Hlavní navigace

Vlákno názorů k článku Vlna hacknutých účtů na Gmailu se dotkla i Česka od Petr Menšík - Třebas proto, že je naprosto nereálné, aby si...

  • Článek je starý, nové názory již nelze přidávat.
  • 22. 7. 2013 11:29

    Petr Menšík

    Třebas proto, že je naprosto nereálné, aby si pamatoval jeden člověk tolik silných unikátních hesel, kolik má na internetu účtů. Ta hesla lze uložit nikoliv do stránky, ale schránky, obvykle chráněné master heslem. Na jeho bezpečnosti a schování dat schránky to celé leží a padá. Trochu problém vidím v tom, že tohle se dá používat jenom na zcela bezpečných zařízeních, kde si navíc můžu instalovat svůj software.

  • 22. 7. 2013 11:56

    Filip Jirsák

    Ten nástroj pro správu hesel teoreticky taky může fungovat jako webová aplikace a být dostupný odkudkoli, můžete jej používat i na nezabezpečených zařízeních (samozřejmě s rizikem, že unikne to jedno heslo, které jste na zařízení takhle získal).

    Nebo pokud cílový web podporuje přihlášení účtem třetí strany (OpenID, Google Account, Facebook apod.), což je alternativa ke správě hesel, můžete se přihlásit i z nezabezpečených zařízení a kompromitace účtu nehrozí (ale během přihlášení samozřejmě zařízení může ovládat účet vaším jménem).

  • 22. 7. 2013 14:47

    MaT

    A proč stránce? Proč ne raději nějaké aplikaci, kterou máte nainstalovanou lokálně a ještě k tomu máte k dispozici i zdrojové kódy?

  • 22. 7. 2013 15:49

    x (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Pouzivat openid je varianta naprosto nejhorsi, protoze ztrata jedinyho hesla a dotycny je totalne v haji ... navic jeste jako bonus zjednodusuje smirakum jejich praci.

    Jediny rozumny postup je nejaky spravce hesel a generovat hesla. Bohuzel, cast stranek generovane heslo nezkousne (pokud obsahuje nepismenkove znaky).

    Jinak pro zajimavos, zazitek s M$ .... kolega, ktery ma ucet na jedne z jejich sluzeb onehda dostal mail, ze delka hesla byla omezena, na 8 znaku ... on mel heslo 12 znaku ... a vpohode se prihlasil. => jediny duvod = M$ uchovava vsechna hesla jako open text.

    => co web to heslo, a idealni i random login a vubec nejlip i nejaky random alias k mailu.

  • 22. 7. 2013 16:12

    Filip Jirsák

    Zatímco v případě správce hesel stačí ztráta jediného hesla a dotyčný je totálně v háji. Tedy v tomto není rozdíl žádný. Jako bonus si OpenID můžete provozovat sám, takže poznámka o šmírování je poněkud mimo.

    Zajímavost je hezká, ale nepravděpodobná. Pravděpodobnější je, že tu službu odjakživa zajímalo jen prvních 8 znaků hesla a zbytek byl na ozdobu, a e-mail o omezení hesla na 8 znaků bylo jen uvedení do souladu skutečné implementace a deklarovaných vlastností. Těžko by někdo speciálně nově implementoval omezení délky hesla a ještě pak ořezával heslo zadané uživatelem při jeho kontrole. Jinak pro zajímavost, pouze prvních osm znaků se bere v úvahu při použití unixové funkce crypt, tudíž u nejstaršího unixového formátu ukládání hesel, také v MySQL funkci encrypt() a také v PHP funkci crypt(). Tam někde bych hledal příčinu toho vašeho zážitku.

  • 22. 7. 2013 18:11

    x (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Spravce hesel vetsinou neni verejne pristupny na siti, ze ... narozdil od openid.

  • 22. 7. 2013 19:09

    Filip Jirsák

    Autentizační mechanismus OpenID taky nemusí být veřejně přístupný na síti. Naopak správce hesel může být síťově dostupný (ať už záměrně nebo chybou). Navíc v dnešní době je offline správce hesel pro pár jedinců, kteří používají jediný počítač. Většina lidí ale používá počítačů několik, tablety, chytré telefony -- a pokud by museli hesla neustále přepisovat ze správce v jednom zařízení do správce v druhém a pátém zařízení, letěl by brzo správce hesel z okna.

    Správce hesel provozovaný na počítači uživatele je závislý na tom, že je bezpečný ten počítač. OpenID je závislé na tom, jak bezpečný je provozovatel příslušné služby a jak bezpečně s ním uživatel zachází. Při volbě mezi zabezpečením počítače běžného koncového uživatele a zabezpečením serveru profesionálního poskytovatele bezpečnostní služby bych já na ten počítač koncového uživatele nesázel.

  • 23. 7. 2013 8:22

    Filip Jirsák

    To už záleží jenom na pojmenování. Já bych správce hesel, který zašifrovaný datový soubor synchronizuje přes síť, nenazýval offline.

    Vy ten lokální soubor možná máte plně pod kontrolou, to ale neplatí pro většinu uživatelů.

    Nějaký web nemusí ověřovat jen vaše (ne příliš složité) heslo, ale může taky ověřovat třeba OTP heslo nebo podpis vytvořený privátním klíčem uloženým na šifrovacím tokenu. To druhé je s offline databází hesel také možné, to první nikoli.

  • 22. 7. 2013 19:26

    Zizi (neregistrovaný) ---.jes.cz

    Jako správce hesel jedině offline verzi. Jinak nemůžeš mít jistotu, že tvůj PC neopustí příslušná data nezašifrovaná. Takže Keepass, a následně databázi hesel (již šifrovaný soubor, který sám o sobě nikdo "nerozlouskne") automaticky synchronizovanou skrz všechny použiívané zařízení (což dneska není problém díky sugarsync, dropboxu apod.)
    A mám jistotu, že nešifrované heslo je k dispozici výhradně lokálně a jen na nezbytně nutnou dobu (od vyvolání v programu do vložení ze schránky, maximálně na 10 sec). Jakou máte jistotu u webových služeb, že ty vaše hesla jsou skutečně chráněná a šifrovaná? co když nejsou a jen to "tvrdí"? Až je někdo hackne tak se začnou dít věci :-)
    Nene, není nad Keepass a lokální šifrovaný soubor, kde to mám plně pod kontrolou co se s ním děje, a hlavní heslo mám jen v hlavě a nemusí ho ověřovat žádný web :-)

  • 22. 7. 2013 10:35

    MMx (neregistrovaný) ---.eset.com

    Ja len nechapem, ako moze niekto v jednom clanku odporucat pouzivat na gmail heslo, ktore nepouzivam nikde inde, a zaroven ho prezradit na nejakej "trezorovej" stranke.