Děkujeme za nalezení tohoto problému a o to více je teď tento generátor bezpečnější :)
Nejlepší je samozřejmě používat svá super hesla s kombinací všech možných znaků, ale tím je vyřešen jen jeden problém.
Druhý je totiž problémem vždy a to je zabezpečení služeb, které mají tyto hesla uložené.
Protože sebelepší heslo je k ničemu, pokud zabezpečená služba není vůbec bezpečná :)
Odpovědět0 0
Počítám, že pokud solidní službě dorazí 1000+ pokusů o login se špatným heslem, tak ASI začne vyvádět. Spíš bych viděl problém, aby neposlala upozornění a reset hesla na již rozlousknutý mail.
Odpovědět1 0
Pravda, většina těch solidních webu tě upozorní už na první pokus o přihlášení s použitím špatného hesla.
Já si dříve taky vytvářel svá vlastní hesla, tak že jsem prostě přejel prsty po klávesnici, do toho změnil každé druhé písmeno za velké, vložil několik speciálních znaku a několik číslic,
verze 1. oaiqwlsjkdf
verze 2. oAiGwLsJkDf
verze 3. oA2iGw7LsJ8kDf
verze 4. o#A2iG@w7Ls$J8kDf
A hned mám 17-místné heslo, to mi dává asi 100 nejběžněji používaných znaků na 1 místo, tedy počet možných kombinací 100×100×100.... no vlastně 100^17
heslo je pak opravdu silné
https://hodza.net/password-meter/
Ale pak mě to ruční generování přestalo bavit, v prohlížeči mám 2 správce hesel, jednak přímo Firefox má vlastní a pak LastPass, takže jsem začal využívat generování hesel přímo v prohlížeči
Ale je také dobré sledovat služby které monitorují úniky přihlašovacích údajů ze špatně zabezpečených webů, které se pak objevují třeba na darknetu,
monitorovací služba mi dá vědět že web xxxyyzz.com byl napaden a byly odcizeny přihlašovací údaje a jedním byl i můj email a že v DB jsou obsaženy i hesla
https://monitor.firefox.com/
https://www.mozilla.org/en-US/firefox/lockwise/
Odpovědět0 0
Přesně tak. Servery mají omezený počet requestů za minutu, takže 100 pokusů během 60 sekund Vás zablokuje.
Myslím, že je na čase změnit přístup adminů, aby se nemusli každého půl, nebo čtvrt roku měnit hesla. Robotovi je to jedno a lidi zapomínají a volí snadno zapamatovatelná hesla.
Generování náhodných shluků je pak náročné pro uživatele, robotovi je to jedno. Považuji to za kontraproduktivní, nutí to pak k používání těchto password manažerů, které evidentně nejsou bez chyby.
"Druhý je totiž problémem vždy a to je zabezpečení služeb, které mají tyto hesla uložené.
Protože sebelepší heslo je k ničemu, pokud zabezpečená služba není vůbec bezpečná :)"
Dobrá myšlenka, souhlasím. Ale šifrování je dnes na velice dobré úrovni. Ukládání hesel je například integrováno i v prohlížečích a tam je to chráněno heslem uživatele Windows, takže na prolomení jednoho hesla potřebujete znát druhé. Což se pro útočníka tak komplikuje, že se dostáváme na stáří vesmíru, abyste prolomil dvě desetimístná hesla :) ukládání hesel "na cloud" je diskutabilní. Já mám doma papírovou podobu a na osobním PC zaheslovanou tabulku v excelu (s falešným jménem a příponou), která se zálohuje na NASko.
Jinak plně stačí pro bezpečnost hesla, aby bylo dlouhé. Je bezpečnější mít heslo "MujPesJeZeryk123" než heslo "Aq7#$dw", které si navíc nikdo normální nezapamatuje.
Odpovědět0 0
ukládání hesel na cloud je nebezpečné ve chvíli kdy cloud není odpovídajícím způsobem zabezpečen, jinak snad v dnešní době bezpečnost cloudu řešit nemusíme
i když, pokud budu mít kryptoměnovou peněženku ve které mám uloženo 100BTC tak ji taky na cloud nedám a raději ji uložím do studené zálohy, tedy na disk který bude fyzicky odpojen od sítě,
ale pokud mám hesla k běžným službám tak bych z toho strach neměl, správci hesel sami o sobě hesla šifrují end-to-end
a podobně by to mělo být i na cloudu, obsluha serverů v datacentru by neměla vidět co je na tom konkrétním disku pokud by ho vytáhly ze serveru, to je tedy druhá vrstva
samozřejmě že heslo MujPesJeZeryk123 je stejně bezpečné jako co jsem uvedl já, o#A2iG@w7Ls$J8kDf a navíc to tvoje je snadno zapamatovatelné
ale já se ještě řídím pravidlem, že nejbezpečnější je právě takové heslo které se nedá zapamatovat, mě jakožto obyčejnému občanovi to muže být jedno jaké mám hlavní heslo ke správci hesel protože tam nic důležitého nemám a tím myslím i svůj bankovní účet na kterém mám pár drobných,
ale na světě jsou různí lidé kteří obchodují se vším možným a nebylo by dobré aby takový člověk měl přístup k majetku firmy na firemní cloudu nebo na bankovní účet firmy přes heslo "word/pass@Eliška*2018"
ale to už je trochu extrémní případ
a vlastně v dnešní době už si nemusím pamatovat ani to hlavní heslo ke správci hesel,
stačí i to hlavní heslo uložit do toho správce hesel a pak všechny zařízení v mém případě 2 počítače +1 telefon + 1 tablet synchronizovat,
a když třeba budu dělat přeinstalaci OS a budu se potřebovat poprvé dostat k heslům, tak prostě vezmu telefon, najdu "hlavní heslo" a už se mi to synchronizuje i na PC s novým OS
Odpovědět0 1