Jak neustále (ne)vymýšlet originální hesla

A co když, se tam potřebuješ dostat z jiného kompu/prohlížeče?

#1 rarouši, Stačí znát hlavní heslo + doménu a můžeš si vždy na zmíněné stránce heslo vypočítat (slovo vygenerovat mi připadá trošičku matoucí, protože heslo se nijak nevymýšlí, pro stejné vstupní údaje vždy vypadne stejné heslo na výstupu).

Hehe nejlepší je vymýšlet hesla tím způsobem, že prostě vezmete slovo o třeba více než 5 znacích (dejme tomu miranda) a někde uprostřed ho rozdělíme několika číslicemi + nějaká ta improvizace ve velkých písmenech. Např. mIRa4589NdA

#1 rarouši, budeš si musieť pamatať kde na webe je uložený ten tvoj skript na vygenerovanie toho pravého hesla. Aj ked si myslím že je lepšie používať jedno – dve heslá (ale poriadne) či nie?

#4 hraxi, mně se tento způsob naopak zdá velmi zajímavý, obzvláště tím, že je tak prostý až to hezké není :)

odkazovaný generátor se zdá být také fajn, jenom nemám důvěru k zadávání hlavního hesla na cizím serveru :)

#5 afu, prohlédni si zdrojáky. Všechno je řešeno velmi chytře, aby nikdy nedošlo k odeslání hlavního hesla mimo prohlížeč. Píši to i ve článku.

a zrovna vcera sem premejslel, ze si vsude radsi zmenim hesla..diky..;)

Mně připadá ideální používání systémové klíčenky chráněné dostatečně silným heslem. (Nevýhoda samozřejmě je, že ji mám jen na svém počítači, ale stejně ho všude tahám.) Nevím nicméně, jestli něco takového existuje i pro Windoews.

Je jedno univerzálne heslo, ktoré môžete kedykoľvek a kdekoľvek použiť a je bezpečné aj keď je priamo vypísané na webovej stránke prípadne je prezradené alebo dokonca odhalené hackermi. Toto heslo je aj po týchto incidentoch možné spokojne vo svojich systémoch používať.

Návod na použitie: zapamätajte si toto heslo a používate ho na prihlasovanie do svojich systémov. Zmeňte pôvodné nezapamätateľné hesla na univerzálne bezpečné heslo (UBH).

Teraz zopakujeme znenie hesla, zvýšte svoju pozornosť:

nbusr123

#7 Huggi, a to je práve šanca použiť UBH!

jsem sám, kterýmu tohle použití nepřipadá bezpečný?!

použiju brute-force slovník, ke kterýmu jenom přidám doménu a porovnávám s tím hashem.
tudíž tady je jenom místo náhodného saltu použitá doména, ale ne náhodná, ale známá, a hlavně je známo, že je jako salt připojena právě doména (a ne třeba login).

nebo mi něco uniká…

#11 bubu, Veľmo šumne píšeš. Až mi je to divnô. Salt by som tam reku oprobuval.

Inak ako nápad je to celkom dobrý. Prevedenie doladiteľné.

Vypadá to celkem na rozumné řešení…
Nicméně nepoužívám ho a při počtu registrací to už dodatečně ani všude zavést nejde – především si žádný seznam registrací nevedu ;)
Na takové ty lepší registrace používám cca 3 hesla, na všelijaké pofidérní další 3, a pak na e-maily, weby, shelly a spol. mám všude vlastní hesla…
A pak mám Jedno Heslo (které vládne všem a všem káže) a to je passphrase pro všechny ostatní…
Celkem mám tak používaných hesel okolo 10ti, 15-ti…

Keď som začal čítať tento post a spomínal si tam doménu skoro som si myslel, že spomenieš spôsob, ktorý tiež používam :) V podstate je to niečo podobné, len ty to hashujes. A práve v tom vidím problém (užívateľský), dajú sa tak vygenerovať síce pekné aj dlhé a bezpečné heslá, ale neustále ich checkovat je OTRAVNÉ, priznaj si to :)

Jednoduchšie je zobrať si z danej domény nejaké písmená, dajme tomu, že sa teoreticky chcem zaregistrovať na www.dgx.cz, dajme tomu, že z tejto adresy vyberieme posledné 2 pismená g a x. Následne v hlave máme nejaký bezpečne uložený reťazec do, ktorého tieto písmená dosadíme, ten môže vyzerať akokoľvek a naše heslo je v tom prípade: #g3%1X7$ – je tam dosadené g aj X. Keď si chceme otestovať či je heslo dostatočne silné môžeme to overť na MS stránkach – aspon na niečo sú dobrý :)

Princíp je teda jednoduchý. Stačí keď si zapamätáš, ktoré písmená budeš z domény brať (v našom prípade posledné 2) a tvoj tajný reťazec do, ktorého to dosadíš.
Takto nie je problem mať na každej stránke iné heslo a každé z nich si jednoducho zapamätať.

Niečo podobné sa dá použiť aj pri e-mailových schránkach, na FTP účty atď..

S hashmi je to síce bezpečnejšie (pokiaľ máš vlastný algoritmus a nie ten z tej stránky), ale to už si človek tak ľahko nezapamätá a je otravné stále kontrolovať to, preto preferujem radšej tento spôsob.

Trochu problém bude, až se ta služba z interentu ztratí 🙂

Tedy pokud si ten formulář včas nezkopírujete k sobě.

#14 depi, možná jsem zle pochopil, ale při tomto si sice nepamatuješ hesla, ale musíš si pamatovat pro každou registraci (= doménu) kterou část vkládáš, případně kam (na které pozice) do Tvého super duper hesla je vkládáš.
V opačném případě – držíš-li tyto parametry shodné napříč pavučinou – IMHO stačí získat jedno Tvé heslo a „znám“ všechny, nebo ne? 😄

Milf: áno správne. Pokiaľ by si získal jedno tak teoreticky sa vieš dovtípiť k ďaľším, pokiaľ som tam nepoužil iný algoritmus. Z tohto hľadiska je tu nevýhoda, ktorá je ako vieme všade. Preto si musíš svoj tajný reťazec uchovávať tajne v hlave a ak chceš byť trocha paranoidný tak aspoň raz za čas heslá pomeniť (aspoň tie najdôležitejšie)

mě složitost hesla nijak nevadí. Ať si tam navymýšlí cokoliv, tak prostě něco napíšu a opera wand si to zapamatuje. Jen je potřeba, aby měl daný server možnost zaslat zapomenuté heslo, když by mi třeba umřela opera.
Co mě ale sere maximálně jsou nápovědné otázky, zejména pakliže mají přednastavený seznam otázek zejm. když chtějí více než jednu a když bez znalosti odpovědi nedovolí ani zaslat zapomenuté heslo. Před týdnem jsem takhle asi 2 hodiny tipoval návodné otázky na ICQ webu, před rokem jsem kvůli tomu „zrušil“ @seznam.cz

#17 depi, No jo, jenomže takhle budeš mít hesla na všech doménách skoro stejná – vyjma těch dvou písmen. Ty si pak vypátrat nebude problém.
Výhoda toho generátoru hesel je v tom, že budeš mít na každém webu jiné heslo. O to tady jde, ne? Kdežto u Tvého zlepšováku bude všude skoro stejné.

#11 bubu, Přesně, stačí malá modifikace ve brute-force skriptu a útok může proběhnout obdobně jako teď.

To mi přijde lepší mít na svých stránkách (tedy pokud je mám, že) zabezpečenou stránku jedním master heslem a na ní mít seznamy všech hesel do všech domén (ty už můžou být klidně jakkoliv složitá). A na takovou stránku se dostanu taky odkudkoliv.

Chválabohu nie som nutený používať verejné počítače, to by som so svojou paranojou menil hesla obdeň. Na tie dva počítače, ktoré používam (práca+doma), je pre mňa najlepším, nejbezpečnejším, najjednoduchším riešením password manager na flashdisku (generuje silné hesla a všetky si pamatá = pre mňa ideálny stav). A ak by som ho náhodou stratil, snáď stihnem zmeniť hesla skor ako sa doň niekto nabúra.

Ono nemá jít o ochranu před bruteforce útokem, ale před zneužitím hesla. Řečeno na příkladu, udělám si webovou stránku, kde budu nabízet ke stažení nějaké wallpapery nebo věci pro mobily. Podmínkou je, že se každý zaregistruje – zvolí si uživatelské jméno, heslo a zadá emailovou adresu, kam mu má přijít aktivační klíč. Bohužel podobné pokusy se občas zkouší a je až překvapivé, kolikrát se lze takto získaným heslem dostat k uvedenému emailu. Tihle lidé používají všude stejné heslo a vůbec si neuvědomují, že touto registrací sdělili provozovateli svůj emailový účet i heslo. Na nějaký bruteforce útok na prolomení hesla zapomeňte, to je zbytečně složité.

#19 lukyn.ve, No v prvom rade budeš musieť vedieť tajný reťazec a počet tajných písmen a ich presnú polohu a či sú upper alebo lower case (môžu byť aj 3, kedže domény pod 2 pismená sú malá pravdepodobnosť) a tieto písmená môžu byť v rôznom poradí, to je tiež na preferencii človeka. Takže šance sa znižujú. Záleží od uhla pohľadu, mne tento spôsob voľby hesiel zatiaľ vyhovuje, keď mi niekto ukáže lepší a pritom pohodlný, rád naňho prejdem.

Nejsilnější heslo v historii měl otec mladého hraběte Nikoliče v Cimrmanovi.

Zvolil si heslo „Dobro je prisjetiti se da prividno prav prut prema cilju predstavja u stvari pravodlivo krivudanje“, které zapomněl.

Nevím teda – ale mě stačí KeePass Password Safe – na klíčence – zminimalizovaný (zaheslovaný v tray). Přehledný i s generátorem – funkční jak pod win tak pod unixem. Asi je to opravdu mimo mísu ale je to fakt moc fajn zkuste. Navíc zdarma.

Vypadá to dobře, ale co když ta stránka na generování třeba za rok zmizí z netu? Jak potom zjistím svoje hesla?

nemůžu si pomoci, ale na jednom počítači mi stále příjde mnohem jednodušší opera wand (a můžu dávat libovnolně složitá hesla, protože si je taky nemusím pamatovat). všechno je samozřejmě dobré mít někde v záloze, já mám třeba KeePass Password Safe

na více počítačích neumím posoudit, jestli je jednodušší používat Password generator, nebo nosit zálohu hesel na rybě. pro zajímavost, celý KeePass i s 56 hesly má 1,2 MB.

#25 Jirko, #27 spacák aha, tak už jdu s křížkem po funuse.

mmm, mne sa zda ze treba minimalne 2 jeho hesla, aby si vedel zistit kde su dosadene znaky (teda ‚g‘ a ‚x‘ z prikladu)

prut > put
predstavja > predstavlja

Ale dobrý, viděl jsem už i mnohem horší zkomoleniny této srbochorvatské věty.

#8 Pachollini, #21 pangi#25 Jirka Ale to je přesně ono, jen ji nemusíš tahat sebou a obsluha je pohodlnější (zkus favelet/bookmarklet).

#11 bubu, není to pravda. Je třeba, aby hlavní heslo bylo dostatečně silné a dlouhé, pak nepomůžou ani Rainbow Tables. Ale ono stačí i 5 alfanum. znaků, aby byl bruteforce útok na webový server nerealizovatelný (to už by byl spíš DoS útok).

#14 depi, právě že to není otravné, při použití faveletu stačí pouhé kliknutí do oblíbených! Žádné přemýšlení. O vágním zabezpečení tvého způsobu už psali jiní, holt stačí být provozovatel dvou systémů, kde se budeš registrován a mám tě ;)

#15 Shamane, #26 Jakub Krejčí Tím, že je algoritmus jasně daný (substr(md5(master_password + domain), 0, 8).), si můžeš tytéž hesla generovat třeba v PHP. Sám zmíněnou stránku vůbec nepoužívám, mám favelet (uložený v bookmarcích) a skript na dgx.cz. Ten skript není součástí bookmarku jen proto, že MSIE má drsný limit pro jejich délku. Veřejné umístění na bezpečnosti nic nemění. Obecně stránku vůbec nepotřebuješ, a pokud myslíš že jo, tak si ji zkopíruj.

#18 noname, dá se i tak, ale běda, když se chceš přihlásit mimo svůj počítač.

#31 Davide Grudle, nechcem sa hádať, ale aj tak si stojím za svojim :) no dobre, klik do bookmarkov, vložiť doménu, skopírovať heslo, pastnuť heslo, odoslať formulár … troška dlhší proces. A keď sa na tú stránku prihlásim z verejného PC tak, aby som nezabudol zakaždým vymazať históriu (pokiaľ máš už pevne definované master_password v tej funkcii), lebo útočníkovi stačí doména a login sa už dovtípi..

V prípade, že by si bol vlastníkom tých dvoch systémov tak by som Ti v prvom rade dobre vynadal, že prečo nekryptuješ heslá svojich užívateľov a po druhé, prečo zneužívaš kontá svojich užívateľov.

No snáď toľko, nechajme to teda radšej tak… peace :)

#32 depi, depi, proč popisuješ něco, co jsi nevyzkoušel? Stačí klik do bookmarků, nic víc. Rozumíš?

Když použiješ „mobilní“ formulář, tak se nic nikam neukládá, výpočet provádí JavaScript v počítači. Opakuju to už potřetí.

Je jen na tobě, jestli budeš preventivně používat silná hesla, nebo dělat prověrky provozovatelů webových služeb a pak jim nadávat 🙂

Myslím, že tady ještě nikdo nezmínil problém, ke kterýmu dojde, když se změní doména. U těch pár velkých jmen se sotva změní (amazon.com), u míň významných se to ale stává. Třeba telecom.cz se změní třeba na telefonica-o2.cz, nebo server win32asmcommunity mi postupně přejmenovali na winasmcommunity a konečně na asmcommunity. A těžko si pamatovat původní názvy všech domén, na kterých mám registraci. Teda aspoň já to neumím :)

Mno, ten generator neni uplne dokonaly, protoze sice dela ‚bezpecne hesla‘, ale pruser je, ze ty hesla obsahuji jen 16 znaku, coz je dost malo… Vlastne maji jen male pismenka a-f a 0–9… A nemyslim, ze zrovna md5 je uplne bezpecna funkce… Nechces davidku stvorit neco co by si vzalo md5 toho co ti vyjde, melo by to setrizene znaky podle abecedy, vzalo by prvni 8 bitu md5 sumy a modulo pocet znaku by to generovalo heslo? 🙂 A udelat to tady na LaTrine 😁… Mel bys vic ruznych znaku a tim padem i o dost bezpecnejsi heslo… Ty hesla z tohodle sou bezpecne jen diky nahodnosti, ale proti utoku na md5 sumu hesla (kdyz se nekdo dostane k tedle podobe) moc dobre nejsou… Ale to ja jen tak prudim, sak me znas…

#35 blesku, tohle přesně dělá má upravená verze. Místo 4 bitů (16 znaků) používá 6. Víc vzít nelze, formuláře odmítají řadu speciálních znaků. Ale mám pocit, že na tom až tak nezáleží.

Totiž obecně by byl útok veden na webový formulář. Při šestnáci znacích * 8 znaků, dejme tomu 100 pokusů za sekundu (rozhodující je rychlost odezvy serveru), bys potřeboval 1,5 roku. To už by si dost možná nějaký správce všiml 🙂

Druhá možnost je, že útočník by byl sám admin (nebo došlo ke zcizení databáze). Pak je jedno, jak velkou část hashe prozradíš. Bezpečnost zajistí jen a pouze dostatečně dlouhé a dobré hlavní heslo. To obvykle stačí zadat jen jednou do faveletu, tedy není důvod ho šidit.

a jak nahradim puvodni verzi tou upravenou?
ctrl-c, ctrl-v do puvodniho zdrojaku mi nefunguje :(
diky
btw. je to hodne dobry napad na hesla, me uz davno dosli napady na nove a pro me zapamatovatelne :)

Presne tak, algoritmus tvorby hesla je klúč, všetko priamo v hlave – nezávislé na externých moduloch 😁 Dobrý nápad, dík! :)

Pardon, toto #38 pa3k bola reakcia na #23 depi

Může mi prosím někdo poradit, jak použít na svém serveru tu dgx upravenou verzi genpass.js? Když ji tam uložím a udělám si favelet ve kterém je cesta k tomu skriptu na mém serveru, tak vůbec na kliknutí nereaguje. Co mám kde změnit v tom skriptu genpass.js? Díky.

#40 lukyn.ve, počkej, měl jsem tam změněné ID. Už jsem ho vrátil zpět, tedy zkus to ještě jednou.

#37 jenicko, při generování faveletu (bookmarkletu) pro Internet Explorer/Opera klikni na Show advanced options a změň JavaScript file cached at. Můžeš tam použít https://web.archive.org/web/20060825082306/http://www.dgx.cz:80/js/genpass.js.

Favelet nalinkuj napr. na:
https://web.archive.org/…js,0,0,0,0,0
a prispôsob si posledných 6 parametrov (pcapture,p,dpresent,plen,pcase,ppop).

ID skriptu musí byť to isté, na ktoré skript odkazuje v getElementById.

Príklad faveletu:

javascript:
z=document.createElement("script");
z.setAttribute('src','https://web.archive.org/web/20060825082306/http://www.dgx.cz:80/js/genpass.js,abc,1,6,2,1');
z.setAttribute('type','text/javascript');
z.setAttribute('id','fs');
void(document.getElementsByTagName("head")[0].appendChild(z));

#41 Davide Grudle, Díky, už to fachá. 🙂

Sorry, automat…

Správne má byť:
getElementsByTagName(„head“)[smazáno].appendChild(z)

#34 MazeGene, [smazáno] Aktualne zmenilo domenu betandwin.com (idioti!) a tady by nastal dost zasadni prusvih

#31 Davide Grudle, No, jednodušší než keychain access v Mac to asi není 😉 Kromě toho si to pamatuje i login, což považuji za nezanedbatelnou výhodu. Někde se např. jako login používá e-mailová adresa, jinde ne. Ale přiznávám, že vedeš co do mobility.
Na druhou stranu, jinak než ze svého notebooku se k netu de facto nepřipojuji, takže mi to zas tak moc nevadí.

#41 Davide Grudle,
diky
btw. neni lepsi si ty hesla vygenerovat vetsi nez 8mi mistny? pak uz to na brutal force bude este tezsi :)
(a i v FF si je nemusim pamatovat nebo pouzivat bookmarklet, FF si to ulozi samo-a kdyby Opera nemela tak divny zalohovani mailu tak bych uzival radsi o.Wand :)

#21 pangi, Az ztratis tu flesku, jak zmenis hesla, kdyz nebudes znat svoje heslo pro pristup?

#47 jenicko, délka hesla je plně volitelná při generování bookmarkletu. Já myslím, že 8 znaků v rozsahu 0–8a-zA-Z je dost (viz #36 David Grudl), ale nic nebrání použít heslo mnohem delší.

Sám bookmarklet používám jen pro generování, pamatování nechávám už na Opeře. Samozřejmě tím dochází k ukládání hesel na disk, který se může snadno dost do nepovolaných rukou (člověk s kamarádem u policie vás práskne, že máte nelegální software nebo dětskou pornografii, policie zbaví počítač, než se prokáže nesmyslnost obvinění dostane se k němu útočník) – proto šifrujte!

a není to zbytečně složité? já všude používám heslo kahi007 a ještě se mi nic nestalo…

dostala se mi databáze phpBB a za 1den jsem získal 3500 hesel z 5000

Dodnes jsem byl několik dní bez netu. Fotr je držgrešle a tak pro pár stovek přešel od TO2CR k ČRa a od té doby nám nešel foun ani net. Kdybys byl na mém místě (nedej bože), byl bys odkázán na Internetové kafárny… A kde bys bral tu důvěru, že ti neodposlouchávají klávesnici (ať už softwarově nebo hardwarově)?

Kdyby jo, tak mají všechna tvá hesla. U mě, jestli vůbec, získali nanejvýš tři hesla, která jsem vzápětí (po naběhnutí sítě) z domova změnil.

Já to beru takhle: důležitých hesel moc není, ta jsou složitější, pamatuju si je a každé tři měsíce měním (vlastně jenom banka, PIN do mobilu a mail). A ta méně významná? Většinu mám v mailu a zbytek jsou buďto jednoduchá nebo si v nejhorším založím nový účet.

Prostě mi tohle nepřijde o nic bezpečnější než nějaký password manager.

#30 Danieli Srbe bene Abrahame, Promiň, neumím srbsky, chorvatsky, mandarínsky ani nektarínsky. 😁

#51 SneakerXZi, Tak to seš teda hustej kámo. ;)

doporučení: pokud jste si jisti, že registrovat se na daném webu nemá smysl a celá ta lapálie kolem hesla vás štve, pak je tu ještě bugmenot.com

Jen bych tu rád připomenul vylepšenou verzi SuperGenPass. Akorát používá jiný algoritmus, takže je nekompatibilní se starým GenPass :)

Tak sem tenhle zazrak zacal pouzit..je to super..jednoduchy, rychli..jen mala drobnost..kdyz pisu „master“ heslo..chtelo by to hvezdicky ne text..neni nejaka vylepsena verze?:) (komentare sme vsechny neprecetl takze pokud uz to tu je sry..)

Na podobné účely se mi osvědčil passwordmaker (https://web.archive.org/…aker.org:80/), který podobnou věc umí jednak online (https://web.archive.org/…rdmaker.html) a jednak jako rozšíření firefoxu.