Na navigaci | Klávesové zkratky

Jak neustále (ne)vymýšlet originální hesla

Co mělo nejzásadnější vliv na současnou podobu Internetu? Ne, není to CSS. Není to ani W3C. Jsou to webové formuláře.

Asi nejčastějším zástupcem rodiny formulářů jen ten s titulkem Zaregistrujte se. Zároveň umí být i účinnou bariérou. Snad chápete, jak odrazující vliv má na mě věta: „Zvolte si uživatelské jméno – minimálně 4 znaky.“ Proč právě čtyři? Proč ne třeba třicet sedm? Nechme to být, volba uživatelského jména není tématem článku. Tím je totiž volba hesla.

Univerzální nebo originální heslo?

Vymyslet univerzální heslo, které by akceptovalo 99 % webových aplikací, není problém. Zkušenost říká, že takové heslo musí mít 8 alfanumerických znaků, různou velikost písmenek a musí se v něm vyskytovat číslice, ne však na první pozici.

Kdyby byl svět ideální, tak by heslo po zadání do formuláře putovalo šifrovaným kanálem https k serveru, kde by se uložil jeho otisk. Jenže svět zdaleka ideální není a hesla bývají na serverech nezabezpečená. Vidí je provozovatel aplikace, vidí je správce hostingu. A také hacker, který se do serveru právě naboural.

Tedy – používat všude stejné heslo je hloupost! To se pak nemůžete divit, když vám někdo „zkontroluje“ poštu nebo vybere bankovní účet. Na druhou stranu, vymyslet a hlavně pamatovat si hromadu odlišných hesel, to je úkol vpravdě nadlidský. Nejen pro nás sklerotiky.

Kam nemůže paměť, tam zkusím fintu

Před dvěma lety jsem hledal způsob, jak na hesla šikovně vyzrát, a řešení se ukázalo být docela prosté: vezmu své oblíbené heslo (dostatečně dlouhé) a doménu serveru, kam se registruji (např. amazon.com) a z těchto dvou údajů „vypočítám“ nové heslo, splňující zmíněné univerzální požadavky. V řeči programátorů jde zhruba o toto: substr(md5(master_password + domain), 0, 8).

Podstatné je, že z vypočítaného hesla nelze zpětně odvodit vstupní „oblíbené“ heslo, a tedy ani hesla pro jiné servery.

Cestu od myšlenky k realizaci mi parádně zkrátili pánové programátoři, kteří tentýž nápad uskutečnili přede mnou :-) Za nejpropracovanější považuji Password Generator od Chrise Zarate. Vyzkoušejte si ho!

Zvolíte si své hlavní heslo (políčko Master password) a zadáte doménu (Site name). A pak už stačí jen stisknout tlačítko „Generate“. Je to bezpečné, výpočet se provádí přímo v prohlížeči a vůbec žádná data se nikam neodesílají. Jde o jakýsi mobilní generátor, dostupný odkudkoliv z internetu.

Ale to ještě není vše. Můžete si vygenerovat favelet, který bude sám vyplňovat registrační a přihlašovací formuláře. Hlavní heslo přitom bude zapsáno v bookmarku a nebude se posílat do internetu. Už to prostě nemůže být pohodlnější.

poznámka: sám používám mírně modifikovanou verzi (genpass.js). Liší se ve způsobu detekce domény a převedení binární MD5 na text.

Komentáře

  1. rarouš http://www.rarous.net #1

    avatar

    A co když, se tam potřebuješ dostat z jiného kompu/prohlížeče?

    před 11 lety | reagoval [2] David Grudl [4] hrax
  2. David Grudl http://davidgrudl.com #2

    avatar

    #1 rarouši, Stačí znát hlavní heslo + doménu a můžeš si vždy na zmíněné stránce heslo vypočítat (slovo vygenerovat mi připadá trošičku matoucí, protože heslo se nijak nevymýšlí, pro stejné vstupní údaje vždy vypadne stejné heslo na výstupu).

    před 11 lety
  3. Revealman #3

    avatar

    Hehe nejlepší je vymýšlet hesla tím způsobem, že prostě vezmete slovo o třeba více než 5 znacích (dejme tomu miranda) a někde uprostřed ho rozdělíme několika číslicemi + nějaká ta improvizace ve velkých písmenech. Např. mIRa4589NdA

    před 11 lety
  4. hrax http://www.elepha.info #4

    avatar

    #1 rarouši, budeš si musieť pamatať kde na webe je uložený ten tvoj skript na vygenerovanie toho pravého hesla. Aj ked si myslím že je lepšie používať jedno – dve heslá (ale poriadne) či nie?

    před 11 lety | reagoval [5] afu
  5. afu #5

    avatar

    #4 hraxi, mně se tento způsob naopak zdá velmi zajímavý, obzvláště tím, že je tak prostý až to hezké není :)

    odkazovaný generátor se zdá být také fajn, jenom nemám důvěru k zadávání hlavního hesla na cizím serveru :)

    před 11 lety | reagoval [6] David Grudl
  6. David Grudl http://davidgrudl.com #6

    avatar

    #5 afu, prohlédni si zdrojáky. Všechno je řešeno velmi chytře, aby nikdy nedošlo k odeslání hlavního hesla mimo prohlížeč. Píši to i ve článku.

    před 11 lety
  7. Huggi http://rhizopus.net #7

    a zrovna vcera sem premejslel, ze si vsude radsi zmenim hesla..diky..;)

    před 11 lety | reagoval [10] rony
  8. Pachollini http://seky.nahory.net/ #8

    Mně připadá ideální používání systémové klíčenky chráněné dostatečně silným heslem. (Nevýhoda samozřejmě je, že ji mám jen na svém počítači, ale stejně ho všude tahám.) Nevím nicméně, jestli něco takového existuje i pro Windoews.

    před 11 lety | reagoval [31] David Grudl
  9. rony http://spravodaj.madaj.net/ #9

    avatar

    Je jedno univerzálne heslo, ktoré môžete kedykoľvek a kdekoľvek použiť a je bezpečné aj keď je priamo vypísané na webovej stránke prípadne je prezradené alebo dokonca odhalené hackermi. Toto heslo je aj po týchto incidentoch možné spokojne vo svojich systémoch používať.

    Návod na použitie: zapamätajte si toto heslo a používate ho na prihlasovanie do svojich systémov. Zmeňte pôvodné nezapamätateľné hesla na univerzálne bezpečné heslo (UBH).

    Teraz zopakujeme znenie hesla, zvýšte svoju pozornosť:

    nbusr123

    před 11 lety
  10. rony http://spravodaj.madaj.net/ #10

    avatar

    #7 Huggi, a to je práve šanca použiť UBH!

    před 11 lety
  11. bubu #11

    jsem sám, kterýmu tohle použití nepřipadá bezpečný?!

    použiju brute-force slovník, ke kterýmu jenom přidám doménu a porovnávám s tím hashem.
    tudíž tady je jenom místo náhodného saltu použitá doména, ale ne náhodná, ale známá, a hlavně je známo, že je jako salt připojena právě doména (a ne třeba login).

    nebo mi něco uniká…

    před 11 lety | reagoval [12] johno [20] WhiteHat [31] David Grudl
  12. johno http://johno.jsmf.net/ #12

    avatar

    #11 bubu, Veľmo šumne píšeš. Až mi je to divnô. Salt by som tam reku oprobuval.

    Inak ako nápad je to celkom dobrý. Prevedenie doladiteľné.

    před 11 lety
  13. brozkeff http://malec.borec.cz/weblog/ #13

    Vypadá to celkem na rozumné řešení…
    Nicméně nepoužívám ho a při počtu registrací to už dodatečně ani všude zavést nejde – především si žádný seznam registrací nevedu ;)
    Na takové ty lepší registrace používám cca 3 hesla, na všelijaké pofidérní další 3, a pak na e-maily, weby, shelly a spol. mám všude vlastní hesla…
    A pak mám Jedno Heslo (které vládne všem a všem káže) a to je passphrase pro všechny ostatní…
    Celkem mám tak používaných hesel okolo 10ti, 15-ti…

    před 11 lety
  14. depi http://www.depi.sk #14

    avatar

    Keď som začal čítať tento post a spomínal si tam doménu skoro som si myslel, že spomenieš spôsob, ktorý tiež používam :) V podstate je to niečo podobné, len ty to hashujes. A práve v tom vidím problém (užívateľský), dajú sa tak vygenerovať síce pekné aj dlhé a bezpečné heslá, ale neustále ich checkovat je OTRAVNÉ, priznaj si to :)

    Jednoduchšie je zobrať si z danej domény nejaké písmená, dajme tomu, že sa teoreticky chcem zaregistrovať na www.dgx.cz, dajme tomu, že z tejto adresy vyberieme posledné 2 pismená g a x. Následne v hlave máme nejaký bezpečne uložený reťazec do, ktorého tieto písmená dosadíme, ten môže vyzerať akokoľvek a naše heslo je v tom prípade: #g3%1X7$ – je tam dosadené g aj X. Keď si chceme otestovať či je heslo dostatočne silné môžeme to overť na MS stránkach – aspon na niečo sú dobrý :)

    Princíp je teda jednoduchý. Stačí keď si zapamätáš, ktoré písmená budeš z domény brať (v našom prípade posledné 2) a tvoj tajný reťazec do, ktorého to dosadíš.
    Takto nie je problem mať na každej stránke iné heslo a každé z nich si jednoducho zapamätať.

    Niečo podobné sa dá použiť aj pri e-mailových schránkach, na FTP účty atď..

    S hashmi je to síce bezpečnejšie (pokiaľ máš vlastný algoritmus a nie ten z tej stránky), ale to už si človek tak ľahko nezapamätá a je otravné stále kontrolovať to, preto preferujem radšej tento spôsob.

    před 11 lety | reagoval [16] Milf [31] David Grudl
  15. Shaman http://www.adaptic.cz #15

    avatar

    Trochu problém bude, až se ta služba z interentu ztratí :-)

    Tedy pokud si ten formulář včas nezkopírujete k sobě.

    před 11 lety | reagoval [31] David Grudl
  16. Milf #16

    avatar

    #14 depi, možná jsem zle pochopil, ale při tomto si sice nepamatuješ hesla, ale musíš si pamatovat pro každou registraci (= doménu) kterou část vkládáš, případně kam (na které pozice) do Tvého super duper hesla je vkládáš.
    V opačném případě – držíš-li tyto parametry shodné napříč pavučinou – IMHO stačí získat jedno Tvé heslo a „znám“ všechny, nebo ne? 8-)

    před 11 lety
  17. depi http://www.depi.sk #17

    avatar

    Milf: áno správne. Pokiaľ by si získal jedno tak teoreticky sa vieš dovtípiť k ďaľším, pokiaľ som tam nepoužil iný algoritmus. Z tohto hľadiska je tu nevýhoda, ktorá je ako vieme všade. Preto si musíš svoj tajný reťazec uchovávať tajne v hlave a ak chceš byť trocha paranoidný tak aspoň raz za čas heslá pomeniť (aspoň tie najdôležitejšie)

    před 11 lety | reagoval [19] lukyn.v
  18. noname http://www.kapler.cz #18

    mě složitost hesla nijak nevadí. Ať si tam navymýšlí cokoliv, tak prostě něco napíšu a opera wand si to zapamatuje. Jen je potřeba, aby měl daný server možnost zaslat zapomenuté heslo, když by mi třeba umřela opera.
    Co mě ale sere maximálně jsou nápovědné otázky, zejména pakliže mají přednastavený seznam otázek zejm. když chtějí více než jednu a když bez znalosti odpovědi nedovolí ani zaslat zapomenuté heslo. Před týdnem jsem takhle asi 2 hodiny tipoval návodné otázky na ICQ webu, před rokem jsem kvůli tomu „zrušil“ @seznam.cz

    před 11 lety | reagoval [31] David Grudl
  19. lukyn.v http://album750.blatouch.net/ #19

    #17 depi, No jo, jenomže takhle budeš mít hesla na všech doménách skoro stejná – vyjma těch dvou písmen. Ty si pak vypátrat nebude problém.
    Výhoda toho generátoru hesel je v tom, že budeš mít na každém webu jiné heslo. O to tady jde, ne? Kdežto u Tvého zlepšováku bude všude skoro stejné.

    před 11 lety | reagoval [23] depi
  20. WhiteHat http://www.flickr.com/photos/whitehat #20

    avatar

    #11 bubu, Přesně, stačí malá modifikace ve brute-force skriptu a útok může proběhnout obdobně jako teď.

    To mi přijde lepší mít na svých stránkách (tedy pokud je mám, že) zabezpečenou stránku jedním master heslem a na ní mít seznamy všech hesel do všech domén (ty už můžou být klidně jakkoliv složitá). A na takovou stránku se dostanu taky odkudkoliv.

    před 11 lety
  21. pangi http://henten.net #21

    Chválabohu nie som nutený používať verejné počítače, to by som so svojou paranojou menil hesla obdeň. Na tie dva počítače, ktoré používam (práca+doma), je pre mňa najlepším, nejbezpečnejším, najjednoduchším riešením password manager na flashdisku (generuje silné hesla a všetky si pamatá = pre mňa ideálny stav). A ak by som ho náhodou stratil, snáď stihnem zmeniť hesla skor ako sa doň niekto nabúra.

    před 11 lety | reagoval [31] David Grudl [48] ivan
  22. Karel #22

    Ono nemá jít o ochranu před bruteforce útokem, ale před zneužitím hesla. Řečeno na příkladu, udělám si webovou stránku, kde budu nabízet ke stažení nějaké wallpapery nebo věci pro mobily. Podmínkou je, že se každý zaregistruje – zvolí si uživatelské jméno, heslo a zadá emailovou adresu, kam mu má přijít aktivační klíč. Bohužel podobné pokusy se občas zkouší a je až překvapivé, kolikrát se lze takto získaným heslem dostat k uvedenému emailu. Tihle lidé používají všude stejné heslo a vůbec si neuvědomují, že touto registrací sdělili provozovateli svůj emailový účet i heslo. Na nějaký bruteforce útok na prolomení hesla zapomeňte, to je zbytečně složité.

    před 11 lety
  23. depi http://www.depi.sk #23

    avatar

    #19 lukyn.ve, No v prvom rade budeš musieť vedieť tajný reťazec a počet tajných písmen a ich presnú polohu a či sú upper alebo lower case (môžu byť aj 3, kedže domény pod 2 pismená sú malá pravdepodobnosť) a tieto písmená môžu byť v rôznom poradí, to je tiež na preferencii človeka. Takže šance sa znižujú. Záleží od uhla pohľadu, mne tento spôsob voľby hesiel zatiaľ vyhovuje, keď mi niekto ukáže lepší a pritom pohodlný, rád naňho prejdem.

    před 11 lety | reagoval [39] pa3k
  24. llook http://llook.wz.cz/weblog/ #24

    avatar

    Nejsilnější heslo v historii měl otec mladého hraběte Nikoliče v Cimrmanovi.

    Zvolil si heslo „Dobro je prisjetiti se da prividno prav prut prema cilju predstavja u stvari pravodlivo krivudanje“, které zapomněl.

    před 11 lety
  25. Jirka #25

    avatar

    Nevím teda – ale mě stačí KeePass Password Safe – na klíčence – zminimalizovaný (zaheslovaný v tray). Přehledný i s generátorem – funkční jak pod win tak pod unixem. Asi je to opravdu mimo mísu ale je to fakt moc fajn zkuste. Navíc zdarma.

    před 11 lety | reagoval [28] spacák [31] David Grudl
  26. Jakub Krejčí http://kuba.cz/ #26

    Vypadá to dobře, ale co když ta stránka na generování třeba za rok zmizí z netu? Jak potom zjistím svoje hesla?

    před 11 lety | reagoval [31] David Grudl
  27. spacák #27

    avatar

    nemůžu si pomoci, ale na jednom počítači mi stále příjde mnohem jednodušší opera wand (a můžu dávat libovnolně složitá hesla, protože si je taky nemusím pamatovat). všechno je samozřejmě dobré mít někde v záloze, já mám třeba KeePass Password Safe

    na více počítačích neumím posoudit, jestli je jednodušší používat Password generator, nebo nosit zálohu hesel na rybě. pro zajímavost, celý KeePass i s 56 hesly má 1,2 MB.

    před 11 lety | reagoval [28] spacák
  28. spacák #28

    avatar

    #25 Jirko, #27 spacák aha, tak už jdu s křížkem po funuse.

    před 11 lety
  29. nowhereman #29

    mmm, mne sa zda ze treba minimalne 2 jeho hesla, aby si vedel zistit kde su dosadene znaky (teda ‚g‘ a ‚x‘ z prikladu)

    před 11 lety
  30. Daniel Srb ben Abraham #30

    avatar

    prut > put
    predstavja > predstavlja

    Ale dobrý, viděl jsem už i mnohem horší zkomoleniny této srbochorvatské věty.

    před 11 lety | reagoval [52] llook
  31. David Grudl http://davidgrudl.com #31

    avatar

    #8 Pachollini, #21 pangi#25 Jirka Ale to je přesně ono, jen ji nemusíš tahat sebou a obsluha je pohodlnější (zkus favelet/bookmarklet).

    #11 bubu, není to pravda. Je třeba, aby hlavní heslo bylo dostatečně silné a dlouhé, pak nepomůžou ani Rainbow Tables. Ale ono stačí i 5 alfanum. znaků, aby byl bruteforce útok na webový server nerealizovatelný (to už by byl spíš DoS útok).

    #14 depi, právě že to není otravné, při použití faveletu stačí pouhé kliknutí do oblíbených! Žádné přemýšlení. O vágním zabezpečení tvého způsobu už psali jiní, holt stačí být provozovatel dvou systémů, kde se budeš registrován a mám tě ;)

    #15 Shamane, #26 Jakub Krejčí Tím, že je algoritmus jasně daný (substr(md5(master_password + domain), 0, 8).), si můžeš tytéž hesla generovat třeba v PHP. Sám zmíněnou stránku vůbec nepoužívám, mám favelet (uložený v bookmarcích) a skript na dgx.cz. Ten skript není součástí bookmarku jen proto, že MSIE má drsný limit pro jejich délku. Veřejné umístění na bezpečnosti nic nemění. Obecně stránku vůbec nepotřebuješ, a pokud myslíš že jo, tak si ji zkopíruj.

    #18 noname, dá se i tak, ale běda, když se chceš přihlásit mimo svůj počítač.

    před 11 lety | reagoval [32] depi [46] Pachollini
  32. depi http://www.depi.sk #32

    avatar

    #31 Davide Grudle, nechcem sa hádať, ale aj tak si stojím za svojim :) no dobre, klik do bookmarkov, vložiť doménu, skopírovať heslo, pastnuť heslo, odoslať formulár … troška dlhší proces. A keď sa na tú stránku prihlásim z verejného PC tak, aby som nezabudol zakaždým vymazať históriu (pokiaľ máš už pevne definované master_password v tej funkcii), lebo útočníkovi stačí doména a login sa už dovtípi..

    V prípade, že by si bol vlastníkom tých dvoch systémov tak by som Ti v prvom rade dobre vynadal, že prečo nekryptuješ heslá svojich užívateľov a po druhé, prečo zneužívaš kontá svojich užívateľov.

    No snáď toľko, nechajme to teda radšej tak… peace :)

    před 11 lety | reagoval [33] David Grudl
  33. David Grudl http://davidgrudl.com #33

    avatar

    #32 depi, depi, proč popisuješ něco, co jsi nevyzkoušel? Stačí klik do bookmarků, nic víc. Rozumíš?

    Když použiješ „mobilní“ formulář, tak se nic nikam neukládá, výpočet provádí JavaScript v počítači. Opakuju to už potřetí.

    Je jen na tobě, jestli budeš preventivně používat silná hesla, nebo dělat prověrky provozovatelů webových služeb a pak jim nadávat :-)

    před 11 lety
  34. MazeGen #34

    avatar

    Myslím, že tady ještě nikdo nezmínil problém, ke kterýmu dojde, když se změní doména. U těch pár velkých jmen se sotva změní (amazon.com), u míň významných se to ale stává. Třeba telecom.cz se změní třeba na telefonica-o2.cz, nebo server win32asmcommunity mi postupně přejmenovali na winasmcommunity a konečně na asmcommunity. A těžko si pamatovat původní názvy všech domén, na kterých mám registraci. Teda aspoň já to neumím :)

    před 11 lety | reagoval [45] Roj
  35. blesk #35

    avatar

    Mno, ten generator neni uplne dokonaly, protoze sice dela ‚bezpecne hesla‘, ale pruser je, ze ty hesla obsahuji jen 16 znaku, coz je dost malo… Vlastne maji jen male pismenka a-f a 0–9… A nemyslim, ze zrovna md5 je uplne bezpecna funkce… Nechces davidku stvorit neco co by si vzalo md5 toho co ti vyjde, melo by to setrizene znaky podle abecedy, vzalo by prvni 8 bitu md5 sumy a modulo pocet znaku by to generovalo heslo? :-) A udelat to tady na LaTrine :-D… Mel bys vic ruznych znaku a tim padem i o dost bezpecnejsi heslo… Ty hesla z tohodle sou bezpecne jen diky nahodnosti, ale proti utoku na md5 sumu hesla (kdyz se nekdo dostane k tedle podobe) moc dobre nejsou… Ale to ja jen tak prudim, sak me znas…

    před 11 lety | reagoval [36] David Grudl
  36. David Grudl http://davidgrudl.com #36

    avatar

    #35 blesku, tohle přesně dělá má upravená verze. Místo 4 bitů (16 znaků) používá 6. Víc vzít nelze, formuláře odmítají řadu speciálních znaků. Ale mám pocit, že na tom až tak nezáleží.

    Totiž obecně by byl útok veden na webový formulář. Při šestnáci znacích * 8 znaků, dejme tomu 100 pokusů za sekundu (rozhodující je rychlost odezvy serveru), bys potřeboval 1,5 roku. To už by si dost možná nějaký správce všiml :-)

    Druhá možnost je, že útočník by byl sám admin (nebo došlo ke zcizení databáze). Pak je jedno, jak velkou část hashe prozradíš. Bezpečnost zajistí jen a pouze dostatečně dlouhé a dobré hlavní heslo. To obvykle stačí zadat jen jednou do faveletu, tedy není důvod ho šidit.

    před 11 lety | reagoval [49] David Grudl
  37. jenicko #37

    avatar

    a jak nahradim puvodni verzi tou upravenou?
    ctrl-c, ctrl-v do puvodniho zdrojaku mi nefunguje :(
    diky
    btw. je to hodne dobry napad na hesla, me uz davno dosli napady na nove a pro me zapamatovatelne :)

    před 11 lety | reagoval [41] David Grudl
  38. pa3k #38

    Presne tak, algoritmus tvorby hesla je klúč, všetko priamo v hlave – nezávislé na externých moduloch :-D Dobrý nápad, dík! :)

    před 11 lety | reagoval [39] pa3k
  39. pa3k #39

    Pardon, toto #38 pa3k bola reakcia na #23 depi

    před 11 lety
  40. lukyn.v #40

    Může mi prosím někdo poradit, jak použít na svém serveru tu dgx upravenou verzi genpass.js? Když ji tam uložím a udělám si favelet ve kterém je cesta k tomu skriptu na mém serveru, tak vůbec na kliknutí nereaguje. Co mám kde změnit v tom skriptu genpass.js? Díky.

    před 11 lety | reagoval [41] David Grudl
  41. David Grudl http://davidgrudl.com #41

    avatar

    #40 lukyn.ve, počkej, měl jsem tam změněné ID. Už jsem ho vrátil zpět, tedy zkus to ještě jednou.

    #37 jenicko, při generování faveletu (bookmarkletu) pro Internet Explorer/Opera klikni na Show advanced options a změň JavaScript file cached at. Můžeš tam použít http://www.dgx.cz/js/genpass.js.

    před 11 lety | reagoval [43] lukyn.v [47] jenicko
  42. a3x #42

    avatar

    Favelet nalinkuj napr. na:
    http://www.dgx.cz/js/genpass.js#…
    a prispôsob si posledných 6 parametrov (pcapture,p,dpresent,plen,pcase,ppop).

    ID skriptu musí byť to isté, na ktoré skript odkazuje v getElementById.

    Príklad faveletu:

    javascript:
    z=document.createElement("script");
    z.setAttribute('src','http://www.dgx.cz/js/genpass.js#0,abc,1,6,2,1');
    z.setAttribute('type','text/javascript');
    z.setAttribute('id','fs');
    void(document.getElementsByTagName("head")[0].appendChild(z));
    před 11 lety
  43. lukyn.v http://album750.blatouch.net/ #43

    #41 Davide Grudle, Díky, už to fachá. :-)

    před 11 lety
  44. a3x #44

    avatar

    Sorry, automat…

    Správne má byť:
    getElementsByTagName(„head“)[smazáno].appendChild(z)

    před 11 lety
  45. Roj http://roj.bloguje.cz #45

    avatar

    #34 MazeGene, [smazáno] Aktualne zmenilo domenu betandwin.com (idioti!) a tady by nastal dost zasadni prusvih

    před 11 lety
  46. Pachollini http://seky.nahory.net/ #46

    #31 Davide Grudle, No, jednodušší než keychain access v Mac to asi není ;-) Kromě toho si to pamatuje i login, což považuji za nezanedbatelnou výhodu. Někde se např. jako login používá e-mailová adresa, jinde ne. Ale přiznávám, že vedeš co do mobility.
    Na druhou stranu, jinak než ze svého notebooku se k netu de facto nepřipojuji, takže mi to zas tak moc nevadí.

    před 11 lety
  47. jenicko #47

    avatar

    #41 Davide Grudle,
    diky
    btw. neni lepsi si ty hesla vygenerovat vetsi nez 8mi mistny? pak uz to na brutal force bude este tezsi :)
    (a i v FF si je nemusim pamatovat nebo pouzivat bookmarklet, FF si to ulozi samo-a kdyby Opera nemela tak divny zalohovani mailu tak bych uzival radsi o.Wand :)

    před 11 lety | reagoval [49] David Grudl
  48. ivan #48

    #21 pangi, Az ztratis tu flesku, jak zmenis hesla, kdyz nebudes znat svoje heslo pro pristup?

    před 11 lety
  49. David Grudl http://davidgrudl.com #49

    avatar

    #47 jenicko, délka hesla je plně volitelná při generování bookmarkletu. Já myslím, že 8 znaků v rozsahu 0–8a-zA-Z je dost (viz #36 David Grudl), ale nic nebrání použít heslo mnohem delší.

    Sám bookmarklet používám jen pro generování, pamatování nechávám už na Opeře. Samozřejmě tím dochází k ukládání hesel na disk, který se může snadno dost do nepovolaných rukou (člověk s kamarádem u policie vás práskne, že máte nelegální software nebo dětskou pornografii, policie zbaví počítač, než se prokáže nesmyslnost obvinění dostane se k němu útočník) – proto šifrujte!

    před 11 lety
  50. kahi http://kahi.cz/blog/ #50

    a není to zbytečně složité? já všude používám heslo kahi007 a ještě se mi nic nestalo…

    před 11 lety
  51. SneakerXZ #51

    dostala se mi databáze phpBB a za 1den jsem získal 3500 hesel z 5000

    před 11 lety | reagoval [52] llook
  52. llook http://llook.wz.cz/weblog/ #52

    avatar

    Dodnes jsem byl několik dní bez netu. Fotr je držgrešle a tak pro pár stovek přešel od TO2CR k ČRa a od té doby nám nešel foun ani net. Kdybys byl na mém místě (nedej bože), byl bys odkázán na Internetové kafárny… A kde bys bral tu důvěru, že ti neodposlouchávají klávesnici (ať už softwarově nebo hardwarově)?

    Kdyby jo, tak mají všechna tvá hesla. U mě, jestli vůbec, získali nanejvýš tři hesla, která jsem vzápětí (po naběhnutí sítě) z domova změnil.

    Já to beru takhle: důležitých hesel moc není, ta jsou složitější, pamatuju si je a každé tři měsíce měním (vlastně jenom banka, PIN do mobilu a mail). A ta méně významná? Většinu mám v mailu a zbytek jsou buďto jednoduchá nebo si v nejhorším založím nový účet.

    Prostě mi tohle nepřijde o nic bezpečnější než nějaký password manager.

    #30 Danieli Srbe bene Abrahame, Promiň, neumím srbsky, chorvatsky, mandarínsky ani nektarínsky. :-D

    #51 SneakerXZi, Tak to seš teda hustej kámo. ;)

    před 11 lety
  53. paranoiq #53

    doporučení: pokud jste si jisti, že registrovat se na daném webu nemá smysl a celá ta lapálie kolem hesla vás štve, pak je tu ještě bugmenot.com

    před 11 lety
  54. n3tman http://blog.zostrova.net #54

    avatar

    Jen bych tu rád připomenul vylepšenou verzi SuperGenPass. Akorát používá jiný algoritmus, takže je nekompatibilní se starým GenPass :)

    před 10 lety
  55. Huggi http://rhizopus.net #55

    Tak sem tenhle zazrak zacal pouzit..je to super..jednoduchy, rychli..jen mala drobnost..kdyz pisu „master“ heslo..chtelo by to hvezdicky ne text..neni nejaka vylepsena verze?:) (komentare sme vsechny neprecetl takze pokud uz to tu je sry..)

    před 9 lety
  56. Miisha #56

    Na podobné účely se mi osvědčil passwordmaker (http://passwordmaker.org), který podobnou věc umí jednak online (http://passwordmaker.sourceforge.net/…rdmaker.html) a jednak jako rozšíření firefoxu.

    před 9 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.