TwojePC.pl © 2001 - 2024
|
|
Środa 22 stycznia 2014 |
|
|
|
Najgorsze hasła roku 2013 Autor: Wedelek | źródło: Slashgear, inne | 07:35 |
(23) | SplashData, firma stojąca za managerem haseł SplashID opublikowała listę najgorszych haseł wykorzystywanych do zabezpieczeń kont w różnego rodzaju usługach. Powstała ona w oparciu o dane które w ubiegłym roku wyciekły z serwerów firmy Adobe po brzemiennym w skutkach ataku. To co natychmiast rzuca się w oczy to prostota haseł, co sprawia, że są one podatne na ataki metodą słownikową. Nieważne bowiem jak mocny będzie algorytm szyfrujący dane, jeśli intruz pozna nasze hasło, to nic nas nie uchroni przed atakiem.
Innymi słowy jeśli używacie któregoś z poniższych haseł to natychmiast je zmieńcie. Na jakie? Przede wszystkim hasło powinno być długie. Może to być jakieś zdanie, najlepiej z losowo dobranymi wyrazami i odpowiednio zmodyfikowane poprzez miks dużych oraz małych liter z cyframi. W ten sposób otrzymamy względnie łatwe do zapamiętania hasło, którego złamanie będzie trudne. Przykładowo hasło: "Lub1eMalgo5ieIjejTrumn3" będzie nieporównywalnie trudniejsze do odgadnięcia i złamania niż "123456".
A oto lista wspomniana na początku lista:
1. 123456
2. password
3. 12345678
4. qwerty
5. abc123
6. 123456789
7. 111111
8. 1234567
9. iloveyou
10. adobe123
11. 123123
12. admin
13. 1234567890
14. letmein
15. photoshop
16. 1234
17. monkey
18. shadow
19. sunshine
20. 12345
21. password1
22. princess
23. azerty
24. trustno1
25. 000000 |
| |
|
|
|
|
|
|
|
|
|
K O M E N T A R Z E |
|
|
|
- hmm (autor: Shamoth | data: 22/01/14 | godz.: 08:45)
to administratorzy nie używają już haseł z "god" ?;]
- najzabawniejsze hasło z listy? (autor: kombajn4 | data: 22/01/14 | godz.: 08:57)
password ;)
- ... (autor: zeberko | data: 22/01/14 | godz.: 09:03)
Najzabawniejsze to było na polskiej witrynie rządowej. Admin Admin1 :-)
- hey (autor: RusH | data: 22/01/14 | godz.: 09:38)
I've got the same combination on my luggage!
- @Lub1eMalgo5ie (autor: bmiluch | data: 22/01/14 | godz.: 10:43)
jestem w sprawach bezpieczeństwa powiedzmy lajkonikiem (jak blądynka w kawale) ale Lub1eMalgo5ie to wcale nie jest takie dobre hasło - wprost przeciwnie - łatwe do rozszyfrowania i trudne do zapamiętania
kiedyś był niezły (jak dla mnie) artykuł o łamaniu haseł na arstechnica.com
jest wiele znanych przypadków gdy hackerzy wykradli bazy danych z milionami starych rozkodowanych haseł i wiedzą dzięki temu dokładnie jakie są zwyczaje większości urzytkowników przy tworzeniu haseł i okazuje się że na podstawie tych zwyczajów da się często w ciągu paru godzin rozszyfrować 95%++ haseł z wykradzionego pliku z hasłami, tymbardziej, że gdzieniegdzie stosuje się proste sposoby kodowania takie, że karta graficzna jest w stanie porównać zakodowane hasło z około 1 000 000 000 różnymi ciągami znaków na sekundę
hasło z przykładu jest słabe, ponieważ:
- składa się z 2 popularynch słów - ilość kombinacji rzędu 10^7
- pierwsza litera słowa zamieniona na wielką literę - he he - większość ludzi zamienia pierwszą literę słowa
- jedno i zamienionie na 1 - i->1
- s->5
jest to niestety łatwe do roszyfrowania, ponieważ 95% ludzi używa podobnych regół do tworzenia haseł
dużo lepiej zrobić hasło poprzez połączenie 4+ dowolnych losowych słów, np.:
kalafiorhaslomiskomentarz
poziom komplikacji dla słownika z 3200 słów
wynosi 10^14, łatwość zapamiętania duża
rysunek:
http://www.hanselman.com/...assword_strength_3.png
- taka ciekawostka (autor: belixa | data: 22/01/14 | godz.: 11:28)
kilka lat temu na 50 procent stron premium logowania byly admin admin.
kolejna ciekawostka:
aktualnie gdy nie da się wejść do zabezpieczonego WiFi wystarczy wejść na router adminem i zobaczyć hasło :P
(oczywiście zostawimy ślad swojego urządzenia ale czego to się nie robi dla darmowego WiFi)
- @6 Tak, tylko (autor: ridczak | data: 22/01/14 | godz.: 11:41)
bez fizycznego dostepu do routera nie wejdziesz.
- @bmiluch (autor: Wedelek | data: 22/01/14 | godz.: 11:48)
Celna uwaga. Dobierając przykładowe zdanie nie zwróciłem należytej uwagi na ten aspekt, podświadomie wychodząc z założenia że to oczywiste. Dodałem zatem dalszą część (proszę żartownisiów o zignorowanie znaczenia zdania:) ). Swoją drogą zauważ, że nie wszystkie i oraz s zamieniłem na cyfry. To zabieg celowy, bo zwiększa ilość możliwych kombinacji. Ostatecznie najlepszym zabezpieczeniem oprócz silnego hasła jest też mechanizm blokujący po kilkukrotnym, błędnym wpisaniu hasła. Wtedy ataki brutalne i słownikowe są praktycznie bezużyteczne.
- Na wykładach (autor: kombajn4 | data: 22/01/14 | godz.: 12:25)
z bezpieczeństwa systemów komputerowych profesor uczulał żeby nie używać numerów rejestracyjnych własnego auta. Jak wrzucili numery z parkingu na uczelni trafili 42 konta.
- @Wedelek (autor: Blazakov | data: 22/01/14 | godz.: 12:30)
Rozwaliłeś mnie nowym przykładowym hasłem :D
- @Wedelek (autor: bmiluch | data: 22/01/14 | godz.: 13:31)
w sumie nie napisałem tego, by się czepiać, ale dlatego że sam zwykle używałem takich haseł a okazuje się, że nie są one takie bezpieczne, zaś połączenie kilku zwykłych słów jest proste do zapamiętania i zapewnia sensowne bezpieczeństwo - to proste rozwiązanie, które moim zdaniem zasługuje na rozpowszechnienie lub przynajmniej wzmiankę :)
co do podmiany - to albo używamy limitowaną ilość "udziwnień" przez co stajemy się przewidywalni, ale łatwiej zapamiętujemy hasło, albo mamy niestandardowe udziwnienia przez co mamy problem z zapamiętaniem; poza tym ludzie są leniwi; nikt nie będzie tworzył haseł gdzie np. 1,3,5,7,11 litera w słowie jest wielka i dlatego obowiązkowe wielkie litery w słowie, dodatkowe znaki, cyfry itp. nie wzmacniają haseł tak bardzo jakby mogły
jeżeli nie próbujemy włamać się na konto konkretnej osoby, to
z punktu widzenia hakera większy sens włamać się do systemu i wykraść plik ze wszystkimi hasłami i danymi użytkownika zamiast próbować logować się na konto; wtedy mamy więcej haseł, możemy każde łamać tak długo jak nam się podoba i poza tym mamy też email i możemy zobaczyć czy takie samo hasło jest używane np. dla konta pocztowego... :)
- @bmiluch (autor: Wedelek | data: 22/01/14 | godz.: 13:39)
Nie odebrałem tego jako czepiania się, tylko jako zwrócenie uwagi na ważny aspekt. Osobiście używam haseł powstałych poprzez połączenie dwóch lub więcej słów w różnych językach oraz cyfr. Jest to dla mnie łatwe, zrozumiałe a stosunkowo trudne do złamania:)
@Blazkow Miło mi;)
- Najgorsze to są restrykcje co do hasła (autor: TheW@rrior | data: 22/01/14 | godz.: 13:57)
Nie kumam projektantów tych wszystkich miejsc gdzie trzeba ustawiać silne hasła a wymogi to: mała/duża litera, cyfry, specjalne znaki i długość. Wystarczyłoby wymagać konkretnej długości i haseł zawierających przynajmniej kilka liter (może być bez cyfr). Z tymi wymogami ludzie właśnie stosują l33t speach w haśle zmniejszając entropię swojego hasła.
Ogólnie to nasz umysł jest słabym miejscem na tworzenie losowych ciągów do zapamiętania więc łatwo przewidzieć ten ciąg wiedząc dostatecznie dużo o osobie które je tworzyła. Dlatego też najlepszym zabezpieczeniem jest długość. Większość z haseł to 6-8 literowo-liczbowe ciągi znaków więc i do takiego zakresu najczęściej się brute-forcuje.
Na koniec mała porada co do bezpieczeństwa WiFi typu WPA/WPA2. Standard przewiduje, że do hasła tymczasowego, generowanego do transmisji wykorzystuje się hasło i SSID czyli nazwę naszej sieci. Jeśli mamy dość popularną nazwę SSID to duża szansa że jesteśmy ze swoim hasłem w tęczowych tablicach i łatwiej złamać szyfrowanie naszej sieci.
Jeśli twoja nazwa sieci WiFi jest domyślna lub znajduje się na poniższej stronie to ją ZMIEŃ:
https://wigle.net/gps/gps/Stat
Jak ktoś chcę prawdziwie pseudo-losowe hasło to polecam:
https://www.grc.com/passwords.htm
- sami fachowcy... (autor: TeXXaS | data: 22/01/14 | godz.: 14:12)
entropia hasła... no nic - ciekawe jakie wnioski z tego wyjdą
- WiFi (autor: Wedelek | data: 22/01/14 | godz.: 14:34)
Akurat WiFi to nie da się praktycznie w domowych warunkach sensownie zabezpieczyć. Owszem można rezygnować z rozgłaszania SSID, używać filtru MAC, czy HTTPS, ale to nadal zbyt mało naprzeciw znającego się na rzeczy intruza. W zasadzie w zabezpieczeniu routera pomaga odłączenie możliwości konfigurowania przez WiFi i ograniczenie zasięgu.
- @15. (autor: TeXXaS | data: 22/01/14 | godz.: 20:07)
Coś mi się wydaje, że fantazjujesz. Jak mam tunel point to point. To jest bezpiecznie. A wymieniony https tak właśnie działa. Zostaje kwestia kodowania, klucza - no, ale skoro ja to zestawiam to sobie robię jak chcę. Akurat ssida bym rozgłaszał, żeby inni widzieli, że sieć na tym kanale chodzi. Chociaż... sprawdzanie takich rzeczy to chyba tylko dla guru. No, oczywiście zależy co to są te "domowe warunki"...
- @5. (autor: Mav | data: 22/01/14 | godz.: 21:23)
kalafiorhaslomiskomentarz to ma być mocne hasło, mocniejsze niż to które zaproponował Wedelek? Bmiluch, Ty z tego artykułu na arsetchnice to chyba tylko tytuł przeczytałeś :E Przecież to Twoje hasło składające się z CZYSTYCH słownikowych wyrazów padłoby szybciej niż to Wedelkowe. Podstawa to używać wyrazów bezsensownych, których w słownikach nie ma. Correct horse battery staple od dawna już niestety nie zapewnia żadnego bezpieczeństwa.
- pierwsze litery zdania (autor: komisarz | data: 22/01/14 | godz.: 21:34)
najlepiej besensownego zdania. A jak jeszcze wmiesac w to znaki to mamy dosc dobre haslo.
- @TeXXaS (autor: Wedelek | data: 23/01/14 | godz.: 00:17)
HTTPS w połączeniach router-komputer faktycznie jest bezpieczny, ale nie chroni to sieci w żaden sposób, a jedynie ustawienia. Czemu? No bo wcale nie musisz nic zmieniać w konf. sieci, żeby się do niej dostać. Wystarczy tylko pozbierać fruwające datagramy, w oparciu o nie odkodować hasło WPA/WEP (na tym działają domowe routery), potem jeszcze czekamy na klienta, podglądamy jego MAC, podmieniamy i już się podłączyliśmy.
A żeby dostać się do routera to albo musimy wykorzystać jakąś lukę albo przejąć kontrolę nad komputerem, który ma to czego potrzebujemy (login + hasło). Tyle, że to już nie takie łatwe i w zasadzie bezcelowe.
- he he (autor: loccothan | data: 23/01/14 | godz.: 02:29)
Zum3aR37enge
/\ss/\ssinCr33d
- @Mav (autor: bmiluch | data: 23/01/14 | godz.: 11:01)
napisz może coś więcej, z Twojej wypowiedzi wynika tylko tyle:
1. O co chodzi panu/pani Mav: Nie zgadza się!
2. Dlaczego Mav nie zgadza się: Dlatego!
jak chcesz możemy poszukać gdzieś w sieci słownik z 10000 wyrazów, zrobię z 4 losowych słów hasło i wygeneruję skrót SHA-512
jeżeli podeślesz mi w ciągu tygodnia hasło, przyznam Ci rację
jeżeli nie Ty przyznasz mi
- @Mav (autor: bmiluch | data: 24/01/14 | godz.: 12:56)
widzę, że kolega nie jest chętny - miałem podejrzenie, że tak właśnie będzie
co do hasła Wedelka - orginalne hasło było "Lub1eMalgo5ie"
tak jak w moim nagłówku - no ale żeby na to wpaść trzeba przeczytać także tytuł
- Konkurs (autor: P.J._ | data: 24/01/14 | godz.: 17:41)
Proponuję konkurs, napiszcie w komentach swoje hasła i loginy oraz nazwy portali, serwisów, usług internetowych i baknów, których one dotyczą. Redakcja oceni najlepsze i wybierze wśród nich najlepsze, przyznając nagrodę w postaci PenDrive-a 2 GB....
|
|
|
|
|
|
|
|
|
D O D A J K O M E N T A R Z |
|
|
|
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
|
|
|
|
|
|
|
|
|
|