Názory k článku Jak jsem crackoval hesla z úniku Mall.cz

Super článek, pro mě opět další poučení a bourání zaběhlých mýtů

Velmi poučné aneb smarter every day!! Děkuji.

Skvělý článek Michale!

Mám účet na Mall.cz, znamená to že si mám změnit heslo?
Mám si tedy smazat ten texťák s heslama co mám na ploše?

Díky

Skvělý článek, Michale!

Rád bych znal tvůj nátor na na následující řešení ukádání hesel.

KeePass + db v Dropboxu + chráněno heslem z hlavy + klíčem v dropboxu.

Díky

V podstatě dělám obdobnou věc. Jen mi to nabourávají eshopy co chtějí 8 znaků, velké malé, speciální znak ... . Takže v důsledku na mě někdo může něco koupit, ale nezaplatí. Když to udělá, vím, že heslo je v tahu ... .

drobpox na citlivé data není, to radši tresorit.

Já používám opravdu trivialni hesla do eshopu. Hesla typu 123456. A je mi to jedno. Nikdy se mi to nevymstilo. Důležité věci mám chráněné náhodným vygenerovaným heslem + keepasem které používá taky hodně složité heslo s kusem vygenerovaného kódu.
Takže až to moje heslo bude někdo chtít, tak mu nezbude než si na mne kleknout a použít něco jako gumovou hadici. :/

Presne,
ja si klidne na Mall.cz dam heslo 123456 a je mi uplne jedno, kdyz nekdo zjisti, co jsem tam kupoval. Hlavne kdyz se to da jednoduse pamatovat a nemusim nikde lovit v zadnych seznamech. Dulezita hesla mam silna.

Navic i prijde, ze kdybych mel na kazdou pitomost jako je mall.cz otevirat nejaky password manager, tak spis zvysuju riziko, ze mi nekdo odhali ten password manager(at uz si pod tim predstavite cokoliv od papiru po sifrovanej soubor) celej, nez kdyz ho otevru 2x rok, kdyz je to opravdu nutne.

Nejen čeština ... V Evropě na poměrně malém prostoru žijí desítky různých národů a kultur, které používají desítky různých jazyků. Většina evropských jazyků se píše jak víme latinkou, tedy abecedou vytvořenou původně ve starověkém Římě k zápisu latiny a zajímavostí je skutečnost že v počtu písmen s diakritickými znaménky jsou Slováci, kteří porážejí Čechy 17:15. Této vedoucí dvojce dýchají na záda Francouzi, Portugalci a Lotyši. atd. Jedině angličtina se v Evropě obejde zcela bez diakritiky.

Jistě znáte https://xkcd.com/936/. Jak významně se níží bezpečnost hesla, pokud oproti "correct horse battery staple" použiji "correct horse correct horse"?

Nevím co řešíte. Čeština je krásný jazyk umožňující vymyslet zapamatovatelná hesla typu: ŠnuptychlJeUt­řinosoplenaTy­MouloUšatá.

Jaký smysl má klíč v DropBoxu? Kdo se dostane k DB, dostane se i ke klíči...

Jo kdyby v Dropboxu byla jenom DB a klíč na FLASH disku nebo na strojích, odkud se dá připojit, to by bylo jiný kafe...

Každopádně co rozhoduje o bezpečnosti je délka hesla a možnost diakritiky/jiné znakové sady (takový UTF8 s tím pocvičí hodně). Jenomže se vždycky najde idiot, který omezí délku hesla a stanoví přesně sadu znaků, který projdou (jako kdysi ČS - snad už to po letech fixli)

Taky nevím jak někdo může zneužít účet do eshopu, pravděpodonost významné škody způsobené tím, že mi někdo ukradne heslo do eshopu je limitně nula... :)

To jiste lze i v jinych jazycich. A pak vam napriklad pani z Microsoftu vezmou prvnich 6 znaku a zbytek pekne potichu zahodi.

Jeste lepsi variantou by pak mohlo byt totez, ale pri zapnute cinske ci arabske klavesnici. Pripadne muzete prepnuti klavesnice ucinit soucasti hesla a napsat 1/2 tak a druhou onak.

Jenze, ve skutecnosti takove hratky zajimaji mozna tisicinu promile lidi, kterym jsou hesla defakto vnucovana.

Prima článek a tip na password generátor princeprocessor.

Co asi většinu zákaźníků mallu nepotěší, bude pravidelný spam, protože získané aktivní email adresy jsou k nezaplacení.

pip.boy

RůžeProMáňuKe40 ? Máte pravdu i když Váš příklad docela silného hesla z mého pohledu heslem není .... Tvary hesel s 10ti znaky mohou být také přeci bezpečné, ale většinou postrádají pro většinu uživatelů zcela vnitřní logiku. Uživatelé s takovými - viz. Váš příklad - tvary hesel dřív nebo později bojují logicky s omezenou lidskou pamětí, protože už druhé a další heslo takového tvaru si někde musí napsat nebo v elektronické podobě zaznamenat a tím momentem už to není heslo ... Další otázkou je zdali při registraci provozovatel serveru umožňuje uživateli tvorbu hesel s vnitřní logikou pro uživatele i při možnosti 10 a více znaků ... Můj názor na tuhle problematiku je však takový že tuhle problematiku bezpečnosti může vyřešit v budoucnu reálně až použití např biometrie .. Jinak je to stále uzavřený kruh plný nástrah ..

Jak ještě dlouho, rok dva? Takže v roce 2024 tady máme nový únik dat z Mallu ... .

To není fér odpověď..

Způsob jakým realizujete své zabezpečení je z mého pohledu zcela nedostatečné, ne však kvůli Vámi používanými aplikacemi nebo jejich částmi, ale díky tomu že se považujete zřejmě ( myšleno bez urážky alegoricky ) s prominutím za vládce vesmíru ...

Nic bych nemazal,protože tenhle článek je o crackingu, kdy potencionální útočník už hash hesla získal ...

Platí že heslo, které se tzv. nikde jinde nepoužívá je silné jen tak dlouho,dokud se majitel hesla s gramatickou korektnosti nedozví o hash úniku

Presne,
ja si klidne na Mall.cz dam heslo 123456 a je mi uplne jedno, kdyz nekdo zjisti, co jsem tam kupoval. Hlavne kdyz se to da jednoduse pamatovat a nemusim nikde lovit v zadnych seznamech. Dulezita hesla mam silna.

Navic i prijde, ze kdybych mel na kazdou pitomost jako je mall.cz otevirat nejaky password manager, tak spis zvysuju riziko, ze mi nekdo odhali ten password manager(at uz si pod tim predstavite cokoliv od papiru po sifrovanej soubor) celej, nez kdyz ho otevru 2x rok, kdyz je to opravdu nutne.

Máte v podstatě pravdu, která je už, ale známá mnoho let .. Proto mne udivují příběhy z článku, které jsou stále po celém internetu jak přes kopírák .. Složitější to nastává až v momentě pokud na straně jedné uživatel (tvůrce) neumí složit ani svoje hlavní heslo ... Na straně druhé je tady nezajištěný server a v kontextu navíc k první i druhé straně vliv sociálního inženýrství v 21 století ... Z uvedeného názoru mne napadá středně zabezpečený hash / kokos21přizpůsobení / ze kterého prostě nejde na základě pokusu a omylu uhádnout heslo ...

Pravidelně doporučuji se kouknout sem. https://haveibeenpwned.com/ taky sem se tam našel, a ne jednou. Tom
Unik z Mall tam je již nahraný taky.

fornelasky :)

Přijde mi že demonstrujete sílu hesla s předpokladem, že heslo znáte. To je přece nesmysl: jako útočník přece nevíte zda uživatel použil jen velká písmena, jen malá písmena, kombinaci, kombinaci s číslicemi, kombinaci s speciálními znaky, zda použil slova a kolik atd.

Jistě, můžete začít s malými písmeny a hledat všechny kombinace do 6/7/8 znaků, popř. přidat velká písmena (zkusit nejdřív na začátku a konci) atd. Jenže... ono pokud to není jen zahashované md5, takový bcrypt vám sežere docela slušné množství času i při relativně malé síle.

Pokud to ovšem není tipař, který vidí novou telku za 30 litrů + adresu + telefon.

Pak stačí zavolat na takto získaný telefon pod nějakou záminkou, třeba že je z toho e-shopu a nesedí jim papírech výrobní číslo toho konkrétního spotřebiče. Pokud řekne zákazník, ať vydrží, že se mrkne, je doma. Pokud řekne, že ať zavolají za 10 minut, je v dosahu, nebo je v bytě někdo, koho se může zeptat. Pokud řekne, že si zítra vezme papíry od spotřebiče, můžesi ho volající jít "omrknout" osobně. A pokud řekne, že je přístroj na chatě, tím líp - máš jméno, stačí vyhledat v katastru.

Takto si limitní nulu nepředstavuju.

Bezpečnost hesla beru jako střední dobu, potřebnou k jeho lousknutí.

Pokud mám omezení na 10 znaků, nemůžu na květinářství hodit heslo "RůžeProMáňuKe40", ale musím použít nějakou zprzněninu, kterou s nezapamatuju. pokud jazyk bude mít 100k slov a v hesle jich bude 5, mám jenom v tomhle 100k^5, tj. 10^25 "symbolů". Každý ve variantách malýma, s malým na začátku, substituce,... a dá se ještě třeba posolit číslama. Při 10 ASCII znacích je to pod 6*10^19 kombinací.

Stran podpory UTF-8 a diakritiky, pokud mám nějakou doménu, kde není jasný jazyk, tak DB budu louskat podle toho, jak patrně mluví většina uživatelů (pokud není volba jazyka součástí uniklých záznamů), takže na .eu bych postupně poštval německý, španělský, francouzský, italský,... slovník a čeština přijde na řadu rozhodně až ve druhé půlce, pokud to za to vůbec bude stát.

A pokud to pomíchám, třeba "KatzeJeNěmec­kyKočka", pohoří na tom i CZ, i DE slovník. Tož asi tak.

"U hesel, tedy u krátkých řetězců s omezenou znakovou sadou, se nemůže stát, že by došlo ke kolizi a dvě různá hesla měla stejný hash." - Vážně?? To jako s naprostým klidem vážně tvrdíte? A obzvláště pak za příklad dáváte MD5??

Řekl bych že je to ještě horší - kdo ten pomalý hash počítá? Jestli javascript tak je to k smíchu řešení a jestli server, tak jsem si právě otevřel prima vektor k DDoS (jeden request co trvá dlouho zpracovat... Jako fakt...)

Řešení neznám.

Hash se pocita na strane serveru pomoci password_verify ( string $password , string $hash )

Ale není to vhodný hash pro ukládání hesel. SHA jsou obecně dělané na rychlé ověření shody, to je přesně to, co u hesla nechcete. Takové SHA-2 sto tisíckrát za sebou, to už by byla jiná diskuse...

Omezit heslo není rozhodující pro bezpečnost hesla samotného .. Naopak pokud se heslo na základě vnitřní logiky omezí s využitím diakritiky, spřežek a v případě latinky také množstvím speciálních znaků tak heslo je zapamatovatelné a to je skutečné heslo, protože splňuje jedinečnost - tvar .. Otázkou je zdali provozovatelé serverů tyhle tvary hesel podporují .. Pokud je heslo dlouhé jak píšete je sice silné, ale pro uživatele nezapamatovatelné což směřuje k opakující se situaci že takový uživatel žádá o heslo nové a mnohdy mj. právě prostřednictvím emailu který nemá většinou bezpečné zajištění ...

Nahrazovat SHA-2 ? A to jako proč? SHA-2 (ideálně se solí) je stále považováno za bezpečné i těmi nejparanoidnějšími asociacemi (PCI-DSS)

Já používám opravdu trivialni hesla do eshopu. Hesla typu 123456. A je mi to jedno. Nikdy se mi to nevymstilo. Důležité věci mám chráněné náhodným vygenerovaným heslem + keepasem které používá taky hodně složité heslo s kusem vygenerovaného kódu.
Takže až to moje heslo bude někdo chtít, tak mu nezbude než si na mne kleknout a použít něco jako gumovou hadici. :/

Což může na tebe nakoupit i bez toho hesla. Stačí znát adresu co se přečte z cedulky v ulici, na baráku a na schránce.
Dělat analýzu na heslech z eshopu je uchylné a zbytečné. Až si pán sežene tisíc hesel z keepasu nebo podobně klíčového systému, tak mne to bude zajímat.

Váš názor má na první pohled vnitřní logiku tedy tu vnitřní logiku kterou by mělo obsahovat každé heslo ... Nicméně ono heslo není přece už heslem pokud si ho jeho tvůrce není schopen zapamatovat ...

Ale prd. Nepovažuju se za nic extra. Chyb dělám tuny a bez problémů je uznávám. Jen co se týče bezpečnosti kolem problematiky hesel mám celkem jasno. Nic se nemá přehánět. A rozhodně nedoporučuju někam kde to nemá valný smysl psát hesla, podle kterých se dá odhalit analogie s master heslem někde v keepasu. A ano možná trochu arogantní jsem, mohu si to dovolit.

Příběhy v článku jsou z 2/3 ve vztahu k uživatelům (tvůrcům) hesel Hoax ..

Obávám se že zaběhlé mýty pouze prohlubuje ...