Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Čínský algoritmus uhodne heslo na 73 procent, stačilo mu sto pokusů

Následkem poslední dobou velmi častých úniků je obří množství citlivých dat dostupných na internetu. Kromě uniklých hesel jsou to i osobní informace - jména, data narození. Čínští výzkumníci se zaměřili na možnost vykonávat útoky za pomocí těchto informací a dosáhli překvapivého úspěchu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M83a12r38c91e35l 14B26a90k25o22š 4821716303

Prispejem mojim sposobom uschovy a pamatania hesiel. Pamatam si len pin k mojej kreditke, ale aj ten mam zapisany. Inak si ziadne heslo nepamatam...... v antikvariate som si kupil staru komunisticku knizku, ktoru mam ulozenu v kniznici v obyvacke a v nej vsetky hesla napisane. Samoz

0/0
23.11.2016 16:12

M30a15r70c67e21l 19B21a47k76o30š 4941146253

rejme ze tieto hesla su v texte medzi ostatnymi znakmi ale len ja viem ktory text to je. Nie je to nijako oznacene. Viem to len opticky. Tento text mam vsak odfoteny v mobile a teda vsetky hesla mam vzdy so sebou. Neverim ze v ramci matice textu 20x20 znakov vie niekto vycitat kde je heslo a ku ktorej aplikacii patri. Heslo je umiestnene kdekolbek v texte a aj zvidlo aj vodorovne. Nieco ako osemsmerovka. Samozrejme ze heslo nema ziadny slovny vyznam. Ale pre zmylenie protivnika su tam aj normalne slova. :-)

0/0
23.11.2016 16:18

K92a57r40e37l 36U43r83b13a94n 2404794861409

Nejlepší hesla jsou typu: jdidoprdeletykterene apod..

0/−1
23.11.2016 9:30

L28u66k11a89s 83M65u76d68r33a 6196886632101

K článkům tohoto typu jaksi obvykle "zapomene" autor dodat dvě informace.

Zaprvé - čistě heslům ke službám, které musí být z principu opravdu bezpečné a ne si na to jen hrát, už dávno "odzvonilo", a na vzestupu je vícefaktorová autentizace. A i v případě, že jedním z autentizačních faktorů je stále kombinace "uživatelské jméno/heslo", neznamená onen čínský algoritmus i tak vůbec nic.

Zadruhé - tam, kde jde opravdu o bezpečí, a není možné z různých důvodů použít vícefaktorovou autentizaci, používají se další techniky, jak přímo vynutit silné heslo. Namátkově - minimální přípustný počet znaků, povinnost mít v heslo speciální znaky a jejich minimální počet, nemožnost mít v hesle jakoukoliv část uživatelského jména, případně jiného dalšího údaje uvedeného v registraci k dané službě (např.: máte-li v registraci jako příjmení "Mudra" nebo jako titul "MUDr.", tuto kombinaci znaků nebo jí velmi podobnou vás systém nenechá uložit jako součást hesla), automatická povinnost měnit heslo za určitý časový úsek, porovnávání hesla se slovníkem hesel (prevence proti heslům typu Heslo.1, Password01, ToJEmojeHeslo apod.), a tak dále. Potom je opět ten čínský algoritmus v podstatě úplně k ničemu.

Pořád ještě platí, že pokud budete mít 12ti znakové komplexní heslo, jeho prolomení zvenčí se obávat nemusíte. Zvlášť pokud ho "občas" změníte. Úniku hesla od druhé strany samozřejmě i tak ale nezabráníte.

Smutné případy typu "stejné heslo ke všem službám a účtům" nebo "heslo mám napsané na papírku na klávesnici" jsou přímou analogií k otázkám: Taky máte ke všem dveřím, které odemykáte, stejný jeden klíč (včetně dveří u auta)? A pokud ne, necháváte svůj svazek klíčů volně někde dostupný, aby si klíče mohl kdykoliv kdokoliv půjčit, zkopírovat? Má pro vás zámek na kůlně na chatě stejný význam a důležitost jako klíč k autu nebo k trezoru?

0/0
20.11.2016 13:05

P80e97t17r 81J42a87r20o21š 2674591865847

Jako jedno z hesel pouzivam lehce pozmeneny klic k jedne verzi windows. Sveho casu jsem ho reinstaloval windows tak casto, ze jsem si ho zapamatoval :). No a je to venku. Snad me ted Mrkvosoft nebude zalovat za poruseni autorskych prav :).

0/0
19.11.2016 14:02

P48e86t26r 35J74a90r80o80š 2334921795747

Cim vice hesel pouzivame, tim spise potrebujeme prave programy na spravu hesel.

Cimz se paradoxne dostavame do situace, kdy k ziskani vsech hesel staci uhadnout jedno jedine heslo.

+1/0
19.11.2016 13:57

K39a21r48e47l 34K34o31v48a72ř42í13k 3145872585462

Přesně to je důvod proč používám jen cca 4 hesla dle třídy důležitosti. a správce hesel na všech zařízeních zakazuji nebo rovnou likviduji...

0/0
23.11.2016 12:54

K97a29r74e59l 16N24e15d44o77p59i42l 7588286179814

Asi si budu muset zmenit heslo. 12345 uz asi neni bezpecne...

0/0
18.11.2016 12:16

L76u86k28a41s 51M30u49d71r85a 6436386482211

Všechny posloupnosti jsou nebezpečné, ale můžete na to jít jinak - pokud třeba máte rád historii a její významná data, pak můžete zkusit třeba něco jako watE18061815Rloo - 16 znaků je dostatečně dlouhé, a kombinace "malé", "velké", "číslo" je při této délce zcela dostatečná. A přitom se to velmi dobře pamatuje, stačí vědět (nebo mít poznamenáno) to místo (jméno, událost atd.), a pokud vám náhodou "vypadne" ten datum, Google vám ho kdykoliv a kdekoliv připomene. A studnice dalších potenciálních hesel tohoto typu je prakticky nevyčerpatelná.

0/−1
20.11.2016 13:11

M16i83c21h47a25l 53J82a60r57o42š 7734590342765

Většina podstatných úniků dat není přes heslo uživatele, ale přímo před správce dat, ať už hackerským útokem nebo vlastním pracovníkem. Nehladě na toi, že dneska má k emailům na vyžádání přístup kdejaký policajt.

Algoritmus založení na sociálním inženýrství vyžaduje předchozí bezpečnostní chybu uživatele (třeba prozrazení starého hesla) a zveřejnění příliš mnoha osobních údajů v sítích. Stará škola se toho zpravidla nedopustí.

0/0
18.11.2016 9:40

J69a87r90o74s12l40a90v 64L25e85b55e16d25a 3576569877260

Co třeba "Spss,pJMM2!" nebo "Ksoot>sbnaj0" ? Jsem ochoten dát i nápovědu :-)

0/0
17.11.2016 15:49

T77o75m93á37š 92T47a94t42í74č34e30k 5280542530808

Sem s ňó!

+1/0
17.11.2016 18:07

J27a53r78o83s94l67a35v 17L29e50b68e34d90a 3196379347140

Písničky. První lidová, druhá od Gotta.

0/0
18.11.2016 9:10

T69o26m94á83š 40T48a75t49í95č42e37k 5160692450708

Tak to je hodně dobrý! To bez dlouhýho bádání nerozluštím ani přes nápovědu. Díky! :-)R^

0/0
19.11.2016 12:28

J41a73r88o71s77l72a91v 57L51e67b73e86d34a 3226139327460

Ono nejde o to, jak dlouho vy luštíte písničku, ale o to, jak dlouho bude nějaký algoritmus luštit vaše heslo ;-) Druhé je tak odolné, že se opravdu nemusíte strachovat. https://www.grc.com/haystack.htm

Ale hlavně jde i o to, jak snadno si ho zapamatujete: Pít, či nepít? To je to, oč tu běží! P,čn?Tjt,otb!

0/0
19.11.2016 13:09

T10o26m58á38š 58T95a85t14í13č43e97k 5350972110588

Tak to mně je jasné, že účelem není utajení písničky. :-) Ale pěkně to dokládá, jak se tímto způsobem snadno zapamatovatelné heslo změní v domněle naprosto nahodilý shluk znaků.

0/0
19.11.2016 13:16
Foto

R14a97d91i26m 30K64r55o40u76t67i52l 7250661606509

Že by si šly panenky silnicí osladit ke Karlovi kávu?

0/0
18.11.2016 16:02

J36a92r19o89s16l53a86v 41L82e76b12e66d74a 3386929327530

Ba. Chtěl jsem jen ukázat, že obdobná tvorba hesla je IMO dost bezpečná a na rozdíl od hesla 8}q)6[z(`{7h mnohem snadněji zapamatovatelná. Samozřejmě si můžete zvolit i libovolnou básničku nebo vlastní nesmyslnou větu typu Hodiny tečou po zdi a říkají "To je ale ostuda!".

+1/0
18.11.2016 16:15

M66a24r82t36i30n 85F12r81a53n84t80i69š15e80k 7295520613175

Počkejte, to heslo s hodinama si musim zapsat, to je dobrý.

0/0
18.11.2016 21:43

R15e25g18i94n15e 26M65a19r48t27i96n 6792128820448

;-) Zkušenost. Dostane se Vám do ruky komp. Uživatel kvílí, že vždy ho jen uspával, a teď z nějakého důvodu che komp zadat heslo. :-) Největšího úspěchu dosahuji u Windows zadáním "Jiného účtu" a to "Administrator" nebo "Admin" nebo "User" a hle... jsem v kompu i bez hesla. Jó, když po instalaci ty účty nikdo nezahesluje...:-P

0/0
17.11.2016 14:40

L98a58d51a 77N23o16v17a16k 4172613677

já největšího úspěchu dosahuju tím, že heslo prostě jen smažu...

+3/0
17.11.2016 15:43

M15i71c77h95a81l 23S23e30m87r16á44d 3712196657709

Pokud není nastavena vyšší bezpečnost lze heslo zpětně získat pomocí

Ophcrack cd... Využívá se dělení hesla na dva hashe a na dnešních strojích jednoduché prolomitelnosti...

Pokud to nejde... heslo prostě resetuji...

+1/0
17.11.2016 22:43

M20a46r84t83i72n 82V96a34l15o32s77e74k 7473114977192

No já bych největší problém viděl v ukládání hesel. Spousta lidí si neuvědomují, že např. pracovní počítač je věc, ke které může mít přístup spoustu lidí a jejich uložená hesla si prohlédnout.

Např. ve Firefoxu zadáte možnosti-zabezpečení-uložená přihlášení a dáte zobrazit hesla.

0/0
18.11.2016 10:41

L10a42d46a 20N92o41v52a45k 4832663807

no ale nejdřív se vás to zeptá, jestli chcete opravdu zobrazit svá hesla..., což je dost nelogická otázka, protože člověk většinou chce zobrazit cizí hesla....;-D

+1/0
18.11.2016 13:20

J94a37r64o85s42l22a52v 94L70e31b33e88d84a 3186469717730

A proto tam je volba Použít hlavní heslo.

0/0
18.11.2016 16:18

L14a48d74a 29N89o96v44a39k 4712543767

podle mého by jedním z rozumných přístupů k šifrování opravdu důležitých informací bylo vytvořit program jako byl TrueCrypt, který by ale ještě vyžadoval ověření přístupu na jiném zařízení, než na kterém máte soubor a na kterém píšete heslo... (například ověřovací sms, nebo něco podobného..)

Můžete mít neprolomitelné heslo (nejlepší moje heslo má kolem 30 znaků, neni to žádné známé slovo, ani neobsahuje žádné s něčím související číslice a znaky a pamatuju si ho..) no a stačí obyčejný keylogger a jste v pytli.. Nikdo dnes neví co si vlastně do počítače instaluje spolu s tunami různého freeware, s doplňkama aplikací, prohlížečů atd (to vůbec nemluvim o těch, kdo si crackují ukradené programy a hry)

Známý je také "fyzický" odposlech zvuku kláves, kde se dá po nahrání dostatečného množství zvuku rozklíčovat která klávesa má jaký zvuk... Zkrátka silná hesla jsou fajn věc, dokud neexistuje možnost přečíst si je, když je píšete..

+3/0
17.11.2016 13:14

P78a92v48e10l 15N12á12r96o50ž45n44ý 1615943156362

Dojímají mě místní nadšenci s 20 místními hesly na email.

No pokud vás baví při každém přihlášení zadávat šílenost typu

Dobro je prisjetiti se da prividno prav put prema cilju predstavlja u stvari pravodlivo krivudanje

Vše volba, ale věřte, že pokud si budu chtít přečíst vaší poštu tak mi v tom vážně vaše šílené heslo nezbrání, Tomu zabráníte pouze šifrováním oné pošty a ne nesmyslnými hesly k emailovému učtu.

Jen tak mimochodem už 12 místně heslo z čísel, písmen velké a malé abecedy a speciálních znaků dává 5,46E23 to se nedá napadnout ani za použití masivně paralelního stroje, který by si teoreticky mohlo pořídit třeba NSA.

+6/0
17.11.2016 12:23

L86a75d53a 60N12o56v68a77k 4412443917

skoro každý používá jako hesla slova, která nějak souvisí s ním a jeho okolím, totéž s čísly.., pak stačí jen všechno nacpat do nějaké knihovny a při dešifrování už nepracujete s 12 náhodnými znaky, ale třeba jen se 4, které kombinujete se slovy a čísly ze slovníku dané oběti...

+5/0
17.11.2016 13:17
Foto

R60o14b39e29r56t 69R67a74j26s 7765819331824

Myslíte tím šifrování komunikace pomocí SSL/TLS nebo STARTTLS? Nebo na webmailu HTTPS? To už je snad dnes standard, ne? No ale v opačném případě by stačilo jen odposlouchávat dění na síti. Uznávám. Bohužel dnes je to už jen bláhová představa. Nebo se pletu? Má ještě někde někdo takto nezabezpečený email?

0/0
18.11.2016 0:00

O82t15a49k31a37r 68Z86e79m24e62k 3206674841219

Ne, tak se to nedělá. Když chcete používat silná hesla, používáte správce hesel, například LastPass. Zadáte jedno heslo, a ten správce vám už jednotlivá hesla do příslušných služeb vyplňuje sám. Taky vám hesla umí generovat, takže můžete mít opravdu silná hesla, která se neopakují, a jediné co stačí si pamatovat, je to " centrální " heslo.

Synchronizuje to i mezi pc a Androidem, takže na mobilu vám stačí k přihlášení jen otisk prstu.

0/0
18.11.2016 8:14

M51i30l20a24n 17V64o23l50e96k 5669303886749

Dá se někde ten program stáhnout? Mně na uhodnutí vlastních hesel 100 pokusů nestačí.

+7/0
17.11.2016 12:20

L93a29d88a 59N15o52v69a77k 4962173477

:-P taky mám jeden zašifrovaný hdd asi 15 let starý a čas od času si zkoušim vzpomenout na to heslo...

+3/0
17.11.2016 13:18

P50e71t57r 21N45e51d29o60m70a 4589257548150

to znam :))

0/0
18.11.2016 0:09

L61u73k67á68š 41L18i82p10n48i93c91k59ý 1345131148258

Ja to po 8 letech vzdal...

+1/0
18.11.2016 7:04

T24o42m54á22š 71T73a45t17í12č15e55k 5460682280258

;-D

0/0
17.11.2016 18:21
Foto

J77a74n 82V96a40l83a11l46í88k 6346479120776

Když zapomenu heslo tak si nechám poslat nové :-D jinak heslo do hlavního mailu 25 znaků

0/0
17.11.2016 10:12

M64a60t20e48j 25F45i55l25i70p 9412434866

Gratuluji ale četl jste ten článek? Oni se právě nesnaží hacknout vaše heslo ale snaží se "hacknout" vaše myšlenkové pochody při vytváření hesla. Takže pak můžete mít klidně heslo o 100 znacích ale je vám to prd platné. Mimochodem, pokud si necháváte hesla generovat systémem při ztrátě hesla a toto heslo si pak už nezměníte, tak vidím také hned 2 bezpečnostní rizika. 1) ty hesla určitě nedržíte v hlavě, takže používáte nějaké úložiště hesel, napr. automatické ukládání v prohlížeči. 2) může být napadnutá ta webová služba generování hesel, takže útočník má vaše heslo okamžitě k dispozici i když je nově vygenerované.

+1/0
17.11.2016 10:25

M38a60r66t36i61n 45J40i29r77o24u84s51e15k 7726405235948

Tak jasně. Stejně tak může být v PC keylogger. :-)

+1/0
17.11.2016 11:12

J65a87k34u71b 66Z51o50u93b16e31k 3335714982

Nezáleží jen na počtu míst, ale také na znacích. Ověřit sílu hesla můžete třeba zde https://www.grc.com/haystack.htm

0/0
17.11.2016 11:42
Foto

V16o42j49t20ě12c33h 43P20a36v87l16í81k 5104501744688

Na použité množině znaků nezáleží - pokud útočník neví, které znaky tam máte (například, že jste použil pouze malou abecedu), stejně musí zkusit všechno.

Bude samozřejmě nejdřív zkoušet pravděpodobnější hesla, nicméně 20-místné heslo pouze z písmen není oblíbená věc a tak na něj dojde asi až ke konci prohledávání možností.

To vše samozřejmě platí pouze v případě, že má útočník hash+salt - jako třeba z krádeže databáze, případně že má zašifrovaný soubor/disk a je schopen ověřit správnost rozšifrování. Pokud by se pokoušel například zalogovat do webové služby, i relativně krátké neslovníkové heslo je bezpečné, protože počet pokusů za sekundu je na webu někde mezi 0.1-10 a ne v miliardách jako u lokálního prolamování.

0/0
17.11.2016 16:25

P43e51t14r 41N30e15d53o18m25a 4709187268410

na mnozine znaku zalezi. Utocnik nejdrive zkusi nejmensi mnozinu, napr. cisla a az kdyz selze ji bude rozsirovat

+1/0
18.11.2016 0:12

T55o24m17á57š 77M17a52t12ě93j 9705178793842

To je výborný nápad... doplnit někomu slovník...

+1/0
17.11.2016 21:37

R38o10m27a89n 65Š11e74n34k72e78ř28í40k 1782115874409

A přitom je to tak jednoduche... Ano spravne by melo byt pro kazdy ucet unikátní heslo, nejlepe o délce 14-20 znaku. Ale kdo si to ma pamatovat? A proto vymysleli appky typu 1password, LastPass, Keepass atd. Neni to zadarmo, ale mate online/offline správce hesel/generátor po ruce v mobilu, tabletu, notasu atd. Nejvetsi blbost je pouzivat kombinaci prvni velke písmeno a na konci cisla - tak jak to většina systemu požaduje, typu zadejte min jedno velke a cislo a min 8 znaku, tak kazdy napise Franta01 a na tohle jsou vsechny algoritmy pripraveny. BTW normalne se legálně vyrábí hacking server (8 gpu - Tesla Kepler a lepsi...) ktere jedou rychlosti 80 miliard sha-1 za sekundu. Takze heslo o délce 8 znaku maji do vteřiny breakle :-)

0/0
17.11.2016 9:27

O94n40d24ř27e77j 79L72o98š34o32t43h 1315665485791

No třeba na můj web by na to potřebovali hodně času, protože po 5. špatném přihlášení se účet na den zablokuje.

+2/0
17.11.2016 9:33

R96o60b44i75n 53Ž89i35ž14k17a 2508164816446

den je relativně brutální - respektive je to už na kontakt admina, což plejtvá čas :-) mně přijde optimální cokoliv mezi 15 minutami a hodinou podle aplikace.

i těch patnáct minut stačí na eliminaci tohoto typu bruteforce útoku.

+1/0
17.11.2016 21:55

K87a27r97e15l 64E71n98d40l91e62r 3163580360285

Keepass zadarmo je. A synchronizaci šifrovaného souboru s hesly není problém zařídit přes cloud.

+1/0
17.11.2016 9:39

J65a43n 67C53h67o33d98u31r78a 1442349443493

v dropboxu

0/0
18.11.2016 8:44

D69a35n17i76e70l 96K37r20o17n33e37r 7664944486497

A k cemu je to dobre, kdyz zadny system neumozni tolik kombinaci vyzkouset?

0/0
17.11.2016 10:13

R14o97m38a27n 26Š71e69n70k49e96ř48í58k 1452665474639

Boha moj, a kdo se baví o přímém bruteforce do funkčního on-line systemu?? Víte kolik databází s klientskymi údaji, hash záznamy hesel atd je ročně ukradeno z e-shopu, social/profi siti for, a vsehomoznyho a tento leak je prodavan na black marketu. Bavím se o brute force na hashe ukradenych databazi. Znáte stránku haveibeenpwned? Zkuste si tam zadat nejake id/loginy/mejly ktere používáte pro přihlašování... Používáte LinkedIn? 2013 obrovsky únik, přiznali nedavno, pokud stejne/podobne heslo do LinkedIn používáte i jinde, tak si jo změňte a budete překvapeni kde vsude co uteklo a prodavaji se vase osobni udaje, s registračními údaji a hesly

0/0
17.11.2016 11:20

K79a29r31e39l 14D83v85o44ř60á98k 7189574197398

Používám 20-ti místné heslo pro emailové schránky, který si naštěstí pamatuji, další asi tři hesla pro svých 6 bankovních účtů, který ještě vyžadují osobní číslo. Hesla si pamatuji, osobní čísla občas dohledávám. Mám na to zašifrovaný soubor od Truecryptu zabezpečený 128 bitovým šifrováním a zabezpečený 30-ti místným heslem, který si naštěstí taky "zatím" pamatuji, protože ho jinak nemám nikde napsaný. Zašifrovaný soubor jinak obsahuje všechny hesla, co jsem kdy použil. V telefonu mám aplikace svých 6 bankovních účtů, které na přihlášení používají jiné heslo, než při klasickém přihlášení v internetovém prohlížeči. Telefon mám zabezpečený PINEM o 8 znacích ( žádná čtečka otisku prstu nebo čmárání linek po displeji).

Tak si říkám, jak v tomhle "šíleném" světě může přežít někdo, kdo si není schopen zapamatovat ani 4 místné PIN svojí jediný bankovní karty.

0/−3
17.11.2016 9:16







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.