Co to znaczy “silne hasło”?
Вставка
- Опубліковано 18 чер 2024
- 🔐 Co to właściwie oznacza “bezpieczne hasło”?
Intuicyjnie czujemy, że powinno być długie. I skomplikowane. Litery małe, wielkie, cyfry, a do tego wszystkiego jeszcze dodatkowo, oczywiście, znaki specjalne: wykrzykniki, małpy, nawiasy i tak dalej. Ale czy to na pewno dobre podejście? Jak wymyślić hasło, żeby go od razu nie zapomnieć? A może wszystko co do tej pory mówiono nam o hasłach nie ma tak naprawdę większego znaczenia?
Źródła:
❓ Hasła: co robić, a czego nie? Krebs on Security
bit.ly/3ma12dd
✏️ Komentarz AviDa na stack exchange do odcinka xkcd
bit.ly/3mcvGCJ
📮 Password vs. Passphrase, Protonmail
bit.ly/3MtGJCx
🧊 Password vs. Passphrase, Shredcube
bit.ly/3xgMCP6
📂 FBI rekomenduje passphrase zamiast password
bit.ly/3xaxLW9
🙀 WallStreetJournal o tym, że twórca zasad tworzenia haseł był w błędzie
on.wsj.com/3NkJirM
📃 Lista 1000 najpopularniejszych słów w języku polskim
bit.ly/3alGRq6
⏰ Fakty i mity o okresowej zmianie haseł
bit.ly/3PXh9IW
🪒 Na pohybel skomplikowaniu, niech żyje passphrase!
bit.ly/3xaSol8
⌛ Czas, aby przemyśleć konieczność zmiany haseł, FTC
bit.ly/3xd5xdh
🔏 Aktualne rekomendacje GIST dotyczące uwierzytelniania
bit.ly/3x8xVvR
⏱ Źródło grafiki z czasem złamania poszczególnych haseł
bit.ly/391MlpU
📑 Lista najpopularniejszych haseł
bit.ly/3GN9uJ9
Jeżeli nie ufasz skracanym linkom (bardzo dobrze!) to dodaj na ich końcu plusik ‘+’.
W ten sposób podejrzysz na stronie bit.ly dokąd prowadzą.
Relevant xkcd: xkcd.com/936/ (wiem, zaskakujące)
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
Dziękuję za Waszą uwagę. ❤️
Znajdziecie mnie również na;
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Patronite @MateuszChrobok patronite.pl/MateuszChrobok
Podcasty na;
Anchor anchor.fm/mateusz-chrobok
Spotify open.spotify.com/show/6y6oWs2...
Apple Podcasts apple.co/3OwjvOh
Rozdziały:
00:00 Intro
00:33 Łamanie Haseł
05:13 Entropia
08:14 Password vs. Passphrase
10:40 Co wybrać?
13:08 Dobre hasło
14:58 Wygasanie haseł
18:47 Wygoda
19:59 Co Robić i Jak Żyć? - Наука та технологія
Moje hasła najczęściej świetnie chronią moje konta... przede mną.
Miałem już w żuciu takie akcje, że wszystkie czarny sprawdzone nie pasowały do ramki. A na dodatek przypominacz też już był na spalone kontakty.
To chyba mój pierwszy komentarz na jutubie, ale muszę :)
Lata temu miałem przyjemność pracować z Mateuszem. Pamiętam, jak w pierwszych dniach miałem mu w czymś pomóc, Mateusz podszedł do swojego PC i miał się zalogować do domeny, a potem po ssh na jeden z serwerów. Palce śmigają po klawiaturze, kropek w polu "hasło" przybywa... cisza przerywana jedynie dźwiękiem stukających klawiszy... przeleciała mucha... Mateusz dalej wstukuje hasło... ludzie w tym czasie biorą śluby, rodzą im się dzieci... stukanie... wiatr przedmuchał kolczasty krzew przez open space... stuk, stuk... i wreszcie jest - możemy działać. Mateusz spojrzał na mnie wyszczerzony - "no co? :D"
W ŻYCIU nigdy więcej nie widziałem żeby ktoś miał tak długie hasła. Zawsze i wszędzie.
Tak więc potwierdzam z ręką na sercu, że "practice what you preach" is strong within this one :)
PS. I jeszcze jedno! Raz Mateusz przyszedł do mnie z wyrzutem - "Michał, zmień sobie hasło na ten serwer. Ustawiłeś sobie asdqwe123 - rozpoznałem po hashu md5" :D
❤️ Tyle lat współpracy. Bardzo dziękuje! Przemiło mi się zrobiło i mam nadzieję, że jeszcze na piwie się spotkamy! xD Zupełnie nie pamiętam tej historii ale ubawiłem się 🤣😎
Fajne nazwisko. :D
Ja trafiłem na kanał p. Mateusza przypadkiem ale nie mogę się oderwać ponieważ ten człowiek nie dość że ma dużą wiedzę to jeszcze umie ją przekazać w super sposób brakowało tego na yt mam nadzieję że kanał będzie się rozwijał i będzie zawsze bo uważam że w dzisiejszych czasach jest to mega potrzebne dla społeczeństwa pozdrawiam i trzymam kciuki wszystkiego dobrego!!!
Ja co prawda nie widziałam nigdy Mateusza wpisującego hasło, ale chciałam się pochwalić że też miałam przyjemność z nim pracować 😊 a także potwierdzić to co już wybrzmiało a mianowicie że Mateusz to nie tylko profesjonalizm i chodząca kopalnia wiedzy ale do tego nie lada charyzma a także styl wypowiedzi, które to sumarycznie dają właśnie ten wyjątkowy efekt, który możecie zobaczyć i usłyszeć na filmach 😎
Ten film powinien być obowiązkowy na wszystkich lekcjach informatyki i dla wszystkich adminów :)
Ten filmik muszę podesłać administratorom w mojej pracy, bo każą co miesiąc zmieniać hasła, a kończy się to tak, że co parę miesięcy muszę prosić o odzyskanie hasła.
Jeżeli jako hasło wprowadzisz "*" to osoba próbująca je wykraść będzie sie głowiła czemu jest zakryte
200iq
hehe
Ja miałem spację przez długi czas
Podaję silne hasło zatem ***** ***. Słownie 5 gwiazdek 3 gwiazdki. Czemu jutub mi je cenzuruje? Zobacz sam. *****_*** ******
***** ***
Ale mega film! Dawno tyle się nie uśmiechałem słuchając. I tyle wycinków-cytatów z tego będzie! Dzięki!
Genialny odcinek, nareszcie ktoś powiedział to co powinni wiedzieć wszyscy. Jeśli ktoś zmusza mnie do zmiany hasła co miesiąc, bez istotnego powodu to także nie stosuję aż tak długich haseł, jak wtedy gdy nie muszę często zmieniać. W drugim przypadku standardem są hasła o długości przynajmniej kilkunastu znaków, które nie zawierają słów w żadnym języku lub żadnego popularnego ciągu liter i znaków oraz korzystają z całej "palety klawiatury". Po kilku, kilkunastu użyciach jakoś je zapamiętuję bo one dla mnie coś znaczą, ale jest to znaczenie zupełnie absurdalne dla kogokolwiek innego.
Jak miło, że CKE o nas dba i każe co 2 tygodnie zmieniać hasło 😎
Jeśli po zmianie hasła zdążysz się zalogować, to znaczy że system zbyt rzadko wymaga zmiany hasła. System do którego nie da się zalogować jest bezpieczniejszy, od tego do którego się da.
uwielbiam twoje filmy, robisz bardzo dobrą i porządną robotę. Dzięki
Takiej wiedzy w świetnej formie ludziom spoza informatycznego środowiska potrzeba 👍. Materiał wyjaśnia, porządkuje i przypomina to, co w cyfrowym życiu ważne. I użyteczna wiedza przestaje być niedostępna. 🔓
Mądre słowa. Chaos jest tu rozwiązaniem. Prawie jedyne w IT potwornie prawidłowe rozwiązanie. Przestrogi na miarę horror survival albo na odwrót. Nie ma wyjścia. Jak patrzę na podejście do haseł u mnie w pracy to jestem 🙆🏼
Ciekawy film. Jak zawsze
Arką Gdynią rozwaliłeś system 😂😂😂
Świetny film, a dodatkowo przystępny, jak zawsze.
PS: Policzcie ile osób się cofnęło\próbowało cofnąć w trakcie emisji (niestety tych wyciętych już nie policzymy 😋).
o! super! proszę Ciebie, Mateuszu i całą społeczność o ocenę mojego hasła:
***********
z góry dzięki!
ruchampsa
Za krótkie ;)
Robisz niesamowitą robote :) Pytanie: co myślisz o poczcie thunderbird?
Dobrze sie rozprawiles z wymuszaniem zmiany hasel.
Tak w temacie zmiany hasła, gdy z jakiegoś powodu jest polityka: "Twoje hasło jest zbyt podobne do poprzedniego" - też mi się otwiera nóż w kieszeni, bo wynika z tego, że hasła w bazie są trzymane plaintextem. Chyba, że o czymś nie wiem i na podstawie wartości hasha da się ogarnąć czy hasło jest podobne.
Wow jaki przemyślany kadr 👍
22:18 tabliczka z napisem sarkazm po prawej najlepsza xD 😆🫣
Wywalili mnie z pracy za takie uwagi ;D
Rewelacja!
Kurde, chciałem wykorzystać żart, z tym abyś podał sowje hasło jako przykład dobrego, a sam użyłeś go na końcu filmiku... Damn, krok przed wszystkimi :D
Podana formalna definicja entropii jest nieco niezrozumiała, ale praktyczna jest taka: entropia to liczba bitów do jakiej dałoby się skompresować nasze dane (tutaj hasło) z użyciem idealnego algorytmu kompresującego.
Np dane zawierające jakieś wzorce (aaa, 123, qazwsx, wyrazy ze słownika) mają niską entropię bo mądry kompresor (lub atakujący) mógłby znać te reguły, z kolei długie dane losowe mają wysoką entropię (żaden kompresor nie jest w stanie wymyślić żadnej reguły, bo te dane są losowe).
Na Cthulhu, dzięki za odcinek!
Mistrz 👍 👍 👍
Jesteś kozak. Ps: zabawni są bohaterowie drugiego planu w Twoich materiałach. Popatrz na reakcje przechodniów.
Dzięki
Thank you
Zastanawia mnie na ile podświadomie Twoje intro z młotem sprawiło, że ostatnio słuchałem mitologii nordyckiej ;)
Jest jeszcze metoda, że tworzymy sobie zdanie np.
Litwo ojczyzno moja Ty jesteś jak zdrowie
i potem hasło: LomTjjz
I tak dowolnej długości :)
Potrzebny jest bardzo unikalny tekst. Jeżeli ktoś wpadłby na taki sam pomysł, a jego hasło wycieknie, to narażamy się na atak słownikowy. Najlepiej połączyć kilka metod.
Pierwsze litery imienia i nazwiska ludzi których znasz wraz z ich wiekiem jest również jakąś metodą. Nie wiem tylko czy ze względu na wysublimowanie dzisiejszych możliwości stosowanych przez oszustów pierwsze litery imion najbliższych członków rodziny jest w porządku :D
U nas kiedyś w pracy hakowali hasło domyślne ekspresu do kawy. Potem pojawiły się bardzo ciekawe nazwy napojów :)
Musimy masowo pisać do banków, żeby umożliwili używanie dłuższych haseł! Np. Millenium daje 8 cyfr, BOŚ - 15 znaków, PKO - 16, mBank oraz Santander - 20, wygrywa dopiero ING z 32 znakami.
pytania, na ile pozwala a z ilu korzysta :D Widziałem system pozwalający wpisać 32 znaki, ale jako hasło do bazy leciało pierwsze 8 :D
Ja poszedłem na kompromis i tworzę swoje hasło wg algorytmu który tylko ja znam. To sprawia, że każde hasło jest unikalne i łatwe do zapamiętania, a przy tym odpada metoda słownikowa.
Jedno ale - jeżeli wycieknie baza haseł i będzie w niej kilka Twoich (pewnie zmieniasz) to poznanie algorytmu jest dość prostą operacją logiczną... w takiej sytuacji nie tylko obecne Twoje hasła, ale również przyszłe nie są bezpieczne.
Sam już od dawna nie liczę na moc haseł, ale bardziej na rozwiązania systemowe np. wiele kanałów weryfikacji.
@@TomaszLee oczywiście nie rezygnuje z 2fa ale uwierz mi, że nie będzie to prostą operacją logiczną 😉
@@podluka89 mimo wszystko nie ufałbym zbytnio algorytmowi. Praktyka pokazuje, że bardzo często przeceniamy siłę takich własnych algorytmów generowania haseł. Z większością haseł zmigrowałem się do managera haseł (tam gdzie ma to sens także z 2FA). Najważniejsze zasoby są dodatkowo chronione z pomocą U2F (o ile wspierają). I nawet to traktuję jako utrudnienie życia potencjalnemu włamywaczowi bo niezależnie od tego co zrobię, zawsze będą dostępne jakieś wektory ataku (niektóre zupełnie ode mnie niezależne).
@@podluka89 Złamanie enigmy było prawdopodobnie trudniejsze, a jednak Ulamowi się udało bez dostępu do obecnych narzędzi.
W praktyce Twój sposób jest ok, czepiam się akademicko ;)
ze co ? algorytmu ,ktory Ty znasz tylko ? czyli nakurwiasz systemem z czaszki ? LOL ja tez teak robie wymyslam znaki ,i haslo jest. najczescie to takie zeby mi sie kojarzyly latwo. ze slowami nazwami albo jakims dla komputera PROSTYMI do sutalenia wzorcami. Swietna metoda. hasło DUPA jest dobre
Świetny materiał. Jestem administratorem stanowiska w firmie mam zastępcę, Teraz jestem na L4 właśnie zadzwonił do mnie zastępca administratora stanowiska z pytaniem kiedy będę w pracy bo system mu wymusił zmianę hasła i niby zmienił ale chyba coś poszło nie tak bo teraz nie może się zalogować na to konto z nowym hasłem. Ktoś wyżej w firmie wymusił zmianę hasła co 60 dni, i historię haseł na poziomie 15 poprzednich a ja muszę słuchać że ludziom się już pomysły kończą :)
Polecam
Thx
Jak pracowałem dla wojska czy urzędów państwowych na ich systemach to hasło zmienić trzeba było co 25 - 30 dni. Jak się nie zdążyło to trzeba było dzwonić do ich centrali informatycznej po odblokowanie w celu zmiany hasła :-) Na domiar zabawnego jak się by 3x wpisało je błędnie, to w jednym wypadku przyjeżdża pion ochronny ŻW a w drugim ABW. Polityka więc o której mówisz działa dla wielu osób tak - że mieli hasła pod klawiaturą z datą zmiany lub na lepcu w szufladzie. Nie żebym mówił że wszystko tam jest z tektury. Do tektury ogólnie jeszcze trochę brakuje - pytanie teraz dla bystrzaków - od której strony brakuje :-)
Jakiś czas temu napisałem skrypcik, któy czytał słownik jezyka polskiego i na podstawie parametrów (długość docelowa hasła, długość słow) generował hasło złożone z losowych słow z naszego języka, do tego fukcja podbijania liter do wielkich i doklejania ciągów liczb/znaków specjalnych w losowych miejscach. Ogólnie jestem mega zadowolony z tego (a ile przekleństw poznałem przeglądając słownik to moje :D) ale niestety zupełnie nie nadaje się dla użytkowników nietechnicznych @MateuszChrobok znasz jakieś gotowe rozwiązanie tego typu?
Zaj*biscie dobrze i ciekawie sie tego slucha, dobrze gadasz :D
Wczoraj zakładałem konto w mbanku i na dzień dobry wielki czerwony error: Twoje hasło jest za długie ma mieć 8-20 znaków :D . No i przypomniał mi się ten filmik.
Apple WWDC - bylo i powiedzieli o "Passkeys" - bardzo chetnie bym posluchal co masz do powiedzenia na ten temat.
W 12:28 - 12:32 dzieją się czary 😆 A co do wygaszania haseł. Wykop od paru lat mierzy się z tym problemem, że są przejmowane konta użytkowników, najwięcej tych nieaktywnych ale i zdarzają się, że tych aktywnych też. Do dzisiaj nie zastosowali tego rozwiązania aby utrudnić możliwość przejmowania takich kont. Uparcie stoją na stanowisku, że problem ich nie dotyczy, bo wyciek miał miejsce w innych serwisach jak morele itp. W pewnym stopniu mają rację ale swoim podejściem do tego tematu nie wzbudzają zaufania swojej społeczności. Przez co aktualnie zmagają się z kolejną taką falą przejmowania kont pt. Pan Rumun w akcji. Jakiś czas temu ZagrajnikTV mający swoje konto na wykopie, padł właśnie ofiarą Rumuna.
Te czary to cięcie w montażu :)
Przekonałeś mnie wzywając mojego pana wiecznego Cthulhu !
komentarz dla twórcy filmu + lajk ku chwale i na pohybel algorytmom youtuba,niech Ci wirtualny stwórca w subach wynagrodzi.
Wszystko sie zgadza co powiedziałeś, ale co powiesz o temacie zmiane haseł w firmie co 30 dni? Stwierdziłeś po co zmieniać hasło jak to złudne bezpieczeństwo... co na to wytyczne rodo? Jak zrobisz audyt w firmie i tego nie masz tzn zmiany haseł co jakiś czas to audytu nie przejdziesz(pewnie w zależności od firmy audytującej).
Uf!
Dobrze, że Cthulhu nie wypowiedziałeś poprawnie.
3 Rzesza poza Jagermeisterem i Fantą zostawiła nam jeszcze dziwne i dla ludzi nie siedzących w temacie trudne nazwy pojazdów, dział i jednostek. To idealne hasła dla historycznych geeków. Sd.Kfz.142/2 zwyczajnemu zjadaczowi chleba powie nic, ale ty będziesz to kojarzył z działem samobierznym(bądź tłumacząc z niemieckiego "haubicą szturmową") StuH 42. Podobnie z PINami- różne rodzaje amunicji idealnie się do tego nadają. I od razu zaznaczam, w żadnym aspekcie nie popieram działalności narodowych socjalistów, jak i Sd.Kfz.142/2 nie jest moim hasłem
Ciekawe podejście! Bez skrótów byłaby moc.
spoko. ale spaliłeś :D
A, wreszcie rozumiem! Najlepsze hasło to "sarkazm". Mogłeś od razu to powiedzieć ...
Dwa pytania
1. Solidna forma "2 step autentification", co tutaj wybrać?
2. Potrzebuję prostego, całościowego rozwiązania dla rodziców (po 60). Jakiś menadżer haseł, jakieś 2 step, itd, ale prosty w użyciu i taki dostosowany trochę dla mniej technicznych ludzi. Coś godnego polecenia?
Robił już film o menedżerach haseł, polecam ;)
Szurek zrobił film o managerze, pełny opis wraz z instrukcją w pdf
Odp1 i 2: yubikey
Panie Mateuszu, jaki mikrofon Pan stosuje?
w przypadku passfraze można sobie zrobić coś takiego, aby dla nas przynajmniej jedno ze słów kojarzyło sie z jakąś liczbą lub znakiem specjalnym i w ten sposób stworzyć swoicty passfrazeword. Zwłaszcza jak tą powiązaną liczbę dodamy ani nie na kocu, ani nie po słowie, do którego nawiązuje. Powiedzmy, że mamy córkę Anię, urodzoną w 2002 roku. Hadło Ania02 jest krótkie i banalne słownikowo, ale już wm9ieszanie w to paru innych rzeczy...
Torttruskawkowyaniasuzuki02klawesynPompka - nadal daje się zapamiętać, a jest absurdalnie trudne do złamania.
Kiedyś używałem tęczowych tablic, dawało radę.
Firma w której byłem - nie dość że trzeba zmieniać co 90dni to jeszcze nie można zmienić wcześniej niż te parę dni przed tym jak jest informacja że zaraz wygaśnie.
Fajnie że temat został poruszony. Ale jest ale. Mimo wszystko uważam, że nie został poruszony jeden bardzo ważny temat który trochę rozmazuje entropię i jej znaczenie. Przykładowo sposób hashowania haseł. MD5 i NTLM nie są równoważne z chociażby SHA512. Już trudniej o chociażby birthday attack. A zmierzam do tego, że fajnie by było poruszyć "zaplecze hasła", bo to jest bardzo ważny temat i bardzo często omijany w tej tematyce a bardzo dużo wyjaśnia jeśli chodzi o bezpieczeństwo haseł, a raczej uświadamia.
👍🏼
Zostawiam komentarz taktyczny
👍
silne hasło to takie kiedy od razu wiesz, że to kiepski pomysł, jeśli próbujesz je przepisać ręcznie. uuid4 lub mocniejsze. argument o łatwości zapamiętania jest chybiony - od tego są programy do trzymania haseł. dobrze jest gdy nie mamy tego samego hasła do wszystkiego, a wiele łatwych haseł do zapamiętania, już nie jest łatwe do zapamiętania
a co z czasowym limitem błędnych haseł? wprowadzisz 5 razy błędne hasło czekasz 1h czy tam wiecej to coś utrudnia czy to też da się łatwo oszukać?
z tego, co wiem to kiedy wycieknie baza danych z hasłami, to atakujący może zgadywać hasła offline, więc Twoje rozwiązanie może nie pomóc
@@mateuszburniak jak wycieknie to po co ma zgadywać? poza tym wiele serwisów już po 3 błędach wymagają kontaktu z centralą, to sprawdzanie tysięcy haseł na sekundę to bajki
@nowy5, optymistycznie zakładam, że hasła nie są trzymane w bazie jako plain text, tylko zaszyfrowane
@@mateuszburniak tylko czy wtedy jest sens mówić o wycieku?
Cześć, czy pamięta ktoś jaką aplikację 2FA poleca Mateusz? Wspominał chyba o niej u Rocka i Borysa, ale nie mogę sobie przypomnieć :/
No i namówił. Ściągam menagera haseł 😁
Ostatnio zdarzyło mi się zapomnieć dosyć skomplikowanego hasła, jednak pamiętałem mniej więcej jakie znaki się w nim znajdują.
Jaki typ ataku można by wykorzystać do złamania hasła w takim wypadku? Atak słownikowy?
Pewnie brute force z jakimiś maskami.
@@janepko co to znaczy brut force ? wpierdol ? bo za moich czasow nauki brutt force to bylio wyejabnie dysku z kompa.
nie statystycznie macie po 3 nogi a średnio macie po 3 nogi ;)
Film sztos, czekam na kolejne!
mój ziomek używał haseł które składały się z pierwszych liter słów jego ulubionych refrenów rapowych, też jakieś rozwiązanie;D
22:18 piękny baner xD
TAK 😂❤
Odcinek jak zawsze pelny wartosciowej tresci.
Maly blad gramatyczny "uzyc dlugopisa" powinno byc "uzyc dlugopisu"
2Girls&1Cup - To moje hasło
Hej, super masz te filmy, a ja mam taki problem, na jednym z portali na którym dokonuje zakupów drobnych usług graficznych pojawił się duży kłopot z moim kontem. W tej chwili jest zablokowane. W celu weryfikacji mojej tożsamości suport prosi o podanie 6 pierwszych i 4 ostatnich cyfr dwóch moich kart kredytowych z których dokonywałem zakupów, podawać?, czy to bezpieczne, i czy oni w ogóle mają te numery ? z tego co wiem sklepy nie mają dostępu do takich danych. Dodam ze wszystko się odbywa na czacie firmy, , pierwszy raz mam coś takiego, jeśli ktoś coś wie proszę o odpowiedz. Dzięki.
pierwsze 4 cyfry karty to identyfikator wystwacy karty i banku
Chciałem zauważyć że jeszcze do dostępu gdzieś tam, trzeba znać też login, samo hasło nie wystarczy ;)
Jakto było w tym dowcipie : aktualne hasło wygasło , wprowadź nowe, różowa róża - hasło za krótkie , jedna różowa róża - hasło powinno zawierać litery i cyfry .... i tak dalej .
Password - hasło. Passphrase - zdanie zabezpieczające("hasłujące"). Chyba tak by to można było rozróżnić w polskim języku (który jest przecież dużo bogatszy niż język angielski. Tak abstrahując O ile lepiej brzmi "Kurła nie uruchamiaj mnie" od "kurła nie trigeruj mnie" :P ).
Mateuszu, musisz podesłać ten odcinek do Banku Millennium. Pisałem im kiedyś o tym, ale to skandal jaki tam jest sposób logowania. Hasło może być tylko cyfrowe i ma 8 znaków. Do potwierdzenia trzeba podać... PESEL, który w zasadzie jest daną publiczną... Żenada.
ale jakoś nie słychać afery o włamaniach na konta klientów
Start2022! - napisane na żółtej karteczce na kompie w pracy. Poza dwom osobami reszta wykłąda się na wpisywaniu tego co tydzień.
21:22 Właśnie, jaki jest w tym sens? Dużo serwisów ma to nadal i serio limity 16-20 znaków. W dzisiejszych czasach to jest żart.
Zrozumiał bym limit gdyby to było MAX 40 znaków .przez max 16 cierpią tylko metody pisania haseł
Super materiał, trafiłem tutaj dzięki Expertowi w Bentleyu, Twoja wiedza merytoryczna Mateuszu jest niesamowita!
ale kazika to ty szanuj
Na Cthulhu! :D
Oj, to chyba muszę to moje "admin1" zmienić ;-)
Nie do końca mnie passphrase przeonuje - atak metodą słownikową wydaje mi się być znacznie prostszy niż brute force.
Korzystając z managera haseł dobrze założyć, że kiedyś z jakiegoś powodu możemy stracić do niego dostęp.
Jeszcze gorzej, gdy korzystamy np. z ProtonPass i generujemy nim aliasy - jeśli z jakiegoś (trudnego do wyobrażenia) powodu stracimy konto, to tracimy nie tylko hasła, ale także maile do logowania.
Im dłużej o tym myślę, tym mniej jestem przekonany do korzystania z managera haseł jako jedynego miejsca ich przechowywania.
U mnie w pracy jest aplikacja zarządzająca dostępami... w której przez ograniczenia na hasło możliwych haseł jest 200...
Co ciekawe np. generatory haseł generują nie działające tam hasła, bo jednym z pkt. Jest długość od 9 - 11 znaków i co 3-2 litery musi być znak specjalny ( nawet jest określone która litera ma być wielka )...
A hasło wygasa po 14 dniach...
A może hasło związane z naszym hobby, zainteresowaniami itp., o których wiedze czerpiemy nie z internetu. Ponadto użyjemy mały dużych liter, cyfr i znaków specjalnych. Nawet jak ktoś w pełni włamie się do naszego komputera nie będzie tam danych (śladów) o nim. My zapamiętamy hasło gdyż związane jest naszym hobby lub jakąś informacją znaną nam
Jak robot może sprawdzać tysiące kombinacji haseł, jak zwykle już po 3 błędnych wpisach serwis zwykle blokuje dostęp do możliwości logowania?
Z tym wymuszaniem zmiany hasła to najszczersza prawda. I niepojętym dla mnie jest, że dział IT u mnie w pracy nie potrafi ogarnąć tego, że jak co miesiąc ludzie zmieniać 3 hasła, to hasło wygląda dokładnie jak w filmie przedstawione. Z 400 pracowników, to może 5 wie co to menedżer haseł...
Korzystając z okazji - może kolejny (jeden z kolejnych) film o podpisach elektronicznych? Czy one faktycznie są gwarancją? I co z polityką polskich firm, by UNID tych podpisów było numerem PESEL użytkownika?
Okresowa zmiana haseł w organizacjach jest chyba wymuszona jakąś unijną dyrektywą lub tym, że firma nie przejdzie corocznego audytu bezpieczeństwa. Tak powiedział gostek z IT w moim przedsiębiorstwie w Niemczech.
@@janepko U mnie nigdy się czymś takim nie zasłaniali. Zresztą, 3 hasła zmieniamy, a jakieś 3-5 innych nie.
Ta i uwaga na managera hasel google bo lami.
I jeszcze uzywaj linuxa jak mozesz 😅
A ja potam swoje hasło. Oto ono: GP%pUg*4U5n%*wtgy#B8PJ wystarczająco silne? No ja to już nie wiem.... :D
Swoją drogą ja pamiętam zaledwie kilka swoich haseł. Może 4, czy 5.... takie które są mi potrzebne np do pracy, czy do różnych komputerów. Resztę mam w menadżerze zapisane. Nauczyłem już żonę z tego korzystać, teraz chciałbym dziecko. W końcu jak ktoś włamie się na urządzenie dzieciaka to może w prosty sposób zainfekować całą sieć w domku. Słabo... i słabo idzie uczenie dziecka. Cóż... może jeszcze za wcześnie?
Zastanawia mnie jeszcze jedna rzecz - czy jeżeli używam 2FA do logowania się do jakiegoś serwisu, to czy atakujący mający dostęp do serwera takiego serwisu i znając moje hasło może wejśc na moje konto z poziomu serwera? W którym miejscu następuje wykorzystanie 2FA? Czy na serwerze, czy dopiero na końcówce klienckiej? Jeśli dane wyciekają z serwerów, to atakujący może mieć dostęp do nich. A jeśli ma dostęp, i ma z niego moje hasło i może wejść na moje konto, bo serwer go wpuści bez drugiego składnika uwierzytelniania.... to jaki sens w ogóle ma 2fa w takim przypadku? Trochę mi się to gryzie z logitką.
Bardzo silne hasło
Drobna uwaga - w hasłach nie mówimy o ilości możliwych kombinacji, a permutacji. W kombinacjach kolejność nie ma znaczenia, a w hasłach owszem.
Ja mam wykute w kamiennych tablicach i trzymam w piwnicy
Ja kiedyś miałem do banku takie hasło które zawierało pewne znaki, których użycie i kliknięcie "zaloguj" wywalało aplikację mobilną XD
Mam pytanie.
Lepiej jest mieć jakiś swój "system konstrukcji" haseł tak, żeby każde było inne, czy lepiej używać haseł generowanych przez manager? Tych drugich raczej nie będę pamiętał. Hasła są długie i dosyć skomplikowane. Używam managera haseł na swoich urządzeniach, więc raczej nie będzie problemu, żeby te hasła kopiować z managera.
Hasła przez managera. żadnych swoich systemów
@@Czqcha Dziękuję za odpowiedź 😃
@@Czqcha co, jeśli stracisz dostęp do managera?
Supermateriał123!
Całkiemspokohasłoalekońcówkatakasobie
liczba! liczba nie ilość! na "ilość" boską :D
Pracowałem kiedyś w globalnej korporacji, wymogi do głównego hasła do komputera były standardowe: x znaków, min. 1 cyfra, min 1 znak specjalny. Spoko. Ale! z racji mojego stanowiska i zadań, musiałem mieć dostęp do bardzo wrażliwego systemu, także zabezpieczonego hasłem. W pewnym momencie, ktoś wpadł na "genialny" pomysł, że jasło do tego systemu musi być _takie_ _samo_ jak hasło główne (pewnie chodziło o dodatkową formę identyfikacji, nie wiem). I też byłoby to spoko, gdyby nie fakt, że ów "ktoś" nie zauważył, że wymogi hasła do tegoż systemu nie dopuszczały znaków specjalnych :D Ergo: hasło1 musi mieć znak(i) specjalne, hasło2 nie może mieć znaków specjalnych, hasło1 = hasło2. :D:D:D Napisałem o tym do działu bezpieczeństwa, i dostałem odpowiedź, z której wynikało, że wszystko jest w porządku, takie są wymogi bezpieczeństwa :D. Po dłuższym zastanowieniu - to ma sens! Procedura dostępu do tego systemu była baaardzo skomplikowana, wymagała duuuużo samozaparcia i determinacji. Do tego wydaje mi się, acz nie jestem specjalistą od cyberbezpieczeństwa, że dostanie się do tego sytstemu przez osoby nieuprawnione było jeśli nie niemożliwe, to zapewne bardzo, baaaaaardzo trudne, a próby takiego ataku byłyby bardzo łatwo wykrywalne...
ja tam polecam poprostu slaczi na klawiaturze
A czy jest możliwość złamania zapomnianego hasła na zbiorze Winrar. Już drugi rok leci jak nie mogę sobie przypomnieć jakie hasło zapisałem tworząc to archiwum, ale pliku nie wyrzucam , mam nadzieję że kiedyś jakims sposobem
Bezpłatny RAR Password Unlocker
Nic po tej wiedzy, jeśli kluczowe osoby w danej organizacji są na nią odporne.
Znam firmę z wymuszoną zmianą haseł co 3 miesiące. Tamtejszy "dział IT" nawet sobie zdaje sprawę, że jest to idiotyczne, ale jak sam przyznał "dział prawny się uparł".
Wysyłanie żądania podania hasła smsem do osoby na L4 przez przełożonego jest standardem - w końcu czasem trzeba sprawdzić, czy na maila osoby nieobecnej przyszło coś istotnego, albo kierownik przyszedł z dzieckiem, które żeby się nie nudzić chciało pooglądać YT i pograć, a kierownik nie rozumie, że swoim loginem może się zalogować na każdym urządzeniu w organizacji.
Hasła na żółtych kartkach też oczywiście występują, ale to jeszcze nie jest szczyt głupoty w tym zakresie. Istnieje w firmie co najmniej jeden zeszyt z danymi do logowania m.in. na epuap prezesa. Zeszyt leży w szufladzie, która niby ma zamek, ale i tak nigdy nie jest zamykana.
To taka tam drobna lokalna firma budowlana mająca roczny przerób na poziomie od kilkudziesięciu do kilkuset milionów złotych.
Niestety, ale są takie przypadki, w których jedyną szansą na poprawę bezpieczeństwa byłby jakiś porządny atak, po którym ktoś może wyciągnąłby wnioski.
To, o czym nigdy nie mówi się w materiałach o sile haseł są logiczne podstawy rozumienia jakiekolwiek znaczenie wzmacniania haseł. Gdyby admini mogli po prostu zrobić czasową blokadę logowań po wyczerpaniu nieudanych prób zalogowania (coś jak w przypadku wbijania błędnego pinu), chętnie by to robili. Problem powstaje dopiero wtedy, gdy szyfrowane bazy danych stają się łupem atakującego: może bez blokad czasowych atakować hasło dostępu w interwałach nanosekundowych. Obejrzyjcie filmik o kolesiu, który poprosił specjalistę o odzyskanie dostępu do swojego cold walleta do kryptowalut. Obserwował on mikroróżnice w pomiarach czasu odpytywania dla każdego kolejnego znaku jakby mierzył zgrzyty w analogowym zamku. Wygląda na to, że hasła dają iluzję bezpieczeństwa tak jak do niedawna antywirusy :)
aha anonimowy koleś i brak źródeł uzasadniajacych swoją wypowiedź
ale przecietny obywatel nie zweryfikuje, czy to ma sens
@@dodatkidominecrafta4762 @Dodatki do Minecrafta Odpal sobie Password Cracking na kanale numberphile oraz How I hacked a 2m Bitcoin wallet na kanale Joe Grand.
Ja tam mam pass phraze z liczbami.
21:22 - PKO BP, PayPal - to o was
Passphrase for password protecting
Podpowiedź z listy pytań.... Hmm, Windows 11, gdzie jesteś? Mówią o tobie :D