Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Čínský algoritmus uhodne heslo na 73 procent, stačilo mu sto pokusů

Následkem poslední dobou velmi častých úniků je obří množství citlivých dat dostupných na internetu. Kromě uniklých hesel jsou to i osobní informace - jména, data narození. Čínští výzkumníci se zaměřili na možnost vykonávat útoky za pomocí těchto informací a dosáhli překvapivého úspěchu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M93a70r22c91e43l 59B43a58k15o26š 4561446693

Prispejem mojim sposobom uschovy a pamatania hesiel. Pamatam si len pin k mojej kreditke, ale aj ten mam zapisany. Inak si ziadne heslo nepamatam...... v antikvariate som si kupil staru komunisticku knizku, ktoru mam ulozenu v kniznici v obyvacke a v nej vsetky hesla napisane. Samoz

0/0
23.11.2016 16:12

M71a72r54c47e68l 48B95a23k42o24š 4121626533

rejme ze tieto hesla su v texte medzi ostatnymi znakmi ale len ja viem ktory text to je. Nie je to nijako oznacene. Viem to len opticky. Tento text mam vsak odfoteny v mobile a teda vsetky hesla mam vzdy so sebou. Neverim ze v ramci matice textu 20x20 znakov vie niekto vycitat kde je heslo a ku ktorej aplikacii patri. Heslo je umiestnene kdekolbek v texte a aj zvidlo aj vodorovne. Nieco ako osemsmerovka. Samozrejme ze heslo nema ziadny slovny vyznam. Ale pre zmylenie protivnika su tam aj normalne slova. :-)

0/0
23.11.2016 16:18

K54a18r28e25l 19U62r72b12a64n 2294374381509

Nejlepší hesla jsou typu: jdidoprdeletykterene apod..

0/−1
23.11.2016 9:30

L66u42k48a60s 49M45u66d81r13a 6876436952551

K článkům tohoto typu jaksi obvykle "zapomene" autor dodat dvě informace.

Zaprvé - čistě heslům ke službám, které musí být z principu opravdu bezpečné a ne si na to jen hrát, už dávno "odzvonilo", a na vzestupu je vícefaktorová autentizace. A i v případě, že jedním z autentizačních faktorů je stále kombinace "uživatelské jméno/heslo", neznamená onen čínský algoritmus i tak vůbec nic.

Zadruhé - tam, kde jde opravdu o bezpečí, a není možné z různých důvodů použít vícefaktorovou autentizaci, používají se další techniky, jak přímo vynutit silné heslo. Namátkově - minimální přípustný počet znaků, povinnost mít v heslo speciální znaky a jejich minimální počet, nemožnost mít v hesle jakoukoliv část uživatelského jména, případně jiného dalšího údaje uvedeného v registraci k dané službě (např.: máte-li v registraci jako příjmení "Mudra" nebo jako titul "MUDr.", tuto kombinaci znaků nebo jí velmi podobnou vás systém nenechá uložit jako součást hesla), automatická povinnost měnit heslo za určitý časový úsek, porovnávání hesla se slovníkem hesel (prevence proti heslům typu Heslo.1, Password01, ToJEmojeHeslo apod.), a tak dále. Potom je opět ten čínský algoritmus v podstatě úplně k ničemu.

Pořád ještě platí, že pokud budete mít 12ti znakové komplexní heslo, jeho prolomení zvenčí se obávat nemusíte. Zvlášť pokud ho "občas" změníte. Úniku hesla od druhé strany samozřejmě i tak ale nezabráníte.

Smutné případy typu "stejné heslo ke všem službám a účtům" nebo "heslo mám napsané na papírku na klávesnici" jsou přímou analogií k otázkám: Taky máte ke všem dveřím, které odemykáte, stejný jeden klíč (včetně dveří u auta)? A pokud ne, necháváte svůj svazek klíčů volně někde dostupný, aby si klíče mohl kdykoliv kdokoliv půjčit, zkopírovat? Má pro vás zámek na kůlně na chatě stejný význam a důležitost jako klíč k autu nebo k trezoru?

0/0
20.11.2016 13:05

P58e95t49r 60J56a20r38o89š 2154351405897

Jako jedno z hesel pouzivam lehce pozmeneny klic k jedne verzi windows. Sveho casu jsem ho reinstaloval windows tak casto, ze jsem si ho zapamatoval :). No a je to venku. Snad me ted Mrkvosoft nebude zalovat za poruseni autorskych prav :).

0/0
19.11.2016 14:02

P16e92t71r 67J16a53r27o19š 2274811635737

Cim vice hesel pouzivame, tim spise potrebujeme prave programy na spravu hesel.

Cimz se paradoxne dostavame do situace, kdy k ziskani vsech hesel staci uhadnout jedno jedine heslo.

+1/0
19.11.2016 13:57

K81a73r65e95l 70K50o29v84a28ř62í14k 3755612145712

Přesně to je důvod proč používám jen cca 4 hesla dle třídy důležitosti. a správce hesel na všech zařízeních zakazuji nebo rovnou likviduji...

0/0
23.11.2016 12:54

K27a98r60e60l 17N18e69d42o52p94i24l 7958446259864

Asi si budu muset zmenit heslo. 12345 uz asi neni bezpecne...

0/0
18.11.2016 12:16

L37u75k41a74s 77M81u53d42r28a 6636156552701

Všechny posloupnosti jsou nebezpečné, ale můžete na to jít jinak - pokud třeba máte rád historii a její významná data, pak můžete zkusit třeba něco jako watE18061815Rloo - 16 znaků je dostatečně dlouhé, a kombinace "malé", "velké", "číslo" je při této délce zcela dostatečná. A přitom se to velmi dobře pamatuje, stačí vědět (nebo mít poznamenáno) to místo (jméno, událost atd.), a pokud vám náhodou "vypadne" ten datum, Google vám ho kdykoliv a kdekoliv připomene. A studnice dalších potenciálních hesel tohoto typu je prakticky nevyčerpatelná.

0/−1
20.11.2016 13:11

M53i87c94h15a12l 80J10a19r66o31š 7564650222405

Většina podstatných úniků dat není přes heslo uživatele, ale přímo před správce dat, ať už hackerským útokem nebo vlastním pracovníkem. Nehladě na toi, že dneska má k emailům na vyžádání přístup kdejaký policajt.

Algoritmus založení na sociálním inženýrství vyžaduje předchozí bezpečnostní chybu uživatele (třeba prozrazení starého hesla) a zveřejnění příliš mnoha osobních údajů v sítích. Stará škola se toho zpravidla nedopustí.

0/0
18.11.2016 9:40

J23a11r56o54s84l68a40v 34L38e44b86e35d88a 3726669417960

Co třeba "Spss,pJMM2!" nebo "Ksoot>sbnaj0" ? Jsem ochoten dát i nápovědu :-)

0/0
17.11.2016 15:49

T12o62m97á88š 63T98a18t93í62č25e76k 5700542840198

Sem s ňó!

+1/0
17.11.2016 18:07

J65a51r40o40s71l19a29v 85L40e28b59e60d28a 3766909367520

Písničky. První lidová, druhá od Gotta.

0/0
18.11.2016 9:10

T34o34m54á13š 23T51a58t11í47č59e31k 5520622620828

Tak to je hodně dobrý! To bez dlouhýho bádání nerozluštím ani přes nápovědu. Díky! :-)R^

0/0
19.11.2016 12:28

J58a76r68o47s42l35a69v 86L81e75b67e69d13a 3486899277710

Ono nejde o to, jak dlouho vy luštíte písničku, ale o to, jak dlouho bude nějaký algoritmus luštit vaše heslo ;-) Druhé je tak odolné, že se opravdu nemusíte strachovat. https://www.grc.com/haystack.htm

Ale hlavně jde i o to, jak snadno si ho zapamatujete: Pít, či nepít? To je to, oč tu běží! P,čn?Tjt,otb!

0/0
19.11.2016 13:09

T88o33m46á30š 40T15a52t98í80č39e33k 5580972420768

Tak to mně je jasné, že účelem není utajení písničky. :-) Ale pěkně to dokládá, jak se tímto způsobem snadno zapamatovatelné heslo změní v domněle naprosto nahodilý shluk znaků.

0/0
19.11.2016 13:16
Foto

R64a76d11i50m 17K53r92o27u63t46i71l 7360541806559

Že by si šly panenky silnicí osladit ke Karlovi kávu?

0/0
18.11.2016 16:02

J62a56r42o59s63l39a26v 62L28e71b26e48d61a 3956469387830

Ba. Chtěl jsem jen ukázat, že obdobná tvorba hesla je IMO dost bezpečná a na rozdíl od hesla 8}q)6[z(`{7h mnohem snadněji zapamatovatelná. Samozřejmě si můžete zvolit i libovolnou básničku nebo vlastní nesmyslnou větu typu Hodiny tečou po zdi a říkají "To je ale ostuda!".

+1/0
18.11.2016 16:15

M43a90r14t36i46n 49F19r27a94n16t82i82š67e77k 7965280353755

Počkejte, to heslo s hodinama si musim zapsat, to je dobrý.

0/0
18.11.2016 21:43

R75e25g47i78n47e 48M24a82r77t89i15n 6402318260188

;-) Zkušenost. Dostane se Vám do ruky komp. Uživatel kvílí, že vždy ho jen uspával, a teď z nějakého důvodu che komp zadat heslo. :-) Největšího úspěchu dosahuji u Windows zadáním "Jiného účtu" a to "Administrator" nebo "Admin" nebo "User" a hle... jsem v kompu i bez hesla. Jó, když po instalaci ty účty nikdo nezahesluje...:-P

0/0
17.11.2016 14:40

L87a92d63a 75N28o26v17a32k 4412673337

já největšího úspěchu dosahuju tím, že heslo prostě jen smažu...

+3/0
17.11.2016 15:43

M43i78c59h92a29l 29S36e29m70r22á45d 3642526657229

Pokud není nastavena vyšší bezpečnost lze heslo zpětně získat pomocí

Ophcrack cd... Využívá se dělení hesla na dva hashe a na dnešních strojích jednoduché prolomitelnosti...

Pokud to nejde... heslo prostě resetuji...

+1/0
17.11.2016 22:43

M62a70r29t22i63n 83V65a74l79o84s42e51k 7163584687912

No já bych největší problém viděl v ukládání hesel. Spousta lidí si neuvědomují, že např. pracovní počítač je věc, ke které může mít přístup spoustu lidí a jejich uložená hesla si prohlédnout.

Např. ve Firefoxu zadáte možnosti-zabezpečení-uložená přihlášení a dáte zobrazit hesla.

0/0
18.11.2016 10:41

L15a20d24a 15N44o32v84a70k 4842143117

no ale nejdřív se vás to zeptá, jestli chcete opravdu zobrazit svá hesla..., což je dost nelogická otázka, protože člověk většinou chce zobrazit cizí hesla....;-D

+1/0
18.11.2016 13:20

J55a94r51o38s20l20a16v 62L45e13b28e13d48a 3766139797180

A proto tam je volba Použít hlavní heslo.

0/0
18.11.2016 16:18

L85a77d29a 70N12o30v40a53k 4382603767

podle mého by jedním z rozumných přístupů k šifrování opravdu důležitých informací bylo vytvořit program jako byl TrueCrypt, který by ale ještě vyžadoval ověření přístupu na jiném zařízení, než na kterém máte soubor a na kterém píšete heslo... (například ověřovací sms, nebo něco podobného..)

Můžete mít neprolomitelné heslo (nejlepší moje heslo má kolem 30 znaků, neni to žádné známé slovo, ani neobsahuje žádné s něčím související číslice a znaky a pamatuju si ho..) no a stačí obyčejný keylogger a jste v pytli.. Nikdo dnes neví co si vlastně do počítače instaluje spolu s tunami různého freeware, s doplňkama aplikací, prohlížečů atd (to vůbec nemluvim o těch, kdo si crackují ukradené programy a hry)

Známý je také "fyzický" odposlech zvuku kláves, kde se dá po nahrání dostatečného množství zvuku rozklíčovat která klávesa má jaký zvuk... Zkrátka silná hesla jsou fajn věc, dokud neexistuje možnost přečíst si je, když je píšete..

+3/0
17.11.2016 13:14

P39a85v57e37l 59N81á19r79o37ž55n31ý 1415103946322

Dojímají mě místní nadšenci s 20 místními hesly na email.

No pokud vás baví při každém přihlášení zadávat šílenost typu

Dobro je prisjetiti se da prividno prav put prema cilju predstavlja u stvari pravodlivo krivudanje

Vše volba, ale věřte, že pokud si budu chtít přečíst vaší poštu tak mi v tom vážně vaše šílené heslo nezbrání, Tomu zabráníte pouze šifrováním oné pošty a ne nesmyslnými hesly k emailovému učtu.

Jen tak mimochodem už 12 místně heslo z čísel, písmen velké a malé abecedy a speciálních znaků dává 5,46E23 to se nedá napadnout ani za použití masivně paralelního stroje, který by si teoreticky mohlo pořídit třeba NSA.

+6/0
17.11.2016 12:23

L87a86d16a 74N37o41v52a76k 4832163847

skoro každý používá jako hesla slova, která nějak souvisí s ním a jeho okolím, totéž s čísly.., pak stačí jen všechno nacpat do nějaké knihovny a při dešifrování už nepracujete s 12 náhodnými znaky, ale třeba jen se 4, které kombinujete se slovy a čísly ze slovníku dané oběti...

+5/0
17.11.2016 13:17
Foto

R40o53b74e21r84t 80R58a38j32s 7595549891534

Myslíte tím šifrování komunikace pomocí SSL/TLS nebo STARTTLS? Nebo na webmailu HTTPS? To už je snad dnes standard, ne? No ale v opačném případě by stačilo jen odposlouchávat dění na síti. Uznávám. Bohužel dnes je to už jen bláhová představa. Nebo se pletu? Má ještě někde někdo takto nezabezpečený email?

0/0
18.11.2016 0:00

O65t67a33k51a61r 63Z46e29m74e78k 3416524461639

Ne, tak se to nedělá. Když chcete používat silná hesla, používáte správce hesel, například LastPass. Zadáte jedno heslo, a ten správce vám už jednotlivá hesla do příslušných služeb vyplňuje sám. Taky vám hesla umí generovat, takže můžete mít opravdu silná hesla, která se neopakují, a jediné co stačí si pamatovat, je to " centrální " heslo.

Synchronizuje to i mezi pc a Androidem, takže na mobilu vám stačí k přihlášení jen otisk prstu.

0/0
18.11.2016 8:14

M33i45l86a19n 73V31o73l51e65k 5149263706499

Dá se někde ten program stáhnout? Mně na uhodnutí vlastních hesel 100 pokusů nestačí.

+7/0
17.11.2016 12:20

L81a70d71a 72N43o95v62a18k 4692183117

:-P taky mám jeden zašifrovaný hdd asi 15 let starý a čas od času si zkoušim vzpomenout na to heslo...

+3/0
17.11.2016 13:18

P24e29t68r 64N64e73d43o67m47a 4279357928450

to znam :))

0/0
18.11.2016 0:09

L50u80k68á78š 24L11i28p34n90i23c64k58ý 1135161968568

Ja to po 8 letech vzdal...

+1/0
18.11.2016 7:04

T82o54m63á36š 85T93a53t61í19č85e90k 5700582320328

;-D

0/0
17.11.2016 18:21
Foto

J55a76n 36V31a61l36a83l93í67k 6886759330156

Když zapomenu heslo tak si nechám poslat nové :-D jinak heslo do hlavního mailu 25 znaků

0/0
17.11.2016 10:12

M14a16t61e66j 45F20i63l72i71p 9652594556

Gratuluji ale četl jste ten článek? Oni se právě nesnaží hacknout vaše heslo ale snaží se "hacknout" vaše myšlenkové pochody při vytváření hesla. Takže pak můžete mít klidně heslo o 100 znacích ale je vám to prd platné. Mimochodem, pokud si necháváte hesla generovat systémem při ztrátě hesla a toto heslo si pak už nezměníte, tak vidím také hned 2 bezpečnostní rizika. 1) ty hesla určitě nedržíte v hlavě, takže používáte nějaké úložiště hesel, napr. automatické ukládání v prohlížeči. 2) může být napadnutá ta webová služba generování hesel, takže útočník má vaše heslo okamžitě k dispozici i když je nově vygenerované.

+1/0
17.11.2016 10:25

M36a17r69t37i19n 56J75i67r90o18u80s76e83k 7456305985598

Tak jasně. Stejně tak může být v PC keylogger. :-)

+1/0
17.11.2016 11:12

J94a47k20u70b 47Z56o12u34b34e34k 3475684582

Nezáleží jen na počtu míst, ale také na znacích. Ověřit sílu hesla můžete třeba zde https://www.grc.com/haystack.htm

0/0
17.11.2016 11:42
Foto

V83o20j75t74ě35c29h 24P66a57v41l98í65k 5234951344848

Na použité množině znaků nezáleží - pokud útočník neví, které znaky tam máte (například, že jste použil pouze malou abecedu), stejně musí zkusit všechno.

Bude samozřejmě nejdřív zkoušet pravděpodobnější hesla, nicméně 20-místné heslo pouze z písmen není oblíbená věc a tak na něj dojde asi až ke konci prohledávání možností.

To vše samozřejmě platí pouze v případě, že má útočník hash+salt - jako třeba z krádeže databáze, případně že má zašifrovaný soubor/disk a je schopen ověřit správnost rozšifrování. Pokud by se pokoušel například zalogovat do webové služby, i relativně krátké neslovníkové heslo je bezpečné, protože počet pokusů za sekundu je na webu někde mezi 0.1-10 a ne v miliardách jako u lokálního prolamování.

0/0
17.11.2016 16:25

P81e10t89r 63N23e75d28o48m84a 4879597668120

na mnozine znaku zalezi. Utocnik nejdrive zkusi nejmensi mnozinu, napr. cisla a az kdyz selze ji bude rozsirovat

+1/0
18.11.2016 0:12

T84o32m38á98š 42M33a70t10ě19j 9195118843922

To je výborný nápad... doplnit někomu slovník...

+1/0
17.11.2016 21:37

R47o15m20a14n 33Š59e77n49k51e34ř57í14k 1452185904379

A přitom je to tak jednoduche... Ano spravne by melo byt pro kazdy ucet unikátní heslo, nejlepe o délce 14-20 znaku. Ale kdo si to ma pamatovat? A proto vymysleli appky typu 1password, LastPass, Keepass atd. Neni to zadarmo, ale mate online/offline správce hesel/generátor po ruce v mobilu, tabletu, notasu atd. Nejvetsi blbost je pouzivat kombinaci prvni velke písmeno a na konci cisla - tak jak to většina systemu požaduje, typu zadejte min jedno velke a cislo a min 8 znaku, tak kazdy napise Franta01 a na tohle jsou vsechny algoritmy pripraveny. BTW normalne se legálně vyrábí hacking server (8 gpu - Tesla Kepler a lepsi...) ktere jedou rychlosti 80 miliard sha-1 za sekundu. Takze heslo o délce 8 znaku maji do vteřiny breakle :-)

0/0
17.11.2016 9:27

O88n46d68ř56e63j 71L19o70š65o80t72h 1635835725891

No třeba na můj web by na to potřebovali hodně času, protože po 5. špatném přihlášení se účet na den zablokuje.

+2/0
17.11.2016 9:33

R88o78b29i38n 23Ž37i79ž63k10a 2888624436966

den je relativně brutální - respektive je to už na kontakt admina, což plejtvá čas :-) mně přijde optimální cokoliv mezi 15 minutami a hodinou podle aplikace.

i těch patnáct minut stačí na eliminaci tohoto typu bruteforce útoku.

+1/0
17.11.2016 21:55

K80a93r95e25l 78E71n29d72l41e37r 3383740940495

Keepass zadarmo je. A synchronizaci šifrovaného souboru s hesly není problém zařídit přes cloud.

+1/0
17.11.2016 9:39

J47a52n 86C24h64o77d44u68r34a 1252789773983

v dropboxu

0/0
18.11.2016 8:44

D19a81n68i67e10l 38K22r89o71n83e56r 7834224536267

A k cemu je to dobre, kdyz zadny system neumozni tolik kombinaci vyzkouset?

0/0
17.11.2016 10:13

R56o50m89a62n 27Š86e41n21k22e74ř96í64k 1612225694809

Boha moj, a kdo se baví o přímém bruteforce do funkčního on-line systemu?? Víte kolik databází s klientskymi údaji, hash záznamy hesel atd je ročně ukradeno z e-shopu, social/profi siti for, a vsehomoznyho a tento leak je prodavan na black marketu. Bavím se o brute force na hashe ukradenych databazi. Znáte stránku haveibeenpwned? Zkuste si tam zadat nejake id/loginy/mejly ktere používáte pro přihlašování... Používáte LinkedIn? 2013 obrovsky únik, přiznali nedavno, pokud stejne/podobne heslo do LinkedIn používáte i jinde, tak si jo změňte a budete překvapeni kde vsude co uteklo a prodavaji se vase osobni udaje, s registračními údaji a hesly

0/0
17.11.2016 11:20

K45a11r72e20l 89D72v69o37ř45á82k 7599754677398

Používám 20-ti místné heslo pro emailové schránky, který si naštěstí pamatuji, další asi tři hesla pro svých 6 bankovních účtů, který ještě vyžadují osobní číslo. Hesla si pamatuji, osobní čísla občas dohledávám. Mám na to zašifrovaný soubor od Truecryptu zabezpečený 128 bitovým šifrováním a zabezpečený 30-ti místným heslem, který si naštěstí taky "zatím" pamatuji, protože ho jinak nemám nikde napsaný. Zašifrovaný soubor jinak obsahuje všechny hesla, co jsem kdy použil. V telefonu mám aplikace svých 6 bankovních účtů, které na přihlášení používají jiné heslo, než při klasickém přihlášení v internetovém prohlížeči. Telefon mám zabezpečený PINEM o 8 znacích ( žádná čtečka otisku prstu nebo čmárání linek po displeji).

Tak si říkám, jak v tomhle "šíleném" světě může přežít někdo, kdo si není schopen zapamatovat ani 4 místné PIN svojí jediný bankovní karty.

0/−3
17.11.2016 9:16







Najdete na iDNES.cz