Stejná hesla: "...Stačí, když se jedna z mnoha stránek, na kterých heslo používá, stane terčem útoku. V tu chvíli má útočník snadný přístup i do všech ostatních..."

.

To je sice pravda, problém je ale v tom, že útočník NEMŮŽE znát další služby daného uživatelel a zjistit by to mohl jen intenzivním a dlouhodobým sledováním tohoto konkrétního člověka. To můžou jistě dělat tajné služby. Nikoliv však nějaký hacker z Pakistánu po netu. A hlavně - proč by to dělal (pokud tedy zrovna nevyvíjíte nějaké jaderné zařízení nebo podobně).

Asi není dobré si dávat stejné heslo co máte v bankovnictví do účtu e-shopu se psím žrádlem, ale jinak nevidím důvod, proč u bezvýznamných účtů nepoužívat stejné heslo. Případné odcizení identity u takových účtů pro vás obvykle stejně neznamená vůbec nic.

Taky takhle uvažuju. Hesla mám 3 - do banky, datové schranky a vsechno ostatni. Takže NSA sem bude moci psát příspěvky pod mým jménem. :-)

Mám si taky změnit heslo, když chci zdarma odeslat SMS přes bránu T-Mobile? Co když se mi tam někdo nabourá.

Ano, protože T-Mobile také používá OpenSSL.

Představa,  že manželka využije této díry a nabourá se mi emailu mě velice rozrušila.

Když už jsme u té paranoie s hesly, tak bych jí nasměřoval i na ty nástroje pro ukládání hesel.

Já si krásně zvolím cca 80 různých hesel, které splňují bezpečnostní zásady. Tyto uložím do online aplikace, o které se tvrdí, že je bezpečná. V tu chvíli má potenciální útočník možnost se dostat ne k jednomu mému účtu, ale ke všem. Vše tedy za předpokladu, že se dostane do té aplikace.  

To samé bych mohl říct o správci hesel, který není online - útočník se může dostat do mého počítače a přístup k němu získat.

Tím nechci říct, že bych podporoval hesla typu Mama0123, bezpečnost internetu je všeobecně podceňována. Já také používám správce hesel, protože si je prostě nedokážu zapamatovat. Ovšem je třeba najít nějaký rozumný kompromis mezi bezpečností a uživatelskou přívětivostí. Potenciální bezpečnostní díru můžeme dnes najít v podstatě všude.

To je správná úvaha. Proto je potřeba vybrat správce hesel, který ukládá hesla šifrovaná. Například LastPass šifruje hesla vaším klíčem (Master Password) a oni sami tak vaše hesla neznají (samozřejmě, že je tu určitá úroveň důvěry). Celkem pěkné (i když nadšené) shrnutí je na http://lifehacker.com/is-lastpass-secure-what-happens-if-it-gets-hacked-1555511389

Jsem někde slyšel, že "komunita" chyby odhaluje a opravuje rychlostí blesku... Kde soudruzi udělali chybu???

To jste slyšel špatně.

To tvrzení mohlo znít že "Chyby v OSS jsou zpravidla opraveny mnohem rychleji než v proprietárním softwaru."

Odhalování chyb je jiná písnička, ale vzhledem k tomu, že má podstatně více lidí přístup ke zdrojovým kódům, bych věřil tomu, že i odhalování je rychlejší.

To je ale "expert".

Naopak. Nezapamatovatelná hesla s podivnými znaky jsou nebezpečná: http://xkcd.com/936/

Ale když se to vezme kolem a kolem, 99,9 % uživatelů stejně nedisponuje ničím zajímavým, kvůli čemu by se hackerům vyplatilo vůbec se pokoušet hesla k jejich nebankovním účtům hádat/odhalovat.

A kdo používá stupidní hesla k Internetovému bankovnictví, tomu to patří.

Máte pravdu, ale řada systémů stále vyžaduje hesla o délce max 8 znaků.

O některých správcích nemám nejmenší iluze vzhledem k tomu, že celá řada stránek mi je schopna poslat zapomenuté heslo otevřeně do emailu, což znamená, že jim tam někde vesele leží v plaintextu.

123456 mám vyměnit?

je to krátký. přidejte 78

Sory, ale u obyčejného uživatele ja daleko, daleko větším bzepečnostním rizikem "bezpečnostní otázka" případně nezabezpečený mail. Minimálně každý druhý má jako "security question" něco, co lze poměrně snadno zjistit. Jméno manželky, dcery, psa.. Tipoval bych si, že u poloviny z nich toho psa jmenují na facebooku. A spolu s ním tam také mají napsáno, kdy budou na dovolené.. A pak se diví, že jim někdo vybere kvartýr.  A přez nezabezpečený mail se resetne jakékoliv heslo že? :)

99,999999... % internetu je stejně informační žumpa a porno.