Diskuze
Nejznámější praktiky vedoucí ke krádeži hesel
Děkujeme za pochopení.
T82o65m64a92s 31H68a20c18e28k
Bohuzel. Kvalita Technetu sla prudce dolu. Tohle by byl fajn clanek do ona.idnes.cz, kde se pleteni pojmu a dojmu neresi, a kde by i tento clanek byl na pomerne technicke urovni. Zde je to ostuda.
M79i50r72o89s66l17a15v 74V19o79s84t21r93ý
Nejlepší je, pokud vás zaměstnavatel nutí každé tři měsíce měnit heslo. Namísto opravdu silného hesla to většina lidí řeší tím, že ke stávajícímu heslu postupně přidává 1 až 9 . Bohužel, toto je standartní chování.
R29a60d49o15s15l11a96v 43K81a79r21á43s85e68k
A kde je problém mat silné heslo, ktoré sa každé tri mesiace meni koncovým číslom?
P32a83v54e16l 60V43e31r17n94e72r
no co, nastavit si heslo 111111 je jedna vec, ale kdyz to heslo zapomenete ...
Z94d96e40n25ě13k 95W45e10r87n58h44a41r80t
To chce nějakou memotechnickou pomůcku, ale neprůstřelnou. Třeba když je dnes ten Dominik - zvolím si jako heslo letopočet, kdy papež Řehoř IX. svatořečil Domingo de Guzmána.
E15r17i30k 45L67e92v77i32n30s45k52ý
Kdysi jsem si hrál s metodou, podobnou "duhové tabulce", ale generované dynamicky. Klasickou UNIXovou hashovací metodu jsem naprogramoval v assembleru jednoho RISCového procesoru tak, že vygenerování hashe bylo rychlejší, než vytažení z nějaké velké tabulky (asi 10x rychlejší, než standardní hashovací funkce v tom UNIXu). A tím, že jsem mohl přímo zadat "salt" ze známého hashe, jsem počet kombinací výrazně snížil. V dobách, kdy měla skoro všechna hesla od 4 do 10 znaků, jsem se obvykle přes noc dobral výsledku. Ale jediné, k čemu jsem to zneužil, bylo pár kanadských žertíků na mé kolegy.
R34a35d77e59k 59R83o22j65í76k
Asi me to dnes nepali. Jak jste prisel k tomu "saltu"?
J20i17ř70í 81M40i85š44k21e55i
Opravte mě, jestli se pletu, ale slovníkový útok a brute-force jsou reálně použitelné pouze na systémy (např. zašifrovaný soubor, disk), kde máte neomezený počet pokusů. To obvykle není případ jakýchkoliv online systémů (přihlášení do domény v práci, přihlášení k mailu, do banky, ...) - tam je obvyklé, že se po určitém počtu chybných přihlášení účet blokuje.
P37e33t89r 13F90u11k52a
Ano, taky mne zarazilo, že je článek neuvádí jako offline útoky. Teoreticky to ale někde jít může, pokud budou mít implementaci hodně špatně.
J85a48n 12S93m71í75t93k72o
Útočníkovi potom stačí vzít hesla v zašifrované podobě, a pokud zná hashovací algoritmus (v našem případě např. MD5 hash), tak je dešifruje. Proto kvalitní systémy používají vlastní hashovací algoritmy.
Proboha! Ne, kvalitní systémy opravdu nepoužívají vlastní krypto. Nebo pokud ano, tak nejsou kvalitní - první pravidlo implementace vlastních kryptografických algoritmů je "don't do it". Moderní systémy pro ochranu hesla používají hashovací funkci, která je k tomu přímo určena a je časově složitá i odolná paralelizaci - třeba Argon2id. K tomu přibalí dostatečně dlouhý náhodný vektor pro každé heslo (sůl), ideálně i náhodný vektor specifický pro celý systém (pepř). Pak se může jít slovníkový i duhový útok bodnout.
Motání hashe a šifry viz předřečník níže.
P77e69t66r 49F37u73k31a
Máte samozřejmě pravdu, co se správné implementace týče, ale smutnou realitou je, že zdaleka ne všechny weby a aplikace, na které na internetu narazíte, používají optimální řešení. Proto ty metody stále leckde fungují. Ostatně, někde jsou hesla stále v plaintextu.
J75a13r51o96s46l48a14v 81H57o66r76á92k
Tedy, ten bod 5 (duhová tabulka) je popsán naprosto příšerně a neznat to, zcela jistě bych to nepochopil.
1. Hash (česky haš) není šifra, ale otisk. Takže psát cokoliv o "heslu v zašifrované podobě" je nesmysl.
2. Zrovna MD5 by se jakožto prolomený algoritmus už moc používat neměl.
3. Hašovací algoritmy jsou z principu jednosměrné, tedy "dešifrovat" haš není možné, ani když je algoritmus známý (u "prolomených" algoritmů to teoreticky jde, ale i tam to vyžaduje velký výpočetní výkon). Na získání toho původního hesla slouží právě ta popisovaná duhová tabulka. Mnohem lépe, než v článku, je to popsáno i na obyčejné wiki:
Herečce Slávce Budínové by bylo 100 let. Zemřela opuštěná, bez zájmu veřejnosti
Před 100 lety, 21. dubna 1924, se v Ostravě narodila známá česká herečka Slávka Budínová.
Znovuzrození japonských letadlových lodí. Ve výzbroji budou mít F-35B
Japonsko má ve své ústavě zakázáno vlastnit ofenzivní zbraně, jako jsou letadlové lodě. Doba...
{NADPIS reklamního článku dlouhý přes dva řádky}
{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}
Uvidíme v budoucnu na obloze druhý Měsíc? Příčinou může být neobvyklá hvězda
Velmi neobvyklá hvězda éta Carinae v 19. století náhle zjasnila a stala se druhou nejjasnější...
Unikátní exkurze. Nahlédněte do francouzské jaderné ponorky před vyplutím
Není obvyklé, aby reportéři mohli nahlédnout do jaderné ponorky v aktivní službě. Agentura AP nyní...
{NADPIS reklamního článku dlouhý přes dva řádky}
{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}
Byla to druhá nejjasnější hvězda. V budoucnu může svítit jako druhý Měsíc
Velmi neobvyklá hvězda éta Carinae v devatenáctém století náhle zjasnila a stala se druhou...
Týrají nabíječky a elektroauta, aby pak netrpěl řidič
Prozkoumali jsme speciální laboratoř, kde E.ON v extrémních podmínkách testuje nabíjecí stanice pro...
Proč umělá inteligence lže a proč kvůli ní zhloupneme. Počítačový expert vypráví
Premium Zatímco průmyslová revoluce zaváděla masivní využití strojů, které nahradily lidské svaly, nyní...
Jediný vrtulník, který létal na jiné planetě, se loučí poslední zprávou
Tři roky poté, co se vůbec poprvé na jiné planetě sluneční soustavy roztočily rotory létajícího...
Seznamte se s budoucím kolegou. V síle i flexibilitě vás snadno překoná
Humanoidní robot Atlas od Boston Dynamics se odebral na zasloužený odpočinek a nahradila ho úplně...
Jak na rychlou a jednoduchou večeři s rýží?
Díky své všestrannosti se rýže LAGRIS už dlouho stávají nedílnou součástí mnoha pokrmů z celého světa. Bez ohledu na to, zda se používají k...