Útočníci zkoušejí hesla z ukradených databází na dalších službách

Jestli si pamatuješ 30ti místné heslo tak si fakt dobrý! Jako 30 je fakt brutus heslo.
Já si myslím, že si spíš pamatuješ větu, kterou máš doplňovanou těmi číslicemi nebo znaky,protože si myslím, že bys jinak měl fotografickou pamět...

nie nie je to veta :)
je to dokonca 39 miestne, dokopy nedáva vôbec zmysel ale tvorí niekoľko druhov hesiel ktoré potom používam a popritom vymýšľam nové a kombinujem - ak by som to hlavné skombinoval ešte s tými novými, tak by bolo aj cca 60 miestne - to ma ale nebaví zadávať a preto používam odvodené heslá od hlavného ktoré majú len cca 14 miest.
Fotografickú pamäť som mal ale vekom sa akosi stráca, je to skôr o privodení pocitov do každého čísla a zapamätaní zvláštnych názvov/upravených anglických slovíčok s vynechanými písmenami tot vše Čísla sú dokonca stará kombinatorika od kedy som prvýkrát začal používať heslá, takže už pridávam len nové slová ktorým tiež dávam niekde veľké znaky.A z tohoto dôvodu mi niečo také ako ukradnutie účtu gmailu alebo facebooku nehrozí (jaj ešte tam sú iné čísla dokonca, ale výnimočne len tam) :)

Je to individualne, 99% ludi to nepotrebuje riesit, pretoze ak sa nieco vazne stane, tak pri dolezitych veciach ako ucty v banke postacuje znovu poziadat o heslo, pri pocitaci je mozne vybrat HDD a vytiahnut data, atd.
Specialne pripady ako sejfy, zahr. bankove konta atd. sa daju osetrit notarom, ktory v pripade umrtia atd. poskytne informacie blizkym.

Jednoduché řešení. Sepiš je na papírek a ukryj do ježka v kleci

Kladu si ale otázku, jsou programy typu Keepass opravdu důvěryhodné ?Vy jim svěříte veškerá i citlivá hesla k interbankingu ap. a znáte ty lidi, kteří program na správu hesel spravují ? Ten kdo vymyslel ten program, pokud jste on-line má do celého programu přístup a vás se ani ptát nemusí. Může existovat teoretická možnost, že vy zadáte heslo, které se sice před vámi tváří, že ho vidíte jen vy a při zadávání se může skrývat i pod hvězdičkami, ale ve skutečnosti putuje do nějaké skryté části programu, do nějakého skrytého logu, temp složky a jakmile jste on-line - vaše hesla vesele putují neznámému autorovi přímo do jeho databáze !

Názor byl 1× upraven, naposled 01. 02. 2014 00:48

Toto by sa stalo raz a KeePass by skoncil. KeePass vsak funguje roky bez problemov. Dolezite je, aby si clovek vyberal softver overeny casom a milionmi uzivatelov.

Takže ve Vašem případě stačí útočníkovi prolomit jedno heslo a má automaticky přístup ke všem Vašim heslům...toto mi nepřijde jako moc bezpečné řešení.
Navíc předpokládám, že do keepassu máte heslo ve stylu: heykal1234

Hm teď abych to heslo ihned změnil...jak si to uhádl?Paranoiku, Keepass má stejně jako TC a další šifrovací programy i souborové klíče,+ počet pokusů je za 1 sec časově omezen, hrubou silou i heslo heykal1234 by trvalo hodně dlouho...Pokud se opravdu bojíš, že ti tvé heslo někdo prolomí, tak si založ 2. databázi, v ní měj vše a měj jí chráněnou heslem o 100 znacích a doplň si tam třeba za to ještě písmeno,číslo nebo slovo atd, které tušíš jen ty + souborový klíč,
v keepasu pak si nech v 1. databázi vygenerovat klidně 5000 hesel o délce 100 znaků, jen ty budeš vědět, které je to pravé vstupní heslo do tvé 2. databáze+doplnující slovo,číslo atd.+souborový klíč, pořád se bojíš, že ti tam někdo poleze? Jestli jo najdi si léčebnu... já tedy strach o prolomení hesla k databázi nemám...Databáze je navíc i v otevřeném stavu šifrována i v paměti PC, takže heslo neodposloucháš ani když je databáze otevřená... Ti lidé, kdo tento program dělali, mysleli, navíc je léty prověřen.Někde jsem i četl, že už heslo o 15 znacích je považováno za velice bezpečné, prakticky neprolomitelné... musí však obsahovat (A-Z,a-z,0-9,spec. znaky,symboly a mezery) -> Tk JM5G\@+~K?gp pěkný ne?

Teď budu dělat tak trochu ďáblova advokáta, protože sám používám taky podobný software - 1Password.Samozřejmě, data se zřejmě rozšifrovat nedají a nejspíš ani ne hrubou silou. Ovšem založení bezpečnosti na podobném softwaru s sebou nese riziko v útoku ne na šifru databáze, ale na podstatu programu samotného.Co když použije útočník keylogger a získá tak moje master heslo? Nevím jak to myslíš, ale logicky šifrovací klíč k databází (zamlžený přes různé derivační funkce( musí být v okamžiku kdy se do databáze čte nebo ukládá v paměti, jinak to udělat nejde. Co když mu trojský kůň zkopíruje swapfile s klíčem, atd. Co když získá kopii paměti přes firewire, thunderbolt, pci-express, atd nebo když udělá core dump toho procesu v době když přistupuje k databázi, atd.Zkrátka, password managery jsou podle mě lepším řešením než cokoliv jiného, ale slabé stránky mají taky.

S 1Password nemám zkušenosti, zatím nehodlám od Keepassu přecházet V mém případě ho ale nezíská, používám zabezpečenou plochu při zadávání master hesla, vyzkoušej pokud tvůj program to umí, všechno se "zmrazí" a čeká to až dokončíš úkol-heslo. Zkus si to i při tebou nainstalovaném keelogeru. Neuspěješ, alespoň já jsem nepochodil. To je obrovská výhoda oproti konkurenčním programům, kde keeloger uspěje, u Keepassu nikoliv Máš to kdyžtak v nastavení, pokud si to vypneš samozřejmě keeloger to zaznamená...
Pokud vím tak na stránkách Keepassu se tímto zabývají, a je to tam i někde rozepsané jak to vlastně přesně funguje, nic není 100%, ale rozhodně souhlasím s tebou, že ty managery jsou to nejlepší co můžeš udělat.Jak je to s tou pamětí atd. nevím, netuším to už je opravdu hardcore... Pokud dodržuješ jisté bezpečné zásady rozhodně se tohoto "útoku" obávat nemusíš.Já mám pro sychr zablokován i příchozí/odchozí spojení ve firewalu, ale už z dlouhodobého (2letého) výpisu se nikam program nepřipojuje ani se o to nesnaží, aktualizace mám vypnutý...Jak už tu někdo psal, kdyby se něco takového stalo, už by jej nikdo nepoužil !

Pán je asi srandista nebo jede ve tvrdých drogách.

Tohle bylo bezpečné možná tak deset patnáct let zpátky a nejspíš ani tone. Dnes bych něco podobného nepoužil ani na jednorázové objednání pizzy.Tak tohle je přesně rada jak by si člověk digitální bezpečnost organizovat neměl. Krátký základ a předvídatelně modifikovaný konec. Lahůdka při využití rainbow tables. fda5ui7fb si tam najdu během pár sekund a zbytek je malina. Při hashleaku typu Adobe jsou všehcny tyhle variace uživatele, který něco podobného používá okamžitě prolomitelné.

Asi nerozumíte tomu, jak se tvoří hash. Tím, že přidáte nebo změníte jenom jedno písmenko v heslu, bude hash úplně jiný. Tzn rainbow tables jsou mu v tomhle případě na nic.
Pokud někdo získá hash hesla "ahoj", tak mu to k prolomení hesla např "ahojj" vůbec nepomůže.
A to samozřejmě neberu v potaz fakt, že snad všechny služby hesla solej (a který ne, měli by se zrušit), takže hash je ti úplně na nic.

No samozřejmě rozumím jak se tvoří hash. Logicky si tam to devítíznakové heslo najdu rovnou a zbytek si odvodím.Jenom pro pobavení. Moje heslo na Adobe bylo v době hacku databáze "shoatdot12" a říkal jsem si, že to je celkem OK, protože je to deset znaků a nic to neznamená. Díky leaku jsem se dozvěděl, že stejnou hash mělo několik dalších lidí.Tolik k bezpečnosti podobných hesel v době stamilionových vzorků předchroustaných hashí válejících se po torrentech...

Já měl na adobe 8místné heslo s kombinací malých, velkých písmen a čísel a taky jsem měl nějakých 6 lidí se stejným hashem. Tyhle přístupové údaje jsem měl třeba na jednom nevyužívaném účtu na facebooku a twitteru. Facebook automaticky ten účet zablokoval, Twitter tohle neřeší, a tak najednou začaly přibývat lidi, které sleduju. Nejspíš snůžka loserů, kteří si zaplatili followery (samá pochybná osobnost).To heslo jsem použil na docela dost účtů, na kterých mi nezáleží, ale pamatuji si pouze Twitter a Facebook.

- Zadajte užívateľské meno!
- logik2
- zadajte heslo!...
- jablko
- ľutujem, heslo musí obsahovať minimálne 8 znakov!
- červenéjablko
- ľutujem, heslo musí obsahovať min. 1 číslicu!
- 1červenéjablko
- ľutujem, heslo musí obsahovať min. jedno veľké písmeno!
- 1SPROSTÉčervené jablko
- ľutujem, heslo nemôže obsahovať za sebou nasledujúce veľké písmená!
- 1SprostéČervenéJablko,AnastrčSiho!
- ľutujem, heslo nemôže obsahovať diakritické znaky!
- 1SprosteZhniteCerveneJablkoAzdochniAkAniToNeprijmes
- ľutujem, toto heslo je už obsadené!

... změna hesla 1x3m a nesmí se opakovat použité heslo: ZasraneJablko1 ... ZasraneJablko2 ... ZasraneJablko3...xx

presne tak

protože dle přání vlád by pro ně bylo obtížné se do tvého mailu dostat cestou, která by byla obtížná k prokázání jejich nekalé aktivityviz NSA a jejich jednoduše implementovatelná zadní vrátka především v uzavřených systémech jako jsou např. Windows či Apple produkty

A google tie udaje pre zmenu dodava bez nejakeho prelomenia

Všechny firmy dodají údaje na základě soudního rozhodnutí a zadní vrátka má jen anywhereone.

anywhere je major, bez diskuse. ale jenom bych upřesnil, že na všechno není potřeba soudní rozhodnutí - stačí právní rámec - viz Patriot Act a Foreign Intelligence Surveillance Act a jejich obdoby v dalších zemích.

musí dát z důvodu fašistických zákonů.... ukázal jsi typickou informovanost iOfce ;)

Jen naprosty blb si muze myslet, ze heslo, i kdyby melo 100 znaku, nejak zabrani v tom, aby se k tomu dostala NSA.

jen blb neví, že existují neprolomitelné služby, jako byla služba Lavabit ;)

Lavabit není žádná neprolomitelná služba. Provozovatel několikrát vyhověl adresným žádostem na vydání informací tak jako to musí dělat drtivá většina provozovatelů kdekoliv na světě.Vzepřel se až když po něm (se soudním příkazem) chtěli privátní SSL klíč, aby si mohli dešifrovat co si píše Snowden. Což by potencionálně znamenalo totální prolomení bezpečnosti všech uživatelů. Provozovatel pak řekl, že už nedokáže garantovat bezpečnost tak jak ji sliboval a zavřel krám. Pokud vím ty SSL klíče jim nakonec stejně po nějakých obstrukcí musel vydat.Samozřejmě je úplně jedno jestli tam měli 50 znaková hesla nebo ne.

Lavabit neLavabit, stále jsou tu neprolomitelné služby, viz Mega

Neprolomitelné?! Víš vůbec o čem mluvíš? Nepiš blbiny, když problematice nerozumíš!

Uberme trochu té paranoii. Nechápu proč by takové šílené heslo mělo být v rozporu "s přáním vlád". Bezpečnost takového hesla je podobná jako podobně dlouhá smysluplná věta, která je podstatně praktičtější, protože na konci je stejně jenom hash."Vláda" asi nebude dělat brute force útok na hesla, ale jednoduše si takové údaje řekne poskytovateli.O backdoorech v operačních systémech Windows či OSX zatím přesvědčivé důkazy neexistují a podle mě je to nepravděpodobné. Určitě tam jsou nezalepené díry, které je možné použít, ale na 99.99% tam není žádný cílený backdoor, který by tam vědomě na základě dohody existoval. Už proto, že třeba Windows není úplně uzavřený systém na jeho vývoji se podílí spousta lidí, včetně třeba externích firem

kdepak sme pinkali poslení rok?

Takové heslo vůbec nepořebuješ.

Rekni mi jediny padny duvod, proc takove heslo nemuzu pouzit? Je to snad svobodna vule ne? Nema mi nikdo diktovat jake heslo mohu pouzivat, protoze to heslo pri registraci vyzaduji - tak jim pisu heslo o delce 50 znaku.

Protože je to zbytečné.Heslo se použije použije buď k vytvoření hashe tj. něco jako 128 nebo 160 bitů. Nebo se použije k vytvoření šifrovacího klíče pomocí KDF funkce kdy klíč pak má taky nějakou pevnou velikost. Samotné heslo se k vlastnímu šifrování nebo porovnávání nepoužívá (pokud ano tak je to špatně)Naopak, pokud bys umožnil řekněme neomezené nebo extrémně dlouhé heslo a nepoužil bys nějaký limit, tak je to pozvánka k DDOS útokům na server, protože výpočty kolem šifer (hashe a KDF) jsou poměrně složité a snadno by se to zneužilo. Udělat něco takového na zatíženém serveru a nechat si tam posílat několikamegová hesla a chtít po serveru aby z toho počítal hashe bude spolehlivá cesta k DDOS.Zkrátka je dobré, když je tam nějaký rozumný limit, který to na vstupu nějak vymezí.Tím samozřejmě neobhajuju nízké limity, třeba 12 znaků, jak už jsem taky viděl, ale neomezená hesla jsou hloupost.

A teď mi řekněte, jak si takové heslo zapamatujete. Těžko! Opět ho někde musíte mít uložené, pokud samozřejmě nedisponujete dobrým pamatovákem

Pouzivam KeePass, pamatovaka na takove blbosti mit nemusim. Stejne je blbost rikat, ze takove heslo nepotrebuji, protoze nezabezpecujeme si svoje informace jen proti vladam, ale hlavne kvuli hackerum nebo jinym zvedavcum. Jestli chce vlada vytahnout nejake info o me, tak si to udela i bez hesla, protoze vetsina dat neni na serverech vubec nijak sifrovana. Heslo slouzi k pristupu k temto datum - tedy spravy dat. Pokud by kazdy server mel povinne sifrovani dat alespon AES 256bit bylo by to vubec o necem jinem. Ale tady se resi primarne otazka proc nejde pouzivat tak dloha hesla.

program typu Keepass je ale riziko sám o sobě.