Bezpečná hesla

  • Fotoalbum (0)
  • Sledovat e-mailem
  • Přidat k oblíbeným
  • Zapnout podpisy
  • Hledání v tématu
Napsat příspěvek
Velikost písma:
KalamityJohn
20978
20.7.22 12:00

Hesla si tvořím sám a v poznámkách mám k heslům nápovědy.

Třeba TJ je adresa jedný holky co jsem znal před umtata lety, adresu nikdy nezapomenu ale nikdo jinej to vědět nebude.

Jeden z číselných kódů co používám je telefonní číslo na mou babičku - taky nemám šanci zapomenout i když jsem se ho naučil když mi bylo 5 nebo tak.

V anglofonním prostředí taky bude každýmu tohle heslo připadat jako shluk písmen:

T0miv*jeb

:mrgreen:
  • načítám...
  • Citovat
  • Zmínit
yakuba
287
20.7.22 12:42

@welovefashion Ahoj. Jak jsem zmiňoval, osobně používám správce 1Password.
Když si založíš ve 1Passwordu svůj „trezor“, veškerá hesla uložená do něj se ukládají zároveň na server. Ale v zahashované podobě. To znamená, že například heslo Heslo123 bude na serveru uložené jako něco takovéhleho: 163d638cef03b7bdf9cd3115398375420e4b1119d41aad82783f3064d06ef3c6. To znamená, že i když by někdo hacknul servery 1Passwordu, bez dešifrovacího klíče, který budeš mít jen ty sama, nic nezíská.

Při založení účtu dostaneš zálohový klíč, kterým si dovedeš hesla obnovit v případě, že by kleklo zařízení, na kterém správce používáš. Co se týká psaní hesel na cizích zařízeních, buď si tam musíš otevřít spráce hesel (má i webovou verzi) a hesla kopírovat a nebo si tam správce nainstalovat. V práci v pohodě. U kamrádky bych to nedělal. No a co se týká mobilu, tam je to v pohodě. Správci hesel mívají aplikace jak pro iOS, tak pro Android.

  • načítám...
  • Citovat
  • Zmínit
ritterqa
427
21.7.22 11:28

@yakuba Nemáš tip na správce hesel, který by byl zdarma přístupný?

  • načítám...
  • Citovat
  • Zmínit
Zumpa
15766
21.7.22 11:37
@yakuba píše:
@welovefashion Ahoj. Jak jsem zmiňoval, osobně používám správce 1Password.
Když si založíš ve 1Passwordu svůj „trezor“, veškerá hesla uložená do něj se ukládají zároveň na server. Ale v zahashované podobě. To znamená, že například heslo Heslo123 bude na serveru uložené jako něco takovéhleho: 163d638cef03b7bdf9cd3115398375420e4b1119d41aad82783f3064d06ef3c6. To znamená, že i když by někdo hacknul servery 1Passwordu, bez dešifrovacího klíče, který budeš mít jen ty sama, nic nezíská.Při založení účtu dostaneš zálohový klíč, kterým si dovedeš hesla obnovit v případě, že by kleklo zařízení, na kterém správce používáš. Co se týká psaní hesel na cizích zařízeních, buď si tam musíš otevřít spráce hesel (má i webovou verzi) a hesla kopírovat a nebo si tam správce nainstalovat. V práci v pohodě. U kamrádky bych to nedělal. No a co se týká mobilu, tam je to v pohodě. Správci hesel mívají aplikace jak pro iOS, tak pro Android.

No, možná jsem paranoidní, ale pokud jsou hesla mimo moje zařízení, tak tomu prostě nevěřím.

  • načítám...
  • Citovat
  • Zmínit
aiwwa
115714
21.7.22 13:12
@Zumpa píše:
No, možná jsem paranoidní, ale pokud jsou hesla mimo moje zařízení, tak tomu prostě nevěřím.

Přesně, jediný bezpečný heslo je co mám ve svý hlavě.

  • načítám...
  • Citovat
  • Zmínit
Ploskutáček
11365
21.7.22 16:15

Můžu hodit odbočku trochu jinam? Dělám spíš do počítačů, protože jsem vozíčkář, dotykáče se mi špatně ovládají, takže už 11 let používám úžasnou Nokii C2-01, nedám na ni dopustit, mám i internetové bankovnictví přes počítač. Jak je možné, že někdo někomu může šlohnout prachy z účtu? Je to tím, že lidi nalítávají phisingu, a zadávají údaje na stránky, které jen jako stránky banky vypadají?

https://nasregion.cz/…ctvi-270336/

https://ct24.ceskatelevize.cz/…na-internetu

Vyfouknul třeba někdo vám peníze z účtu? Mně přijde, že se tímhle straší lidi. Pak má třeba nějaký starší člověk strach používat internetové bankovnictví na počítači. Ale vůbec se nedává do souvislosti, že internetové bankovnictví mají třeba 2 miliony lidí, a tohle bude nejvýš desítky případů ročně. A do týhle jsem byl zamilovanej:

https://www.blesk.cz/…uslanka.html

  • načítám...
  • Citovat
  • Zmínit
Petr-33
1228
21.7.22 16:51
@Ploskutáček píše:
Můžu hodit odbočku trochu jinam? Dělám spíš do počítačů, protože jsem vozíčkář, dotykáče se mi špatně ovládají, takže už 11 let používám úžasnou Nokii C2-01, nedám na ni dopustit, mám i internetové bankovnictví přes počítač. Jak je možné, že někdo někomu může šlohnout prachy z účtu? Je to tím, že lidi nalítávají phisingu, a zadávají údaje na stránky, které jen jako stránky banky vypadají?

https://nasregion.cz/…ctvi-270336/

https://ct24.ceskatelevize.cz/…na-internetu

Bezpečnost je velmi komplexní problematika. Můžeme začít phishingem, kdy se podvrhnou stránky banky, nebo se udělá stránka, která vypadá jako stránka banky a pak tam chtějí zadat všechny údaje z karty, včetně data platnosti a CVV kód (je na druhé straně karty). To se nemusíme bavit ani o internetu. Je znám případ, kdy si servírka byla schopna zapamatovat čísla z karet návštěvníků restaurace. A následně těmito kartami byla schopna zaplatit - protože znala ty čísla.
Vždycky je na místě opatrnost, pokud se má někde zadávat číslo karty, včetně CVV čísla. Pokud jde o platbu, mělo by to vždy jít přes zabezpečenou platební bránu. To se třeba stalo kolegovi (specialista na bezpečnost), který chtěl přispět kartou na ukrajinu, ale organizace, které chtěl přispět, nepoužívala pro platbu zabezpečenou bránu. Co se potom s údaji o kartě děje a kdo k nim má přístup, to je ve hvězdách.
U obchodníka většinou kartu z ruky nedám, takže tam je to v pohodě. Ale pro platby na internetu mám nastavený velmi nízký limit (cca 10kč) a pokud chci něco platit na internetu, tak ten limit musím zvýšit. Je to i z důvodu, že používám služby, na kterých je automatické prodloužení předplatného a chci to mít prostě pod kontrolou.

Další věc je zneužití phisingu, kdy se uživatel zdánlivě přihlašuje do internetového bankovnictví a zadává tam přihlašovací jméno, heslo a telefonní číslo. V tom momentě je mu to ukradeno. Dále za tím následuje sociální inženýrství - znám přihlašovací údaje + telefon a to potom může být zneužito v inzercích, kdy prodávající tvrdí, že potřebuje něco potvrdit a že potvrzovací kód přijde na váš telefon, protože jste kupující a ten kód mu máte přeposlat… V tom momentě mu dáváte přístup do internetového bankovnictví, tzn. přístup ke všem účtům a děj se vůle boží, co bude dál.

Co se teď dost objevuje, je podvržení telefonního čísla banky, kdy vám zavolá jako že pracovník banky (útočník) a podle čísla to fakt vypadá, že je to z banky. Snaží se vám namluvit, že do vašeho internetového bankovnictví se chtěl někdo dostat a že vaše peníze nejsou dobře zajištěné… Opět jde o sociální inženýrství spojené s phisingem. Jakékoliv takové telefonáty je vhodné ověřovat zpětným zavoláním na pobočku, nebo vyžádat písemné dokumenty na adresu.

Další typ útoku, který už je ale složitější, tak je ten, že v prohlížeči otevřete infikovanou webovou stránku. Tato stránka pak umožní útočníkovi získat komunikaci mezi vámi a třeba internetovým bankovnictvím, které otevřete v další záložce prohlížeče. Tento typ útoku se jmenuje men in the middle (někdo uprostřed). Tím je mu opět umožněno získání přihlašovacích údajů - proto se u banky přeslo na dvoufázové ověřování. Proto se doporučuje před přihlášením internetového bankovnictví úplně uzavřít prohlížeč a začít jako by odznova a po ukončení práce v IB zase celý prohlížeč zavřít.

Hesla, přihlašovací jména, telefonní čísla,… To je dneska už natolik zprofanované, že téměř nikdo nemůže mít jistotu, že to má všechno v pohodě. Jak někdo psal, že použije heslo, že to trvá dlouho prolomit… Existují slovníky hesel. Nikdo se nebude trápit tím, aby prolomil heslo nějakou hrubou silou. Buď to v tom slovníku je, nebo ne. Když ne, jdeme od toho.
Další je uložení zahashovaného hesla. Ani to není zcela bezpečný způsob, protože hash je sice jednosměrná funkce, tzn. nemělo by jít zpětně získat z hashe hodnotu hesla, ale u některých funkcí to lze.

Pak je to taky otázkou, o jaké člověk přijde data. Když je to účet na facebooku, tak je to asi v pohodě, i když i to zabolí. Ale když ráno přijdete do práce a na firemních počítačích si po zapnutí přečtete „zaplať, nebo jsou tvé data v háji“ a na těch mašinách jsou uložené třeba výrobní postupy, smlouvy se zákazníky, nebo to řídí složité výrobní linky… To už pak zabolí o dost víc,… A tady si třeba spousta lidí myslí, že přišli o data. Ale nikdo už se nedozví, které z těch dokumentů odešli z těch počítačů k útočníkům a stávají se tak dále použitelné na trhu s osobními údaji.
Osobně si myslím, že internetové bankovnictví jako i bankovní operace a bankovní ústavy jsou zabezpečeny velmi dobře. Co je slabý článek, tak je člověk, který rozdává třeba údaje na kartě v podstatě na počkání, nebo se nechá nalákat na slibnou nabídku něčeho,…

  • načítám...
  • Citovat
  • Zmínit
Ploskutáček
11365
21.7.22 17:26
@Petr-33 píše:
Bezpečnost je velmi komplexní problematika. Můžeme začít phishingem, kdy se podvrhnou stránky banky, nebo se udělá stránka, která vypadá jako stránka banky a pak tam chtějí zadat všechny údaje z karty, včetně data platnosti a CVV kód (je na druhé straně karty). To se nemusíme bavit ani o internetu. Je znám případ, kdy si servírka byla schopna zapamatovat čísla z karet návštěvníků restaurace. A následně těmito kartami byla schopna zaplatit - protože znala ty čísla.
Vždycky je na místě opatrnost, pokud se má někde zadávat číslo karty, včetně CVV čísla. Pokud jde o platbu, mělo by to vždy jít přes zabezpečenou platební bránu. To se třeba stalo kolegovi (specialista na bezpečnost), který chtěl přispět kartou na ukrajinu, ale organizace, které chtěl přispět, nepoužívala pro platbu zabezpečenou bránu. Co se potom s údaji o kartě děje a kdo k nim má přístup, to je ve hvězdách.
U obchodníka většinou kartu z ruky nedám, takže tam je to v pohodě. Ale pro platby na internetu mám nastavený velmi nízký limit (cca 10kč) a pokud chci něco platit na internetu, tak ten limit musím zvýšit. Je to i z důvodu, že používám služby, na kterých je automatické prodloužení předplatného a chci to mít prostě pod kontrolou.

Další věc je zneužití phisingu, kdy se uživatel zdánlivě přihlašuje do internetového bankovnictví a zadává tam přihlašovací jméno, heslo a telefonní číslo. V tom momentě je mu to ukradeno. Dále za tím následuje sociální inženýrství - znám přihlašovací údaje + telefon a to potom může být zneužito v inzercích, kdy prodávající tvrdí, že potřebuje něco potvrdit a že potvrzovací kód přijde na váš telefon, protože jste kupující a ten kód mu máte přeposlat… V tom momentě mu dáváte přístup do internetového bankovnictví, tzn. přístup ke všem účtům a děj se vůle boží, co bude dál.

Co se teď dost objevuje, je podvržení telefonního čísla banky, kdy vám zavolá jako že pracovník banky (útočník) a podle čísla to fakt vypadá, že je to z banky. Snaží se vám namluvit, že do vašeho internetového bankovnictví se chtěl někdo dostat a že vaše peníze nejsou dobře zajištěné… Opět jde o sociální inženýrství spojené s phisingem. Jakékoliv takové telefonáty je vhodné ověřovat zpětným zavoláním na pobočku, nebo vyžádat písemné dokumenty na adresu.

Další typ útoku, který už je ale složitější, tak je ten, že v prohlížeči otevřete infikovanou webovou stránku. Tato stránka pak umožní útočníkovi získat komunikaci mezi vámi a třeba internetovým bankovnictvím, které otevřete v další záložce prohlížeče. Tento typ útoku se jmenuje men in the middle (někdo uprostřed). Tím je mu opět umožněno získání přihlašovacích údajů - proto se u banky přeslo na dvoufázové ověřování. Proto se doporučuje před přihlášením internetového bankovnictví úplně uzavřít prohlížeč a začít jako by odznova a po ukončení práce v IB zase celý prohlížeč zavřít.

Hesla, přihlašovací jména, telefonní čísla,… To je dneska už natolik zprofanované, že téměř nikdo nemůže mít jistotu, že to má všechno v pohodě. Jak někdo psal, že použije heslo, že to trvá dlouho prolomit… Existují slovníky hesel. Nikdo se nebude trápit tím, aby prolomil heslo nějakou hrubou silou. Buď to v tom slovníku je, nebo ne. Když ne, jdeme od toho.
Další je uložení zahashovaného hesla. Ani to není zcela bezpečný způsob, protože hash je sice jednosměrná funkce, tzn. nemělo by jít zpětně získat z hashe hodnotu hesla, ale u některých funkcí to lze.

Pak je to taky otázkou, o jaké člověk přijde data. Když je to účet na facebooku, tak je to asi v pohodě, i když i to zabolí. Ale když ráno přijdete do práce a na firemních počítačích si po zapnutí přečtete „zaplať, nebo jsou tvé data v háji“ a na těch mašinách jsou uložené třeba výrobní postupy, smlouvy se zákazníky, nebo to řídí složité výrobní linky… To už pak zabolí o dost víc,… A tady si třeba spousta lidí myslí, že přišli o data. Ale nikdo už se nedozví, které z těch dokumentů odešli z těch počítačů k útočníkům a stávají se tak dále použitelné na trhu s osobními údaji.
Osobně si myslím, že internetové bankovnictví jako i bankovní operace a bankovní ústavy jsou zabezpečeny velmi dobře. Co je slabý článek, tak je člověk, který rozdává třeba údaje na kartě v podstatě na počkání, nebo se nechá nalákat na slibnou nabídku něčeho,…

Přesně tak. Většinu věcí, které jste popsal, jsem znal. Ale i tak mě zaráží, kolik lidí se nechá nachytat. Třeba kamarádi z Facebooku, kteří jsou hacknutí, a žádají vás o poslání peněz. To se může stát i v reálu. Jiná věc je, že skutečný kamarád, který potřebuje pětistovku na taxíka, by vám měl spíš zavolat než si s vámi chatovat. A v momentě, kdy by po mně chtěl přeposlat kód SMS, jímž se potvrzuje platba, bych asi zbystřil. To nikomu nedojde? Plně souhlasím, že člověk je nejslabší článek, ale mělo by se to dát do kontextu.

Já mám třeba trochu obavu (respekt) z bankovnictví v chytrém mobilu. Ano, je to rychlé, pohodlné a jsem přesvědčený, že 99,999 % uživatelů mobilního bankovnictví nikdy o peníze nepřišlo. Ale pokud někdo stahuje hodně aplikací, her, třeba i z pochybných zdrojů, může si tam zatáhnout vir. Proto mám větší pocit bezpečí a jistoty u počítačového bankovnictví, kdy kód chodí mimo počítač, na mobilní telefon. Paranik vám řekne, že SMSky nejsou šifrované, a dají se odposlouchávat, to by ale útočník musel hacknout přímo síť operátora, nebo se pletu?

Asi by se dalo říct, že každá vymoženost má jak své výhody, tak i rizika, a nikdy ta rizika neeliminujete na sto procent. Dík moc za fajn příspěvek.

  • načítám...
  • Citovat
  • Zmínit

Vložení odkazu

Vložení odkazu na obrázek

Zde můžete vožit obrázek/ fotku, který je umístěn na internetu a znáte jeho adresu.

Pro vložení vlastních fotek, které máte ve svém počítači, klikněte na tlačítko “Přidat obrázky” pod příspěvkem.

Další témata z kategorie

Mohlo by vás zajímat

 
 

Právní poradna pro odškodnění a náhradu škody

Ikona - Petr Novák

Mgr. Petr Novák

výpočet náhrad za nemoc z povolání

Dobrý den, tento týden mi bylo rozhodnutím kliniky pracovního lékařství uznána nemoc z povolání. Jedná se o syndrom karpálního tunelu na obou... Odpověď

Reklamace faktury za telefon

  • 20.02.20
  • Anonymní

Dobrý den, mám na Vás dotaz ohledně reklamace ve faktuře za telefon. Mám smlouvu na můj mejl a telefon od O2 family a mám u toho přiřazená... Odpověď

Zvýšení platu a výpověď z důvodu reorganizace

Dobrý den, v současné době jsem v rámci reorganizace firmy obdržela dvouměsíční výpověď, která mi běží od 1. 2. 2020. Jsme malá firma (12... Odpověď

Opakovaná reklamace se stejnou vadou

Dobrý den, v červnu 2018 jsme si objednali u stolaře zakázku za 100tis (vestavěné skříně, stoly, police..). Veškerý servis a ochota ze strany... Odpověď

Odstupné, i když ve výpovědní lhůtě marodím

  • 13.01.20
  • Anonymní

Dobrý den, chci se zeptat, dostal jsem výpověď z org. důvodů s 2 měsíční výpovědní lhůtou. VL končí 29.2.2020, od 13.1.2020 marodím s rukou,... Odpověď