Forum Gry Hobby Sprzęt Rozmawiamy Archiwum Regulamin

Technologie Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane

16.08.2019 13:47
Cziczaki
1
Cziczaki
190
Renifer

Można sobie wygenerować losowe hasło bez pobierania jakichkolwiek programów, wystarczy w Notatniku naklikać losowe znaki na klawiaturze i włala-szek.

16.08.2019 13:53
2
4
odpowiedz
2 odpowiedzi
zanonimizowany453591
62
Senator
Image

Tyle w temacie skomplikowanych haseł.

16.08.2019 19:20
2.1
Wolfier
40
Centurion

Jeśliby łamali hasła tylko i wyłącznie brut forcem, znak po znaku, to byłaby to prawda. Natomiast ze słownikami to hasełko padnie błyskawicznie.

17.08.2019 01:54
2.2
1
zanonimizowany453591
62
Senator
Image

Nie, bo żaden słownik nie zawiera słowa "correcthorsebatterystaple", a bruteforcowanie wszystkich możliwych kombinacji znanych wyrazów nie ma sensu. Poza tym nic nie stoi na przeszkodzie żebyś oprócz pospolitych słów wstawił tam nazwę pokemona, aktorki porno czy postaci z warcrafta i tyle po słownikach.

A co do łamania haseł, jeśli komuś naprawdę będzie bardzo zależało to cóż ;) -->

16.08.2019 14:49
Sadistic Son
👍
3
odpowiedz
Sadistic Son
97
Imperator

Fajny artykuł, akurat trafiający w moje obecne potrzeby. Zainteresuję się SafeInCloud.

16.08.2019 14:58
4
odpowiedz
toyminator
81
Senator

Sobie tak zmieniłem hasło na poczcie, że teraz wejść nie mogę XD I trzeba zadzwonić do biura obsługi...

16.08.2019 15:09
kiera2003
😈
5
odpowiedz
1 odpowiedź
kiera2003
109
Senator
Image

Najbezpieczniej jest używać aplikacji do zapamiętywania haseł, czasami może wypaść z głowy.

17.08.2019 10:01
SpoconaZofia
5.1
SpoconaZofia
80
Legend

Dlatego używam programu H.a.d.e.s, po tym jak włamali mi się z mojej winy na Steam Origin Uplay i poczte wp.pl Coś jak google authorization code tyle że co 6 godzin zmienia hasło i nigdy nie jest te same. Do 200 haseł naraz możesz zmienić.

16.08.2019 15:11
6
odpowiedz
Jerry_D
64
Senator

Sprawa jest w miarę prosta. Na komputerze KeePass (najlepiej z dodatkiem do przeglądarki Kee), na telefonie KeePass2Android (stosuje ten sam format bazy danych, więc wystarczy utworzyć bazę haseł tylko raz). Co prawda jest możliwość wrzucić bazę KeePassa na DropBoxa i w ten sposób udostępnić ją obu programom, ale polecam raczej traktować bazę na PC, jako główną i w razie potrzeby kopiować na telefon, żeby uaktualnić tę wersję. Tylko trzeba pamiętać o kopii zapasowej bazy haseł trzymanej na jakimś zewnętrznym dysku/pendrivie, odłączonym od komputera, bo jak coś się zepsuje, to nagle człowiek zostanie odcięty od wszystkiego. No i samo hasło do takiej bazy musi być naprawdę solidne. Do tego wszystkiego można sobie dodać Strong Passwords Need Entropy, który ładnie pokazuje siłę hasła i przypuszczalny czas jego łamania, oraz co jakiś czas sprawdzać na HaveIBeenPwned czy nasze adresy email nie pojawiły się w jakimś wycieku.
Od generatorów haseł na stronach raczej trzymałbym się z daleka, przynajmniej tych mniej znanych. Trzeba im wierzyć na słowo, że wygenerowane hasła nie trafiają na jakąś listę. Skoro przy używaniu menedżera haseł pamięć użytkownika nie gra roli, najlepiej tworzyć hasła przynajmniej 20 znakowe, złożone z wielkich, małych liter, cyfr i znaków specjalnych. Oczywiście jeśli strona na to pozwala. Często mamy ograniczenie do 16 znaków i niektóre znaki są zabronione. Miewałem już przypadki, gdy strona nie wyświetlała żadnych ograniczeń, co do tworzonego hasła, ale pozwalała użyć danego hasła, nie informując, co jest nie tak i musiałem ręcznie sprawdzać, który znak specjalny jej się nie podoba. A najgorszy przypadek miałem, gdy strona nowe, długie hasło po prostu obcięła, nie informując o tym użytkownika i próbując się zalogować całym, dostawałem tylko informację o złym haśle. Dopiero, gdy wpisałem tylko pierwsze 16 znaków hasła, udało mi się zalogować.

Biometrię zdecydowanie odradzam, jako hasło. Co jakiś czas słyszymy o obejściu kolejnego systemu opartego na biometrii, czasem w trywialny sposób. Ale nawet pomijając tę kwestię, "wycieknięte" hasło można łatwo zmienić. Po wycieku danych biometrycznych (przykładów nie trzeba szukać daleko, choćby niedawny wyciek bazy danych BioStar 2) odciski palców, twarz, czy skan tęczówki zmienić dużo trudniej.

Dziwi mnie tylko brak w artykule informacji i uwierzytelnianiu dwuskładnikowym (2FA), które powinno być standardem (najlepiej nie przez SMS, ale aplikację, np Authy). W ten sposób, nawet jeśli nasze hasło gdzieś wypłynie, potencjalny haker będzie miał jeszcze jedną przeszkodę do pokonania, zanim się zorientujemy i zmienimy hasło. Wiem, że niewygodne, że się nie chce itd, ale potrafi uratować tyłek.

16.08.2019 16:26
7
odpowiedz
zanonimizowany1027056
59
Generał

Ktoś wie czy da się założyć konto Google czy tam Youtube bez podawania numeru telefonu? Kasowali mi konta (możliwe, że to sprawka wirusa), a swój numer już wykorzystałem.

16.08.2019 17:04
😁
8
odpowiedz
zanonimizowany1146443
59
Senator

Kiedyś napisałem sobie na kartce bezsensowny ciąg znaków i jakimś cudem go zapamiętałem. Do dzisiaj jest to moje główne hasło do większości serwisów. Akurat GOL jest jednym z wyjątków, gdzie mam inne :D

16.08.2019 17:25
9
2
odpowiedz
Mazarian
57
Konsul

Pamiętajmy tylko że dowolne generatory haseł działają na zasadzie generacji liczb pseudolosowych. Jest to o tyle ważne, że znając zarodek ( ang: "seed" ) potrafimy teoretycznie zawęzić obszar poszukiwań w ramach łamania hasła. Zresztą sama teoria tworzenia liczb pseudolosowych mówi że istnieje pewien "klucz" pozwalający je odtworzyć i uzyskać ten sam wynik. Oczywiście raczej wątpliwa jest sytuacja w której grupa specjalistów użyje bardzo drogiego sprzętu wyposażonego w specjalistyczne oprogramowanie aby włamać się do naszego komputera.

17.08.2019 01:38
10
odpowiedz
4 odpowiedzi
yetiszon
38
Centurion

powiem krótko:
10x zmiana hasła, maila, konta, hasła do maila, weryfikacja 2 stopniowa, weryfikacja 84 stopniowa, weryfikacja tylko za pośrednictwem bezpiecznej linii, weryfikacja tylko za poświadczeniem prezydenta USA
a i tak frajer z Kambodży jest w stanie zalogować mi się na konto Ubisoftu

"An unusual activity was recently registered on your Ubisoft account for the following email address"

co najmniej raz w tygodniu zmieniam wszystkie dane konta, co najmniej raz w tygodniu dostaje takiego maila
brawo Ubi

17.08.2019 14:40
10.1
1
otnok101
9
Legionista

A może po prostu masz wirusa z key loggerem, czy coś takiego?

17.08.2019 15:12
10.2
zanonimizowany1146443
59
Senator

Na jakim portalu masz maila? U mnie włamali się na 2 konta na interii, przez co tymczasowo zostałem okradziony z origina i konta playstation. Mało brakowało, a ukradliby mi jeszcze konto battle net, gdzie ktoś przez dostęp do mojego maila notorycznie zmieniał hasło. Na szczęście wszystko oprócz jednego maila odzyskałem, ale po tych wydarzeniach bez wahania przeszedłem na gmaila, który ma dużo lepsze zabezpieczenia i jak dotąd nic podobnego mi się nie przydarzyło.

post wyedytowany przez zanonimizowany1146443 2019-08-17 15:13:02
17.08.2019 23:03
10.3
yetiszon
38
Centurion

tak jak napisałem, zmieniłem WSZYSTKIE dane konta, włącznie z mailem, który stworzyłem tylko i wyłącznie do tego celu
a jakbym miał keyloggera, to na początku podobnego maila dostałbym z banku

18.08.2019 00:56
10.4
zanonimizowany1146443
59
Senator

To dziwny przypadek. Na na uplayu przez jakieś 6-7 lat miałem niezabezpieczone konto z nieaktywowanym mailem, do którego dawno nie miałem dostępu i nikt mi się nie włamał. Nawet hasło miałem bardzo słabe. Nie miałem też podanego numeru telefonu, no i oczywiście dwuetapowej weryfikacji. Dopiero niedawno napisałem do supportu i ustawiłem nowego maila wraz ze wszystkimi możliwymi zabezpieczeniami.

17.08.2019 15:06
Herr Pietrus
11
odpowiedz
3 odpowiedzi
Herr Pietrus
229
Ficyt

No dobra, to ja zwróciłbym uwagę na jeszcze inny aspekt:

Da się łamać hasła do popularnych serwisów metodą bruteforce? Mogę poodejmować 1000 prób/sekundę logowania do banku/na Steam/Origin/Epic Games, aż zgadnę hasło do czyjegoś konta?

Jaki sens ma dzisiaj w ogóle siła hasła (sam się na to nabrałem i podobne hasła poustawiałem), jeśli włam jest możliwy tylko po wycieku bazy danych z serwera (kompletnie poza moją kontrolą) albo przechwycenia hasła z naszego komputera (spyware) - niezależnie od tego, jak silne by nie było?

No OK, mamy jeszcze łamanie hasha posolonych haseł - chyba tylko wtedy trudne hasło ma sens, ale tutaj patrz obrazek z posta meelosha...

Czy hasła nie powinny być dzisiaj jakiekolwiek, równie dobrze proste, ale ewentualnie długie?

post wyedytowany przez Herr Pietrus 2019-08-17 15:09:09
17.08.2019 15:21
11.1
zanonimizowany1146443
59
Senator

Konto w PKO BP po kilkukrotnym podaniu złego hasła jest blokowane i trzeba do nich dzwonić, żeby odblokować konto (sam miałem taki problem). Nie wiem, czy na dłuższą metę jest to skuteczne rozwiązanie, ale na pewno w pewien sposób utrudnia włamania na konto. Na Uplayu również blokują konto, ale tylko tymczasowo. Nie wiem, jak jest na innych platformach.

post wyedytowany przez zanonimizowany1146443 2019-08-17 15:21:44
17.08.2019 16:00
11.2
Mazarian
57
Konsul

Istnieje pewna zasada uczenia maszynowego sformułowana według schematu rzeczy trudne dla maszyn są proste dla ludzi i odwrotnie. Hasła o teoretycznie przypadkowej strukturze posiadają jak zaprezentował to meelosh niską entropię i w pewnym sensie są proste do złamania. Metoda siłowa nie działa zazwyczaj na dobrze zabezpieczonych stronach ( np. banki - sam miałem taki przypadek gdy nie pamiętałem czy w haśle było "u" czy "a" i zablokowałem hasło ). Pozostałe są na nią podatne ale niestety same metody tworzenia haseł zawierają w sobie pewien nazwijmy to grzech pierworodny - otóż musza one posiadać małe / duże litery i znaki specjalne co w pewnym stopniu niestety ułatwia ich łamanie ( wiele algorytmów nie umieszcza takich symboli obok siebie niektóre zaś nadają im nawet określoną separację np. min 3 odstępy ). Ogólnie jeżeli weźmiesz np. cytat z "Boskiej Komedii" Dantego i usuniesz "spacje" oraz znaki interpunkcyjne to komputer będzie miał spory problem z metoda słownikową zaś w metodzie siłowej czas diametralnie się wydłuży ( zawsze najlepiej stosować maksymalną długość hasła ).

18.08.2019 00:59
11.3
zanonimizowany1146443
59
Senator

Mnie zawsze dziwi to, że często hasła są ograniczane do jedynie 16 znaków. Nawet na stronach banku. Wydaje mi się, że gdyby na większości portali można było stworzyć dłuższe hasła, to byłoby zdecydowanie mniej włamań.

17.08.2019 15:13
12
odpowiedz
Lutz
173
Legend

w kwestii hasel opierajacych sie na kilku losowych slowach polecam pamietac, ze nawet jezeli mielibysmy do czynienia z atakiem slownikowym to z reguly slowniki uwzgledniaja jeden jezyk i bardzo rzadko archaizmy i im podobne.

17.08.2019 21:14
13
odpowiedz
Hashlog
14
Legionista

Ja używam open source-owego menager-a wraz z generatorem haseł BitWarden. Polecam, wg. mnie jedna z najlepszych aplikacji tego typu. Jest wersja desktop, jak i dodatek do przeglądarki.

18.08.2019 15:02
PanSmok
😉
14
odpowiedz
PanSmok
253
Legend

stary dobry admin admin i 1234 jeszcze nigdy mnie nie zawiodly takze...

18.08.2019 15:58
15
odpowiedz
1 odpowiedź
Sendil
23
Legionista

Losowe hasła to głupota. Zapomni się masterhasła do programu/sejfu i dupa.
Kiedyś w książce Lifehacker był podany ciekawy sposób na bezpieczne hasło.
Dzielicie hasło na dwie części - jedna stała, która się nie zmienia, a druga związana ze stroną. Ta zmienna część, to mogą być dwie pierwsze samogłoski w adresie/nazwie strony, albo spółgłoski, itd. Przykład poniżej dla gry online:

$SpRyC14rz$YO

Łatwo zapamiętać i trudne do złamania :-)

18.08.2019 21:30
WolfDale
15.1
WolfDale
79
~sv_cheats 1

Też uważam, że losowe hasło jest łatwe do zapomnienia. Ja mam ściśle zaprojektowane przez siebie hasło, które mogę sobie łatwo przypomnieć. Natomiast patent z końcówkami jest dość dobry, bo można zastosować do każdego serwisu inne hasło które jest naprawdę takie samo lecz nie daje furtki do innych usług.

post wyedytowany przez WolfDale 2019-08-18 21:30:59
22.08.2019 18:20
hubert43
16
odpowiedz
1 odpowiedź
hubert43
42
Pretorianin

Najlepiej "walnąć" w klawiaturę. :)

22.08.2019 21:30
WolfDale
😉
16.1
WolfDale
79
~sv_cheats 1

Lub puścić na chwilę chomika, aby po niej połaził.

Technologie Bezpieczne hasło to losowe hasło – jak zadbać o swoje dane