Diskuse k článku

Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů původních doporučení, William Burr, uznává, že šlo o chybu. Nově byste místo hesla plného čísel a písmen měli zvolit raději větší množství náhodně vybraných slov.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času
Foto

J25a29r91o72s54l40a73v 80P41ě30t62i46v46o82k15ý 3107556339745

Teda ale nepřišel jsem na heslo zmíněné v článku: "Pracha" a tři písmena. Už na to někdo přišel? :-)

0/0
23.8.2017 0:24
Foto

R27i97c86h11a21r31d 26O82p58o32č64e76n20s32k90ý 2802943889192

Pokud někdo touží po šíleně vypadajícím a složitém hesle, které by si pamatoval mohu doporučit metodu, kterou jsem si pro sebe vymyslel. Jedná se o systém klikání kláves. Pro představu: vyberu si slovo a po každém napsaném písmenku v určitém směru stisknu všechny písmena okolo.

Např. idnes - i(ujko)d(sxcfre)n(bmjh)e(wsdr)s(ayxdew) - V tomhle případě se stiskne vždy písmeno z vybraného slova, následně levá klávesa od něj ležící a pak postupně všechny písmena, která jsou okolo v pořadí proti směru hodinových ručiček (závorky jsou uvedené pouze pro jasnost a pochopení.)

Systém si můžete vytvořit dle vlastní libosti. Pak si stačí pamatovat třeba slovo "pes", které je po použití výše zmíněného systému ve formě "polewsdrsayxdew". Tenhle jednoduchý postup vám umožní pamatovat si spoustu složitě vypadajících hesel.

+1/0
22.8.2017 2:08

F96r75a74n37t26i53š37e24k 36D56r60o78z88e54n 5574613879

Moje nejlepší heslo bylo :

...

[重要] ポイント進呈日ルール変更のお知らせ

...

akorát jsem ho už nikdy nezopakoval...;-€

+1/0
21.8.2017 16:29

M64a49t12o28u95š 77H85a26v91r27l44í50k 1688955872184

Nedávno jsem měnil hesla, přemýšlel jsem jestli dlouhá nebo krátká, složitá a tak.

Dobrý způsob proti prolomení je, když server nepovolí časté pokusy o přihlášení a nebo když po několika špatných pokusech zablokuje přihlášení.

Pak stačí krátká s snadná. Jen nevím jestli to podporují všichni / kdo. Nakonec mám ale stejně poměrně složitá, říkám si jestli to je nutné. Těch registrací různě po internetu je hodně.

Něco jiného je zaheslovaný archiv, tam má hacker volnou ruku.

0/0
20.8.2017 17:28

T38o88m33a57s 11T97r91n82k42a 5914348563349

to asi tezko.. heslo nesmi obsahovat zadnou cast z prechozich hesel az 3 zpatky..

0/0
17.8.2017 7:58

M72i93c77h39a65e33l 70W26e24i28s46s18e13n54s36t22e94i88n 7486566341618

Nazdar!

0/0
17.8.2017 22:52
Foto

P41a62v72e49l 17K25a50s85í42k15, 46T19e75c75h58n17e63t59.78c41z

To rozhodně není univerzální - a už vůbec ne doporučené - pravidlo. Znamenalo by to totiž nejspíš, že si někdo v databázi ukládá hesla v plaintextu. (Asi by to šlo ověřit nějakým hodně zajímavým hashováním, ale bylo by to náročné a bylo by potřeba uložit velké množství hashů pro ověření různých částí...)

+1/0
18.8.2017 14:25

J62a39n 26P93a50v28e59l30k12a 3757391154151

JJ, Třeba Oracle hesla ukládá.

0/0
22.8.2017 13:47

P22a73v74e62l 35N27o65v13o50t52n83ý 9816854878335

Pan Trnka asi myslel žádné celé heslo až 3 zpátky. Pak stačí uložit jenom hashe předchozích hesel, a pokud je použitá rozumná hash metoda, tak se originální heslo nepovede zjistit i ze známého hashe. U částí hesel by to bylo tak jak říkáte, tj. musí si ty hesla uložit "plain". Pokud ne, zajímalo by mě velmi jak lze z nějakého hashe zkontrolovat část původního řetězce a jestli taková hash funkce existuje. Pak by bylo nasnadě spousta využití.

0/0
6.10.2017 13:50

M51a15r65t70i45n 38H69e20i66s83l45e78r 4224256322479

Největší zlo je nucená změna po x dnech. Když už má člověk silné heslo, tak není nutné ho měnit. Jinak je celkem fér, aby ten program na prolomení užil admin a poslal uživatelům zprávu. Není to pozdě protože externí útočník nemusí znát uživatelská jména.

Jinak budoucnost je stejně v biometrii.

+2/0
16.8.2017 15:36

J62a72n 95S62a42l84o25m96o16n 4459980951405

Někdy si říkám jestli to není zbytečné. Pak se často totiž stává, že má služba obrazně řečeno obrovská trezorová vrata, nepřekonatelný zámek, ale vzadu (přinejlepším) jen obyčejný drátěný plot (a nebo při nejhorší variantě přímo obří díru ve zdi ;-D).

+2/0
16.8.2017 13:11

M27a73r67t48i57n 50F29a20b94i51a27n 2355940591113

A co tak si spravit vlastny vzorcek na hesla? :D

http://fabo.comper.sk/pg2.html

0/0
16.8.2017 12:46

J30i79ř30í 36E76r46b61e22n 1153934696387

Nová doporučení jsou také lehce k smíchu třeba v případě jisté papírny:

- heslo musíte měnit nejpozději po 75 dnech

- heslo musí být jiné než deset předchozích

- heslo zadáváte do počítače několikrát denně, protože při každém odchodu od stolu ho máte povinnost zamknout. Takže třeba provozní chemik v nepřetržitém provozu to heslo zadává patnáctkrát denně.

Nakonec skončíte na šestiznakém heslu s velkým písmenem na začátku a pravidelně se měnícím číslem na konci... :-/

+4/0
16.8.2017 11:36

J97a47n 83H34a83v82r82d25a 2828316211768

no ale to, co jste napsal, právě přesně vůbec nekoresponduje s novými doporučeními

+1/0
16.8.2017 12:24

J77a20k81u68b 47B15o96h86o61n33ě38k 8455606209427

Já to mám o něco horší. Změna je sice nutná asi "jenom" 3x do roka, ale zase ani po šesti letech ve firmě se mi nepodařilo znovu zrecyklovat heslo původní

0/0
16.8.2017 12:24

T63o93m45a32s 87T46r18n65k26a 5594298383879

jeste vam tam chybi specialni znaky.. ty by taky mely byt povinne a sest znaku je malo aspon 14

0/0
17.8.2017 8:00

T86o93m84á69š 59P90e47l89i51k76á52n 3551120321479

Původní doporučení NISTu pro tvorbu hesla jsem si lety používání tak trochu upravíl s tim jak postupoval čas a schopnosti jejich lámání. Jako nejbezpečnější variantu považuji generátory náhodných hesel a idealní deku 128 bit. Pro hesla ktera si nepotřebují pamatovat používám SSO aplikací, ktera je za mne plive po všech přihlašovacích dialozich po autorizaci PINem. U hesel, ktera si musím pamatovat používám kombinaci anglických slov v české foneticke transkripci s náhodnými pravopisných chybami a minimální dekou 16 znaků.

A pokud mohu soudit z mych nemělych testu, tak jsem je zatím ne louskl ani genericky, ani slovníkovym útokem v casech, ktry by se nerovnal astronomickemu. Paradoxní jako česi máme obrovskou výhodu v nekompatibilite s anglicky jazykem. Ale nikdo ji nepoužívá. Jaka skoda.

Typicky příklad takové tvorby hesla muže byt gejM0ftrouns3ryjE! uznám je to trochu složitější, ale běžný uživatel si vystačí jen se základem kolem 10ti znaků.

0/−1
16.8.2017 11:13

L56i70b41o78r 80J60a44n68e22č89e41k 4955275745221

Heslo slozene ze 3 slov ve slovniky, bez ohledu na delku, je k smichu.

0/−1
16.8.2017 9:56
Foto

M56i56l73o10š 68F86. 20P80e87c85h19a72r 3753821630435

Proč? Například:

„KretenSocialismusRosomak“

Tohle odhalíte slovníkovou metodou, nebo hrubou silou?

+5/0
16.8.2017 10:16

P11e37t44e88r 42M95l85i37c60h 8514152513735

Ano, slovnikem. Uz jsem to psal. Pouzijes 1000 nejcastejsich slov a zkombinujes je. 1000^3 = 1E9. Pc o frekvenci 4G, dokaze zpracovat 4E9 operaci za sekundu. U proverovani hesla je to slozitejsi, rekneme 100-10.000 krat mene.

0/−2
16.8.2017 10:29

K73a63r86e47l 46R34y77s 9803489450109

A co se asi stane, když jedno z těch tří slov nebude mezi tou tisícovkou nejčastějších...?

+4/0
16.8.2017 10:33

M19i45l62o96š 42Z25a44h58r75a37d43n63í11k 4392631795299

Zpizdit zvolene "nejcastejsi slovo" o 8 pismenech je mozno

64^8 zpusoby pokud vezmeme tu nejprimitivnejsi volbu

"zmenit jeden ze znaku slova nam dobre zapamatovatelnym zpusobem"

timhle zpusobem pocet moznosti , ktery ma "hruba sila" pocitace prelouskat docela utesene vzrusta... Az budou existovat databaze vsemoznych slangu a nareci apod. tak budiz :-)

0/0
16.8.2017 23:06

M39i46l66o56š 56Z11a68h56r71a15d29n36í62k 4742541645389

pardon tady jsem ujel. Zpizdit trojici slov tim, ze zvolene jedno pismeno kazdeho slova (o 8 pismenech) nahradime nekterym z oblibenych 64 znaku - je mozno jen (512)^3 zpusoby a to neni tak moc. Spis ale plati ze mnozina "oblibenych nejcastejsich slov" je mnohem vetsi nez velikosti 1000 a hlavne obsahuje spoustu slov, ktere v zadne databazi nenajdete. Mozna casem - az budou pocitace u Google a jinde zvladat brnenskou, ostravskou ci hanackou hantyrku

zdrobneliny jmen deti, psu, kocek ci krecku apod.

+1/0
16.8.2017 23:17

J68a15r42o21m81í95r 23K45r45á40l 4620819894349

To použije Čech. Ale mezi lamači hesel jich zrovna moc není.

0/0
16.8.2017 11:39

G10a88b47r28i66e54l 74H19o56r25t78e74n 9691689493294

Stačí užívat hlavu.

"Jedna+1RovnáSeTřy".

...

A jste nahraný.:-)

0/0
16.8.2017 10:46
Foto

M21i64l87o41š 70F23. 59P17e74c58h35a85r 3423501600805

Máte tam chibu: 1+1=4 ;-)

+1/0
16.8.2017 10:52

P23e79t43r 93W21o23l72f 1504588350219

pouze při extrémně vysokých hodnotách jedné..

+5/0
16.8.2017 12:19

J30a96r18o54m63í20r 34K19r64á72l 4440699884639

Doporučuji: "Dobro je prisjetiti se da prividno prav put prema cilju predstavja u stvari pravodlivo krivudanje". ;-D;-D;-D

+6/0
16.8.2017 9:20

J37a62r92o19s15l29a91v 86K26a81d60l63e29c 5361349472161

;-D;-D;-DLidi jsou lidi...

0/0
16.8.2017 7:59
Foto

M80i16l93o33š 82F36. 52P54e78c47h27a76r 3533691340635

Mohl bych vám dát minus za spamování diskuse nic neřešící tautologií, mohl bych vás ominusovat za spamování diskuse stupidními smajlíky. Neudělám to – jen se vás zeptám, proč jste dal minus mému diskusnímu příspěvku. Považujete svůj minus za argument?

0/0
16.8.2017 10:24
Foto

M55i93l45o29š 79F33. 70P64e35c60h88a73r 3403481690825

Určitě nezaškodí, když si všechna hesla napíšete do sešitku, pěkně postaru, na papír, pokud ho necháváte doma a nevykradou vás. Máte-li však nějaké tajné písmo (já už přes 30 let), můžete takový heslovníček nosit klidně i v peněžence.

Lehce mimo téma (pro muzikanty) – PIN kódy ke kartám a jiná číselná hesla – převeďte si je na noty a můžete si je před zadáním zazpívat(*). Například když jsem se blížil ke své někdejší práci, lidová písnička mi rezonovala v hlavě ještě než jsem vyndaval klíče z kapsy.

-----

*) 1 = C, 2 = D, ... 7 = H, 8 = C, 0 = pomlka

+2/−2
16.8.2017 7:16
Foto

M13i83l69o39š 50F93. 53P58e19c48h74a78r 3973431660715

A ještě bych doplnil videoukázkou, jak si lze zapamatovat neuvěřitelně dlouhý chrchel číslic pomocí hudby:

https://youtu.be/OMq9he-5HUU

0/0
16.8.2017 7:20

T21o87m49a38s 89T80r43n69k27a 5534938913559

wtf

0/0
17.8.2017 8:03
Foto

M18i84l61o93š 32F84. 97P61e48c12h61a71r 3603301280835

S něčím nesouhlasíte? Co takhle argument?

Něčemu nerozumíte? Nechte si to od někoho vysvětlit.

Opravdu si myslíte, že je vulgární zkratka adekvátní reakcí slušného člověka?

0/0
17.8.2017 8:50
Foto

M68i12l63o10š 68F55. 55P79e66c29h13a24r 3243831690365

1) Za sebe – součástí vhodného hesla je dobře zapamatovatelné slovo, které jsem si vymyslel a které nikdo nezná; před lety jsem například napsal pohádku o hloupém Detrdlovi, kdy pfilosof Omniuk řeční „... femerelzní až žoajézní, zatímco pravda je spíše povahy femerátní, respektive tribulózní“ a posléze se u něho Detrdl vyučí moudrosti a sám přednáší „... ribantní xonvůze setřelích mřehlí vyznačuje se, zato nevyznačuje se výrazivo obsvěkaného prosla“. Takovým slovem může být i přezdívka, jakou vás oslovoval před 50 lety dědeček, první zkomolenina vaší dcery a podobně.

2) Dostatečná délka hesla je bezesporu užitečná proti prolomení hrubou silou. V 90. letech jsem začínal na 8 znacích. Dnes u důležitých služeb nejdu pod 20.

3) Speciální znaky jsou jistě užitečné, „p0kud 0vš3m n3sup1ují p0d0bná písm3na“. Nadto se vám může stát, že se nemůžete přihlásit – například pražská Městská knihovna mě onehdá nepěkně vypekla, když změnila zabezpečení a při osobní návštěvě její počítače nabízely pouze českou klávesnici, na které jsem takové znaky nemohl napsat, na anglickou klávesnici nebylo lze přepnout a ani nešlo žádný znak zapsat pomocí Alt+číslo.

4) Mezi speciální znaky řadím mezeru, hezky se píše, ale některé systémy ji sice dovolily zadat, ale pak ji nepoznaly.

5) Heslo by se mělo dobře, pohodlně psát. Vzpomínám na téměř nevidomou kamarádku, které jsem kdysi pomáhal vymyslet heslo psané na jedné řadě klávesnice – „kladka kakala dlaska“. A je dobré brát v potaz rozdílné klávesnice – především QWERTZ × QWERTY, případně tečku/čárku na numerické klávesnici.

6) Nucenou obměnu hesla po X dnech považuji za zlo.

7) „Říkají mi, že jméno mého domácího mazlíčka je jako heslo nevhodné, ale co mám dělat, když mám svého kocourka BQ3P4$a11 tak rád?

+11/0
16.8.2017 6:59

L34u55d93ě34k 90N18o71v19ý 2201769863961

Všechny tyto tlaky na různá hesla, speciální požadavky a časté měnění hesel končí u nás ve firmě dvěma způsoby. Buď papírem s hesly někde na pracovním stole a nebo dokonce přímo souborem s hesly na ploše. Byť tedy zaheslovaným a pojmenovaným jinak, než "hesla". :-) Je to kontraproduktivní.. Máme ale asi 15 různých toolů, většina hesel se musí pravidelně měnit, nesmí se opakovat při posledních 50 změnách a minimálně za poslední 2 roky apod. Vymýšlet v podstatě každý týden nějaké nové heslo (podle toho kde zrovna nastal čas, kdy vás systém donutí) se nikomu ani nechce a ani není v jeho silách si vše zapamatovat.. Takže paradoxně - čím víc tlaku na bezpečnost hesla, tím horší reálná bezpečnost. :-)

+20/0
16.8.2017 0:24

I40v66a80n69a 65N81o30v22a37k20o84v51a 2122412809932

me stvou bezpecnostni otazky. Napred vymyslim slozite heslo a pak v kterem meste ste se narodila, jakou jste mela prezdivku a jmeno domaciho mazlika.

+9/0
15.8.2017 22:51

F73r23a19n46t70i79š76e86k 17V19r47á96n31a 5859232613451

No já nevím, v roce 2004 vymyslet takovou hloupost... Mě už na škole v začátku moderního počítačového věku v 90. letech učili, že nejlépe se heslo tvoří tak, že si vezmete nějakou smysluplnou větu, a z ní pak z každého slova vezmete jednu slabiku (nebo několik písmen).

Tím to výsledné heslo nedává smysluplné slovo (nelze ho tak uhodnout běžným slovníkovým útokem), ale zároveň si ho lehce zapamatujete (protože si pamatujete tu větu) ;-)

+4/0
15.8.2017 22:22

P17a81v45e43l 88D62r78o75t87á90r 7893654409544

Tohle je sice super, ale má to pár problémů:

1. Obvykle existuje vícero způsobů, jak vyjádřit stejnou myšlenku:

Bylo to: Moje první holka se jmenovala Jana a měla prsa šestky, nebo

Jako první jsem chodil s Janou s velkejma kozama?

2. Za 2 měsíce vás typická firma donutí heslo změnit. Jakkoliv je možné pár takových obměn přežít pomocí: Moje druhá holka se jmenovala Linda a měla trojky, a Pak jsem rok s nikým nechodil a měl deprese...

ale co si budeme povídat, pokud budete někde dva roky, znamená to 12 změn hesla, a tolik zapamatováníhodných partnerek většina mužů nemá.

Co dalšího budete používat - jména učitelek ze základky? Oblíbené turistické lokality? Opravdu ve vás zanechaly tolik silných emocí, že na ně nikdy nezapomenete? Já nedávno musel obnovovat heslo pomocí "Bezpečnostní otázky" a místo "Testoviny se zeleninou" (oblíbené jídlo) tvrdošíjně zkoušel jiné jídlo, které mi zachutnalo AŽ PO nastavení oné otázky a odpovědi...

+9/−1
15.8.2017 22:45

F24r30a79n28t54i45š41e82k 20V85r62á25n30a 5509462123501

Co jsem popsal platí pro situace, kdy potřebujeme heslo, které bude dostatečně dlouhé a bezpečné, ale zároveň si ho musíme zapamatovat pro ruční zadávání.

Obměnu v případě vynucení firmou můžeme dělat nějakým systematickým přidáním pravidla do základního hesla (typicky čtvrtletí a měsíc data změny - většinou ty firmy mají ošetřeno, že nejde obměnit jen jedno písmeno, např. pořadovou číslici, ale při typicky čtvrtletní nutnosti obměny se změní jak měsíc tak označení kvartálu).

Jinak je pravda, že pro účty u kterých jsem na počítači nebo mobilním zařízení a nechci hesla sdílet, tak používám náhodná hesla zapisovaná do nějakého ne-cloud heslovníku (např. keepass) s tím, že mám zvlášť databázi pro nedůležitá hesla (např. účet na idnes :-)) a zvlášť pro důležitá (např. elektronické bankovnictví), které otevírám pouze v pro tyto účely vyhrazených prostředích, a to heslo tvořené z věty tak potřebuji pouze pro vstup do těchto heslovníků ;-)

+2/0
15.8.2017 23:19
Foto

M57i68l31o60š 93F78. 52P25e53c86h84a76r 3113341700625

1) Pak stačí použít „kodifikovanou“ větu, například:

Byl pozdní večer, první máj

Bpv,1m

Mácha už to nepřepíše. ;-)

+5/0
16.8.2017 7:07

G32a61b30r30i61e52l 97H23o54r60t24e81n 9461649643314

Tyto pomůcky nicméně neřeší problém systémů, kde se povinně mění heslo několikrát ročně, takže po nějaké době přemýšlíte, jestli to bylo "U lavice dítě stálo", nebo "V kamnech praská".:-)

+2/0
16.8.2017 9:05
Foto

M36i75l18o29š 75F89. 91P93e14c19h34a69r 3503891250815

Jistě, v tom máte naprostou pravdu. Systémy, které nutí často měmit heslo, považuji za stupidní. Proti nim pomáhá snad jenom neexistující slovo, kterému každý měsíc předřadíte jiný prefix, například:

leden1Hrochanda

unor2Hrochanda

brezen3Hrochanda

atd. – aspoň se to dobře pamatuje podle měsíce a navíc to splňuje podmínku velká/malá/číslice.

+1/0
16.8.2017 10:14

G53a90b59r98i56e85l 68H14o77r71t60e46n 9911839213754

Vím, jak to myslíte, ale narazil byste - mudrlant, který požaduje pravidelnou změnu hesla, samozřejmě zabrání opakování stejných slov. Pak oběžníkem zakáže lepit kolem počítačů takové ty žluté papírky s heslem. Po nějaké době zakáže i modré. Pak zakáže jakékoliv papírky, což ještě později upřesní na "pokud je na nich napsané heslo".

Jestli mi rozumíte.:-)

+2/0
16.8.2017 10:44

P25e33t39r 18S49o58u86r16e38k 7892211212921

Tak to s přítelkyněmi je pasé, protože do hesla by se neměly používat proměnné :-D

+2/0
16.8.2017 8:59
Foto

M21i16l26o69š 12F69. 52P53e57c15h65a72r 3483751320415

Proměnné klidně, ale ne jejich hodnoty. ;-)

0/0
16.8.2017 10:55

M86i38c40h70a57l 46C19h12a86l51u81p42a 6228890549983

Nejlepší jsou korporátní pravidla, kde si člověk musí měnit heslo každé 3 měsíce (někde i každý měsíc). Pochybuji, že existuje moc lidí, kteří by nepoužili jedno heslo, u něhož akorát mění číslici na konci (pokud to systém neblokuje). Dřív se dalo použít i to, že si člověk 10-krát změnil heslo a pak nastavil původní. Což zase někde řeší tak, že umožní změnu hesla jenom jednou denně. Což vede k tomu, že pokud člověk změní heslo a náhodou ho zjistí útočník ještě ten den, tak už si to heslo ani nemůže změnit :-)

+1/0
15.8.2017 21:34

M27a31r45i58á70n 91P92i65l88c 2390652622

Já jsem si udělal náhodný generátor stringu a každý měsíc si heslo měním. Ani byste nevěřili jak rychle si ho teď umím zapamatovat. Stačí dva/tři - krát zadat a "prsty" pamatují, co naťukat.

0/0
15.8.2017 19:56

Z47d25e83n68ě56k 50V74e52s95e37l33ý 1631654503277

Opravte jméno Bill Burr (v prvním odstavci) na William Burr.

"Jeden z autorů původních doporučení, Bill Burr, uznává, že šlo o chybu."

Bill Burr je jinak dobrý americký stand-up komik, doporučuji:)

0/0
15.8.2017 19:54

G16a42b28r88i91e63l 47H66o15r57t43e49n 9321899733654

Bill = William stejně, jako Pepa = Josef.

+8/0
15.8.2017 19:56

Najdete na iDNES.cz