Nepodceňujte bezpečnosť konta

Nepodceňujte zabezpečenie vášho konta a zvoľte si zložité heslá. V poslednej dobe sa enormne začal šíriť spam pomocou hacknutých užívateľských účtov, videl som dokonca prípad, keď z admin účtu bolo napísaných veľa spamových príspevkov a bolo to na fóre tohto istého typu ako tu. Aj na toto fórum sa snažilo zaregistrovať už niekoľko tisíc spamerov.

• vaše heslo by malo mať minimálne 8-10 znakov. Ak má ísť o nejaké slovo, tak zvoľte také slovo, aby nikomu nenapadlo, že môže mať s vami nejakú súvislosť.
• v hesle nepoužívajte iba malé písmená, také heslo sa dá ľahko prelomiť, za pár sekúnd, najviac minút. Skombinujte malé písmená s veľkými, pridajte nejaké číslo (napr. dátum narodenia matky) a špeciálny znak, napr. pomlčku, výkričník alebo zavináč. Takto výrazne zvýšite bezpečnosť vášho konta a v takejto kombinácii je heslo prakticky neprelomiteľné.
• zvoľte také heslo, ktoré nepoužívate kade tade. Vaše heslá v databáze tohto fóra sú zakódované, ale ak sa tým istým heslom zaregistrujete na stránku, kde sa heslá nekódujú, tak útočník sa ľahko dostane aj sem.

• v hesle nepoužívajte iba malé písmená, také heslo sa dá ľahko prelomiť, za pár sekúnd, najviac minút.
• Vaše heslá v databáze tohto fóra sú zakódované
• zvoľte také heslo, ktoré nepoužívate kade tade.

Heslo len z malych pismen sa sice da prelomit za kratky cas(sekundy ale urcite nie, pokial to nieje slovnikove heslo alebo nemas 100 GPU), ale to len v pripade ze

• Utocnik pristup k hash-u z databazy
• Pouzity hash nebol navrhnuty na ochranu hesiel ale na kontrolu integrity a je preto velmi rychly(eg. MD5, SHA)

Ak utocnik nema pristup k hashu a teda sa snazi o online utok, je ulohov web aplikacie(fora) zabranit velkemu poctu pokusov, napriklad 10 min. cakanim po 5 pokusoch z rovnakej IP, pripadne pouzitim captche. Aj ked takato ochrana neexistuje, je online utok o neporovnatelne pomalsi, (asi milion krat)

 

A dufam ze pod 'zakodovane' myslis hashnute kvalitnym pomalym hashom a s nahodnym salt-om jedinecnym pre kazdeho uzivatela.

 

k unikatnym heslam: Nemyslite si ze ked ide o velku spolocnost urcite bude mat dobre zabezpecne hesla. Naprilad tesco sa nedavno vyjadrilo ze hesla ma dobre zabezpecene a desifruje ich len ked ich posiela emailom(Ak ich dokazu desifrovat oni, dokazeto to ktokolvek kto ma pristup k ich systemu, preto jednosmerne hash funkcie), to znamena ze vobec nerozumeju tejto oblasti.

Samozrejme, že útočník musí získať hash hesiel z databázy, čo sa nestáva tak často, ale keď ich získa, tak má prakticky všetko. A keď si niekto dá heslo "jano" alebo "1234" (zažil som také prípady a nie raz), tak takéto heslo sa dá prelomiť prakticky hneď.

 

 

Ak utocnik nema pristup k hashu a teda sa snazi o online utok, je ulohov web aplikacie(fora) zabranit velkemu poctu pokusov, napriklad 10 min. cakanim po 5 pokusoch z rovnakej IP, pripadne pouzitim captche.

 

To je zavedené aj na tomto fóre.

 

A dufam ze pod 'zakodovane' myslis hashnute kvalitnym pomalym hashom a s nahodnym salt-om jedinecnym pre kazdeho uzivatela.

 

Samozrejme. Či je to zakódované "pomalým hashom", to som nezisťoval, ale saltom je. To je myslím, že už štandard u každého komerčného software.

Väčšinu používaných hesiel možno prelomiť za pár sekúnd

 

Rozlúštiť heslá je pre útočníkov čoraz jednoduchšou záležitosťou. S modernými algoritmami a rýchlymi čipmi možno väčšinu hesiel prelomiť v priebehu sekúnd.

Analytici z Deloitte Canada tvrdia, že 9 z 10 hesiel možno dnes prelomiť v priebehu niekoľkých sekúnd. Tie zvyšné vyžadujú pre svoju náročnosť viac výpočtov.

Útočníci využívajú moderné algoritmy a čipy s výkonom, ktorý niekoľkonásobne predstihol možnosti spred niekoľkých rokov. Pri lámaní hesiel už nepoužívajú iba lokálnu výpočtovú farmu, ale aj cloud počítačov prepojených cez internet.

 

Už roky sú na špici najpoužívanejších hesiel „password“ a „123456“. Útočníci neskúšajú všetky kombinácie znakov, ale pracujú so slovníkmi a tabuľkami, ktoré proces výrazne urýchľujú.

 

Výskumníci z Carnegie Mellon University preto tvrdia, že istá skupina ľudí je pri lámaní hesiel vo výhode. Sú to tí, ktorí robia v slovách hrubky, preklepy a chyby. Tým sa vyhnú slovníkovým útokom pri lúštení hesla a útočníci musia prejsť na taktiku postupného skúšania kombinácií znakov. Gramatické štruktúry sú im úplne nanič.

 

Čítajte viac: http://tech.sme.sk/c/6671470/vacsinu-pouzivanych-hesiel-mozno-prelomit-za-par-sekund.html#ixzz2IWCvuSI2

JA som vás varoval!

Takyto utok ma vyznam len v pripade, ze by sa dostali priamo k db.

Dalsia vec je, ze nikto nebude platit drahy bonet, aby sa dostel k uctu na nejakom slovenskom fore :)

To je presne ten problem co som hovoril: MD5 a pod. nie su na hesla.

Na lepsich GPU sa da MD5 crackovat ~3G/s, takze obrovske slovniky (vsetky slova z wiki(743.5MB: 58427178 slov)) sa da prejst za zlomok sekundy. Ked k tomu pridas kazde s prvym pismenom velkym a na koniec 2 cisla tak ho prejdes za ~10s. K tomu nejaky slovnik typickych hesiel, ak je hash nie je saltnuty do 20s ~75-90% hesiel cracknutych, takmer nezavisle na pocte hashov. Ak je posoleny tak mas 75-90% ze 1 hash cracknes do 20s, priemerne teda asi treba ~14(nechce sa mi pocitat) s na heslo, takze pri 1000 hashoch, nesolene ~20s, solene ~14000s na rovnaky podiel cracknutych. Pri 10000: 20s: 140000s atd.

Ked robili sol nad zlato ani nevedeli jaku pravdu maju.

 

btw. botnet nie je tak drahy(par dolarov za hodinu, tusim 5$/hod. som videl s 15000 botmi, co bohato na tieto ucely staci) ale aj tak to nikto nebude robit.

MD5 kryptovanie je najrozšírenejšie, bežne sa používa na diskusných fórach. Z dôvodu, že MD5 nie je nejako extra bezpečné, tak sa osolí. Ale bezpečnosť sa dá zvýšiť zložitými heslami. Je rozdiel či máš heslo jano alebo sf0R6@-af!4qQb^g79. To je myslím, že bez debaty.