:]

Ciastka!

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

  •  

    pokaż komentarz

    Ale jak weźmiemy pod uwagę czas wpisywania hasła to już nie jest tak kolorowo...

    Swego czasu miałem trochę geekowski system podobny do pierwszego, hasło było w pewnym sensie łatwe do zapamiętania. Bierzemy sobie kilka liczb z jakiegoś charakterystycznego ciągu, np. Fibonacciego. Potem np. co drugą cyfrę zamieniamy na literkę (jeśli się da), dodatkowo w podobny sposób można pobawić się z wielkimi literami. Czyli z 011235 dostajemy o1i2e5. Algorytm jest łatwo zapamiętać i hasło zawsze możemy sobie policzyć ;)

    •  

      pokaż komentarz

      @trawiasty: Ja mam lepszy system. Masz jakieś stałe hasło typu oifjew0f9823, które masz już oklepane i zapamiętane. I w zależności od serwisu je modyfikujesz. Na przykład dodajesz 2 pierwsze litery nazwy serwisu na początku i ostatnią literę na końcu i masz: wyoifjew0f9823p. Główna część hasła jest w Twojej głowie (używasz jej wszędzie), a początek i koniec sobie łatwo ustalisz. I masz silne i różne hasła dla wszystkich stronek jakich używasz :D

    •  

      pokaż komentarz

      @suwer: Fak, czuję się shackowany :P

    •  

      pokaż komentarz

      @trawiasty: @suwer: Hasła podaliście - poprosimy jeszcze o listę usług internetowych, z jakich korzystacie. :)

    •  

      pokaż komentarz

      @suwer:
      Niegłupie. Chyba wdrożę Twój system :)

    •  

      pokaż komentarz

      @Glover: spoko, to tylko hasło do banku, konta z wykopu mi tak nie zabierzesz :P

      Edit: do systemu proponuje dodać liczby (np. na końcu długość adresu, liczba samogłosek w adresie, czy co tam chcecie :P)

    •  

      pokaż komentarz

      http://www.hcsl.pl/2010/03/superbezpieczne-hasa-zapisane-na-zotej.html

      fajny sposób, tylko po co robić karteczkę, skoro mamy klawiaturę (tablicę ze znakami) na biurku? wystarczy tylko zapamiętać kolejność generowania hasła, ostatecznie można tez obrócić klawiaturę o 180stopjni zeby mieć spację na górze a funkcyjne bliżej siebie, i pododawać literki z nazwami usług a shift wcisnąć co 3 literę lub co drugą itp.
      karteczki nie zabierzesz ze sobą wszędzie, a klawiatury są generalnie podobne do siebie.

    •  

      pokaż komentarz

      @gipek: Ani trochę nie fajny sposób. Wskazówka - na biurku leży Ci taka sama "żółta karteczka" o znacznie większej entropii. Nazywa się "klawiatura".

    •  

      pokaż komentarz

      @gipek: Takie hasła, nawet jeśli jest to jakiś dość równomierny rozkład znaków na klawiaturze, drętwo się wpisuje - po literce, praktycznie jednym palcem, drugim klikasz shift co n-tą literkę, i w dodatku musisz pod nosem odliczać klawisze (co drugi, albo co trzeci etc).
      Ja mam wymyślone, nieistniejące, dość długie słowo, które dobrze brzmi więc łatwo zapamiętać, a przede wszystkim zajebiście się je pisze na klawiaturze, praktycznie palce same się układają we właściwych miejscach - szczególnie jak już je wpiszesz kilkadziesiąt razy, to opanowujesz to do perfekcji. Zalety są takie, że raz - szybko mogę je wpisać, więc się nie denerwuję przy każdym logowaniu. Dwa, jak ktoś patrzy mi przez ramię, to przy takim szybkim pisaniu i tak nie ma szansy zobaczyć co piszę.

    •  

      pokaż komentarz

      @emkael: przeczytaj sobie na głos mój komentarz pod linkiem

    •  

      pokaż komentarz

      @suwer: Imho zdecydowanie łatwiej sobie wymyślić coś prostego np ala ma kota, napisać to razem, a potem przepisać prostym 1337em, czyli np,:
      414m4k074

      Dodatkowo można dodać wielką literę i wykrzyknij na końcu bądź znak zapytania:
      414M4k074!

      I już mamy trudne hasło stworzone, a do zapamiętania proste:
      ala ma kota!

      Do napisania jest to trudne na początku, ale kwestia wyuczenia.

    •  

      pokaż komentarz

      @voythas: problem w tym że l33t nei jest jednolity, co pokazuje sam przykład
      l33t = 1337
      i teraz przypomnij sobie na który dokładnie znak zamieniłeś ^^

    •  

      pokaż komentarz

      @dzemo: Żaden problem akurat, bo Ty stosujesz jeden. Nie ważne czy jest jednolity czy nie, każdy z nas zna go na swój sposób i z takiego korzysta. Te hasła są dla nas, nie dla innych, więc różne wersje 1337ów czy l33tów w niczym nie przeszkadzają.

    •  

      pokaż komentarz

      @voythas: Taki trik: bierzesz jakąś piosenkę hasłem są pierwsze litery, a na końcu doklejasz liczbę, którą łatwo Ci zapamiętać:

      "Marsz marsz Dąbrowski, z ziemi włoskiej do Polski
      za Twoim przewodem złączym się z narodem"

      Liczbą niech będzie rok odzyskania niepodległości - 1918

      Wychodzi - MmDzzwdPzTpzszn1918

      Zawsze łatwo sobie przypomnieć.

    •  

      pokaż komentarz

      @tellmemore: Pomysł dobry, jednak zdecydowanie wolę zapamiętać dwa słowa czy nawet jedno, ale długie i przerobić je na leet niż przypominać sobie piosenkę, dla przykładu wolałbym zapamiętać:
      marszdąbrowski
      m4r52d4br0w5k1

    •  

      pokaż komentarz

      @voythas: hmm, a ja uzywam jako haseł linijek kodu, zwykle ok 20 znaków długości - zapamietac łatwo, a większosć ludzi nawet jak im podyktuje to poprawnie wpisac nie umie ;)

  •  

    pokaż komentarz

    Em... no ale takie hasła są właśnie łatwe do złamania - brute forcem, można się po nich gładko przejechać słownikiem...

    •  

      pokaż komentarz

      @dziadekwie: oczywiście mówisz o sytuacji, gdy masz dostęp do systemu, który nie odcina dostępu/nie blokuje konta po kilku próbach? Bo statystyczny system w małej firmie po 3 próbie odetnie Cię od kolejnej próby na 30 minut lub dłużej. Oczywiście możesz się przejeżdżać słownikiem, ale musisz jakieś założenia przyjąć. Wystarczy, że ktoś dołoży cyferkę, znak specjalny, pobawi się dużymi i małymi literami i po ptakach. No i przypominam o 3 próbach!

      Co do bruteforce - policz sobie ile jest kombinacji dla 20 znakowego hasła, przy mocno ostrożnym założeniu że są tylko małe i duże litery. Powodzenia.

    •  

      pokaż komentarz

      @micra: Nie doczytałeś. @dziadekwie miała na myśli atak słownikowy, co znaczy, że nie tyle istotna jest ilość znaków, co ilość słów. Z tej perspektywy drugie hasło jest o kilka rzędów prostsze do złamania. Poza tym zaprzeczasz tezie zawartej w znalezisku, mówiąc, że powinno się jeszcze dodać cyferki. Znalezisko sugeruje właśnie, że dodawanie cyferek to nie jest dobre rozwiązanie.

    •  

      pokaż komentarz

      @dziadekwie: łatwe? :D
      z obrazka mamy: 2^44 = 17 592 186 044 416 możliwości
      Znalazłem że podstawowych słów angielskich jest 850, wszystkich w słowniku ponad 200 000 a nawet znalazłem info że z 500 000
      Nawet biorąc tylko te 850 mamy: 850^4 (4 użyte słowa) = 522 006 250 000. Czyli jakieś 33 razy mnie, ale to dalej daje kilkanaście lat łamania hasła.
      A jak byśmy wzięli bardziej rozbudowany: 200 000^4 = 1 600 000 000 000 000 000 000

      zobrazowanie:
      0 000 000 017 592 186 044 416 = 2^44
      0 000 000 000 522 006 250 000 = 850^4
      1 600 000 000 000 000 000 000 = 200000^4

      także jak chcecie trudne hasło to śmiało możecie stosować tą metodę

    •  

      pokaż komentarz

      @Dru: Zwróć uwagę że 27^12 (~27 znaków, dwanaście liter hasło) to jakieś 287534 razy więcej kombinacji niż 850^4, a hasło dużo krótsze.

      Edit. a znaków przecież więcej mam na klawiaturze, niż 27...

    •  

      pokaż komentarz

      @micra: Wystarczy, że ktoś dołoży cyferkę, znak specjalny, pobawi się dużymi i małymi literami i po ptakach.

      Właśnie dokładnie o to mi chodzi - wystarczy dołożyć cyfrę lub jeden wyraz niesłownikowy i zabezpieczenie staje się dużo lepsze.

    •  

      pokaż komentarz

      @dziadekwie: No ale kiedy właśnie o to się rozchodzi w tej grafice - jedno słowo spośród słownika to 11 bitów entropii (czyli wychodzi na to, że w słowniku jest 2^11 słów) - i w trudności złamania jest równoważne dwóm znakom specjalnym i cyfrze (2x4 bity entropii + 1x trzy bity). I cały jej sens polega na tym, że właśnie nie musisz niczego doklejać i udziwniać, bo zamiana małej litery na dużą dodaje tylko jeden bit entropii, nieporównywalnie mniej, jak równie łątwe do zapamiętania dołożenie jednego słowa.

    •  

      pokaż komentarz

      @micra: "oczywiście mówisz o sytuacji, gdy masz dostęp do systemu, który nie odcina dostępu/nie blokuje konta po kilku próbach". Zdaje się, że nie wiesz jak sie łamie hasła. To sie robi offline, na wykradzionym z systemu pliku zawierającym zhaszowane hasła (a na wykradzenie tego pliku sa różne metody wykorzystujące rózne dziury w systemach). Nic ci nie blokuje ani nie odcina dostępu, bo jest tylko twój program do łamania haseł i plik z hasłami do złamania...

    •  

      pokaż komentarz

      @emkael: ale jaką metodę łamania masz na myśli?

    •  

      pokaż komentarz

      @dziadekwie: Słownikową właśnie - to, że program używa słownika, nie oznacza, że korzysta tylko z "nieudziwnionych" słów. Oprócz szukania pośród słów w słowniku, dokonuje również dokładnie takich operacji, jak przestawiono w tej grafice - i złożoność obliczeniowa takiego procesu rośnie ilościowo również w podobny sposób - na zasadzie bazy reguł, określających przekształcenia, jakim poddawane jest bazowe słowo bądź zestaw słów: http://www.openwall.com/john/doc/RULES.shtml

    •  

      pokaż komentarz

      @lisu_: @Dru:

      Ale to na pewno nie będzie tylko 850^4, w 850 nie ma szans żeby było słowo typu 'battery' czy 'staple'.

    •  

      pokaż komentarz

      @GrammerNazi: Ok, trudno się nie zgodzić. Język angielski faktycznie ma coś koło 200 000 słów, idąc jednak tym tropem, moja klawiatura, licząc z wielkimi i małymi literami umożliwa mi wbicie ok. 100 różnych znaków. Wciąż
      100^12 / 200 000^4 = 625.
      Choć, jak widać, moc w tym przypadku staje się porównywalna. Kto jednak zna 200 tys. słów?

    •  

      pokaż komentarz

      @dziadekwie: http://www.wykop.pl/link/654147/czas-potrzebny-na-zlamanie-hasla-metoda-brute-force/#comment-4508275

      Wykopów na ten temat było już sporo, a że ktoś narysował to, co kiedyś już zostało napisane, to chyba nie jest warte wykopu...

  •  

    pokaż komentarz

    najgorsze jest to, że durni programiści/architekci/whatever czasami wymuszają, że hasło musi mieć wszystkie dziwne typy znaków - capsy, cyferki, specjalne itp niepozwalając tym samym na użycie bezpiecznego a jednocześnie łatwego do zapamiętania i wpisania hasła

    •  

      pokaż komentarz

      @qwertyu: A co mają zrobić jak GIODO wymaga?

    •  

      pokaż komentarz

      @kaziolek: nawet nie wiedziałem, że w GIODO jest taki wymóg, ale przypuszczam, że w dużej części przypadków jest to wymysł twórców stron/aplikacji nie mający związku z GIODO

    •  

      pokaż komentarz

      @qwertyu: To zawsze na końcu tego hasła możesz dodać np: F3, nie wpłynie to na łatwość zapamiętania, a jednocześnie "zaspokoi" wszystkie dziwne systemy i może nawet nieco podniesie bezpieczeństwo.

    •  

      pokaż komentarz

      @qwertyu: Bo nie wiedzą że im trudniejsze hasło wymagane tym większa jest szansa że będzie przyklejone do monitora na żółtej karteczce.

    •  

      pokaż komentarz

      @qwertyu: ta, i jeszcze żeby je co miesiąc zmieniać
      a potam się okazuje, że użytkownik ma hasło: kasia$$$$$$$$$$$$

    •  

      pokaż komentarz

      @dixx: Nie będzie miał, bo powiadomi Ciebie, że ciąg z hasła był używany w poprzednim haśle.

    •  

      pokaż komentarz

      @bns: jeśli powiadomi to znaczy, że hasło nie jest szyfrowane, tym państwu już dziękujemy

    •  

      pokaż komentarz

      @bns: hmm, ale to tak chyba działa w windowsie-mi kiedyś kobieta podawała swoje hasło i mówiła, że ma: "kasia i 6 albo 7 dolarów"

    •  

      pokaż komentarz

      @qwertyu: Wystarczy że hashe będą sie zgadzać -.-

    •  

      pokaż komentarz

      @qwertyu: Nie tylko plaintext da się porównywać

    •  

      pokaż komentarz

      @bns: @Wytry: @qwertyu:

      kasia$ - 933493c973b969e9314186ff5d147c7a
      kasia$$ - 92ac85cc309d6305301abb946f4225fd
      kasia$$$ - 7be77dd4a0ac927eb6d47178b197ab3c
      http://www.miraclesalad.com/webtools/md5.php

      kasia$ - 5922200e4b92d919d982b09d8bdc673f4e958779
      kasia$$ - 4c9d41945ae4af4c9d1ad742367a09d947ea0fc7
      kasia$$$ - 2be3905afea436003f260858b2108bcb80339d8f
      http://www.webcalc.net/calc/0502.php

      Nie trzeba być informatykiem, żeby potwierdzić coś empirycznie, prawda?

    •  

      pokaż komentarz

      @grishark: koledzy wyżej mają w 7.12% rację, jeżeli mamy kasia$$$ to wystarczy porównać hashe podstringów nowego hasła z hashem poprzedniego, czyli porównujemy:
      kasia$$
      asia$$$
      kasia$
      asia$$
      sia$$$
      itp

      To pozwoli wykryć sytuację, gdy nowe hasło to stare + jedna/dwie litery na końcu lub na początku
      Natomiast jeśli będzie się dostawiać znak gdzieś w środku lub podmieniać np. ostatni no to już ta metoda oczywiście zawiedzie

    •  

      pokaż komentarz

      @qwertyu: To podaj przykład na hash'ach jeśli możesz.

    •  

      pokaż komentarz

      @grishark: nie chce mi się liczyć hashy, będą jakieś losowe stringi zamiast md5:

      stare hasło: kasia$$, hash: ABC1 - i znamy oczywiście tylko hash

      nowe hasło: kasia$$$ - zaraz po wprowadzeniu hasła przez usera mamy je oczywiście niezakodowane i w tym momencie robimy porównania hashy postringów:

      hash(kasia$) = ABC2
      hash(asia$$) = ABC3
      hash(sia$$$) = ABC4
      hash(kasia$$) = ABC1 (!) <- profit, hash podstringa nowego hasła jest równy hashowi starego hasła
      hash(asia$$$) = ABC5

    •  

      pokaż komentarz

      @qwertyu: Ach, o takie coś chodzi! Przyznaję rację, takie coś musi zadziałać.

    •  

      pokaż komentarz

      @qwertyu: Ja od dawna stosuje sposób z wykopu, a na nadopiekuńczych adminów też mam rozwiązanie - zawsze wg. tego samego schematu w haśle jedną literkę mam dużą i jedną zawsze tą samą cyfrę na tej samej pozycji. I git. =)

  •  

    pokaż komentarz

    Ja mam haslo "unbreakable" i nikt go nie da rady zlamac.

  •  

    pokaż komentarz

    ciekawe czy moje hasło do wykopu jest trudne do złamania jak uważacie " jestemgejem"?

  •  

    pokaż komentarz

    Używam tego typu haseł od dawna i to nie prawda że długo się je wpisuje. Idzie znacznie szybciej niz jakies pseudo haxior hasła. Dla przykładu "lubiewypic3piwawpiatek" wpisuje sie szybko, brute force odpada a atak słownikowy tym bardziej.
    Swoją drogą pamiętam wszystkie hasła tego typu które miałem na przestrzeni lat. "jabłkawkoszyku", "goracaherbatawkubku" i tak dalej... :-) Polecam.

    •  

      pokaż komentarz

      Komentarz usunięty przez moderatora

    •  

      pokaż komentarz

      @InNomineSatanas: a moje np do jednej strony to: "Lë3?UA´bja?í/x?÷8ex¦?—}DMg¨?e?" wpisuje się je na komputerze niecałą sekundę.

      Ja to robię tak: keepass + dropbox + keepassdroid(jak ktoś używa smartfona)
      W keepass generuje hasło, i konfiguruję go tak, żeby po naciśnięciu ctrl+~ logował mnie sam na stronę.
      Bazę keepassa mam w folderze dropboxa, więc hasła są wszędzie zsynchronizowane.
      A zapamiętać muszę 2 hasła: do keepasa, i do maila(w razie czego, gdybym utracił dostęp do pliku z hasłami zawsze można wysłać przypomnienie na miala).
      Plusy:
      -nie masz nigdzie 2 takich samych haseł,
      -nie musisz pamiętać więcej niż 2 haseł

    •  

      pokaż komentarz

      @dixx: Minusy:
      - Twoje hasła zna właściciel dropboxa, twórca aplikacji, złodziej telefonu

    •  

      pokaż komentarz

      @Burza: Tylko trzeba pamietac o jednym. Wiele systemów pozwala ci wpisac dowolnie długie hasła, ale tak naprawdę "po cichu" przy sprawdzaniu hasła bierze pod uwagę tylko pierwsze np. 8 znaków, w żaden sposób nie dając tego po sobie poznac ;). I całe przekonanie o bezpieczeństwie wynikającym z tego ze masz np. 20-znakowe hasło idzie do piachu. Polecam dla testu spróbowac w róznych systemach przy logowaniu wpisac swoje hasło obciete np. do pierwszych 8 znaków... mozna się niemiło zaskoczyć...

    •  

      pokaż komentarz

      No i jeszcze jedno. Jeżeli system, do którego się logujesz, do haszowania haseł używa MD5 (co jest w tej chwili chyba najpopularniejsze), to hasz hasła ma 16 bajtów - więc ilośc możliwych "efektywnie róznych" haseł jest i tak ograniczona do ilości możliwych ciągów 16-znakowych...

    •  

      pokaż komentarz

      @gadaladalatatata:
      właściciel dropboxa ich nie zna, bo plik z hasłami jest zaszyfrowany głównym hasłem, którego (wg twórców keepassa) nie da się w żaden sposób odzyskać.
      Twórca aplikacji ok-ale lepsze to, niż powierzanie ich właścicielom serwisów internetowych-nie wierzę, że ludzie stosują różne hasła, a tak for the lulz sprawdzałem kiedyś czy hasła do mojego serwera pasują do maili użytkowników-jakieś 40% pasowało.

      Podobnie złodziej telefonu-pliku z hasłami nie odzyska.
      Gorzej, że mój telefon z androidem ma skonfigurowanego gmaila i złodziej telefonu może zwyczajnie wejść bez żadnego hasła na moją pocztę.

    •  

      pokaż komentarz

      @raj: Większość aplikacji jednak już używa SHA1 w którym kolizje są znacznie rzadsze.

    •  

      pokaż komentarz

      @gadaladalatatata: Błąd:
      - baza keepassa jest zaszyfrowana (dropbox nie da rady rozszyfrować jeśli masz dobre hasło do keepassa)
      - twórca aplikacji nie rozszyfruje bazy do której nie zna hasła (nie jest to "security by obscurity" tylko standardowy porządny AES). Keepass jest open source, gdyby miał luki w algorytmie szyfrującym, ktoś na pewno zauważyłby to.
      - złodziej telefonu również musi znać hasło do keepassa wiec znowu pudło.
      Porada: Jeśli nie wiesz jak coś działa to nie krytykuj tego.

      Nie rozumiem tylko za co zgarniasz plusy a kolega dixx minusy. Ignorancja króluje...

  •  

    pokaż komentarz

    Niektóre strony wymagają hasła które zawiera małe i duże litery, oraz cyfry i znaki, więc do końca nie można korzystać z tego sposobu ;)

  •  

    pokaż komentarz

    Prawidłowy link z tekstem po najechaniu myszką na obrazek.
    http://xkcd.com/936/

  •  

    pokaż komentarz

    Żeby złamać moje hasło potrzeba:

    It would take a desktop PC
    About 44 novemvigintillion years
    to hack your password

  •  

    pokaż komentarz

    wystarczy pisac typowe zdanka a wyrazy zamiast spacji oddzielac kolejnymi symbolami, np:
    "miota!nim@jak#szatan$", albo "rosja%to^stan&umyslu*" :)

  •  

    pokaż komentarz

    No dobra, to teraz niech ktoś mi wytłumaczy, dlaczego niektóre serwisy ograniczają długość hasła. Przykład - bank BZ WBK, można ustalić hasło tylko do 12 znaków... I jak tu stosować bezpieczne hasła?

  •  

    pokaż komentarz

    Wszystko fajnie pięknie, lecz niestety spora ilość durnych programistów daje limit na ilość znaków. Średnio 16. Ostatnio spotkałem się z 6-12 co spowodowało, że darowałem sobie zakupy w tym sklepie.

  •  

    pokaż komentarz

    A jak w bankach robią, że przy logowaniu wymagają tylko niektórych znaków z hasła? To znaczy, że trzymają gdzieś w bazie hasło czyste bez zabezpieczenia? Ewentualnie z dodaną jakąś solą?

    Szaleństwo.

  •  

    pokaż komentarz

    A ja mam 4 główne hasła i wystarczają, a jak na prawdę mi zależy żeby coś zabezpieczyć to łączę te hasła w jedno i powstaje 25 znakowe hasło. Fakt, że to same litery i cyfry ale póki co nikt mi się jeszcze nigdzie nie włamał :)

  •  

    pokaż komentarz

    Komentarz usunięty przez autora

  •  

    pokaż komentarz

    Twoje hasło jest mocne dopóki ktoś nie przystawi ci pistoletu do głowy i każe ci je wyjawić:D A propos haseł polecam last pass do przechowywania haseł na strony internetowe.

  •  

    pokaż komentarz

    Ja mam hasło "dupacyckidupa" i nikt go raczej nie złamie.

  •  

    pokaż komentarz

    Najlepsze hasło to i tak "spacja tab"
    szybko sie wpisuje dzieki charakterystycznym klawiszom, i nikt za Chiny nie złamie.

    ps na wykopie mam inne bo tab spacja