Zdravím, dotaz za 3 bludišťáky:
Jak řešite stále se rozrůstající kvantum hesel na fóra, net-obchody, banky a podobné…Mobil vs PC…jedno heslo/různá hesla…aktualizace/ jedno heslo navždy…psané v deníčku/ využití programu na správu
Případně pokud máte další tip na zajímavé programy na běžnou správu PC s přesahem do běžného života :-) sem s ním…
používám tohle
+1
Aktuálně 932 záznamů v 52 skupinách, některé záznamy jsou i celkem komplexní (závěrečná zpráva z hostingu atd), takže je nesmysl si to pamatovat jinak. Tyto věci z mailu hned mažu, kdyby se mi do něj náhodou někdo později dostal – kromě toho, že přidělená hesla stejně hned změním. Všechna hesla náhodně generovaná, ty systémy generování hesla z domény atd co tu někteří popisují jsou velmi lehko uhodnutelné a hlavně vůbec neřeší to, když nějaká služba vyžaduje spc. pravidla pro heslo, pravidelnou změnu atd. Pak přijdou přidělená hesla, která si nelze zvolit – různé PUKy atd a je konec.
Sync s mobilem dělám přes Syncthing (nejde to přes něčí cloud), svobodná alternativa k Bittorent Sync, i když není problém to dát klidně i na Dropbox, soubor s hesly je dostatečně šifrovaný.
+1
K tomu ještě výhoda zrychleného vyplnění přihlašovacího formuláře (Ctrl + V).
Ctrl+v je ještě slabý odvar od v defaultu CTRL, ALT+A (Global auto-type). To je teprve pro často používáné okna to správné žrádlo :-)
To jsem nenašel. :-(
Není to nějaká specialita verze 2.x?
Aktuáně používám 2.27. Nastavení je v tools/options/integaration. A pokud to chce člověk použít, tak musím mít u patřičného „Entry“ nastaveno „Target Window“ v „Auto-Type“. Potom stačí v příslušném okně s přihlašováním formulářem stisknout tuto „Global auto-type“ hot key a Keepass automaticky vloží patřičné credentials. Stačí jej mít spuštěný někde na pozadí.
Máš pravdu, je to i v 1.27…
+1
Klasickej TXT soubor a zašifrovanej. Nebo apk v mobilu Color notes.
Zašifrovaný TrueCrypt
Keepass v PC + Keepass2Android
Mám jedno složité heslo, které mám pouze v hlavě a z něho vznikají mutace různých hesel. Obyčejně je to přidáním podtržítka a nějaké zkratky.
+1, to samé pro každý server podobné heslo ale s nějakou mutací.
Nejsnazsi je unikatni heslo pro kazdy web, ktere si nemusite pamatovat.
Jinak LastPass.
Tohle se da snadno zneuzit pokud se nekdo dostane alespon k jednomu heslu a uhadne tvuj system.
Asi si to predstavujes jako hurvinek valku…
Nepredstavuju. Naopak o tom neco malo vim ;)
Už dlouho jsem spokojen s prográmkem Pins
Obecne vsechny pw agregatory jsou nebezpecny… aby jste se jednoho dne nedivili. Jedina metoda je pamet a naucit se hesla o random znakach min 20+ a pouzivat jeho variace samo ze co ucet to unikatni heslo, nebo aspon naky skatulky hesel… U tech pw agregatoru je to stejny, jak kdyby jste duplikat „vaseho“ klice od bytu nechali s dobrym svedomin na nadrazce v trezoru po celej zbytek zivota…
Tak nevim ale dostatecne zasifrovana klicenka s lokalne ulozenymi hesly mi prijde cajk.
Jinak hesla o randoim znakach jsou kravina, staci dostatecne dlouhe fraze (bezne kratke vety/souslovi).
Jasny ze neco jako //1234!@$!{"}dlouhaveta!@##$ je ok nemyslel jsem uplne random ;) Ono nejveci problem vidim v tom ze lidi hesla nemenej a pouzivaj x let stejny… jenze ty hashe ktery se vsude valej v zalohach z webu pred 5 rokama je strasne mnozstvi mno a vecinou jde o naky trapny hashe z pohledu dnesni technologie. Pokud toto aplikujes na budoucnost, tak ulozeni a zasifrovani v offline podobe je asi nejbezpecnejsi s tim, ze to cele konrolujes ty, nikdy nepustis online a budes dusledne vyhledavat neprolomene sifrovaci standardy neco jako je dnes AES.. (doufejme)… coz s prichodem kvantovych pocitacu nebude nic jednoduchyho ;)
„kdyzkpulnocidumnebesjest“ je stejne bezpecny a radove lip se pamatuje :)
Jenze ted k tomu pridej ty mutace pro kazdy web, aby to nemelo logiku a zaroven se to dalo zapamatovat.
Tak jasne, takovych hesel muzes mit jen par. Snazil jsem se vysvetlit, ze (pseudo)nahodna hesla jsou zcela zbytecna. Sam pouzivam na vetsinu veci Keepass s generovanymi hesly (a k tomu kolem desitky hesel, ktere znam z pameti a drzim zvlast).
Chjo..kdyby jsi byl porybnej, tak mas rybnik davno prazdnej..... Preci jde o to jakou metodou chces to heslo lamat jestli bruteforce nebo z hashe. Oproti bruteforce slovnikovy metode to sakra pomaha mit znaky v hesle… tim o xxx radu stezujes prolomeni a navic tim ze das znak je razem o xxxx kombinaci vice… vecina bruteforce riperu je zalozena na tom ze jako vstup udavas pocet znaku, jejich rozsah napr velke male, kombinace znaku apod. ve chvili kdy reknes ze chces zkouset pismena znaky cislice, tak se dostabas na nekonecne moznosti a tim padem tva sance je mala / resp to bude trvat dlouho.
Pokud tam budou jenom pismena a jen mala – heslo je o xxxxxx radu jedodusi prolomit pomoci bruteforce.
Ono tady sice michame jabka s hruskama pac oproti tomu pokud potrebujes dehashovat heslo z hashe – tam to jedno v podstate je resp zalezi jak kvalitni rainbow table pro dany hashe mas ;)
To co tady v te diskusi ctu je dobra nightmare… Presne to odpovida realite …pocaitace pouziva kazdy, ale gramotnych je tak 5% z nich. Tragicke… Na druhou stranu co by clovek cekal na bikovem foru v debatě ohledně bezpečnosti :)
Peace.
Cela pointa meho prispevku je, ze pri dostatecne delce hesla staci pouzivat jen pismenka ;) Za domaci ukol si zkus spocitat, kolik moznosti musi bruteforce utok vyzkouset pri delce hesla 24 (muj priklad) slozeneho jen z malych a velkych pismen ;)
Hele promin, nechci se hadat ani nikoho poucovat… mam toho v praci dost, takze sem rad kdyz nemusim bejt paranoidni i normalne… ale beru to tak, ze lidem by se nemela podsouvat polopravda pac si pak budou myslet ze to je ok. Tva uvaha o dostatecnem poctu znaku je sice ok, ale fakticky pri prlomeni hesla bruteforce metodou je rozdil v bezpecnosti hesla pokud ma a nema atip. znaky. Heslo o 16pozicich kde 8 z toho budou atip. znaky bude horsi na porolomeni nez heslo o 30 znakach jen pismen tj proste holej fakt.
Pokud rad laborujes zkus si neco zlamat bruteforce metodou a uvidis o co jde…
Takze tak… sorry za prudu, ale na me tyhle veci pusobi jak citron na oko.
Jj jakmile přidáš číslici tak je to o dost lepší. Třeba sedmimístné heslo bez spec. znaků a malých písmenech prolomíš za 13min. Jakmile přidáš číslici jsi na 3 dnech. Základní bezpečné heslo je prostě 8 znaků – malá a velká písmena, číslice.
Porad se nechapeme. Vtip je v tom, ze heslo o 30 pismenech je prakticky neprolomitelne. K tomu se radove lip pamatuje, takze si ho nikdo nema potrebu psat (dokud neni nucen ho menit kazdy mesic).
Jo, aten tvuj priklad neni moc dobrej ;) Rekneme, ze je zhruba 26 atyp. znaku, plus dovolime cisla.
30 znaku, jen mala pismena: 2630 ~ 2.8132e+42 kombinací
30 znaku, mala a velka: (2*26)^30 ~ 3.0206e+51 kombinací
16 znaku, povoleno vse: (2*26+26+10)^16 ~ 1.2934e+31 kombinací
Tolik k tvým „holým faktům“
Souhlas nevybral jsem spravny priklad ~ prevedeno na pocet radu, ale o to asi nejde, protoze to nic nemeni na faktu ze znaky cisla maji svoje opodstatneni v bezpecnosti hesla @ oprava mame heslo o 30 malejch pismenech a pak heslo o 30 random znakach – cas pro zdolani hesla v pripade jedna bude nohem kratsi nez v pripade dva, ale pokud si zaridis botnet je to celkem rychlee .. a na toto jsem reagoval… nic nerikam o zapamatovani jednoduchosti atd..... pokud se v tomto shodneme jsem jedine rad. Samo pokud chces polemizovat, tak mi klido napis pm nechci to tu spamit OT pac pro BFU jsou tyhle debaty asi o nicem.
Náhodou mě to celkem zajímá jak jej v tehle číslech proskolis :) jen mi to přijde posunutý někam k teoretické stránce věci. Vy se tady budete dohadovat, který heslo je heslovitejsi a ve finále pak data prodá nějaké zaměstnanec jako balíček převazany červenou stuhou.
Jine nez alfanumericke znaky samozrejme pouzivat muzes, ale je to zbytecne. Co je u hesla dulezite, je delka (na tom se shodneme). Pokud je dostatecne velka, heslo je bezpecne. Rekneme, ze vybiras ze slovniku 4096 slov, a pozivas jen mala pismena. (Pro zjednoduseni. Aktivni slovni zasoba pro prumerneho ceskeho mluvci je kolem 4000–8000 slov, pasivni pak 30 000 – 50 000. V cestine se navic pridava zmena tvaru sklonovanim apod.) Entropie jednoho slova je pak 12 bitů (212 = 4096). Pro čtyři slova je to už 248, což je vic nez pro 16 zcela nahodnych znaku (vcetne cisel a symbolu to da 1.2934e+31 kombinací, viz výpočet výše).
Mne proste stve, ze admini/firemni predpisy nuti lidi do kratkych hesel, ktere je relativne snadne zlomit, ale tezke si zapamatovat (a proto si je lidi radsi nekam napisou). Misto toho pozadavek na dostatecne dlouhe heslo (napr. slozene ze ctyr slov) da ve vysledku mnohem bezpecnejsi hesla (ktere si lide navic zvladnou zapamatovat).
BTW pisu to sice pod tebe, ale je to mysleno spis pro ostatni
nikdo nikoho nenuti do kratkych nezapamatovatelnych hesel. kdyz mas podminku, ze musi byt velka, mala pismena, cislo a delka alespon 8 znaku, vlezes se lehce do tech kriterii i s tvym dlouhym heslem. problem je ten, ze kdyby to bylo na lidech, daji si jako heslo nejlip jedno pismenko. ;-) napsat dlouhe heslo je pro 9 z 10 lidi problem. kdyz k tomu prictes, ze nekde maji nastavenou politiku po trech spatnych zadanich se zamce ucet…
proste a jednoduse – bezny uzivatel si snadnej zapamutuje nahodnych 8 znaku nez bezchybne napise zapamatovatelne heslo o 20 znacich. to je rozdil mezi akademickou teorii a praxi bezneho zivota. ;-P
Oni by ty 4 slova i pouzili, ale musel by jim (nejlip admin ;)) poradit, jak takove hesla vypadaji, a ze muzou pouzit treba ctyri slova z prostredka nejake sve oblibene pisnicky. (Teda pokud mozno ne vsichni z te stejne :-P) Kdyz jim das dvacet prikladu, tak to pochopi docela rychle :)
tak jeste jednou… problem je ta prilisna delka, proto je pro vetsinu lidi pohodlnejsi kratsi heslo. mam empiricky overene, ze lidi lip prijali nahodne generovanou a pridelenou zmet sesti znaku, nez kdyz se pak preslo na jinou technologii zabezpeceni a mohli si zvolit vlastni, minimalne osmiznakove, heslo splnujici stejna pravidla jako predchozi kratsi.
mne proste vychazi, ze obecne je vetsi problem napsat bezchybne dlouhe heslo (kor kdyz nevidis, co pises ;-) ) nez si zapamatovat kratsi smysluproste. ;-)
Problem bych videl v tom „splnujici stejna pravidla jako predchozi kratsi“.
tak naposled – problem je delka. :-)
pokavad heslo pouzijes jednou do tydne pro prihlaseni do banky, budiz. ale pokavad ho mas zadavat nekolikrat denne, trva samotne nadatleni dlouho, zvysuje se pravdepodobnost preklepu, s preklepem se cas zadani hesla minimalne zdvounasobi a uzivatel zacina byt nebo uz je nasrany, protoze musi zas psat to pojebane dlouhe heslo. ;-)
Když je uživatel trubka a nenechá si poradit správce hesel, který to vyplní za něj… tak ať je ********.
Sky Wallet v mobilu.
primo v blackberry telefonu mam spravce hesel, hodne povedená aplikace
Password Safe .. pc, android zdarma .. na ios je potreba zaplatit, jako skoro za vse
Většinu přihlašovacích jmen a hesel do internetových obchodů si za mne pamatuje Chrome.
podobne, sak co keby za mna niekto chcel napr na bike24 nieco zaplatit :-). nicmenej zopar ich tam radsej nemam a pamatat si to neni uplne easy :-)
Jakýkoliv program pro evidenci hesel je v dnešní době potencionální jízdenka do pekla.
Proč myslíš?
Větší než jedno heslo na všechno?
kolik tech dulezitych unikatnich hesel bezny clovek opravdu potrebuje? spravne by je mel taky cas od casu menit. kdo to dela? :-)
Cas od casu mozna jo, ale obecne se to hodne prehani.
spis bych rekl podcenuje. ;-)
Tak nevim, ale menit hesla cca kazde tri mesice, jak se v mnoha firmach deje, je kravina.
Je, ale bohuzel nektery audit klientu to tak vyzaduje. Pak to v realu uzivatele resi nalepenim hesel na monitor ci napsanim do kalendare.
to je ten lepsi pripad. ve vetsi spouste firem jen zmacknes power na kastli a vsechna hesla mas ulozeny v prohlizecu. ;-)
Povidej, prehanej.
provozujes si sam svuj mailovy server? jestli ne, je to taky svym zpusobem jizdenka do pekla. ;-)
Jako souhlas. V tomto kontextu už jsem potkal eshopy, které posílají username a heslo přes mail a to nejen nově generované, ale i po změně uživatelem. Co k tomu dodat.
Proč chodit tak daleko, že…
Sticky Password
Ale tady máš rozdíl v tom že to šifruješ ty a ne provozovatel.
