HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
123456 (290,731)
12345 (79,078)
123456789 (76,790)
Password (61,958)
iloveyou (51,622)
princess (35,231)
rockyou (22,588)
1234567 (21,726)
12345678 (20,553)
abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000 primeri uporabe), poleg vsega pa je skoraj polovica vseh gesel kar ime osebe oz. popularna fraza, kar pokažejo primeri iloveyou in rockyou (ime strani za geslo) oz. Nicole, Daniel in Michael na 11., 12. oz. 17. mestu. Rezultati analize so pričakovani, pri Impervi priporočajo uporabo vsaj osmih znakov, ki naj ne bodo le črke in številke, temveč tudi ostali znaki (npr. !"#$%), črke pa naj bodo mešanica velikih in malih tiskanih. Geslo naj ne bo tudi osebno ime ali poznana fraza, pogosta napaka, ki naj bi se ji uporabniki izogibali, pa je še uporaba enega gesla za vse račune. Celotno poročilo analize si lahko ogledate v dokumentu PDF.
Nekaj časa sem jaz tudi uporabljal numeric gesla .. ker sem jih lepo z eno roko natipkal na numpadu, potem pa sem prešaltal na prenosnike pa ni bilo več tako lepo in sem zamenjal vsa gesla nisem pa nikoli uporabljal zaporednih števil ampak naključna dolžine 10+
Sicer pa, ko je že debata o geslih raje ne govorim o varnostnih vprašanjih, ne vem koliko krat sem prišel v mail marsikoga samo s tem ... kao hacker ja ... lol super a?
Kako pa to, da so imeli shranjena originalna gesla in ne samo hashev???
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Se pa spomnim ene fine zgodbe. Po dolgem času je na en (slabo obiskan) portal prišel uporabnik, ki je pozabil svoje geslo, ter prosil admina, da mu ga naj spremeni. Zato mu je admin spremenil geslo in mu ga tudi napisal. Debata se je odvijala kar na forumu. Ker sem sam malo bolj pozoren na te stvari, sem čakal na tega uporabnika, kaj bo storil ... Pride na forum in napiše "Super, zdaj pa dela". Jaz pa počakam par ur, se odjavim s svojega profila in prijavim v njegovega ter napišem "Pa res, da dela".
Rabiš Perfect Keylogger? Aja sej že imaš nameščenega ...
Ni Keyloggerjev za OS X. Ampak še vseeno ne vidim, kakšen security risk predstavlja PasswordMeter.
Shranjujejo gesla? In imajo potem bazo gesel in sha1 in md5 hashov, dosti manjša baza kot še bi imel vse povprek hashe shranjene ... in ta baza je potem seveda searchable za njih, ali pa tudi zate če imaš dovolj € .
Shranjujejo gesla? In imajo potem bazo gesel in sha1 in md5 hashov, dosti manjša baza kot še bi imel vse povprek hashe shranjene ... in ta baza je potem seveda searchable za njih, ali pa tudi zate če imaš dovolj € .
Samo za sha/md hash moraš narediti: HASH(mySiteSeed+PW) ali še bolje HASH(mySiteSeed+USER+PW)
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Ponavadi ne poskušam, ali so dovoljeni presledki v geslu, zdaj pa sem. Pohvala za S/T. Geslo kakor "idi v rit" je enostavno za si zapomnit, razbijalec s slovarjem bi si pa verjetno kar dobro skrhal zobe na njem.
Edit: pol pohvale vzamem nazaj - zakaj ne loči malih in velikih črk?
moram priznat, da je večina mojih gesel pod 30% sodeč po tej strani
Ta stran ni preveč vredna. Razen če ste mnenja, da varnost gesla pade na polovico, če "varnemu" še doda en znak. Aja, pa gesel daljših od 16 znakov ne podpira.
Tak kot če nekdo reče "čez vikend sem izdelal raketo za na Mars. Kaj, ne verjameš!??"
Bistri007:
Kako pa to, da so imeli shranjena originalna gesla in ne samo hashev???
Kako pa veš, da so imeli originalna gesla, ne pa hash-ev ?
Mene je sicer presenetil "iloveyou". Mogoče bi bila zanimiva delitev statistike mpo spolu.
Wirko:
Ponavadi ne poskušam, ali so dovoljeni presledki v geslu, zdaj pa sem. Pohvala za S/T. Geslo kakor "idi v rit" je enostavno za si zapomnit, razbijalec s slovarjem bi si pa verjetno kar dobro skrhal zobe na njem.
Edit: pol pohvale vzamem nazaj - zakaj ne loči malih in velikih črk?
Ha ha, to je res hecno... Me zanima kakšna je razlaga. (in če enači tudi šumnike, torej "čebula" == "Čebula")
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Daš za geslo svojo fonsko+davčno+št. osebnega dokumenta+št. trr tako da si potem še zapomneš vse te številke na pamet kar pride včasih prav
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 1080 Pismo smo stari v bozjo mater. Recesija generacija
Jaz v parih primerih, ker imamo zoprne administratorje, namenoma uporabljam najbolj butasta gesla ki se začnejo na Abcde... in podobno. Za vse druge namene uporabljam močna gesla.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
>Na glupih stvareh kot so stupid-shit-you-have-to-register- >and-login-only-once.com imam tudi jaz take glupe passworde. >Pa spam mail account, of course.
Bug me not je zbirka loginov za strani. Če pa ni v bazi, greš pa na naslednjo opcijo...
mailinator je servis za maile. Vpišeš karkoli hočeš, recimo "NocemDatiMaila@mailinator.com" potem greš na to stran in vpišeš kateri mail naslov si vpisal. Brez passworda. Super za Sign-Up-Only-To-Forget-About-It-Next-Day strani.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
>Sicer pa je pred časom obstajala ena stran, ki ti je >"izmerila" kvaliteto gesla... vendar si moral vpisati tudi >podatke o accountu.
Jaz sem si že pred časom izmislil algoritem za gesla, tako da geslo niti ne rabim vedeti, ampak ga tekom obiska strani zgeneriram/zračunam.
Reši več problemov.
Za passwordmeter stran je moje geslo doseglo 82% score. Tudi če si ga shranijo, jim ne koristi nič, ker so moja gesla vsepovsod drugačna.
82% score, ki je nizek, glede na to, da uporablajm posebno metodo, je pa zato, ker je algoritem takšen, da ne rabim uporabljati programa, ki sem spisal za to, ampak ga naračunam na pamet.
Program imam pa spisan zato, ker sem ob pisanju programa si izmislil algoritem in ga implementiral ravno z namenom, da ga lahko uporabljam kjerkoli, brez programa.
Lahko bi spisal program, ki bi generiral res extra strong passe, ampak si ga ne bi mogel zapomniti in bi tako vsakič potreboval za to spisan program.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Nope. Visok % dobiš, če uporabljaš velike in male črke, številke in simbole. To kar si napisal, je bolj v nižjem razredu bolj varnih gesel. Ampak seveda vsekakor dovolj za naše potrebe.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
a ni mailinator tisti, ki nekak popači vsebino (da recimo linki ne delajo prav)? Se mi je enkrat zgodilo. Sicer je tega na kupe. Tak dost, da probaš tri zanič, da enga dobrega najdeš... (sem nedavno uporabljal)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Jaz mailinator redno uporabljam, kadar nočem, da stran ve moj pravi email naslov.
Ko se registriras na neki strani, v polje EMail vneseš prvo kar ti pade na pamet. Recimo "MojDebeliQrc AT mailinator.com", potem pa na www.mailinator.com samo vseseš "MojDebeliQrc" in ti prikaže prejeti mail. Lahko greš pa prvo na stran in ji rečeš naj ti zgenerira nek naslov.
V desnem stolpcu imaš "Can't think up an Address?" in spodaj zate random generirani naslov. Sedaj, ko sem odprl stran, mi je predlagalo: "mmltvhyisoau@mailinator.com"
Takšen način registriranja na straneh, na katerih se moraš registrirati recimo samo za download link ali pa kaj podobnega + gmail pravi naslov + gmail spam filer = 1 SPAM Mail na mesec ali dva.
I just hate spam so much.... da jim pomagam tako, da vsakih nekaj obiskov kliknem na google reklamo. Upam, da jim vsaj malo s tem pomagam....
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
1 SPAM mail nasploh ali v inboxu? Če je v inboxu, hja, imaš probleme (jaz jih recimo nimam). Če so v spam folderju, kaj ti je važno? Itak se sami brišejo in ne zasedajo prostora.
Ja v Inbox dobim na vsakih nekaj mesecev kakšen SPAM*. V SPAM Folderju pa, kadar pogledam, je vedno manj kot 10 sporočil. Prej 5 kot 10.
*V Inboxu ponavadi USA Green Card lottery, pa čeprav jih (tudi tega) večinoma dobivam v SPAM Folder. Kakšen se pa zmuzne...Ti ti ti!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
nisem pa nikoli uporabljal zaporednih števil ampak naključna dolžine 10+
Glede na to, da če imaš geslo ne vdiraš ampak se prijavljaš. Ko bi vso zakonodajo tako "popravili" ... 
