ale durne porady, jak mam używać managera haseł to po prostu może być losowy ciąg znaków, bo i tak tego nie będę zapamiętywał, a jak mam coś zapamiętywać to hasło "krowa teczka morawiecki fiut" jest równie silne co kombinacje typu "Skw3rekPotr@Fka" a dużo prostsze to zapamiętania
Hasła muszą być różne i nie mogą być trywialne, ale skupianie się na SILE hasła czy jego odświeżaniu jest błędne.
Bo wymóg tworzenia silnych haseł i ich regularnego zmieniania skłania użytkowników do ujednolicania haseł w różnych serwisach.
Co więcej - szansa że ktoś będzie łamał siłowo twoje hasla jest niewielka. Raczej będą sprawdzać hasła które wyciekły z innego miejsca, i będzie to operacja MASOWA niż celowana dokładnie w Ciebie.
@graf_zero: Dokładnie to. Ale admini trzepiący sobie do bitów entropii nie rozumieją, że user ma inne rzeczy do roboty niż zapamiętywanie miliona haseł w celu spełnienia ich fetyszu. U siebie w pracy mam 4 różne loginy, w tym dwa zmieniane co miesiąc (musi się różnić 3 znakami od 3 poprzednich haseł). Zgadnij jak wyglądają wszystkie hasła? "blablatajne999haslo", gdzie 999 to powtórzona trzykrotnie cyfra miesiąca xD
@zwykly_szpadel: Dokładnie... dlatego 7Kur0p@twa jest nie do zapamiętania, (a może to była 7Kur0p4tw4?) Za to złożoność wcale nie jest zwiększona o wiele więcej niż 7Kuropatwa. Algorytmy do łamania haseł "wiedzą", że ludzie podmieniają litery "o" na "0", "a" na "4" lub "@", natomiast "i" na "1", więc algorytm taki bierze hasło kuropatwa i sprawdza: kuropatwa Kuropatwa 1kuropatwa 2kuropatwa .. kuropatwa1 kuropatwa2 ...
w końcu: 7Kur0patwa 7Kurop4twa 7Kuropatw4 7Kur0p4twa <-bingo
Nie rozumiem tej mody na silne hasła. W większości miejsc gdzie twoje hasło coś znaczy, dostęp się blokuje po kilku błędnych próbach, więc te metody brute force chyba nie za bardzo mają sens. Jak ktoś zna twoje hasło to raczej przez wyciek z innego serwisu, lub sam mu je podałeś. Więc ważniejsza jest unikalność hasła niż jego siła. A już największym debilizmem jest tworzenie jakiś zaawansowanych walidacji w stylu "nie może być
@Bord: jak zapamiętujesz kilkadziesiąt unikalnych haseł? i jaka wg ciebie jest odpowiednia siła hasła? przecież gdyby nie minimalne wymagania serwisów to ludzie by sobie pewnie jakieś cztery znaki wstawiali i tyle
@orle: Jesteś w stanie to rozwinąć? Czy to jest maksymalny poziom Twojej merytoryczności?
Bo ja się tam z przedmówcą zgadzam. Te wyliczenia co są przedstawione w filmiku to opierają się na założeniu, że jedziemy brute force z maksymalną prędkością naszego kompa. Tymczasem już przy chociażby ograniczeniu, że możesz wklepać 1 hasło na minutę, to złamanie bardzo słabego 6 cyfrowego hasła zajęłoby 2 lata. Jeżeli zastąpimy to alfanumerycznym hasłem (bez znaków specjalnych
-Albo menedżer haseł, który "sobie gdzieś zainstalujesz" ale i tak do którego musisz się zalogować jak np. chcesz gdzieś wejść poza swoim komputerem. -Albo w opór długie hasła, których wpisywanie w aplikacjach/systemach, do których się logujesz, zajmuje wieczność i powoduje skręt palców.
A przyjdzie co do czego, to jak ostatni debil zalogujesz się do banku z podesłanego linku czy klikniesz w linka z SMSa i dalej jesteś w dupie
Jakieś banki/instytucje zabezpieczają swoich klientów/pracowników na wypadek siłowego wymuszenia hasła? Do głowy przychodzi mi jakieś drugie hasło które podajesz przestępcom za pomocą którego normalnie się logują, ale jest wysyłany alert do admina, strona wyświetla np. fejkowe konto twojego rachunku które udaje prawdziwe. W przypadku instytucji z jakimiś nieprawdziwymi danymi.
@PoIand: Nie robią tego. Żadna cywilna organizacja nie zakłada że pracownik będzie przedkładał swoje życie/zdrowie nad jakiekolwiek aktywa firmy. Tak samo jak pracownik banku podaje pieniądze jakie od niego zażądasz z bronią w ręku. Pracownik jeśli ma do czegoś dostęp to oczywistym jest że w sytuacji zagrożenia życia to poda. Jak będzie miał dobre i "złe" hasło, to poda dobre.
Jedyne co jest stosowane to analiza wzorców zachowania danego konta/osoby. Jeśli
Komentarze (252)
najlepsze
Specjaliści już kiedyś radzili korzystać z takich haseł jak to co sugerujesz, bo są łatwe do zapamiętania i bardzo silne
@dwugitofenobezlikusensolikum: źle! mają być niepowiązane słowa
Bo wymóg tworzenia silnych haseł i ich regularnego zmieniania skłania użytkowników do ujednolicania haseł w różnych serwisach.
Co więcej - szansa że ktoś będzie łamał siłowo twoje hasla jest niewielka.
Raczej będą sprawdzać hasła które wyciekły z innego miejsca, i będzie to operacja MASOWA niż celowana dokładnie w Ciebie.
Jeśli będzie celowana
A na końcu przychodzi 2 kolesi, mierzy do nas z broni i mówi - podaj hasło. Podasz? Ja podam. Nie ważne jak będzie ono skomplikowane.
Kłamczuch ( ͡° ʖ̯ ͡°)
kuropatwa
Kuropatwa
1kuropatwa
2kuropatwa
..
kuropatwa1
kuropatwa2
...
w końcu:
7Kur0patwa
7Kurop4twa
7Kuropatw4
7Kur0p4twa <-bingo
dodanie "#"
Bo ja się tam z przedmówcą zgadzam. Te wyliczenia co są przedstawione w filmiku to opierają się na założeniu, że jedziemy brute force z maksymalną prędkością naszego kompa. Tymczasem już przy chociażby ograniczeniu, że możesz wklepać 1 hasło na minutę, to złamanie bardzo słabego 6 cyfrowego hasła zajęłoby 2 lata. Jeżeli zastąpimy to alfanumerycznym hasłem (bez znaków specjalnych
-Albo menedżer haseł, który "sobie gdzieś zainstalujesz" ale i tak do którego musisz się zalogować jak np. chcesz gdzieś wejść poza swoim komputerem.
-Albo w opór długie hasła, których wpisywanie w aplikacjach/systemach, do których się logujesz, zajmuje wieczność i powoduje skręt palców.
A przyjdzie co do czego, to jak ostatni debil zalogujesz się do banku z podesłanego linku czy klikniesz w linka z SMSa i dalej jesteś w dupie
Do głowy przychodzi mi jakieś drugie hasło które podajesz przestępcom za pomocą którego normalnie się logują, ale jest wysyłany alert do admina, strona wyświetla np. fejkowe konto twojego rachunku które udaje prawdziwe. W przypadku instytucji z jakimiś nieprawdziwymi danymi.
Pracownik jeśli ma do czegoś dostęp to oczywistym jest że w sytuacji zagrożenia życia to poda. Jak będzie miał dobre i "złe" hasło, to poda dobre.
Jedyne co jest stosowane to analiza wzorców zachowania danego konta/osoby.
Jeśli