» »

Večina gesel ni varnih

 RockYou celo ni dovoljeval posebnih znakov

RockYou celo ni dovoljeval posebnih znakov

vir: HotHardware
HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
  • 123456 (290,731)
  • 12345 (79,078)
  • 123456789 (76,790)
  • Password (61,958)
  • iloveyou (51,622)
  • princess (35,231)
  • rockyou (22,588)
  • 1234567 (21,726)
  • 12345678 (20,553)
  • abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000 primeri uporabe), poleg vsega pa je skoraj polovica vseh gesel kar ime osebe oz. popularna fraza, kar pokažejo primeri iloveyou in rockyou (ime strani za geslo) oz. Nicole, Daniel in Michael na 11., 12. oz. 17. mestu. Rezultati analize so pričakovani, pri Impervi priporočajo uporabo vsaj osmih znakov, ki naj ne bodo le črke in številke, temveč tudi ostali znaki (npr. !"#$%), črke pa naj bodo mešanica velikih in malih tiskanih. Geslo naj ne bo tudi osebno ime ali poznana fraza, pogosta napaka, ki naj bi se ji uporabniki izogibali, pa je še uporaba enega gesla za vse račune. Celotno poročilo analize si lahko ogledate v dokumentu PDF.

46 komentarjev

Timmah ::

hehe vsa gesla iz prvih 10 so nekako pričakovana edino, ki me nasmeje je princess =)ja drage moje, kar mislite si da ste princeske =)
Stupidity killed the cat. Curiosity was framed.

Matrin ::

zanimivo da je 12345 za 123456, čeprav je krajše. :P
Js sem bolj pameten, js vzamem 967296 :P.

Zgodovina sprememb…

  • spremenil: Matrin ()

updx ::

haha, zakaj pa ne dajo tako da moraš vnesti številke in črke kot imajo nekatere strani.

butl4d ::

Moje geslo za prijavo na tej strani je 123456, pa se mi zdi da je še prekomplicirano, glede na vsebinsko pomembnost. :)


Sem moral preveriti, če je res.

Lp
Neki Neznanec

Zgodovina sprememb…

  • spremenil: butl4d ()

Roadkill ::

In other news: Večina ljudi je računalniško polpismenih.
Ü

globoko grlo ::

kje je pa qwertz ?

masterpsi ::

http://www.passwordmeter.com/

moram priznat, da je večina mojih gesel pod 30% sodeč po tej strani

PIPI ::

kje je pa qwertz ?

V tujini je QWERTY bolj pogost, zato ni QWERTZa.

Ales ::

Ne vpisujete menda svojih pravih gesel na straneh kot je passwordmeter.com?? ;((
http://www.modronebo.net
Domene, gostovanje, strežniki, design

jlpktnst ::

marsikje imajo zahtevano dolžino 6 mest, zato 123456.

Sicer pa se strinjam z zgornjim, sploh nisem opazil da je princess med njimi :) Dandanes itak so princeske do 35-tega.

Chelios ::

Nekaj časa sem jaz tudi uporabljal numeric gesla .. ker sem jih lepo z eno roko natipkal na numpadu, potem pa sem prešaltal na prenosnike pa ni bilo več tako lepo in sem zamenjal vsa gesla :D nisem pa nikoli uporabljal zaporednih števil ampak naključna dolžine 10+

Sicer pa, ko je že debata o geslih raje ne govorim o varnostnih vprašanjih, ne vem koliko krat sem prišel v mail marsikoga samo s tem ... kao hacker ja ... lol :D super a?

Še bolj zanimiva pa je ta zadeva ...
http://hr-cjpc.si/pravokator/index.php/...

Torej zakonsko podpirajo te zadeve? Fail :)) Glede na to, da če imaš geslo ne vdiraš ampak se prijavljaš. Ko bi vso zakonodajo tako "popravili" ... :))
Just juice me!

techfreak :) ::

Ne vpisujete menda svojih pravih gesel na straneh kot je passwordmeter.com?? ;((

Maš prav. Kaj se pa gredo uporabniki ki tako veselijo delijo gesla s svojim računalnikom. Ko pa vedo, da imajo lahko gor trojanca.

Chelios ::

Rabiš Perfect Keylogger? Aja sej že imaš nameščenega ... :D:D:D
Just juice me!

Bistri007 ::

Kako pa to, da so imeli shranjena originalna gesla in ne samo hashev???
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Chelios ::

Profesionalci pač :D ... sej to ni osamljeni primer.
Just juice me!

techfreak :) ::

Rabiš Perfect Keylogger? Aja sej že imaš nameščenega ... :D:D:D

Ni Keyloggerjev za OS X. Ampak še vseeno ne vidim, kakšen security risk predstavlja PasswordMeter.

KoKi ::

Dandanes itak so princeske do 35-tega.

Ter princi do 61.

Se pa spomnim ene fine zgodbe. Po dolgem času je na en (slabo obiskan) portal prišel uporabnik, ki je pozabil svoje geslo, ter prosil admina, da mu ga naj spremeni. Zato mu je admin spremenil geslo in mu ga tudi napisal. Debata se je odvijala kar na forumu. Ker sem sam malo bolj pozoren na te stvari, sem čakal na tega uporabnika, kaj bo storil ... Pride na forum in napiše "Super, zdaj pa dela". Jaz pa počakam par ur, se odjavim s svojega profila in prijavim v njegovega ter napišem "Pa res, da dela".
# hackable

Chelios ::

Rabiš Perfect Keylogger? Aja sej že imaš nameščenega ... :D:D:D

Ni Keyloggerjev za OS X. Ampak še vseeno ne vidim, kakšen security risk predstavlja PasswordMeter.


Shranjujejo gesla? In imajo potem bazo gesel in sha1 in md5 hashov, dosti manjša baza kot še bi imel vse povprek hashe shranjene ... in ta baza je potem seveda searchable za njih, ali pa tudi zate če imaš dovolj € .
Just juice me!

techfreak :) ::

In kako bi ti shranil gesla z javascriptom, brez AJAXa? Ne gre.

Chelios ::

Ne še, lahko pa vsak trenutek popravijo kodo :D pa glede na Alexo bodo hitro imeli kar nekaj gesel. :))
Just juice me!

Kenpachi ::

Na glupih stvareh kot so stupid-shit-you-have-to-register-and-login-only-once.com imam tudi jaz take glupe passworde. Pa spam mail account, of course.
Zaraki Kenpachi.

Zgodovina sprememb…

  • spremenil: Kenpachi ()

Bistri007 ::

Shranjujejo gesla? In imajo potem bazo gesel in sha1 in md5 hashov, dosti manjša baza kot še bi imel vse povprek hashe shranjene ... in ta baza je potem seveda searchable za njih, ali pa tudi zate če imaš dovolj € .

Samo za sha/md hash moraš narediti:
HASH(mySiteSeed+PW)
ali še bolje
HASH(mySiteSeed+USER+PW)
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Wirko ::

Ponavadi ne poskušam, ali so dovoljeni presledki v geslu, zdaj pa sem. Pohvala za S/T. Geslo kakor "idi v rit" je enostavno za si zapomnit, razbijalec s slovarjem bi si pa verjetno kar dobro skrhal zobe na njem.

Edit: pol pohvale vzamem nazaj - zakaj ne loči malih in velikih črk?
[:4{#]

Zgodovina sprememb…

  • spremenil: Wirko ()

PIPI ::

Rabiš Perfect Keylogger? Aja sej že imaš nameščenega ... :D:D:D

Ni Keyloggerjev za OS X. Ampak še vseeno ne vidim, kakšen security risk predstavlja PasswordMeter.

Ja, tam ti kar s tipkovnice poberejo keystroke :P

Steinkauz ::

Moje geslo za prijavo na tej strani je 123456, pa se mi zdi da je še prekomplicirano, glede na vsebinsko pomembnost. :)


Sem moral preveriti, če je res.

Lp
Neki Neznanec


Haha me zanima kolk jih je testiral tole :))
10$ bonusa DigitalOcean: SSD Cloud Server
https://www.digitalocean.com/?refcode=15db81ab9979

MrStein ::

http://www.passwordmeter.com/

moram priznat, da je večina mojih gesel pod 30% sodeč po tej strani

Ta stran ni preveč vredna.
Razen če ste mnenja, da varnost gesla pade na polovico, če "varnemu" še doda en znak.
Aja, pa gesel daljših od 16 znakov ne podpira.

Tak kot če nekdo reče "čez vikend sem izdelal raketo za na Mars. Kaj, ne verjameš!??" ;)

Bistri007:
Kako pa to, da so imeli shranjena originalna gesla in ne samo hashev???

Kako pa veš, da so imeli originalna gesla, ne pa hash-ev ? ;)

Mene je sicer presenetil "iloveyou". Mogoče bi bila zanimiva delitev statistike mpo spolu.

Wirko:
Ponavadi ne poskušam, ali so dovoljeni presledki v geslu, zdaj pa sem. Pohvala za S/T. Geslo kakor "idi v rit" je enostavno za si zapomnit, razbijalec s slovarjem bi si pa verjetno kar dobro skrhal zobe na njem.

Edit: pol pohvale vzamem nazaj - zakaj ne loči malih in velikih črk?


Ha ha, to je res hecno... Me zanima kakšna je razlaga. (in če enači tudi šumnike, torej "čebula" == "Čebula")
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Blinder ::

Daš za geslo svojo fonsko+davčno+št. osebnega dokumenta+št. trr tako da si potem še zapomneš vse te številke na pamet kar pride včasih prav
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
G3258, GT740 Pismo smo stari v bozjo mater. Recesija generacija

Elysium ::

Jaz v parih primerih, ker imamo zoprne administratorje, namenoma uporabljam najbolj butasta gesla ki se začnejo na Abcde... in podobno. Za vse druge namene uporabljam močna gesla.

http://www.passwordmeter.com/

moram priznat, da je večina mojih gesel pod 30% sodeč po tej strani

Je pa zanimivo, da mi je tale tvoj passwordmeter označil moja, za moje pojme nevarna gesla kot strong password.

Zgodovina sprememb…

  • spremenil: Elysium ()

MrStein ::

Glavno da ima lep GUI ! ;)
Teštiram če delaž - umlaut dela: ä ?

3p ::

Moje geslo za prijavo na tej strani je 123456, pa se mi zdi da je še prekomplicirano, glede na vsebinsko pomembnost. :)

Sem moral preveriti, če je res.


Kaj pa zdaj, je še? >:D

snow ::

Random mutation plus nonrandom cumulative natural selection - Richard Dawkins

Bistri007 ::

MrStein:

Bistri007:
Kako pa to, da so imeli shranjena originalna gesla in ne samo hashev???

Kako pa veš, da so imeli originalna gesla, ne pa hash-ev ? ;)

A se hecaš? Kako drugače pa bi lahko analizirali gesla, kakšna so, če ne bi bila v navadnem tekstovnem formatu?

Sicer pa preberi drugi odstavek v novici :))
http://hothardware.com/News/123456-The-...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

mtosev ::

jaz mam ze 10let staro geslo katerega mi je dal Arnes
i like:)

moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

MrStein ::

Aha.
Samo iz hashev bi jih tudi lahko dekodirali, tapreproste.
Teštiram če delaž - umlaut dela: ä ?

Bistri007 ::

MrStein, glej moj drugi post: http://slo-tech.com/forum/t397963/p2612...

To sem se takoj spomnil...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Poldi112 ::

Itak te zanimajo zgolj najbolj pogosti in tiste za šalo dobiš z rainbow table. Salt sicer malo oteži situacijo, ampak je daleč od nemogočega.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Matthai ::

kje je pa qwertz ?

A-a, kaj pa če prideš na računalnik z angleško tipkovnico???
:D

Sicer pa je pred časom obstajala ena stran, ki ti je "izmerila" kvaliteto gesla... vendar si moral vpisati tudi podatke o accountu. >:D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

butl4d ::

Moje geslo za prijavo na tej strani je 123456, pa se mi zdi da je še prekomplicirano, glede na vsebinsko pomembnost. :)


Sem moral preveriti, če je res.

Lp
Neki Neznanec


LOL LOL LOL

Jst ::

>Na glupih stvareh kot so stupid-shit-you-have-to-register-
>and-login-only-once.com imam tudi jaz take glupe passworde.
>Pa spam mail account, of course.

Folk! www.mailinator.com in www.bugmenot.com sta vaša prijatelja.

Bug me not je zbirka loginov za strani. Če pa ni v bazi, greš pa na naslednjo opcijo...

mailinator je servis za maile. Vpišeš karkoli hočeš, recimo "NocemDatiMaila@mailinator.com" potem greš na to stran in vpišeš kateri mail naslov si vpisal. Brez passworda. Super za Sign-Up-Only-To-Forget-About-It-Next-Day strani.
Proton decay is a tax on existence.

Jst ::

>Sicer pa je pred časom obstajala ena stran, ki ti je
>"izmerila" kvaliteto gesla... vendar si moral vpisati tudi
>podatke o accountu.

Jaz sem si že pred časom izmislil algoritem za gesla, tako da geslo niti ne rabim vedeti, ampak ga tekom obiska strani zgeneriram/zračunam.

Reši več problemov.

Za passwordmeter stran je moje geslo doseglo 82% score. Tudi če si ga shranijo, jim ne koristi nič, ker so moja gesla vsepovsod drugačna.

82% score, ki je nizek, glede na to, da uporablajm posebno metodo, je pa zato, ker je algoritem takšen, da ne rabim uporabljati programa, ki sem spisal za to, ampak ga naračunam na pamet.

Program imam pa spisan zato, ker sem ob pisanju programa si izmislil algoritem in ga implementiral ravno z namenom, da ga lahko uporabljam kjerkoli, brez programa.

Lahko bi spisal program, ki bi generiral res extra strong passe, ampak si ga ne bi mogel zapomniti in bi tako vsakič potreboval za to spisan program.
Proton decay is a tax on existence.

masterpsi ::

naklofaš 2 3 besede skupej e=3 a=4 o=0 e=EUR, klicaj na konec in dobiš visok % ;)

Jst ::

Nope. Visok % dobiš, če uporabljaš velike in male črke, številke in simbole. To kar si napisal, je bolj v nižjem razredu bolj varnih gesel. Ampak seveda vsekakor dovolj za naše potrebe.
Proton decay is a tax on existence.

MrStein ::

Jst:

Folk! www.mailinator.com in www.bugmenot.com sta vaša prijatelja.

a ni mailinator tisti, ki nekak popači vsebino (da recimo linki ne delajo prav)?
Se mi je enkrat zgodilo. Sicer je tega na kupe. Tak dost, da probaš tri zanič, da enga dobrega najdeš... (sem nedavno uporabljal)
Teštiram če delaž - umlaut dela: ä ?

Jst ::

Jaz mailinator redno uporabljam, kadar nočem, da stran ve moj pravi email naslov.

Ko se registriras na neki strani, v polje EMail vneseš prvo kar ti pade na pamet. Recimo "MojDebeliQrc AT mailinator.com", potem pa na www.mailinator.com samo vseseš "MojDebeliQrc" in ti prikaže prejeti mail. Lahko greš pa prvo na stran in ji rečeš naj ti zgenerira nek naslov.

V desnem stolpcu imaš "Can't think up an Address?" in spodaj zate random generirani naslov. Sedaj, ko sem odprl stran, mi je predlagalo: "mmltvhyisoau@mailinator.com"

Takšen način registriranja na straneh, na katerih se moraš registrirati recimo samo za download link ali pa kaj podobnega + gmail pravi naslov + gmail spam filer = 1 SPAM Mail na mesec ali dva.

I just hate spam so much.... da jim pomagam tako, da vsakih nekaj obiskov kliknem na google reklamo. Upam, da jim vsaj malo s tem pomagam....
Proton decay is a tax on existence.

PIPI ::

1 SPAM mail nasploh ali v inboxu? Če je v inboxu, hja, imaš probleme (jaz jih recimo nimam). Če so v spam folderju, kaj ti je važno? Itak se sami brišejo in ne zasedajo prostora.

Jst ::

Ja v Inbox dobim na vsakih nekaj mesecev kakšen SPAM*. V SPAM Folderju pa, kadar pogledam, je vedno manj kot 10 sporočil. Prej 5 kot 10.


*V Inboxu ponavadi USA Green Card lottery, pa čeprav jih (tudi tega) večinoma dobivam v SPAM Folder. Kakšen se pa zmuzne...Ti ti ti!
Proton decay is a tax on existence.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Večina ljudi ima eno geslo

Oddelek: Novice / Varnost
446420 (2299) techfreak :)
»

Analiza slovenskih gesel

Oddelek: Novice / Zasebnost
395926 (3864) BlueRunner
»

Ameriška carinska uprava kupuje igralne konzole PlayStation

Oddelek: Novice / Konzole
342656 (1358) MrStein
»

Varnost v praksi (1. del) oz. kaj pomeni dobro geslo

Oddelek: Novice / Varnost
323379 (1264) Brane2
»

težave z geslom v wordu

Oddelek: Programska oprema
221088 (786) d_dunka

Več podobnih tem