Bezpečná hesla: Pláčou správci i uživatelé

sám jsem si otestoval bezpečnost hesla a hned jsem raději ho změnil. pro test jsem použil internetovou službu, více zde: http://techman.blog.zive.cz/2010/06/jak-moc-mate-bezp... ...

No já jsem si svoje heslo nechal vygenerovat. Je složené z čísel, znaků a má délku 15+. Pamatuji si ho bez softwarových pomůcek a doufám, že kdyby si ho někdo přečetl, nepoznal by, že je to heslo.

Chapu, ze cloveku na zakladni skole jedno heslo staci, ale casem se pocet hesel prehoupne pres 10 a to uz je problem.

Od toho mam KeePass, mych 300+ accountu bych si jen sotva pamatoval...

Zkusil jsem tam dát heslo na b.ú. Napsalo mi to Good: 54%. Ale hned jsem se nad tím zamyslel. Možná začnu být trochu paranoidní a přidám pár čísel. Ale moc se mi nechce, protože mám skoro všude jiné heslo.

Test síly hesla by se dal krásně využít k phishingu. Lidi používají většinou jenom pár hesel. Takže kdybyste vytvořili stránku s testem. Poslali odkaz, tak máte dost velkou šanci, že za chvíli tam to heslo budete mít. Ti drzejší můžou k testu hesla dát rovnou i dotaz na login. Věřím, že u velké části uživatelů by to zabralo...

Howg

to je samozřejmě možné, ale ja ten web použil jen abych věděl princip síly. takže ve výsledku mám jiné heslo.
Jinak chápu, mohou se najít takové weby, ale beypečnost ti nemusí zaručit ani nějaký program....

hmmmm...., tak jsi tam napsal své heslo, nebo nenapsal?

Jestli jsem to dobře pochopil, tak tam napsal heslo podobné svému heslu, které bude mít stejnou sílu. Tzn. že jestli má heslo fRt153, tak tam napsal třeba uDb575

pochopil

taky jsem to tak pochopil, ale raději sem se zeptal, bo je to uživatel iPrdů :)

kdo je čeho uživatel?

to bylo pro jistotu, bo ti to ukazuje iOS systém :)

to jsem jen zkoušel Mac OS X ve virtuálce na Windows 7

neke....to de? k čemu jsi došel? :)

jde to, no k čemu jsem došel? chce to hodně trpělivosti

Souhlasím, nicméně zmíněná stránka se nechá stáhnout a script se nechá nejen zkontrolovat (zda něco někam neposílá), tak se nechají i upravit váhy různých parametrů. Osobně jsem právě uvedenou stránku použil pro kontrolu síly svého hesla, které obsahuje všechno co má, tj. velká a malá písmena, čísla i znaky.
Osobně při tvorbě hesla používám nějaké slovo, které zkomolím (např. zjednodušeně "k vám" změním "quam" a následně upravím na "Q2u4A6m8+". Takové 9 znakové heslo je v současné době minimum, bohužel spousta "přihlašování" na internetu stále nepodporuje symboly "+-*/" apod. čím snižuje bezpečnost hesel... U takových serverů nezbývá než místo jednoho "symbolu" použít minimálně dva znaky a zvětšit heslo na 10 znaků.

nějak jsem nepochopil, proč číselný hesla jsou snadněji prolomitelný než písmenný, který mají daleko více permutací......ten test je divný.....možná to bere v úvahu to, že lidi tam dávaj slova, ne náhodný znaky, ale i tak to počítá špatně

odpovědí je tabulka ASCII. A princip brute force

dobře, mužeš to trochu přiblížit? bo mi to fakt není jané :)
děkuji

O cem to mluvis? Pokud budes mit retez cisel a retez pismen, oba o stejne delce, tak ma pochopitelne vic permutaci ten retez pismen. Cili u pismen trva dele vyzkouset vsechny moznosti. Co je na tom nejasne?

no šak to jsem psal, ne?

jsem to v původním příspěvku obrátil...dle toho testu hesel je jedodušši rozlousknout písmenný před číselníma

Aha, no me se zdalo, zes to napsal nejak divne. :)
Tyhle testy "bezpecnosti" hesel ignoruju. Urcuji to podle nejakych prapodivnych algoritmu. Zde se skutecne zrejme pocita s tim, ze kdyz jsou to pismena, bude to nejake slovo, coz pochopitelne vubec nemusi byt pravda.
Nejlepsi test bezpecnosti hesla je vlastni mozek. ;)

Nejasné na tom je, jak víš že je to řada čísel nebo řada písmen nebo řada kombinací písmen a čisel nebo čisel a velkých a malých pismen.Když to víš tak to máš samozřejmě lepší a jednodušší ale takhle ti nikdo napovídat nebude Jinak samozřejmě to cos napsal platí.

kdyz mas dvojmistne ciselne heslo, tak mas presne 10x10 kombinaci :) coz se rovna cislu 100 kombinaci :)
kdyz mas dvojmistne pismenne heslo, tak to mas 26x26 kombinaci :) coz se rovna 626 ruznych moznosti.
a proc 26x26 ?? protoze v abecede mas 26 pismen (samozrejme nepocitam ěščřžýáíé)
a kdyz k tomu pridas specialni znaky, tak uz to chvili zabere

sem to vobrátil, písmenný jsou lehčeji dle toho algoritmu než číseslný

jsem to vobrátil
"proč číselný hesla jsou snadněji prolomitelný než písmenný" mělo být "proč písmenný hesla jsou snadněji prolomitelný než číselný"

Vy někam na net píšete svoje hesla...? 8-o

vím že je těžké si první přečíst diskuzi, ale pak se můžete vyhnout zbytečným a trapným otázkám.

... ale no jo furt...

Na důležité věci používám hesla skládající se z malých i velkých písmen, číslic, speciálních znaků. A pokud ty hesla nepoužívám často, tak si je pro jistotu píšu na papír.
Je dost malá šance, že útočník se mi bude hrabat v papírech někde doma. Navíc na jednom listu je načmáráno těch hesel víc, není napsané, k čemu jsou a nejsou napsané přesně - některé znaky můžou chybět, nebo být nahrazeny jiným. Takže i kdyby opsal všechny hesla z papíru, tak se nikam nedostane...

Howg

Hehe, speciální znaky a háčky s čárkama, to je dobré zmatení nepřítele.
Ovšem do té doby, než sednete k cizímu PC, protože pak se může stát vaším nepřítelem klávesnice před kterou sedíte a marně na ní hledáte ěščřžýáíéúů

NB1: Ubuntu 12.10 @ Asus F3F, NB2: Ubuntu 12.10 @ Lenovo W510, HTPC: Ubuntu 13.10 @ Intel i3, TABLET: Android 4.1 @ Asus Transformer TF300T

Diakritiku nepoužívám. Ne ze strachu, že bych heslo nezapsal (silná hesla používám na důležité věci a na ty se z cizích zařízení nepřihlašuji), ale ze strachu z kódování...
PS: V podpisu samé Ubuntu, ale ikonka XP a IE7. Že se vás s tím admin nebojí pustit na web...

Howg

Hehe, to je maskování na zmatení nepřítele

NB1: Ubuntu 12.10 @ Asus F3F, NB2: Ubuntu 12.10 @ Lenovo W510, HTPC: Ubuntu 13.10 @ Intel i3, TABLET: Android 4.1 @ Asus Transformer TF300T

Teď už to je, tak jak to má být

NB1: Ubuntu 12.10 @ Asus F3F, NB2: Ubuntu 12.10 @ Lenovo W510, HTPC: Ubuntu 13.10 @ Intel i3, TABLET: Android 4.1 @ Asus Transformer TF300T

Vsude mam 123456 anebo asdfgh anebo abcdef a nikdo se mi s tim nikam nikdy nedostal newm co z tych heslaků vseci tak silite a generujete a jak jaderny generator jadra..buh s vama lidi.

Parkrat si vyndejte a zandejte baterky a pametove karty a treba vas to uklidni... | iP 4S ... UT2K4 love =o) | iOS dev...

...ale tady ne...zkousel jsem...

Zkusils to i od konce? Uzivatele jsou nekdy zakerni...

Testoval jsem ruzny typy hesel a nakonec se mi osvedcilo pouzivat heslo, jako internetovou stranku - akorat doplni clovek nejake velke, ci male pismeno a je to vyreseny. Je tam vse - specialni znak, cislice, znaku dost: http://www.zive.cz... a jedine, co je nebezpecne, tak nepouzivat tu nejznamnejsi stranku, kam lezete: www.google.com uzivatele si to pamatuji a slozitost je zarucena.
No a ja si vystacim s certifikatem a jednim heslem k KeePass :)

A kde máte uloženou databázi ke KeePassu a jak jí případně zálohujete či replikujete? :)

replikace je pravda trochu problém, ale jinak ok. - používám keepass ve všech svých PC a v mobilu.

Databazi mam ulozenou na serveru a pak jeste ve svem ntb, kde je Linux a sifrovana partition. Hesla synchronizuju, protoze obcas neco doplnim v ntb a neco na serveru. Pokud je nutne, Keepass hodim na flash a pouziji nejaky ten TrueCrypt :)

Taky to vidím na KeePass s databází uloženou na Dropboxu a propojením na Blackberry. Dobré zabezpečení vč. keyfile.

no tak já například si své heslo pro přihlášení do win pořádně ani nepamatuju z paměti ale znám kombinaci kláves takže se na ní při zadávání ani nemusím dívat
jinak od emailu si pravidelně měním heslo
a firemní počítač nevyužívám

Skákal pes přes oves přes zelenou louku šel za ním myslivec péro na klobouku
- máme základ hesla, jednoduše zapamatovatelný: sppopzlsznmpnk
- před a za dáme zavináč či jiný hnusný znak a za každé druhé písmenko dáme číslici, postupně od 0 do 9
- výsledkem je "neprolomitelné" heslo: @sp0po1pz2ls3zn4mp5nk6@
Je zároveň i snadno zapamatovatelné
Při nucené změně hesla třeba změníme zavináče na apostrofy či číslice začneme od největší.

Nebo třeba:
May God have mercy on you and grant you the pardon of all your sins
- mghmoyagytpoays
- $mghmoyagytpoays$- $mg9hm8oy7ag6yt5po4ay3s$
Prostě lidi, trochu fantazie.

Což o to fantazie by byla, ale když těch hesel sou stovky a až nějaké budu potřebovat po X letech, tak nevím nevím.. :)

Jak casto takovehle heslo pises? Pochybuju ze tento typ hesla pouzivas tam kde jej musis psat rucne kazdou cca pulhodinu (a navic jde jen o omezene opravneni).

No přesně tohle mě napadlo. V práci používám do systému silné heslo a zadávám ho dobře 10x za den, šlak by mě trefil.

Ono se nezdá, ale když si to heslo párkrát vyťukáte na klávesnici, tak už se potom píše skoro samo bez přemýšlení. Jinak používám i hnusnější, opravdu náhodné, typu dg3d5,_sd56@sd6hg5fc4d4g?.gafg

Tohle není moc náhodné, nápadně často se tam vyskytuje "d", "g" a písmena kolem

...nebo "Vi Veri Veniversum Vivus Vici"....ne?

Počkejte, až příjde důchodový věk :)

Čekám už nějakých pár let a pořád nic

Si ještě počkáš, až se to bude blížit, tak to o 10 let posunou ...

Tak tohle je vubec jedna z nejhorsich moznosti... vzdyt tohle "heslo" je predvidatelne: cisla - vzestupna/sestupna, pismena - prvni znaky z nejakych (nejlepe verejne znamych) frazi, symboly - parove. Staci znat cast hesla, a zbytek si slozis sam:
@pp9js8lk7kp6... (druhy nejvetsi hit hned po "skakal pes")
Ted uz vsichni vime, podle jake sablony tvoris hesla, no faaajn

"...heslo musi odpovidat tomu co je treba chranit..."
Kez by si tuhle vetu zapamatovala vetsina aplikatoru politik, kdy i pro heslo "pro bezne pouziti", ktere je dobre leda pro to aby si clovek mohl maximalne tak pustit Solitaire, narvou podminky (8+ znaku, pouze na dva mesice, 16 hesel zpetne nesmi byt stejnych) ktere pak vyslovene nabadaji k tomu aby si uzivatel nedelal zbytecne slozite heslo, protoze by si jej sam nepamatoval (a tim se dostavame k papirkum na monitoru/pod klavesnici).
Proc sakra nepouziji oddeleni urovni - bezne heslo, se kterym toho clovek moc nezmuze (krom toho ze jej potrebuje uz jen k tomu aby se mohl vubec prihlasit) neni imho potreba takhle betonovat. Naproti tomu pri pristupu k citlivym datum by mohlo (resp. melo) byt vyzadovano heslo jine, s vyssi urovni zabezpeceni. Ale ono, ne.
Bezna praxe je jeden uzivatel - jedno heslo a bezp. politika se pro vsechny nastavi podle toho uzivatele ze vsech , ktery ma pristup k tomu nejcitlivejsimu co firma ma. Proste kravina na n-tou.

a uvedomuje te si ze login do oken je zaroven login i do weboveho rozhrani e-mailu v domene?? proto ma bejt login tak slozitej

Pro upřesnění, on je to teda login do celého systému Active Directory se všemi těmi oprávněními a službami kolem. Dokonce se tím dá automaticky přihlásit do SQL Serveru.

To je ale chyba toho pristupu. Nedokonalost, kterou se snazite maskovat "jednoduchosti".
Uvedomujete si, ze je zbytecne aby uklizecka (s pravy pristupu prakticky nula) musela mit stejnou politiku hesel jako zamestnanec, majici (napr) plny pristup k planum co bude spolecnost delat v pristim roce?

Uklízečka nemá žádnou politiku hesel, leda doma. V podniku nemá účet.

Náhodou uklízečka a ITak jsou jediní dva lidé, kteří mají přístup ke všemu. Uklízečka fyzicky a ITak v software, takže bacha na ně! :) Jak se dá IT do spolku s uklízečkou, tak nikdo nemá šanci ;).

Jaromír Adámek

JJ, IT ve spolku s uklizeckou je zakerna kombinace - muzu potvrdit

Existují lepší řešení než dávat lidem x hesel - řešení, která poznají, odkud se člověk hlásí. Takže stejné jméno a heslo na firmením PC znamanají více možností než totéž na firemním notebooku v terénu a z internetové kavárny se stejným jménem a heslem je pak člověk "vděčný" (zejména na dovolené) i za přístup do firemního mailboxu ;) ...a to vše při stejném jméně a hesle.

Nutit někoho k tomu, aby si musel každou chvíli měnit heslo, je ta největší debilita. Bezpečnost to výrazně sníží, protože už po druhý vynucený změně si nikdo nepamatuje, co tam má, a musí si to napsat.

Ano, pokud se lidé nutí měnit heslo, napíšou si ho (výzkumy tuším uvádějí, že heslo bývá nejčastěji "bezpečně uchováno" do 70cm od LCD na stole").
Pokud se lidé nenutí heslo měnit, tak lísteček s přístupy časem zahodí, protože když náhodou heslo zapomenou, každý z firmy jim ho připomene

Největší pitomostí je číslování hesel - uživatelé nechtějí namáhat mozky a tak prostě při každé změně hesla zvětší pořadové číslo. Postupem času pak vaše heslo zná každý spoluzaměstnanec - nanejvýš si zkusí, jestli je to dnes chaloupka27 nebo chaloupka28...
Dělá to tak 95% lidí.
Na větší množtví hesel je nejlepší Keepass a podobné nástroje stačí znát heslo do počítače či domény a heslo k programu. Databázi samozřejmě zálohovat buď pravidelně denně nebo po každé změně - například na server. Keepass heslo i vygeneruje, přičemž jej člověk sám ani znát nemusí.
Všechny mnemotechnické pomůcky časem stejně selhávají - slavná tvorba hesel z věty (do práce na kole v 6 ráno - dpnkv6r) nám za čas zanechá v hlavě tolik mnemotechnických pomůcek, že se v nich stejně nevyznáme. Snad to alespoň funguje na to jedno heslo, které používáme nejčastěji, nevím.

Cislovani hesel neni pitomost, ale nekdy nutnost :)
V praci musim menit heslo kazde 3 mesice a navic nesmi byt stejne jako xx predchozich. Potitika je standardni - velka + mala + cislice... Kdo by si to mel porad pamatovat?
Mam trik, ktery funguje na vetsinu politik hlidajici 'podobna' hesla. Vetsina lidi cisluje Heslo123 a pristi je Heslo124, ... coz ale spousty systemu pozna jako 'podobne' tomu minulemu a nepusti. Co uz ale vetsina systemu nepozna je to obracene --> pouzit 123Heslo a priste 124Heslo...
A jinak velmi souhlasim s autorem - cim vetsi restrikce, tim vic uzivatelu pise hesla na papirek. Ve vedlejsi kancelari pracovali 2 duchodkyne a obe meli na monitoru papirek...

u nas vo firme priamo na monitore centrofixkou

u nas vo firme si system takisto pamata poslednych x hesiel. nejakym nedopatrenim si vsak nepamata aktualne heslo. takze si sice musime raz za x mesiacov "zmenit" heslo, ale mozeme tam napisat to iste ake sme mali doteraz.
a teda ostatne hesla spravujem v subore hesla.txt na ploche, resp. si ich pamata firefox. keby mi padla databaza hesiel vo ff tak som v prdeli.

Nevím proč by heslo díku číslování někdo měl znát, když ho nikomu neříkám.

Úplně nejhůř to funguje u otisku prstů. Těch má člověk jenom deset (v ideálním případě, zaměstnanci pily mohou mít i méně), takže je za chvíli všechny vypráská a pak se už nemůže přihlásit. Na nějakou dobu se dá vypomoct si nohama, ale je to jen krátkodobé řešení.

díky

Hmmm... a nenapadlo vás si měnit to heslo, ke kterému je přiřazován ten otisk?

Hloupé je, že většina laptopů na trhu (nyní) používá čtečku otisků na principu scanneru. Schválně si vyzkoušejte vytvořit si vlastní otisk na papír (např. pomocí razítkovací barvy, inkoustu nebo tuhy) a nabídněte scanneru tento plagiát.
Jinak obecně je vždy lepší použít kombinaci autentikačních prostředků - 1. něco, co si pamatuji (tj. heslo) a 2. něco, co mám (např. smart karta, USB token, palec). Jde jen o to, nenechat se unést falešným pocitem bezpečí tam, kde jde o citlivá data.
Jako ideální do firemního prostředí se mi jeví kombinace smartkarty a hesla. Člověk si nemusí pamatovat nesmyslně dlouhé heslo (to za něj vygeneruje chip v kartě), ale stačí jednoduchý login. A že ho kolega odkouká? To by ještě musel ukrást kartu.
Jinak pro zajímavost, zkuste si pohrát s programem Cain (www.oxid.it). Ten umožňuje volit metody lámání hesel (včetně použití Rainbow Tables). Několikamístné číselné heslo je otázkou desítek minut Brute Force útokem.

Nejlepším řešením je využít některý password manager. Osobně používám Roboform (klasickou offline verzi), hesla jsou uložená na disku a chráněná AES256, není problém synchronizace či záloha, podporuje skoro všechny prohlížeče (mimo Opery), atd. Stačí si zapamatovat jediné heslo, které odemkne ostatní.

Pridavam sa k roboformu. Mam kupenych niekolko licencii a hodne sa osvedcuje pri sprave 500+ hesiel. Synchro v pohode cez VPN na vlastny server. Pre kazdy novo-zalozeny ucet vygeneruje heslo 16+ znakov (aj ked niekde to obmedzuju )...
Nic nie je 100%, ale aspon to diky sifrovaniu agentom Mossadu,CIA, BIS trochu zneprijemnime

Taky používám Roboform, mám koupenou licenci na dva PC, dokonce tam byla kdysi nějaká sleva pro lidi s příjmem do 20k USD ročně (v USA definice chudoby... :) ).
Hesla jsou v AESu, a ty mám uložené na klíčence, která je taky v AES (přes TrueCrypt). Přenáším pak samotnou klíčenku, kde mám stejně všechny data. Vše se automaticky zálohuje přes BAT a 7-ZIP scripty (taky AES a šifrovaná je i hlavička archívu, aby nebyly vidět soubory) na několik uložišť vzdálených od pár metrů do pár set km.
Nevěřím moc heslům uloženým někde na síti, chci to mít u sebe.
Díky za info, že Roboform hesla i generuje, toho jsem si nevšiml, zatím jsem používal hesla typu nmw64wjhYje515e...

Jaromír Adámek

Mimochodem protože jsou lidi taková zvěř, a píšou si hesla na papírky, tak mám na zloděje připravené pasti :). Například na platebních kartách mám 4 čísla do čtverečku, která jsou ale samozřejmě jiná než PIN atd :). Ať si chudáci zloději užijí :). Můžou mi ukrást co chtějí, moje data vždy přežijí :)...

Jaromír Adámek

No nevím zrovna u AES, vzhledem k zájmům, které v souvislosti s Rijndaelem uplatňuje NIST . Předpokládám nějaký povinný backdoor, nařízený od NSA (podobně viz kauza firmy CircleTech versus BIS: http://domaci.ihned.cz/c1-46395570-bis-nabizela-... ...

Mám vlastní techniku uchovávání všech složitých a důležitých hesel.
Jednoduše je mám na lístku, ten uzavírám do kapsle, kterou spolknu...
..ehm, akorát mám problém, že se mi kapsle pravidelně objevuje a musím ji znova polykat
Na druhou stranu to má ale další negativa, že když nějaké heslo zapomenu, musím čekat, než se kapsle objeví

Já mám veškerá svoje hesla nahraná a zašifrovaná v jednom souboru.
Soubor mám nahraný na SD kartě a zatím mám hotový program na jeho otevírání pod win a taky ve své kalkulačce Casio fx-9860G SD. V širším plánu mám i vytvoření tohoto prográmku pro Symbian abych to mohl používat i v mobilu. Soubor se otevírá vypsáním čtyřmístného čísleného PIN, což považuji za dostatečné.Standardně je nastaveno po čtvrtém neúspěšném pokusu zmazání souboru.

Tomu nevěř, takový program ti může kdokoliv kraknout, odstranit funkcionalitu smazání po čtvrtém a pak zkoušet a nebo v něm přímo najde heslo.
Raději použij asymetrickou šifru typu AES.
A nebo se na to vykašli úplně a použij RoboForm a nebo KeePass
Připadně pokud je nechceš použít, tak si zašifruj disk pomocí TrueCryptu, to taky nikdo neprolomí... Nemusíš šifrova celý disk, ale uděláš si třeba pár set kB kontejner, v kterém budeš mít pár desítek kB na textový soubor s hesly.
Taky to mám takové. Mám TrueCryptem zašifrovaný celý operační systém, všechny disky, zálohy jsou šifrované taky AES přes 7-zip pakovač a na opravdu hodně důležitá hesla mám ještě na tom AES šifrovaném disku další kontejner, který je ještě více šifrovaný. Fyzicky to prolomit nejde, leda, že by mi někdo nasadil trojana na PC (SW) a nebo nějaký HW mezi klávesnici a PC... ale tak to si člověk už musí ohlídat...

Jaromír Adámek

Jistě. Může to cracknout. To by ovšem musel vědět, a) co hledá a zároveň b) musel by to chtít cracknout.
Musel by vědět, že např. SD karta, kterou mám zasunutou v kalkulačce, obsahuje soubor, který by bylo dobré někam vykopírovat a pak ho podrobit útoku. Jenže - proč by to někdo dělal a co by ho k takové námaze vedlo, že?
A já mám radost z toho, že jsem naprogramoval udělátko, které dokonce i funguje a o to jde, teda přinejmenším mě. Tohle řešení je v podstatě taková sofistikovanější varianta papírku s heslem přilepeného na monitoru.

Ľudia, Vy dôverujete freeware generátorom hesiel? Čo ak tvorca napchal do generátora hoci milión preddefinovaných skvele vyzerajúcich 20-znakových hesiel ? Ak takýto generátor použijete, tvorca programu má v rukách zväzok milión kľúčov, z ktorých jeden isto pasuje do Vášho zámku. A vyskúšať milión vopred známych kľúčov trvá rovnako dlho ako rozlúsknutie cca 4-znakového hesla.

Politika v práci: minimálně 8 znaků, musí obsahovat tři ze čtyř náležitostí (velká písmena, malá písmena, čísla, znaky). Každé tři měsíce nové. Aby uživatelé neopakovali stejná hesla, pamatuje si to několik (už nevím kolik) nazpátek. Uživatelé to většinou prasí tím, že za jednoduché slovo začínající velkým písmenem hodí dvou až třímístné číslo a při změně hesla inkrementují o jedna. Papírkáře máme, ale není jich tolik.
Pro ty co mají vzdálený přístup k intranetu z Internetu je u nás řešení generátorem hesel od firmy RSA - pokud to chápu, jedná se v podstatě o přívěšek na klíče s displayem synchronizovaný se serverem, který každou minutu vygeneruje nové šesticiferné číslo, které je nutné zadat spolu s navoleným číselným PIN (minimálně čtyři cifry). Je to prakticky neprůstřelné brutalforcem, protože i jedno špatné zadání má za následek nutnost zadat pro potvrzení ještě další šestičíslí (tudíž počkat si minutu). Bohužel jako řešení pro přihlašování ke stanicím je to neprůchodné, cenově je to příliš nákladné na vybavení všech zaměstnanců.
Doma mám část disku šifrovanou a 14 místné heslo v kombinaci čísel, písmen a znaků. Neměním ho příliš často, jinde mám jednodušší ve zjednodušených, dostatečně pozměněných variantách.

Ja pouzivam nejjednodussi zpusob na svete.
Pamatuju si jedno nahodne heslo (cca 12 znaku) a vsechny ostatni hesla jsou vytvareny algoritmem
substring(16, md5(trim(hlavniheslo))+trim(lower(jmenosluzby))))
mam na to dobrou utilitku na http://alesruzicka.eu/pwgen/... a nejak mi nedochazi, kde by mohl nastat problem

hlavni vyhoda je nahodnost vsech hesel (slovnikovy utok je nicemu), nikdo nema pristup k originalnimu heslu a jelikoz znam algoristmus, tak si kdykoli znovu hesla sestavim (nemusim resit zalohovani atp.).

Na a úplně největší frajeřinka je generovat to MD z hlavy. Se obejdeš i bez generátoru!

Osobně považuji hesla za hloupost. V práci mi celé roky stačilo "333", protože stejně když jsem měl dovču, lezl mi do kompu zástupce a podobně. Měli jsme celá kancelář a možná půlka firmy tohle heslo. A ten zbytek ho měl napsané fixem na rantlu monitoru. Co už vůbec nesnáším, když mne třeba Google nutí do tzv. silného hesla, aby mělo 8 znaků a malá, velká písmena a čísla. Je snad pouze moje věc, jestli si ke SVÉMU účtu dám slabé, ne? Doufám, že heslománie jednou skončí a každému bude fuk, jestli třeba do Gmailu budu mít heslo "1". Moje věc a něčí zbytečná starost. Jestli si někdo chce prohlédnout, jak mi kámoš posílá vzkaz, že v sobotu půjdeme na ryby a nebo mi posílá link na žertovné video, ať si poslouží. Opravdu důležité či tajné věci se dnes mailem neposílají.

Mě třeba vadí opačná věc. Omezení maximální délky a složitosti. Vždyť jim to může být jedno, stejně si z toho počítají hash, který je pořád stejně dlouhý.

moje heslo je: ¨=mc/2-10°/abc¨~`'- co si myslite, kam se s nim prihlasuji ?

GOD LIKE (Jako Bůh)

Cert vi, kam se prihlasujete, ale hlasit byste se mohl treba na MatFyz.

Teď už nikam, když jsi ho prozradil.

Dobrý článek. Jak snadno je prolomitelné heslo do excelovského sešitu? Dá se to srovnat s ostatními freewary na uložení hesel? Moc nevěřím freeware prográmkům, příjde nějaká aktualizace ... a hesla se můžou někam poslat ... U těch ověřených (Keepass, Scarabay) to asi moc nehrozí, ale kdo ví ... firmu někdo koupí ... asi mám paranoiu ;)

Nevim jak excel sheet, ale zaheslovane *.pst vydrzi asi 1s sice nelousknes stejne heslo, ale jen stejny hash, ale to nevadi

Záleží na verzi. Do verze 2003 šlo o velmi slabou šifru (RC4), od verze 2007 přebírá Office algoritmy naimportované do Cryptographic Service Providera ve Windows. U verze Office pro Mac vůbec nevím.
Odkazy:
http://office.microsoft.com/en-us/office-2003-resourc... ...
http://msdn.microsoft.com/en-us/library/aa159893(of... ...

sic!

Faktem je, že pravidelné střídání hesel je první cestou k prolomení systému. Není pak už nic jiného, než hledat místo, kam si uživatel své nové heslo zapsal. U nás máme politiku (proti které jsem sám bojoval), že uživatel musí heslo měnit každý měsíc, a že posledních pět hesel nesmí být stejných. Hádejte, jaká hesla si uživatelé volí: leden111, únor1111, březen11 (heslo musí mít aspoň 5 znaků).... Pokud si spořádaně nechají heslo navrhnout, tak si ho někam napíší.
Z lidské fyziologie vyplívá, že doba k zapamatování informace je většinou kolem 48 hodin, ale doba k doslovnému zapamatování informace o délce desíti znaků, náhodně kombinovaných s čísly a symboly je asi 7-10 dní (pokud jej nepoužíváte neustále). Pak heslo tři týdny používáme, abychom ho museli vyměnit a používat nové, které si zapíšeme na papírek (oblíbené jsou lepivé barevné lístečky na monitoru), nebo do telefónu (děkujeme firmě Nokia, Google, nebo Microsoft, za inteligentní telefon).
Ale vážně: pokud si heslo potřebujete zapsat, zapište si je odkazem (nikoliv "heslo je rodné číslo manželky, ale něco jiného, jako barva balónku, který uletěl mé dceři loni v létě u moře a pozdevnoci = zelenal8night) Mozek si zapamatuje taky líp postup (jako A+3+2-5 je ADFA).
A neměňte hesla častěji, než jednou za měsíc, spíš jednou za šest týdnů.

Já to mám takhle:
1) nejkomplikovanější heslo: k mailu a do počítače (stl3BfE1mn52jW)
2) trochu komplikované - lehčí varianta jedničky: různá fóra a obecně účty na netu
3) dřívější varianta dvojky: různá fora a obecně účty na netu
Takže si pamatuju tři hesla + internetový bankovnictví. Když by mi někdo ukradl 2 či 3, nic se neděje, jen mým jménem bude někam psát ....
Jedničku jsem si vyrobil z nějaké věty ve smyslu: Petr šel ve 3 na houby s Frantou a potkali 25 klaunů (Psv3nhsFap25). Jasně, jde to prolomit přes brutal force,ale ne hned.

Ultimate Frisbee is the best game - no referee - no problem => just play

Mě se na internetovém bankovnictví líbí, že heslo mám pokaždé jiné.

Používám nejbezpečnější heslo na světě, které by žádného normálně přemýšlejícího člověka nikdy nenapadlo a navíc jej zásadně neměním. Toto heslo je zakázané a nesmí se používat a ani o něm mluvit. Tím na ně nikdo nemůže přijít.
Viz podrobnosti na:
http://necyklopedia.wikia.com/wiki/Nbusr123...
Navíc po vzoru nejmenované bezpečnostní agentury jej používám s uvedeným přihlašovacím jménem, které právě v kombinaci s neprolomitelným heslem dává takovou kombinaci o které se může běžnému smrtelníkovi jenom zdát. Takže žádný administrator, nebo root, ale pravý a nefalšovaný nbusr!

Před nějakou dobou si kdosi přečetl EULA od ICQ a řešilo se to všude.
A tohle mi přijde jako úplně stejnej případ. Taky už je to tady několikátej server, kde jsem si za poslední měsíc přečetl to samý - že když se chce po uživatelích mít silný hesla, tak nakonec skončej na papírku.
To ty články píše jeden člověk, nebo mají všechny weby jednoho společnýho big bosse... nebo autoři nemají vlastní názor, tak počkají, až se někde objeví něco zajímavýho a papouškujou to dál?

podla mna je nakazat zmenu hesla uplna blbost na niektorych miestach vidim ako tj u nas v skole . FIIT/FEI
nejaki genius to nastavil na max 4 mesiace a nemozu sa opakovat 5 poslednych .. no predstavte si tie hesla 8 znakou a posl 5 neopakovat . meno+cislo login+cislo fiit+cislo a odznova. fakt nevidim zmysel
BTW v robote kolko znakou mas v hesle tak x10 a tolko dni ho mozes mat .niekdo sa pohral staci si vymyslet vetu a mate na rok vystarane (zive je super a citam ho kazdy den) a je to :)

Ale ono to tak je! Pokud musí být heslo takové, že je nezapamatovatelné, skončí nakonec vždycky napsané někde pod klávesnicí nebo na monitoru. Je to blbost!

Stejně, řídit přístup pomocí hesla, to se, domnívám, není nikdy žádná velká bezpečnost nedá očekávat.
Když na tom někomu bude opravdu záležet, tak heslo může odkoukat (třeba skrytou kamerou), může podstrčit přímo do klávesnice, příp. mezi klávesnici a PC elektronické udělátko odchytávající stisknuté klávesy, může nasadit do OS počítače odchytávací rootkit, možností jak heslo "odkoukat" je jistě mnoho.
Proto, domnívám se, že jediná opravdu bezpečná metoda, jak se přihlásit do systému, je generování kódu, který bude pro každé nové přihlášení unikátní. Tohle je možné řešit mnoha způsoby, např. pomocí různých generátorů kódu (např. tzv. "kalkulačka") a nebo i třeba velmi primitivně pomocí tzv. "scratch listu" - máš na papírku, který musíš pochopitelně mít někde ukrytý, seznam kódů a po každém přihlášení právě použitý kód zaškrtáš. Při příštím přihlášení použiješ následující nezašktaný kód. Až všechny kódy zaškrtáš, požádáš admina o vygenerování nového "scratch listu" - tohle je ale opravdu ten nejprimitivnější způsob autentizace, ale dle mého názoru je to stále bezpečnější než vypisování stále stejného hesla, byť by se to heslo měnilo třeba každý týden. Elektronický generátor kódu je ale samozřejmě autentizace značka ideál.

Zrovna dnes jsem potreboval heslo, papirek jsem nasel na pude (z roku 2004), heslo tam bylo, dobry.
Akorat tehda se mi zdalo, ze uziv. jmeno je jasne... Nemuzu prijit na to jmeno

Mne štve, že správce vždycky přidělí heslo, kde se vyskytují písmena Z a Y… Přihlašuju se na různých počítačích a jednou je tam anglická klávesnice jindy zase česká… Takže i když si to heslo konečně pamatuju, tak ho musím stejně zadávat po každé (podle zákonu schválnosti) dvakrát…

jj, a proto by se povinně zákonem mělo zavěst qwerty do všech počítačů, qwerz je přežitek z psacích strojů

Standardní síťový domain user používá klíčenky (KeyPass, Symantec,... mimo klíčenky nesmí hesla ukládat) a musí si pamatovat jen dvě hesla (7 místné pro vstup do domény a 24 místné pro vstup do klíčenky) s tím, že hesla se mění pravidelně každých 36 dní. Méně důležitá každých 72 dní a platí striktní pravidla pro skladbu (malá a velká písmena, číslice, spec. znaky, nesmí se opakovat žádný znak apod.). Pro TOP level jen heslo nestačí a od toho už jsou tu jiná řešení. Privátně (bohužel rodina, přátelé) jsem již všechno donutil používat klíčenky a opět hesla dle potřeby s tím, že klíčenka musí být alespoň mít alespoň 14 znaků - doporučuji měnit každé 3 měsíce s tím, že heslo do OS nechávám na nich dle potřeby. Pro BFU praktické, hesla mají silná a ještě si je nemusí pamatovat. Osobně ani klíčenky nepoužívám (nosím si to v hlavě), byť loginů mám spousty a minimální délka znamená 14 znaků (třeba i zde měním heslo pravidelně a skládám jej tak, aby vyhovovalo síle). Šifrovaní dat samozřejmě řeším tak, že heslo má alespoň 24 míst apod. Nemoc z povolání a pak, jsem asi paranoidní.
Bohužel existují mobilní paka, kteří sem tam musí nést na laptopu dočasně data od někoho někam (plně šifrované - biometrika + heslo s patřičnou sílou) a není nic horšího, než když si takový pakůň heslo napíše na štítek a ten nalepí na laptop - letos už jsem potkal dva takovéto pakodlaky, kterým byl zcizen laptop s daty.

...s těma heslama je to pech, když by měl člověk jen jedno, tak by mu nedělalo problém si ho měnit a pamatovat, ale třeba já jich mám snad desítky nebo možná už i přes stovku, do všech možných fór a eshopů, je to děs. Já se ale naučil používat LastPass a nedám na tu výbornou věc dopustit. Je to trezor pro hesla - ukládá je šifrovaně v cloudu na internetu (takže jsou přístupná odkudkoliv). Vám si stačí pamatovat jediný hlavní heslo a všechny ostatní se už vygenerují (jakkoliv silná a nezapamatovatelná), LastPass je intergrovanej do prohlížeče a automaticky vyplňuje, príp i přihlašuje. V budoucnu LastPass navíc plánuje intergovat se i do dalších aplikací Windows (nejen do prohlížeče, třeba outlook, thunderbird apod.) a dokonce je v plánu nahradit přímo Windows Login, takže pak bude už opravdu jediný heslo na zapamatování, ostatní budou vygenerovaná, silná, prakticky neodhalitelná... Takže do budoucna jedině LastPass :)