Hesla, tisíce hesel. Většina webových aplikací vám nutí registraci, uživatelský profil chráněný heslem. Jak to řešíte?
Singleton
Jednoduché řešení je používat stejné heslo pro většinu těchto aplikací, ale pak mám strach, že když se zaregistruji na xy.cz, odevzdám tak dobrovolně své přihlašovací údaje na deset dalších webů (viz XKCD #792) Další možností je mít sadu 3–4 hesel pro různé weby s rozdílnou důležitostí… Ano přesně tak, nakonec to skončí tak, že vždy zkouším X hesel a nakonec to není ani (X+1)ní…
Síla hesla
Další zajímavost je kontrola síly hesla. Většina registračních formulářů má javascriptové udělátko, které kontroluje sílu zadaného hesla. Popravdě, nechápu jak to funguje. Nevím, jak je možné, že heslo ‚SelJsemDoLidluKoupitDveKofoly‘ je slabší než ‚c6D3#xd42‘. Na XKCD o tom vyšel před pár měsíci komiks.
Pokud sestavím jen heslo z písmen abecedy (26 znaků x 2) o délce 29 znaků, pravděpodobnost, že ho někdo uhodne je 1/46*29 = 1/1659499472763109991171612967522797815962278035456. Pokud navíc použiji různé znaky (tj. celkem cca 46 abeceda + 42 znaky a číslice) a heslo o délce 9 znaků, pravděpodobnost je jen 1/88**9 = 1/316478381828866048… O složitosti zapamatování snad ani není nutno mluvit.
Co s tím?
Pokud jde o SSH, stačí se přihlašovat pomocí ssh klíče, které je chráněno heslem. Jednoduché, heslo zadám jen jednou při spuštění, a můžu se přihlašovat na X serverů.
Ale co ty o zatracené weby?
Řekl bych, že je to zabitý. Jednoduchá metoda neexistuje.
První problém je použití vhodného jména (username). Nedá se používat jenom jedno, protože někde může být zabrané. Navíc někde se požadují jen písmena + číslice, jinde platný email atd.
Pokud jde o hesla, jejich automatické generování je naprd, pokud má každá stránka různé požadavky na hesla a to vygenerované nesplňuje požadavky (například délka je někdy omezená i shora). Občas se dokonce musí heslo změnit a to je úplný guláš.
Já osobně jsem nakonec skončil u programu, který mi hesla automaticky ukládá. Má to plno nevýhod (funguje to jen na mém notebooku), ale zatím to funguje.
Ještě mě napadlo prostě se nikam neregistrovat. Ale to je pro některé lidi nemožné.
Jediný jednoduchý způsob (který ale sám moc nepoužívám) je pomocí nějaké metodiky, kterou znáš jen ty.
Např. něco ve stylu "popiš logo, z výsledné věty použij počáteční písmena slov na přeskáčku velká a malá + číslice a interpunkce a vždy do věty vecpi minimálně jedno číslo a jednu interpunkci". Takže např. vlezeš na root, musíš se registrovat, tak koukneš na logo a řekneš si "2 céčka, co jsou do sebe divně zaklesnutý" a heslo máš "2c,CjDsDz".
Heslo tak máš pro každý web unikátní a je velká pravděpodobnost, že ho jen tak nezapomeneš (nebo si ho příště dokážeš zase odvodit). Samozřejmě je dobré mít pro jistotu nějaký správce hesel, který sice máš jen u sebe na NTB, ale lepší než nic.
Další možnost je používat nějaký synchronizovaný online správce hesel (dostupný kdekoliv a kdykoliv) s pluginem do prohlížeče - jen to má vadu, že dáváš hesla někomu jen tak do DB. :)
Preco by clovek mal skusat N+1 hesiel? Ja mam zvyk, ze mam rozne hesla do mojho pocitaca, na mail, k privatnemu klucu, do skoly, na weby s mojimi polo-anonymnymi prezyvkami (4 nicky, kazdy ine pomerne kratke heslo) a nakoniec na nedolezite weby, ktore nie su na bugmenot. Heslo na nedolezite weby byva qqqqqq, ked to dovolia; heslo k mojim prezyvkam byva na styl asdfgh. Ostatne hesla su dost dlhe, skoro-nahodne a podla javascriptoveho klikatka bezpecne. Vymyslam ich tak, ze sa mi cez noc sniva, ze som mal heslo napr PsWaVs#Lk2mN!j, tak si ho nastavim a velmi lahko zapamatam (co mi robi problem u PC-generovanych hesiel). Len je otazka, ako velmi su taketo hesla nahodne a ci to nesuvisi s niecim uz videnym, cim by sa ich bezpecnost vyrazne znizila.
Tento problem u mna vyriesil pwdhash, ktory z jedneho "master" hesla, ktore pouzivam vsade, generuje heslo pre kazdy web. http://crypto.stanford.edu/PwdHash/
Kolik mám už registrací, za ty roky, by jsem asi nebyl schopný dohledat. Ale na většinu nedůležitých webů (mimo můj zájem, jen sem se musel registrovat pro stažení, přečtení obsahu, položení dotazu) používám junk mail a heslo. Situaci s tímto loginem je již tak daleko, že o tomto přihlášení ví už dost kamarádů, používají je také k registraci
Vas vpocet pravdepodobnosti uhodnuti hesla je nespravny. Respektive je nespravny v kontextu veci, proto vam to porovnani hesel nesedi :) Pravdepodobnost uhodnuti hesla je zavisla mimo jine na metodice, jakou se dane heslo snazite uhodnout. Proto heslo obsahujici ruzne znaky o mensi delce je podle onoho "udelatka" silenejsi nez delsi heslo za pouziti mene znaku.
[9] tedy, opravdu by mně zajímalo při jaké metodice to např. u těch uvedených příkladů bude pravda... (tedy kromě situace kdy budete sestavovat slovníkova slova bez mezer a s pouze počátečním písmenem velkým, ale to je myslím globálně metodika dost na nic[tedy s vyjímkou uvedeného příkladu])
[1] Zajímavé, ale ne univerzální. viz [2]
[3] To jsem taky zkoušel. Taky zapomněl. Žádnou poruchu osobnosti mi ještě nediagnostikovali, jen ukládání hesla v prohlížeči způsobí, že na některé se přihlašuju z hlavy jednou za měsíc/rok.
[4] No, o tom jsem psal, N ~ 4. Problém je ale vzpomenou si, jaká to byla kombinace. Jestli jsem web tenkrát bral jako důležitý nebo ne. A k tomu N+1, to je fenomén, který pozoruju na klíčích: Mám 4 klíče, ale často je to až ten 5.
[6] [7] O LastPass jsem slyšel, zrovna ho zkouším. PwdHash vypadá taky dobře, musím si na to udělat čas.
[9] To věřím, pravděpodobnost nedávám, nepřemýšlel jsem moc o metodice. Nejspíš by "to dlouhé" heslo bylo náchylné na zkoušení permutací častých slov? I tak mi většina "kontrol síly hesla" přijde dost divná.
pouzivam asi 2 mesiace keepass po tom co som par hesiel zabudol a uz ich neviem uhadnut,
uklada vsetky hesla sifrovane pristupne cez master heslo, da sa na ne nastavit expiracia, obsahuje generator, pri vyplnani staci dvojklik na riadku => heslo staci pastnut na stranke, koli bezpecnosti ho po par sekundach z clipboardu odmaze
mam ho so sebou na usb kluci ako privesok na klucoch, opensource, bezi na viacerych OS aj mobiloch
pokusy o pseudogenerování jsem vzdal - hesel už je moc :)
pak záleží, jak často tam chodím - pokud častěji, nějaké heslo vymyslím/odvodím a zapamatuju (jen pár webů). pokud méně často, vygeneruju náhodné heslo a uložím do browseru. a když jsem náhodou u cizího pc, použiju funkci zapomenuté heslo. hesla jsou náhodná, silná.. v browseru schovaná pod master heslem. automaticky se na většině webů doplní :)
[6][7] Vyzkoušejte také http://www.passwordace.com - online generátor hesel na bázi údajů o cílové stránce a master pass-phrase. Každý komentář vítám:-)
[6][7][11] Lastpass je SUPER. Používám ho už tak 2 roky v Premium verzi. Sdílím některé položky s ostatními lidmi, když změním heslo, dozví se změnu také. Je to naprosto kompletní a dostatečné, co se týče hesel do browseru. Má integrovaný generátor hesel, takže při registraci zadám Alt-g a pokračuji + potvrdím heslo pro lastpass.
Má spokojenost je úplná a nic mi na lastpass nechybí.
"nakonec to skončí tak, že vždy zkouším X hesel a nakonec to není ani (X+1)ní…"
Zamyslel sa niekto nad tymto?
Ked skusim viac hesiel na web, lebo si nepamatam, ktore heslo som tam povodne zadaval, davam vlastne k dispozicii (do logu) hesla ktore pouzivam na ostatnych strankach.
…
Přečteno 9 919×
Přečteno 8 529×
Přečteno 7 890×
Přečteno 6 440×
Přečteno 6 009×