-/

+1/0
26.10.2016 16:26

J77a89n 16C23o68n17s27t12a19n81t74i53n 1192121953490

tak díky, dropboxi! ;-€;-€

0/0
26.10.2016 16:22

J82i76n71d83r84a 34N55o66v47á52k 1636804912869

Co někdy místo bujarých prohlášení, trestních oznámení a přiblblého marketingu investovat do penetračních testů? A to je obecná poznámka, nejen XZone.

0/0
26.10.2016 16:07

M77i35l94a63n 38Š74e24l19i97g86a 7781154143203

No zaklad je mit na mailu jine heslo, nez kdekoliv, kam se mailem clovek prihlasuje. Ale mit v kazde sluzbe jinaci heslo je naprosta utopie.

+13/−2
26.10.2016 15:35

M76a29t28e51j 51F30i47l48i45p 9512754526

Proč utopie když existují správci hesel? Ať už v prohlížečích (ten v Opeře byl bohužel nedávno prolomen 8-o ) nebo v podobě externích prográmků. Takže mít v každé službě jinou kombinaci jméno/heslo není zase až tak složité.

+2/−3
26.10.2016 16:46

M43i49l74o26š 53Z46a19v32ř13e48l 9571555733307

To nemate pravdu. Hesla lze volit a zamenovat tak, ze vzdy budete vedet jake jste na tom danem serveru zadaval - a i kdyby se k nemu nekdo dostal, na dalsim serveru to heslo nezrekonstruuje

+2/−1
26.10.2016 16:54
Foto

H35a73n78a 84A14n78t30o45n88o28v33á 6227389704484

jako že mám heslo ananas a na seznamu mám ananasSez, na alze ananasAlz, v bance ananasBan a podobně?

0/0
30.10.2016 11:37

M39i88l53o87š 85Z40a73v43ř81e43l 9421945803167

Tak okate to delat nesmite :)

+1/0
30.10.2016 12:10

P37e71t72r 77P30e94t73r69á60s46e95k 7322977606563

Mozne to je úplne v pohode, ja používám eTrezor a jsem vysmaty ;-)

0/0
26.10.2016 17:03

M91i41c17h47a83l 73K59r13e67j87č88a 5608406956513

Tak pred rokem je hackli a oni presto nehnuli pr.deli, aby upozornili zakazniky na moznoun ztratu a nutnost zmeny hesla? Holt profici...

+24/−1
26.10.2016 15:30

T71o83m48á38š 60N55e60u43m18a75i74e69r 9389160918627

Bože, ti inteligenti, co tu obhajují md5... Tak z pozice programátora:

Drtivá většina kombinací do osmi znaků má již známý hash. Takový hash vám stačí pak dát do nějaké online databáze, která vám vrátí heslo. Téměř nikdo nepoužívá heslo o třiceti znacích a pokud ano, pak je zpravidla takový člověk pro hackery nezajímavý, protože stejně bude (opět pravděpodobně) používat na různých služeb různá hesla.

Z prvního důvodu se přidává sůl (salt) do hesla, což je jeho manuální prodloužení o x znaků. Tedy z hesla "heslo" uděláte třeba "heslo#1!\/584ssa" a máte téměř jistotu, že ačkoliv "heslo" bude mít již známý hash, vaše uměle vytvořené heslo jej mít nebude (tohle se dělá na straně serveru).

MD5 je pak zastaralé ze dvou důvodů. Prvně je znám způsob dešifrování. Tedy, přesněji, je znám způsob, jak vytvořit souhrn znaků, které budou mít stejný hash, jako původní (neznámé) heslo. Na internetu jsou o tom vědecké práce. Podobně dochází pomalu k odrolování SHA1. Druhým důvodem je pak jeho "věk" a velké množství hashů v databázích.

Ale samozřejmě, že když pošlu článek skrz MD5, tak (téměř s jistotou) vznikne takový hash, který v žádné databázi není. Jednoduše proto, že nikdo v oněch online databázích neprohnal onen článek skrz hashovací funkci.

+16/−1
26.10.2016 14:36

P42e22t86r 88N12i34v56n96i42c77k67ý 3152894405437

Takže sám uznáváš, že problém není v MD5, ale v uživatelích, kteří si dávají jednoduchá hesla. To je zásadní rozdíl.

+3/−9
26.10.2016 14:51

T43o72m18á74š 21N82e69u98m10a41i96e98r 9719190138317

Teď jsem si zkoušel decrypt hesla "abcdefg1234!". Mně to přijde jako solidní heslo a přesto se v databázích nachází. Ne, MD5 je prostě problém. A pokud je zkombinováno MD5 s programátory, co neslyšeli o něčem jako je salt hesla, tak skutečně, jak tu bylo zmíněno, mohou být hesla rovnou v plain textu.

Mimochodem, kdysi jsem u jedné služby, která si chránila přístup k jedné službě přes MD5 (externí služba s autorizací přes hash, kde porovnávala očekávané hodnoty s hashem), se snažil dostat skrz ono zabezpečení. Zhruba ~7 let zpět, ač jsem měl ~100 000 hashů, nebyl o nich žádný záznam. Dva roky zpět jsem nechal tuto svoji databázi projet skrz online databáze a podařilo se několik z těchto hasů dešifrovat. Na základě toho jsem byl schopen určit tvorbu hashů a dešifrovat celou zbývající databázi. Tedy přesněji jsem nic nemusel dešifrovat, když jsem znal algoritmus tvorby hashe. A tohle celé jen kvůli tomu, že obrovské (biliony) množstvé hashů je již někde uloženo a volně přístupno. Služba si mohla dělat zabezpečení sebelépe, ale zradila je MD5.

0/−1
26.10.2016 15:08

M95a75r34t56i47n 52C17e49r46v36e51n94y 2813878556538

V zasade dneska hashovat cimkoli slabsim nez SHA512 je naivita krizena s blbosti a jeste bez soli to je uz jen cista blbost.

+3/−1
26.10.2016 15:33

J76a41r40o96m29í41r 79K78r72á23l 4850579144359

;-D Pokládáte "abcdefg1234!" za solidní heslo ?

+1/−1
28.10.2016 7:10

M84a86r38t56i70n 39M64e82l94k89a 2659688372832

Problém je i v hashovací funkci jako takové. Hash funkce má být odolná vůči kolizím, tj. zjednodušeně, má být složité sestavit takový vstup, na který funkce odpoví požadovaným hashem. Pro kvalitní hash funkci musí být takovýto zpětný chod nemožný (resp. vyžaduje zkoušení vstupů hrubou silou a to zabere čas).

Pro MD5 byly popsány postupy a "zlepšováky", které zmenšují prostor vstupů, které je potřeba vyzkoušet, aby se útočník dostal k požadovanému hashi. Z tohoto důvodu není MD5 bezpečná.

Dále, o délku hesla tolik nejde. Hesla se solí a spolu se solí se hashují, takže i když je možné mít předpřipravené tabulky "heslo:hash", útočníkovi to nepomůže, jelikož i k heslu o délce jeden znak se připojí (dostatečně dlouhá) sůl.

Taky jde také o šířku kontextu, tj. množství bitů, které jsou výstupem funkce na každý vstup. V případě MD5 je to 128, v modernější SHA1 pak 160, ještě lépe SHA256 s 256 bity a tak dále. 128 jednoduše nestačí.

+2/0
26.10.2016 15:19

R41a73d27e22k 84H52o31d40a77ň 9166117641943

Ukládat hesla do MD5 je tak zhruba rok 2000-2005. Mít ta hesla v něčem kloudnějším - například bcrypt, tak jsou bezpečná i ta "jednoduchá".

0/0
26.10.2016 16:06

A54d83a34m 65Ř58e44z21n51í63č66e35k 3264265874933

Je nejak mozne zjistit z te sluzby, z jake website/slyzby leakl muj login?

Pry tam existuje jeden zaznam...

+1/0
26.10.2016 14:34

J45a50n 41C60o14n94s47t98a94n73t71i61n 1142531183320

jeďte níž, já tam mám dropbox...

+2/0
26.10.2016 16:23

A54d16a43m 20Ř98e70z33n16í33č26e42k 3764175914943

Diky moc, taky dropbox z mid-2012 ��

0/0
26.10.2016 17:35

L68u64b37o93m37í74r 50S59t10r17a84k38a 8911853826162

Někdo by panu manažerovi obchodu (Martin Schovanec) měl vysvětlit, že schování se za MD5 je na stejné úrovni jako dveře bez zámku. Na dotaz auditu odpoví ano, zabezpečení hesel (dveře) máme. Jo vy se ptáte po algoritmu (zámku)? To je moc technický dotaz na to se mě neptejte! Odborníci mi řekli MD5 a víc po mě nechtějte.

Obávám se, že je to bohužel "normální" stav v malých společnostech, hlavně že je ÚOOÚ nutí k různým souhlasům se zpracováním údajů. ale na praktickou bezpečnost nedosáhnou.

+6/0
26.10.2016 13:56

P96e55t43r 79N20i81v77n93i74c26k34ý 3362864625697

Zpochybňuješ MD5, tak ukaž, jak fungují "dveře bez zámku":

48821b5537731599824a75aab108f586

0/−3
26.10.2016 14:14

J90a13n 77S13o95u75k58u80p 1574144556435

Že si tady hashnete záměrně složité heslo, není nijak průkazné. Naopak, pokud někdo z nějaké databáze vytáhne 50% hesel naprosto (virtuálně) otrockým způsobem, tak je zřejmé, že je tento kryptovací systém (!!!sám o sobě!!!) naprosto k ničemu.

Příklad: 5f4dcc3b5aa765d61d8327deb882cf99

0/0
26.10.2016 14:46

P12e23t41r 41N29i50v19n44i31c72k21ý 3842854865427

Jistě, toto přece nezpochybňuje a je notoricky známá věc. Předřečník ale tvrdí, že "schování se za MD5 je na stejné úrovni jako dveře bez zámku", což rozhodně není pravda. Problém tedy není v MD5, jak se snaží naznačit.

0/−3
26.10.2016 14:50

T29o20m49á24š 71N46e47u92m35a23i82e85r 9409470738857

Pravda, není to jak dveře bez zámku. Jsou to jak dveře s obyčejnou fabkou. Když vezmu za kliku, neotevřu je, ale když se na ně zamračím, rozpadnou se.

+3/0
26.10.2016 15:10

J74a63n 48K74a80r43e83l 15N85o77v27a48k 5286904918276

Souhlas, na druhou stranu vase prezentace nazoru se me zda az histericky pojata. ;-D

0/0
26.10.2016 15:33







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.