» »

Večina ljudi ima eno geslo

Večina ljudi ima eno geslo

Slashdot - Podjetje BitDefender, znano tudi po istoimenskem protivirusnem programu, je izvedlo študijo o varnosti in raznolikosti gesel. Rezultati so žalostno pričakovani. Med več kot četrt milijona udeležencev raziskave jih je imelo več kot tri četrtine identično geslo za socialna omrežja (Facebook, Twitter, Orkut ...) in za elektronski predal.

Osebne podatke so zbrali z blogov, torrentskih datotek, spletnih orodij za sodelovanje in drugih virov, kjer trosimo osebne podatke ali pa jih je moč najti že zbrane. Od teh je bilo 43 odstotkov gesel objavljenih prek orodij za spletno sodelovanje, 21 odstotkov na blogih, 18 odstotkov na socialnih omrežjih in 10 odstotkov prek datotek torrent. Nadalje so odkrili, da je bilo od teh kompromitiranih uporabniških imen in gesel 87 odstotkov še vedno aktivnih. Žal v raziskavi ni podatkov, koliko gesel je identičnih tudi za elektronsko bančništvo, a predpostavimo lahko, da mnogo preveč.

44 komentarjev

gruntfürmich ::

za pomembne stvari imam dolga gesla, za forume se mi pa jebe.:))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

energetik ::

Enako tudi jaz. Kako naj si zapomnim N različnih gesel?

Modiano ::

kdo uporablja KeePass Pasword Safe?

hendriks ::

Modiano je izjavil:

kdo uporablja KeePass Pasword Safe?


Jaz. Super zadeva.

Netrunner ::

jaz tudi, pa imam ga v dropboxu, tako da imam gesla dostopna povsod.
Doing nothing is very hard to do... you never know when you're finished.

jlpktnst ::

Kje je point imet 100 gesel dostopnih z recimo enim geslom? Brezveze. Imaš toliko gesel kot si jih lahko zapomneš... Čimveč, vendar ne preveč.

Za manj pomembne reči pač lahko imaš eno geslo, za bolj pomembne imaš pa verjetno tudi username drugačen.

masterpsi ::

če dnevno uporabljaš različna gesla, pol se jih zapomniš. če pa jih vpišeš 1x in pol ti browser sam vpiše geslo verjamem da si ne moreš zapomnit. jaz jih vem cca. 20 - taka služba pač :s
Za osebno uporabo jih uporabljam pa 4različne.

gruntfürmich ::

Modiano je izjavil:

kdo uporablja KeePass Pasword Safe?

jst keepass samo kot shrambo gesel, ne kot linke do strani. bančne zadeve pa samo na listu.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Modiano ::

Main password more bit res dober..js uporabljam še key file..ampak vseeno včasih razmišljam če je smiselno met tok gesel na enem mestu..razn če ta zaklenjen fajl še šifriraš s true cryptom:)

Je pol to skor 100% zaščita...a.k.a. tabletke plus kondom:)

Modiano je izjavil:

Main password more bit res dober..js uporabljam še key file..ampak vseeno včasih razmišljam če je smiselno met tok gesel na enem mestu..razn če ta zaklenjen fajl še šifriraš s true cryptom:)

Je pol to skor 100% zaščita...a.k.a. tabletke plus kondom:)



To je blo mišljeno kot vprašanje?

Zgodovina sprememb…

  • spremenil: Modiano ()

jlpktnst ::

Ja če lahko ti prideš do nekje napisanih gesel, lahko tudi drugi. To je najlažji način za krajo.

Moja filozofija je, da je bolje imet pol manj gesel in jih vedet na pamet, kot pa imet 3x več gesel in na listu/v pcju.

matejdro ::

gruntfürmich je izjavil:

za pomembne stvari imam dolga gesla, za forume se mi pa jebe.:))

energetik je izjavil:

Enako tudi jaz. Kako naj si zapomnim N različnih gesel?


+1 Nekateri imamo malo bolj slab spomin :(

Tear_DR0P ::

če dnevno uporabljaš različna gesla, pol se jih zapomniš. če pa jih vpišeš 1x in pol ti browser sam vpiše geslo verjamem da si ne moreš zapomnit

ko sem sam poskušal te password lockerje uporabljat, sem tudi sam naletel na problem, da si gesel nisem zapomnil
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Steinkauz ::

Geslo+stran
Recimo
V@renPassw0rd!slo-tech
V@renPassw0rd!gmail

Vsaj tko mam jst povečini. Za brezvezne strani mam pa eno kratko geslo :))

matejdro ::

Sem pa enkrat videl pri prijatelju, da ima eno mapo gesla in noter gesla za vsako stran v txt fajlih (recimo partis.txt) :))

keworkian ::

Abeceda ftw! Tega se noben ne spomne!
Obscenities in B-Flat

gruntfürmich ::

enih 90 gesel imam vsega skupaj. zdaj pa drži to vse v glavi...:))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

blue ::

bookmarklet, ki za vsako stran naredi unikatno geslo.

alessio2 ::

Steinkauz je izjavil:

Geslo+stran
Recimo
V@renPassw0rd!slo-tech
V@renPassw0rd!gmail

Vsaj tko mam jst povečini. Za brezvezne strani mam pa eno kratko geslo :))

Imet ponovljiv sistem kot je ta za gesla, je tudi narobe.
Če ti kdo ugotovi "V@renPassw0rd", doda samo še "!stran" in ima vsa tvoja gesla.

LuGi ::

Na vseh forumih imam isti passw ker tam mi ne more nardit konkretne škode,.. in za vsako pomembno stvar je drug passw (ebay,pp,klik,on-lineshopi,gmail,..itd)

Zgodovina sprememb…

  • spremenil: LuGi ()

bosmla ::

Jaz mam vecina gesel zapisanih vendar jih zapisem sifrirano (moj sistem),da tudi ce bi slucajno prisel kdo do njih mu nebi veliko pomagale, ker nakljucnih nizov crk in stevilk ne mores desifrirat - v resnici sploh ne mores vedet, da so sifrirane. To seveda za pomembnejse stvari za ostalo ni skrbi.

bf4ed ::

LuGi fb ni pomembna stvar :P

LuGi ::

Zato sem popravil :)) je pa drug passw kot na forumih :D

DavidJ ::

Kako so pa izvedli raziskavo? V članku piše, da so pobirali podatke z raznih strani...

Meni tole smrdi po tem, da večina teh servisov shranjuje gesla v čistopisu in jih za potrebe podobnih raziskav prosto razkriva drugim. (Sicer je možno z uporabo enosmernih zgoščevalnih funkcij izdelati izvlečke (hash) in njih primerjati, vendar bi morali vsi ti servisi uporabljati iste EZF, kar se mi ne zdi verjetno.
"Do, or do not. There is no 'try'. "
- Yoda ('The Empire Strikes Back')

Steinkauz ::

alessio2 je izjavil:

Steinkauz je izjavil:

Geslo+stran
Recimo
V@renPassw0rd!slo-tech
V@renPassw0rd!gmail

Vsaj tko mam jst povečini. Za brezvezne strani mam pa eno kratko geslo :))

Imet ponovljiv sistem kot je ta za gesla, je tudi narobe.
Če ti kdo ugotovi "V@renPassw0rd", doda samo še "!stran" in ima vsa tvoja gesla.


Ja ma je težje pogruntat V@renPassw0rd+stran
Vsaj hash je povsod drugačen


DavidJ je izjavil:

vendar bi morali vsi ti servisi uporabljati iste EZF, kar se mi ne zdi verjetno.


Pomojem pa jih ni tko mal k uporabljajo PHP md5()

Zgodovina sprememb…

  • spremenilo: Steinkauz ()

alessio2 ::

Iz hasha ga ne dobiš.
Če je pa kje nekriptirano zapisano, pa ni težko pogruntant kakšno bo geslo za druge strani...

poweroff ::

Kako so dobili gesla?

Bi reku da dosti preprosto. Opice, ki nasedajo na viral marketing je mogoče prepričati še v kaj drugega.
sudo poweroff

Manu ::

Naletel sem na eno nemško stran, ki ponuja med ostalim generiranje in shranjevanje gesel. Če koga zanima... https://www.pidder.com/en/index

jlpktnst ::

bosmla je izjavil:

Jaz mam vecina gesel zapisanih vendar jih zapisem sifrirano (moj sistem),da tudi ce bi slucajno prisel kdo do njih mu nebi veliko pomagale, ker nakljucnih nizov crk in stevilk ne mores desifrirat - v resnici sploh ne mores vedet, da so sifrirane. To seveda za pomembnejse stvari za ostalo ni skrbi.


Kar dober sistem če imaš samo random gesla brez opisov :)

En problem ki se ga spomnem je da bi lahko en ki je to videl poskusil bruteforcat nekaj preprostih substitucij in permutacij teh gesel... čeprav ok, dost komplicirano - samo lahko da se jim userje :D Pač tudi tak listek je dobro skrivat, ja.

Zgodovina sprememb…

  • spremenil: jlpktnst ()

bosmla ::

@jlpktnst tudi z bruteforce ne naredis nic, ker niti tocno stevilo znakov ne mores vedet; gesla pa so apsolutno random ne pa slovar.

techfreak :) ::

Jaz ima večino gesel napisanih na papir, vendar je vsako posebej zakodirano z drugim geslom ... torej če pozabim geslo za stran lahko uporabim to dodatno geslo, ki mi omogoča odkodiranje prvotnega.

MrStein ::

poweroff je izjavil:

Kako so dobili gesla?

Po članku sodeč so jih harvestirali z blogov ipd.

Torej gre za folk, ki password napiše na blog, tako da ni čudno, da imajo potem še istega za več stvari.

Tak kot če bi intervju-ali 100 revežev in bi presenečeno ugotovili, da jih je večina nezaposlenih. ;)

Sam imam tudi na tone gesel, zadnje čase skoraj vsepovsod določim istega. Razen za pomembne stvari.
Sicer websajti nič ne sodelujejo. Prav pri vsakem moraš ime in geslo določit, če imaš smolo, novo, ker je staro že zasedeno (ime, geslo pač ne more biti, čeprav sem že videl sitem, ki je pri določilu gesla zavrnil, ker ima istega že en drug uporabnik :))).
Lahko bi kaki skupen sistem ala OpenID podpirali (čestitke Slo-tech ! )
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

gruntfürmich ::

poweroff je izjavil:

Kako so dobili gesla?


slutim kakšno grožnjo stranem iz kakšne organizacije za človekove pravice??:D:))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Bananovec ::

matejdro je izjavil:

gruntfürmich je izjavil:

za pomembne stvari imam dolga gesla, za forume se mi pa jebe.:))

energetik je izjavil:

Enako tudi jaz. Kako naj si zapomnim N različnih gesel?


+1 Nekateri imamo malo bolj slab spomin :(

To je ENA VELIKA LAŽ. Če bi ti šlo za življenje in bi ti rekel, da moraš vedeti [vstavi poljubno dvomestno cifro] gesel, ki imajo [vstavi poljubno dvomestno cifro] znakov ali pa te ubijem, bi si verjetno to zapomnil.

Vse skupaj je ena velika lenoba. To vem, ker sem tudi sam zelo LEN. Vem pa vsa glavna in pomembna gesla na pamet. Jih je pa okrog 10-15. Sicer so nekatera zelo na easy, druga pa bolj hard, ampak vseeno imam namen v jeseni preiti na popolnejšo zaščito, tam recimo 16 znakov.

Najti moraš samo dobro taktiko za vnos gesel.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

Zgodovina sprememb…

vorantz ::

Bananovec je izjavil:

Najti moraš samo dobro taktiko za vnos gesel.


Jaz jo imam, ampak sem prelen pa je še ne uporabljam :D

MrStein ::

Bananovec je izjavil:


Najti moraš samo dobro taktiko za vnos gesel.

Moja je "s prsti tipkaj po tipkovnici". ;)

Kaj pa imajo grožnje s smrtjo z gesli za forume in mail, pa ne vem, boš moral razlagati.

Aja, si mislil kot: Če bi ti s pištolo na tilnik grozili, bi ves dan mlinski kamen gonil? Aha, ok.

Z drugimi besedami: Če bi čebula če ne imela...

Back to topic.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

CyberPunk ::

Še večji problem je, koliko je strani (in to ne samo "garažnih forumov"), ki prenašajo username/password v plain-text nekriptiranem formatu... :(

techfreak :) ::

99% strani nima SSLja in prenaša u/p v plain-textu. Za server side pa verjetno ni toliko skrbi, ker večina strani uporablja skripte (phpBB, Joomla, WP, ...) ki poskrbijo za gesla.

Malcolm_Y ::

Sicer malo pozno, ampak bi še na eno zadevo opozoril:

kadar se registrirate na raznih storitvah, forumih,... vam ponavadi potrditev registracije pošljejo po mailu, v potrditvi pa sta tako up. ime kot geslo.

In če bi slučajno nekdo prišel do vašega maila, dobi posredno še mnoga druga gesla, ne glede na to, kaka so.

Pa še nekaj - marsikdo čekira mail z mobitelom, le-tega pa hitro izgubiš ali ti ga ukradejo.

Zato ni odveč pozornost, da bi lahko na najdenem telefonu kak sposobni najditelj marsikaj našel (moneta, mobilni klik, ne daj bog).

Evo, upam, da bo komu koristno.

techfreak :) ::

v potrditvi pa sta tako up. ime kot geslo.

Večinoma dobiš samo uporabniško ime. Pošiljanje gesla preko emaila ni nikoli pametna taktika.

opeter ::

Jaz uporabljam sicer eno geslo, vendar v različnih kombinacijah, kjer se številke in črke premikajo.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

PARTyZAN ::

http://lastpass.com/

Unikatno geslo za vsako spletno stran.

MrStein ::

techfreak :) je izjavil:

v potrditvi pa sta tako up. ime kot geslo.

Večinoma dobiš samo uporabniško ime. Pošiljanje gesla preko emaila ni nikoli pametna taktika.

Ni, ampak vseeno to počne kar nekaj spletnih strani.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

technolog ::

md5 naslova spletne strani in nekega salta? Dovolj dobro? :D

techfreak :) ::

Dokler nekdo ne odkrije salta.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Glavni razlogi za okužbe v podjetjih: elektronska pošta, družinski člani, pornografij

Oddelek: Novice / Varnost
3610896 (8975) MrStein
»

Kako so v praksi videti prometni podatki (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10545119 (38738) PaX_MaN
»

Priljubljen vektor za krajo identitete - pametni telefon

Oddelek: Novice / Varnost
259846 (7992) Roadkill
»

Tablične računalnike predvsem za igre

Oddelek: Novice / Konzole
205080 (3901) 49106
»

Odkrit botnet Zeus 2

Oddelek: Novice / Varnost
115155 (4114) RejZoR

Več podobnih tem