Pozor, heslo ji32k7au4a83 není ani trochu bezpečné. Teď se tím baví internet

Mate urcite pravdu, ze sa nejedna o ziadne prevratne zistenie, ale v jednom sa myslim mylite. Nepredpokladam totiz, ze bude vela jazykovych mutacii kde by slovo heslo ci slovne spojenie moje heslo vyuzivalo tolko specialnych lokalnych znakov, ci diakritiky, tak aby z toho vznikol naozaj takyto chutny string.

Nnn. Cesi pouzivaji slovo 'heslo' napsane v cizim jazyce.
Anglicani by pouzili prepis slova 'password'. O tom se clanek nezminuje. To by mohlo dat zajimave vysledky :)

Nemam uplne celu datbazu z https://haveibeenpwned.com/ len jej vacsiu cast (Colection #1) a slovo password sa tam nachadza 8 960 280 krat len v tomto lowercase formate, v kombinacii velkych a malych pismen asi aj viac krat, to uz som neskusal, trva to dost dlho to prehladat. Zaznamov tam je 2 856 969 257.

Proc to neni bezpecne? Prece je jedno, jestli je ve slovniku jedno nebo dve slova ne? Pokud utocnik vi, ze hleda text cesky a ze 4 slov, pak uz to nebezpecne muze byt, ale pokud ma slozit z 20 000 jednotlivejch slov ruzne kombinace, kdy jeste kombinuje velka a mala pismena a do toho bez oddelovace, s pomlckou, podtrzitkem nebo necim, tak ta narocnost docela dost stoupa. Pokud se vlozi cislo, je to zase o fousek slozitejsi. Pokud do toho clovek vlozi jeste nejake nareci nebo tak, tak je to skoro nerozlustitelny.
Navic pokud se jedna o bezne louskani hesel z ukradnutych databazi, tak hacker spis zvoli jednoduzsi zpusob, jak ty hesla lousknout a staci mu treba jen nejaky procenta z cele databaze, nesnazi se lousknout 100%. Podobne driv stacilo napsat email lamanou cestinou a loudit penize. Cililo se na lidi, co jsou tak na hlavu, ze dat si zalezet s poradnym prekladem bylo zbytecny.
Nemluvim teda o louskani hesel na zakazku (at uz FBI nebo hacker co chce neco ukrast z firmy). Tam na to pujdou podle me uplne jinak.

Na svoje hesla používám kombinace slov, podobně jako s tím rohlíkem, ale o dost delší a vybavené dalšími prvky.
Pro uživatele generuji hesla na dinopass.com . Vždycky z toho dinosaura mám radost, když ho vidím, a stejně jsem to vzdal; nedonutím je to heslo změnit na něco bezpečného. Dinopass si zvládnou zapamatovat a jakž takž bezpečné to je.Co se týká hesel v šuplíku nebo na monitoru; tam bych s tím neměl až takový problém. Jistě, pro seriozní věci je to blbost. Ale pro emailovou schránku mého dědy to není špatná věc. Raději bezpečné heslo napsané na monitoru než heslo123. Protože k jeho monitoru se dostanu já, babička, možná známí a také případně zloděj. Zatímco heslo123 může zkusit celý internet.
A pokud se k dědovo monitoru dostane nějaký vetřelec, třeba ten zloděj, má daleko větší problém, než že si někdo přečte jeho řetězové emaily. Takže co se týká hesla na papírku nalepeném na monitoru, jsou případy lidí a použití, kde to lze pochopit jako menší zlo.

A heslo k dědečkovu mailu je nakonec užitečné jak? Pokud si nepamatuje ani svoje hesla v mailu, tak přes internet nejspíš ani nebude nic vyřizovat, takže v mailu toho moc důležitého asi taky nebude.

Přesně tak. To byla jedna část sdělení mého příspěvku, pochopil jste.
Ta druhá se týká toho, že pokud by měl heslo123, které by si možná zapamatoval. brzy se mu do té schránky někdo dostane. S trochu složitějším heslem na monitoru ale ne.

Bezpečnost heslo psané na papírku lze celkem jednoduše významně vytunit použitím jiné abecedy než je latinka. Naříklad: パスワード

Slované se musí sjednotit proti svému největšímu nepříteli: Rusku!

Náhodně generované heslo je jistě nejlepší, tedy než někdo hackne ten generátor. A taky, není náhodnost jako náhodnost..

Nejak si nejsem jist proc mate pocit ze jste si tim pomohl. Jak sam pisete, rohliky z lidlu maji i pri tomto vypoctu porad o tri dekadicke rady vyssi "pocet kombinaci" (1.6*10^17 vs 2.56*10^14), pritom zapamatovatelnost je ponekud lepsi. O vhodnosti cehokoli co si clovek "jiz pamatuje" by se dalo dost polemizovat, protoze uz tim "ze si to jiz pamatuje" klesne entropie hesla o mnoho radu, neb on si to bude "jiz pamatovat" z nejakeho duvodu a toho teoreticky utocnik muze zneuzit. Asi by bylo lepsi hodit nejaky vypocet typu: "jedno nahodne zvolene slovo ze slovniku odpovida entropii cca 3 nahodne zvolenych znaku z base64", a dal se odpichnout od toho, protoze v obou tech kategoriich hesel existuji hesla ktera vypadaji bezpecne ale moc bezpecna nejsou (napr. v obou pripadech kvuli nizke delce).

"sem magor, tak me vozerte, vy hovada"
Zajimalo by me, jak dlouho by tohle trvalo pres slovnikovy utok, zvlast kdyz kaslu na diakritiku....

s diakritikou nebo bez - to je na slozitost jedno.

A není to náhodou tak, že znaky s diakritikou jsou další prvky? Takže nakonec vybíráte z větší množiny a musíte zkoušet více možností: n^k, n - počet prvků, ze kterých heslo vytváříte, k - velikost hesla. A to je počet možností pouze v případě, že znáte délku hesla.

A pak si sednete k počítači kde není česká klávesnice a konec.

Mé počítače mají klávesnici s diakritikou. Na cizích hesla nezadávám.

Ano je, ale jen pokud používáte naprosto tupé bruteforcování. Při použití slovníkového útoku je to jen multiplikativní konstanta - a na ty se v rámci asymptotické složitosti nehraje (jednoduše řečeno).

Z toho plyne, že je dnes lepší volit "neslovníková" hesla - až se slovníkový útok vyčerpá, zbyde jen hrubá síla

A to zda znáte délku hesla je na složitost budete-li zkoušet hesla v rozumném pořadí (například pokud nedokážete odhadnout jejich entropii tak třeba od nejkratšího po nejdelší), je to též jen multiplikativní konstanta - a v tomhle případě navíc dost malá.

*...je na slozitost též jedno. Budete-li...

10^17 kombinaci nejde nijak lehce prolomit. Pri 1000 pokusech za sekundu je to prace na 1000 let.

Jen tak pro referenci - dle te prednasky postovane nize dokaze dnesni nejvykonejsi herni karta generovat md5 hashe rychlosti 31*10^9. I.e., tech 8 znaku v base64 to prolomi za 2 hodiny.

(Resp. tech 10^17 za tri mesice.)

cestina nema 20.000 ale 300.000 slov

Ja mam Bure$_NikdY-N3odstoupi!

TVL já taky. Teď ale abych si ho změnil... pekne děkuju!!! 😬

To mi připomíná otázku. Má Ovar heslo na ten svůj počítač s dětským pornem zabezpečené heslem v ruštině nebo čínštině?
Tedy doufám, že nepoužívá taková hesla, která každého hned napadnou vyzkoušet jako voloda, jirina, becher nebo pussy.

Slované se musí sjednotit proti svému největšímu nepříteli: Rusku!

Dobrý příklad toho, jak i velmi dlouhé heslo může být slabé.

Ale oni ho nehacknuli. Nekam jste ho zadal a oni ukradli jejich databazi hesel, ktera na potvoru nebyla sifrovana.

Není důvod věřit že to nebylo kraknuté - to heslo opravdu není extra bezpečné. Přednáška postovaná níže vysvětlí...

Ale jo, je bezbecne dost. Pokud utocnik vi, ze se jedna o 3 slova plus 9 cislic, tak to mame pri slovnikovem utoku 10^9x300000x300000x300000=2,7x10^25 kombinaci.

Slovník a hesla oddělená pomocí pomlčky nejsou bezpečná jen v případě kdy útočník ví, kolik slov má zkoušet. Zrovna v tomto případě s Lidlem a číslem uprostřed je heslo velmi bezpečné, protože crackovaci skript neví jestli má zkoušet kombinaci 4 slov nebo 6 nebo kolik a k tomu to číslo uprostřed.
Heslo "dnes-jsem-snidal-rohliky" bezpečné určitě není, ale to v článku už ano.

o nahraďte nulou, i nahraďte jedničkou, z nahraďte s, y nahraďte i, na konec přidejte satanovo číslo a slovníkový útok bude k ničemu.

Oříznutí na 16 znaků sive vyloučené není, ale většinou (a mělo by to tak být) se spočítá hash toho hesla (plus náhodně vygenerovaná "sůl") a ukládá se hash. Takže celá délka hesla se uplatní. A ve stejném systému dvakrát zadané totéž heslo se uloží jako různé hashe.

Zazil jsem, ze maximalni delka hesla byla 12 znaku a bez specialek

Mám účty na desítkách serverů (možná i přes sto) a pravidla na heslo jsou tak různorodá, že vymýšlet pro každý bezpečné heslo v podstatě nejde. Takže to mám rozdělené na dvě skupiny, na těch nepodstatných používám po dlouhou dobu krátké heslo a na těch důležitých používám silnější heslo pravidelně obměňované (ale ne dlouhé, protože spousta služeb to prostě neumožňuje). Superbezpečné dlouhé heslo nemám žádné, jsem jen člověk, kdo by si to všechny ty výjimky pamatoval...

Samsung Galaxy S7 | Samsung Galaxy Tab S 8.4 | Kindle Voyage | Sony A77 | Cowon J3 | Sonos CONNECT & PLAY:3 | nVidia Shield Android TV | Synology DS111 | Ferguson D-890HX | Xiaomi MiBand 2

A ještě chybí runa a krev jednorožce

Ještě záleží na tom, jestli mají qwerty nebo qwertz. A problém není jenom y/z, ale stejně tak 2/ě, pokud se to nepíše na numerické klávesnici, což dělám jenom někdy...

Dodnes jsem nepochopil jak nekdo muze pouzivat qwertz layout, a jeste vic kdyz ma ve zvyku pravidelne prepinat mezi ceskou a anglickou.

To je jednoduché, bylo to (myslím) rozmístění na německých psacích strojích. Každopádně pak to bylo i v české klávesnici pod MSDOS a dřívějších verzích Windows, někdy u 2000 to zase v MS předělali a default byl český qwerty. Tehdy jsem se to přeučil, ale většinou stejně píši na anglické.

Já zase nechápu proč mají lidé potřebu přepínat českou a anglickou klávesnici, když na české jsou všechny potřebné znaky dostupné také.

Slované se musí sjednotit proti svému největšímu nepříteli: Rusku!

Třeba jsou zvyklí. A pro kódování se mi česká klávesnice moc nehodí, zkuste si psát na české {}, (), \. Jde to, ale zbytečně složitěji.

Já na tohle používám pravej ALT na český klávesnici. Některý editory tyhle zkratky ignorujou, ale většinou se to dá použít. Například:\ = ALT + Q
€ = ALT + E
$ = ALT + ů
[ = ALT + FatdAnglická je lepší, ale přepínání na češtinu je fakt příšerný. Nechápu, že ještě někoho nenapadlo zavést českou QWERTY klávesnici jako naprostej standard a QWERTZ naprosto zakázat a zrušit.

Přes alt to jde, ale je to otrava... A když někdo píše zdrojáky i text v angličtině, tak proč to dělat složitěji na české klávesnici, kterou nepotřebuje.

Jinak ten AltGr funguje asi jenom s českou qwertz, s qwerty mi to nejde.

Jde tohle i na běžné české klávesnici? Udělal jsem si kdysi svoji s některými speciálními znaky a už jsem zapomněl, jestli jsem v ní upravoval i tohle. Přes pravý Alt:Alt + F: [
Alt + G: ]
Alt + B: {
Alt + N: {
Alt + Q: \

Pokud píšete všemi deseti, tak to jsou muka.

Chtěl bych vidět někoho, kdo píše kód všema deseti. Psaní kódu neni psaní románu.

Text jako text . Akorát v kódu je víc těch znaků, co nejsou písmena. Z hlediska psaní by to mělo být asi jedno. Pokud nepočítám to, že toho není potřeba psát tolik a chce to někdy víc přemýšlet.

Samozřejmě že píšu všemi deseti poslepu. Dívám se na lcd, ne na klávesnici.

Mám tedy QWERTY rozložení, ale tyhle kombinace nic nedělají. Naopak funguje mapování na anglickou klávesnici:
Alt + (: ]
Alt + ú: [
Alt + Shift + (: }
Alt + Shift + ú: }
Alt + ¨: \

Samsung Galaxy S7 | Samsung Galaxy Tab S 8.4 | Kindle Voyage | Sony A77 | Cowon J3 | Sonos CONNECT & PLAY:3 | nVidia Shield Android TV | Synology DS111 | Ferguson D-890HX | Xiaomi MiBand 2

Používám to zcela běžně a automaticky. Funguje to ve windows i v linuxu (dřív to v linuxu nefungovalo). Někdy to bývá natištěné i na klávesnici. Kromě závorek často potřebuju #(x) &(c) @(v) ^(m) <(,) >(.) $(ů) |(w) €(e) ~(a)
Někdy to nefunguje, když je zapnutý caps.
Ono nejde o to si pamatovat, že tylda je na písmenu a, ale spíš, že se tak dá napsat, neni problém v případě potřeby vyzkoušet (hlavně tu stříšku občas hledám, protože ji tak často nepotřebuju), lepší než hledat v mapě znaků nebo přepínat klávesnice.

qwertz jednoduše používají lidé, kteří prošli výukou psaní na psacím stroji a mají v tomto rozložení zažité efektivní a rychlé psaní.Proč se někdo přepíná na anglickou klávesnici netuším, na české jsou dostupné všechny znaky. Dělají to asi ti, co mají potřebu se tvářit jako „opravdoví programátoři“ a píšou na anglickém rozložení, kde jim pak chybí české znaky.A pro přispěvatele níže: Jaký je rozdíl, jestli pro napsání znaku { zmáčknu Shift+[ nebo AltGr+B ?

No vidíte, a jiní zase začínali psát na anglické klávesnici a mají zažitou tu. Nad těmi altovými zkratkami bych musel přemýšlet a učit se to (pro automatické psaní bez přemýšlení nad tím).>> A pro přispěvatele níže: Jaký je rozdíl, jestli pro napsání znaku { zmáčknu Shift+[ nebo AltGr+B ?Třeba ten, že na shift+[ mi stačí palec a ukazovák pravé ruky, na AltGr+B potřebuji obě ruce. Navíc ty AltGr fungují asi jenom na té příšerné české qwertz, s českou qwerty mi to nejde.

Pokud píšeš všemi deseti, tak používáš obě ruce tak jako tak, takže to je bezpředmětný argument. Pokud nepíšeš všemi deseti, tak je to bezpředmětná diskuze.

Není, i těch deset prstů se dá používat méně či více efektivně. Speciální vzdělání na to opravdu nemám, píši tak, jak jsem se to naučil a většinu prstů použiji i když to třeba neodpovídá tomu, co se učí ve škole. Ale nejsem písařka ani profesionální asistentka ředitele a fakt nebudu psát na českém rozložení, které je pro moje potřeby méně efektivní a méně pohodlné. Ty AltGr jsou pro mě asi tak pohodlné jako psát na české klávesnici zavináče přes Alt+064. Což sice jde, ale proč si to komplikovat.

Alt B by možná šlo, i když nevím, kterým prstem bych měl pravý alt mačkat. Ale třeba Alt N už je velký problém, protože bych měl poslepu zmáčknout dvě klávesy jednou rukou.

Snad neni potreba urazet programatory ;) Ja pisu anglickou vsude (proto bez diakritiky) protoze jsem zvyklej na ni psat od mala a navic jako programator mam proste radsi anglickej layout. Nemam potrebu mit po ruce ceske znaky, ktere celej den nepouziju, zatimco znaky, ktere pouzivam furt bych mel nekde pres Alt, nebo na nestandardnim miste. To asi ne.

Článek je o tom že „wǒ de mìmǎ.“ filipínsky znamená "moje heslo". Nic víc v tom nehledejte.

Nejhoší je "žít v přesvědčení". Pokud si nejsem jistý, tak nedůvěřuji. Plno webů ukládá hesla v čitelné podobě, takže po k vykradní databáze si hesla prostě jen útočníci zkopírují. Některé weby vám to heslo dokonce na vyžádání pošlou emailem, když kliknete na odkaz "zaslat zapomenuté heslo". Je to šílený a proto nikdy nesmíte věřit nikomu. Vždy spoléhejte jen sám na sebe a očekávejte od protistrany to nejhorší. Weby a korporace jsou ti, kdo mohou jedině vydělat, ale my můžeme jedině tratit. My od nich nikdy nic nezískáme, jsme jejich otroci. To oni už si pohlídají. Jim nejde o nic, pro ně jsme jen odpad (nejen pro weby, ale i pro velké firmy), prostě jsme jeden uživatel. Nám ale můžou ukrást celý život a my se musíme jistit předem.

Vetsina formularu slusne navrzena neni. Ma to i prakticky duvod - pokud by dochazelo k prodluzovani intervalu a blokaci, pak to ovlivni uzivatele jako takove - automaticky bot pak muze litat po internetu a zadavat nahodna hesla a blokovat uzivatele jen na zaklade znalosti jejich emailu ci uzivatelskeho jmena.Ja jeden takovy formular pouzivam ve firme a splupracovnici mi za rok a pul hlasili nekolikrat situaci, kdy byl jejich ucet uzamcen. A to jde jen o bezejmenou business inteligence aplikaci. Predstavte si jak lakavy cil by to byl, kdyby slo o velkou sluzbu.

Once, I was a Vecernik. Then I became a pony...

nechce se mne verit, ze velke sluzby typu Seznam tohle nemaji osetrene, takovy bot se hlasi jen z nekolika IP a hlavne nikdy nespi, chova se jinak a SW by ho mel odhalit a zablokovat. A male sluzby jsou mne sumafuk.

Přesně tak. Heslo "heslo" mám na spouště služeb, kde jsem se zaregistroval jednorázově kvůli nějaké blbosti. Jestli se tam někdo nabourá, je mi naprosto jedno, už jen proto, že tam ani nemám pravé údaje. Te jen lidé jako Čížek trpí komplexem naprosté nepostradatelnosti služeb typu "zive.cz", které si podle nich lidé musí zabezpečit neprolomytelným heslem.

A většinou životnost toho účtu se rovná životnosti papírku na kterém je heslo pro nějakou jednorázovou akci (třeba nákup v obchodě, který neumožňuje nákup bez registrace ... doufám že to je minulost) poznamenané.

Tohle dělal můj stary ericsson, co měl apku na ukládání pinů. Prostě piny xoroval svým pinem, pokud jste se přihlásil nesprávným pinem, vrátil vám zase nesprávný pin.

Ty jsi evidentně stál ve špatné frontě, když se rozdával rozum. Tak se aspoň nesnaž radit ostatním.

k tomuto jen tohle:

:DD vždycky, když se tu v jakémkoliv článku zmíní ten web, se najde někdo, kdo napíše takovou blbost která už byla několikrát vyvrácena i přímo zde v diskuzích:D zjišťujte si informace když i něčem chcete mluvit, prosím

Tak takhle přesně ten web fungovat nemůže. Po změně pár znaků se pan Chytřejší dozví úplné kulové, to už to tam vůbec dávat nemusí. A to hlavně proto, že ten web heslo ani nedostane, dostane k porovnání jen část hashe hesla.

Problém může být, pokud se provalí dvě nebo tři verze.