Bezpečná hesla: Pláčou správci i uživatelé

...s těma heslama je to pech, když by měl člověk jen jedno, tak by mu nedělalo problém si ho měnit a pamatovat, ale třeba já jich mám snad desítky nebo možná už i přes stovku, do všech možných fór a eshopů, je to děs. Já se ale naučil používat LastPass a nedám na tu výbornou věc dopustit. Je to trezor pro hesla - ukládá je šifrovaně v cloudu na internetu (takže jsou přístupná odkudkoliv). Vám si stačí pamatovat jediný hlavní heslo a všechny ostatní se už vygenerují (jakkoliv silná a nezapamatovatelná), LastPass je intergrovanej do prohlížeče a automaticky vyplňuje, príp i přihlašuje. V budoucnu LastPass navíc plánuje intergovat se i do dalších aplikací Windows (nejen do prohlížeče, třeba outlook, thunderbird apod.) a dokonce je v plánu nahradit přímo Windows Login, takže pak bude už opravdu jediný heslo na zapamatování, ostatní budou vygenerovaná, silná, prakticky neodhalitelná... Takže do budoucna jedině LastPass :)

Standardní síťový domain user používá klíčenky (KeyPass, Symantec,... mimo klíčenky nesmí hesla ukládat) a musí si pamatovat jen dvě hesla (7 místné pro vstup do domény a 24 místné pro vstup do klíčenky) s tím, že hesla se mění pravidelně každých 36 dní. Méně důležitá každých 72 dní a platí striktní pravidla pro skladbu (malá a velká písmena, číslice, spec. znaky, nesmí se opakovat žádný znak apod.). Pro TOP level jen heslo nestačí a od toho už jsou tu jiná řešení. Privátně (bohužel rodina, přátelé) jsem již všechno donutil používat klíčenky a opět hesla dle potřeby s tím, že klíčenka musí být alespoň mít alespoň 14 znaků - doporučuji měnit každé 3 měsíce s tím, že heslo do OS nechávám na nich dle potřeby. Pro BFU praktické, hesla mají silná a ještě si je nemusí pamatovat. Osobně ani klíčenky nepoužívám (nosím si to v hlavě), byť loginů mám spousty a minimální délka znamená 14 znaků (třeba i zde měním heslo pravidelně a skládám jej tak, aby vyhovovalo síle). Šifrovaní dat samozřejmě řeším tak, že heslo má alespoň 24 míst apod. Nemoc z povolání a pak, jsem asi paranoidní.Bohužel existují mobilní paka, kteří sem tam musí nést na laptopu dočasně data od někoho někam (plně šifrované - biometrika + heslo s patřičnou sílou) a není nic horšího, než když si takový pakůň heslo napíše na štítek a ten nalepí na laptop - letos už jsem potkal dva takovéto pakodlaky, kterým byl zcizen laptop s daty.

Mne štve, že správce vždycky přidělí heslo, kde se vyskytují písmena Z a Y… Přihlašuju se na různých počítačích a jednou je tam anglická klávesnice jindy zase česká… Takže i když si to heslo konečně pamatuju, tak ho musím stejně zadávat po každé (podle zákonu schválnosti) dvakrát…

Zrovna dnes jsem potreboval heslo, papirek jsem nasel na pude (z roku 2004), heslo tam bylo, dobry.
Akorat tehda se mi zdalo, ze uziv. jmeno je jasne... Nemuzu prijit na to jmeno

Stejně, řídit přístup pomocí hesla, to se, domnívám, není nikdy žádná velká bezpečnost nedá očekávat.
Když na tom někomu bude opravdu záležet, tak heslo může odkoukat (třeba skrytou kamerou), může podstrčit přímo do klávesnice, příp. mezi klávesnici a PC elektronické udělátko odchytávající stisknuté klávesy, může nasadit do OS počítače odchytávací rootkit, možností jak heslo "odkoukat" je jistě mnoho.
Proto, domnívám se, že jediná opravdu bezpečná metoda, jak se přihlásit do systému, je generování kódu, který bude pro každé nové přihlášení unikátní. Tohle je možné řešit mnoha způsoby, např. pomocí různých generátorů kódu (např. tzv. "kalkulačka") a nebo i třeba velmi primitivně pomocí tzv. "scratch listu" - máš na papírku, který musíš pochopitelně mít někde ukrytý, seznam kódů a po každém přihlášení právě použitý kód zaškrtáš. Při příštím přihlášení použiješ následující nezašktaný kód. Až všechny kódy zaškrtáš, požádáš admina o vygenerování nového "scratch listu" - tohle je ale opravdu ten nejprimitivnější způsob autentizace, ale dle mého názoru je to stále bezpečnější než vypisování stále stejného hesla, byť by se to heslo měnilo třeba každý týden. Elektronický generátor kódu je ale samozřejmě autentizace značka ideál.

Před nějakou dobou si kdosi přečetl EULA od ICQ a řešilo se to všude.
A tohle mi přijde jako úplně stejnej případ. Taky už je to tady několikátej server, kde jsem si za poslední měsíc přečetl to samý - že když se chce po uživatelích mít silný hesla, tak nakonec skončej na papírku.
To ty články píše jeden člověk, nebo mají všechny weby jednoho společnýho big bosse... nebo autoři nemají vlastní názor, tak počkají, až se někde objeví něco zajímavýho a papouškujou to dál?

Používám nejbezpečnější heslo na světě, které by žádného normálně přemýšlejícího člověka nikdy nenapadlo a navíc jej zásadně neměním. Toto heslo je zakázané a nesmí se používat a ani o něm mluvit. Tím na ně nikdo nemůže přijít.Viz podrobnosti na:http://necyklopedia.wikia.com/wiki/Nbusr123... Navíc po vzoru nejmenované bezpečnostní agentury jej používám s uvedeným přihlašovacím jménem, které právě v kombinaci s neprolomitelným heslem dává takovou kombinaci o které se může běžnému smrtelníkovi jenom zdát. Takže žádný administrator, nebo root, ale pravý a nefalšovaný nbusr!

Já to mám takhle:
1) nejkomplikovanější heslo: k mailu a do počítače (stl3BfE1mn52jW)
2) trochu komplikované - lehčí varianta jedničky: různá fóra a obecně účty na netu
3) dřívější varianta dvojky: různá fora a obecně účty na netuTakže si pamatuju tři hesla + internetový bankovnictví. Když by mi někdo ukradl 2 či 3, nic se neděje, jen mým jménem bude někam psát .... Jedničku jsem si vyrobil z nějaké věty ve smyslu: Petr šel ve 3 na houby s Frantou a potkali 25 klaunů (Psv3nhsFap25). Jasně, jde to prolomit přes brutal force,ale ne hned.

Faktem je, že pravidelné střídání hesel je první cestou k prolomení systému. Není pak už nic jiného, než hledat místo, kam si uživatel své nové heslo zapsal. U nás máme politiku (proti které jsem sám bojoval), že uživatel musí heslo měnit každý měsíc, a že posledních pět hesel nesmí být stejných. Hádejte, jaká hesla si uživatelé volí: leden111, únor1111, březen11 (heslo musí mít aspoň 5 znaků).... Pokud si spořádaně nechají heslo navrhnout, tak si ho někam napíší.
Z lidské fyziologie vyplívá, že doba k zapamatování informace je většinou kolem 48 hodin, ale doba k doslovnému zapamatování informace o délce desíti znaků, náhodně kombinovaných s čísly a symboly je asi 7-10 dní (pokud jej nepoužíváte neustále). Pak heslo tři týdny používáme, abychom ho museli vyměnit a používat nové, které si zapíšeme na papírek (oblíbené jsou lepivé barevné lístečky na monitoru), nebo do telefónu (děkujeme firmě Nokia, Google, nebo Microsoft, za inteligentní telefon).Ale vážně: pokud si heslo potřebujete zapsat, zapište si je odkazem (nikoliv "heslo je rodné číslo manželky, ale něco jiného, jako barva balónku, který uletěl mé dceři loni v létě u moře a pozdevnoci = zelenal8night) Mozek si zapamatuje taky líp postup (jako A+3+2-5 je ADFA).A neměňte hesla častěji, než jednou za měsíc, spíš jednou za šest týdnů.

Dobrý článek. Jak snadno je prolomitelné heslo do excelovského sešitu? Dá se to srovnat s ostatními freewary na uložení hesel? Moc nevěřím freeware prográmkům, příjde nějaká aktualizace ... a hesla se můžou někam poslat ... U těch ověřených (Keepass, Scarabay) to asi moc nehrozí, ale kdo ví ... firmu někdo koupí ... asi mám paranoiu ;)

moje heslo je: ¨=mc/2-10°/abc¨~`'- co si myslite, kam se s nim prihlasuji ?

Osobně považuji hesla za hloupost. V práci mi celé roky stačilo "333", protože stejně když jsem měl dovču, lezl mi do kompu zástupce a podobně. Měli jsme celá kancelář a možná půlka firmy tohle heslo. A ten zbytek ho měl napsané fixem na rantlu monitoru. Co už vůbec nesnáším, když mne třeba Google nutí do tzv. silného hesla, aby mělo 8 znaků a malá, velká písmena a čísla. Je snad pouze moje věc, jestli si ke SVÉMU účtu dám slabé, ne? Doufám, že heslománie jednou skončí a každému bude fuk, jestli třeba do Gmailu budu mít heslo "1". Moje věc a něčí zbytečná starost. Jestli si někdo chce prohlédnout, jak mi kámoš posílá vzkaz, že v sobotu půjdeme na ryby a nebo mi posílá link na žertovné video, ať si poslouží. Opravdu důležité či tajné věci se dnes mailem neposílají.

Ja pouzivam nejjednodussi zpusob na svete.
Pamatuju si jedno nahodne heslo (cca 12 znaku) a vsechny ostatni hesla jsou vytvareny algoritmemsubstring(16, md5(trim(hlavniheslo))+trim(lower(jmenosluzby))))mam na to dobrou utilitku na http://alesruzicka.eu/pwgen/... a nejak mi nedochazi, kde by mohl nastat problem

Politika v práci: minimálně 8 znaků, musí obsahovat tři ze čtyř náležitostí (velká písmena, malá písmena, čísla, znaky). Každé tři měsíce nové. Aby uživatelé neopakovali stejná hesla, pamatuje si to několik (už nevím kolik) nazpátek. Uživatelé to většinou prasí tím, že za jednoduché slovo začínající velkým písmenem hodí dvou až třímístné číslo a při změně hesla inkrementují o jedna. Papírkáře máme, ale není jich tolik.Pro ty co mají vzdálený přístup k intranetu z Internetu je u nás řešení generátorem hesel od firmy RSA - pokud to chápu, jedná se v podstatě o přívěšek na klíče s displayem synchronizovaný se serverem, který každou minutu vygeneruje nové šesticiferné číslo, které je nutné zadat spolu s navoleným číselným PIN (minimálně čtyři cifry). Je to prakticky neprůstřelné brutalforcem, protože i jedno špatné zadání má za následek nutnost zadat pro potvrzení ještě další šestičíslí (tudíž počkat si minutu). Bohužel jako řešení pro přihlašování ke stanicím je to neprůchodné, cenově je to příliš nákladné na vybavení všech zaměstnanců.Doma mám část disku šifrovanou a 14 místné heslo v kombinaci čísel, písmen a znaků. Neměním ho příliš často, jinde mám jednodušší ve zjednodušených, dostatečně pozměněných variantách.

Ľudia, Vy dôverujete freeware generátorom hesiel? Čo ak tvorca napchal do generátora hoci milión preddefinovaných skvele vyzerajúcich 20-znakových hesiel ? Ak takýto generátor použijete, tvorca programu má v rukách zväzok milión kľúčov, z ktorých jeden isto pasuje do Vášho zámku. A vyskúšať milión vopred známych kľúčov trvá rovnako dlho ako rozlúsknutie cca 4-znakového hesla.

Já mám veškerá svoje hesla nahraná a zašifrovaná v jednom souboru.
Soubor mám nahraný na SD kartě a zatím mám hotový program na jeho otevírání pod win a taky ve své kalkulačce Casio fx-9860G SD. V širším plánu mám i vytvoření tohoto prográmku pro Symbian abych to mohl používat i v mobilu. Soubor se otevírá vypsáním čtyřmístného čísleného PIN, což považuji za dostatečné.Standardně je nastaveno po čtvrtém neúspěšném pokusu zmazání souboru.

Mám vlastní techniku uchovávání všech složitých a důležitých hesel.
Jednoduše je mám na lístku, ten uzavírám do kapsle, kterou spolknu...
..ehm, akorát mám problém, že se mi kapsle pravidelně objevuje a musím ji znova polykat
Na druhou stranu to má ale další negativa, že když nějaké heslo zapomenu, musím čekat, než se kapsle objeví

Nejlepším řešením je využít některý password manager. Osobně používám Roboform (klasickou offline verzi), hesla jsou uložená na disku a chráněná AES256, není problém synchronizace či záloha, podporuje skoro všechny prohlížeče (mimo Opery), atd. Stačí si zapamatovat jediné heslo, které odemkne ostatní.

Úplně nejhůř to funguje u otisku prstů. Těch má člověk jenom deset (v ideálním případě, zaměstnanci pily mohou mít i méně), takže je za chvíli všechny vypráská a pak se už nemůže přihlásit. Na nějakou dobu se dá vypomoct si nohama, ale je to jen krátkodobé řešení. :-/

Největší pitomostí je číslování hesel - uživatelé nechtějí namáhat mozky a tak prostě při každé změně hesla zvětší pořadové číslo. Postupem času pak vaše heslo zná každý spoluzaměstnanec - nanejvýš si zkusí, jestli je to dnes chaloupka27 nebo chaloupka28...Dělá to tak 95% lidí.Na větší množtví hesel je nejlepší Keepass a podobné nástroje stačí znát heslo do počítače či domény a heslo k programu. Databázi samozřejmě zálohovat buď pravidelně denně nebo po každé změně - například na server. Keepass heslo i vygeneruje, přičemž jej člověk sám ani znát nemusí.Všechny mnemotechnické pomůcky časem stejně selhávají - slavná tvorba hesel z věty (do práce na kole v 6 ráno - dpnkv6r) nám za čas zanechá v hlavě tolik mnemotechnických pomůcek, že se v nich stejně nevyznáme. Snad to alespoň funguje na to jedno heslo, které používáme nejčastěji, nevím.

Nutit někoho k tomu, aby si musel každou chvíli měnit heslo, je ta největší debilita. Bezpečnost to výrazně sníží, protože už po druhý vynucený změně si nikdo nepamatuje, co tam má, a musí si to napsat.

"...heslo musi odpovidat tomu co je treba chranit..."
Kez by si tuhle vetu zapamatovala vetsina aplikatoru politik, kdy i pro heslo "pro bezne pouziti", ktere je dobre leda pro to aby si clovek mohl maximalne tak pustit Solitaire, narvou podminky (8+ znaku, pouze na dva mesice, 16 hesel zpetne nesmi byt stejnych) ktere pak vyslovene nabadaji k tomu aby si uzivatel nedelal zbytecne slozite heslo, protoze by si jej sam nepamatoval (a tim se dostavame k papirkum na monitoru/pod klavesnici).
Proc sakra nepouziji oddeleni urovni - bezne heslo, se kterym toho clovek moc nezmuze (krom toho ze jej potrebuje uz jen k tomu aby se mohl vubec prihlasit) neni imho potreba takhle betonovat. Naproti tomu pri pristupu k citlivym datum by mohlo (resp. melo) byt vyzadovano heslo jine, s vyssi urovni zabezpeceni. Ale ono, ne.
Bezna praxe je jeden uzivatel - jedno heslo a bezp. politika se pro vsechny nastavi podle toho uzivatele ze vsech , ktery ma pristup k tomu nejcitlivejsimu co firma ma. Proste kravina na n-tou.

Skákal pes přes oves přes zelenou louku šel za ním myslivec péro na klobouku
- máme základ hesla, jednoduše zapamatovatelný: sppopzlsznmpnk
- před a za dáme zavináč či jiný hnusný znak a za každé druhé písmenko dáme číslici, postupně od 0 do 9
- výsledkem je "neprolomitelné" heslo: @sp0po1pz2ls3zn4mp5nk6@
Je zároveň i snadno zapamatovatelné
Při nucené změně hesla třeba změníme zavináče na apostrofy či číslice začneme od největší.
Nebo třeba:
May God have mercy on you and grant you the pardon of all your sins
- mghmoyagytpoays
- $mghmoyagytpoays$- $mg9hm8oy7ag6yt5po4ay3s$Prostě lidi, trochu fantazie.

no tak já například si své heslo pro přihlášení do win pořádně ani nepamatuju z paměti ale znám kombinaci kláves takže se na ní při zadávání ani nemusím dívat
jinak od emailu si pravidelně měním heslo
a firemní počítač nevyužívám

Testoval jsem ruzny typy hesel a nakonec se mi osvedcilo pouzivat heslo, jako internetovou stranku - akorat doplni clovek nejake velke, ci male pismeno a je to vyreseny. Je tam vse - specialni znak, cislice, znaku dost: http://www.zive.cz... a jedine, co je nebezpecne, tak nepouzivat tu nejznamnejsi stranku, kam lezete: www.google.com uzivatele si to pamatuji a slozitost je zarucena.
No a ja si vystacim s certifikatem a jednim heslem k KeePass :)

Vsude mam 123456 anebo asdfgh anebo abcdef a nikdo se mi s tim nikam nikdy nedostal newm co z tych heslaků vseci tak silite a generujete a jak jaderny generator jadra..buh s vama lidi.

Na důležité věci používám hesla skládající se z malých i velkých písmen, číslic, speciálních znaků. A pokud ty hesla nepoužívám často, tak si je pro jistotu píšu na papír.Je dost malá šance, že útočník se mi bude hrabat v papírech někde doma. Navíc na jednom listu je načmáráno těch hesel víc, není napsané, k čemu jsou a nejsou napsané přesně - některé znaky můžou chybět, nebo být nahrazeny jiným. Takže i kdyby opsal všechny hesla z papíru, tak se nikam nedostane...

sám jsem si otestoval bezpečnost hesla a hned jsem raději ho změnil. pro test jsem použil internetovou službu, více zde: http://techman.blog.zive.cz/2010/06/jak-moc-mate-bezp... ...