Asi první otázka, co lidi napadne je: A jak to víte?(pokud vyloženě nešmírujete hesla lidí u vás uložených).Jo takhle, veřejně dostupné záznamy a 2.5TB, mhm mhm, "A mohla bych je vidět"?No a za třetí, když se budu ptát, kolik dveří v našem baráku je nezamčených, tak to budou 3/4. Protože lidi dveře třeba na záchod, do kuchyně a tak ... nezamykají. Jsou to sice dveře v mém domě, ale nikoho tohle číslo nezajímá. Zajímají je kolik -vchodových- dveří není zamčených. Čili nic proti heslu 123456, ale .. ono jde jako nastavit třeba na Seznamu nebo Googlu? Nepůjde co. A když ani nejde nastavit, je to fakt to nejpoužívanější? Na testování si ho tam člověk dá, ale kolik z nich je reálně na nějaké službe nebo mailu.No nic no. Tak asi děkujeme.
"Jo takhle, veřejně dostupné záznamy a 2.5TB, mhm mhm, "A mohla bych je vidět"?"Muzes, treba tady: https://www.troyhunt.com/downloading-pw...ownloader/
A teď mi řekněte KDE jde dneska bruteforcovat heslo? Na googlu? Na FB? Do office365 účtu? Asi ne co? Tak proč furt někdo řeší bruteforce odolnost hesel? To mělo smysl řešit naposled tak před 20 rokama ne?
Pro domaciho uzivatele je to celkem nezajimave (obvykle). Ve firemni, vojenske, medicinske, a podobnych sferach na tom docela zalezi.
Jasně. Ale tyhle články se píšou k obyč lidem co pak mají nabýt dojmu že si nesmějí dát do gmailu heslo "test1234". Přitom silně pochybuju že zrovna google a gmail někdo dokáže bruteforcovat, to bude mít tak promakaný ochrany že po pár pokusech jste v banu.A pokud jde o nějaký naprosto okrajový a nedůležitý weby jako eshopy, žive (fórum) apod tak tam je nějaká bezpečnost asi dost podružná.Mimochodem kde mi na tom opravdu záleží, tak mám prostě dvoufaktor a vesele si dál používám jednoduchý heslo..
2FA samozrejme chvalim (jen pozor na zalohy pro pripad, ze by 2FA nebylo k dispozici).Clanek nerika nic o tom, kde ta hesla jsou pouzita nebo kde by se (ne)mela pouzivat. Proste jen poukazuje na to, ze to jsou nejcasteji videna hesla.U nejakeho e-shopu je bezpecnost podruzna jen do te miry, nez nekdo uhadne heslo "12345" a z meho profilu zjisti me telefonni cislo, ktere pak zacne vesele spamovat na WhatsAppu zpravami "zasilka se zdrzela, vyplnte formular zde...". Riziko je pro tenhle teoreticky priklad samozrejme celkem male, ale nenulove.
Jasně chápu. Na druhou stranu lidi se někdy tváří jako že datum narození, RČ nebo telefon jsou hroooozně tajné údaje přitom se to o většině lidí válí všude možně a většinou to není velký problém najít za pár minut.
Ako je možné, že dnes služby dovolia heslo, kde nie je veľké písmeno/kombinácia, číslo, ideálne aj špec. znak a kde je dokonca opakujúci sa znak (2+ čísla po sebe), náväznosť (qwerty), príp. vzostupka (123)? Špec. znak vyžaduje už aj zive.cz. Druhá vec, že tie heslá sú z doby, kedy sa kombinácia nevyžadovala/neboli také prav. ako dnes. Ale ide to riešiť vynútením zmeny hesla (aj keď som sa s tým asi ešte nestretol).
Michas hrusky a jablka. Podobna pravidla si mohou dovolit firmy a organizace u svych zamestnancu/clenu (i kdyz i od toho se ustupuje).Kdybys takova pravidla nastavil u e-shopu prodavajiciho potreby pro akvaristy, tak je realna sance, ze ti vyrazne klesnou prodeje.Ale mas pravdu, spousta techto hesel pochazi ze starych uniiku dat a nejsou dnes uplne relevantni.
Čo si pamätám, x služieb odo mňa chcelo kombináciu. Aj SW k IP kamere. Druhá vec, že takí používatelia si k tomu zavolajú znalého, ktorému nerobí problém zadať akúkoľvek kombináciu znakov.
Podľa môjho názoru sú tieto "uniknuté" prihlasovacie heslá do služieb, ktoré použije užívateľ raz v živote, napríklad na prihlásenie sa do obchodu na kúpu tovaru a okamžite na to heslo zabudne, lebo ho nikdy potrebovať nebude a ak by znovu nakupoval v tom obchode, použije novú registráciu s novým heslom. Takže by som sa až tak veľmi nad tým nepohoršoval.
No, jenomže to je chyba příjemce hesla. Přece musí rozpoznat pokus o prolomení a omezit počet pokusů za určitou dobu, nebo alespoň ohlásit nepovedený pokus za, dejme tomu, 1 sekundu. Lidský uživatel to ani nepozná, ale rozluštit heslo na milióntý pokus už nějakou dobu zabere.
To ale nemusí být online, třeba někdo hackne web a stáhne db, kde jsou hashovaná hesla. To pak můžete prolamovat rychle i když by to online služba zablokovala. Nicméně přímo hesla by se hashovat taky neměla, většinou se k tomu přidávají ještě nějaké znaky navíc...
Akorát, že z hashe nepozná, jak dlouhé je to heslo, takže stejně musí zkoušet spousty variant.
Ano, ale cim kratsi je heslo, tim rychleji ho najde (obvykle).
Já vím, to byla reakce na to, že server může odpovídat se zpožděním. Jenže když to přes něj nejde, protože má někdo dump celé DB, tak to nepomůže.Jinak dřív se hashovala hesla na přímo, k tomu pak existovaly reverzní hashovací tabulky. Takže pokud někdo použil existující slovo, tak doba dohledání hesla z hashe nezávisela na délce slova, nebylo nutné zkoušet různé kombinace.Možná to funguje i dneska, když spočítáte třeba MD5 nějakého slova a hodíte to do Googlu, tak je šance, že to najde web, kde to slovo bude. Proto se to těch zadaných hesel začaly přidávat další znaky.
Tyhle casy odpovidaji tomu, kdy ma "utocnik" hash (otisk) hesla v nejakem bezne pouzivanem formatu, ktery dnes uz neni pouzivan za bezpecny (MD5, SHA1, ...). A crackovani probiha offline.Doba u online hadani se neuvadi, protoze to nema smysl. Jednak by to bylo o nekolik radu delsi, a take se to v praxi prakticky nepouziva (az na par vyjimek, ktere ale nemusime uvazovat)."Lidský uživatel to ani nepozná, ale rozluštit heslo na milióntý pokus už nějakou dobu zabere." - Bezny domaci pocitac dokaze hadat hesla pro formaty jako MD5 nebo SHA1 rychlosti nekolika miliard pokusu za sekundu. To jen pro info.
Potěšila mne hesla na 11. a 12. pozici celosvětově. To je každé pro jinou polokouli?
Takhle už to bylo ve zdrojových datech. :)
Chybna data?Ono je stejne i heslo na 2. a 84. miste ve svete a na 37. a 144. ve svete.
Ano, i tohle už je na straně NordPassu. https://nordpass.com/most-common-passwords-list/ Asi to nějak špatně očistili.
Ta data jsou cela nejaka podivna. Hodne me zarazi "g_czechout" - moooc bych se divil, kdyby to realne bylo jedno z nejpouzivanejsich hesel.Spis to vypada, ze si LastPass s pripravou tohoto seznamu moc prace nedal. Ostatne stejne heslo se vyskytovalo uz v jejich predchozich reportech, zrejme proste udelali seznam z dostupnych zdroju, ale zapomneli na jakoukoli analyzu a kontrolu spravnosti.
Tak jsem trochu zapatral (a poptal se) a to "g_czechout" pochazi zrejme odsud: https://www.forbes.com/sites/daveywin...e-of-them/Asi to bylo nejake defaultni heslo v jejich systemu, nebo neco podobneho.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.