• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    FALUCIUSVědecké vtipy
    NIEKT0
    NIEKT0 --- ---
    alcator, kritau: To nie je uplne pravda, staci ked si pameta vase stare hashe, a v momente nastavovanie noveho hesla ich skusi cracknut s vasim novym heslom, + nejake jednoduche mutacne pravidla.

    Inak heslova psychologia obecne je pomerne zaujimava vec. Z praxe (penetracneho testera) som napr. pozoroval ze niektori uzivatelia si hesla tahaju "s sebou". Pripadane v niektorych firmach/organizaciach funguje kolektivne vedomie pri vymyslani hesiel, ale pre kazdu firmu/organizaciu je ine. Zaujimave je ale aj pozorovat jav, ktory sa tu uz diskutoval, ze (formalni) bezpecaci sa snazia pravdepodobnost hesiel co najviac rozptylit po moznom priestore, a uzivatelia prejavuju az prekvapivu vynaliezavost, ako skonvergovat k lokalnym minimam.
    ALCATOR
    ALCATOR --- ---
    KRITAU: V okamžiku pokusu o změnu hesla zadáváš obě hesla a dá se udělat DIFF. Je to standardní nabídka MS Windows, tzn. není to něco, co zplichtili ti admini sami - jen zaškrtli políčko "Požadovat minimální odlišnost [X] znaků"

    Podezřelé by to bylo až ve chvíli, kdy by ti systém napsal "Toto heslo je příliš podobné vašemu heslu z doby před 6 měsíci." To už by znamenalo ukládání v plaintextu.
    KRITAU
    KRITAU --- ---
    ROUMEN: jak poznaj, že se liší v x znacích, když by si měli ukládat jenom hash? to asi nebudou moc "bezpečáci"...
    ADELHAIDA
    ADELHAIDA --- ---
    Pche, nejlepší je mít heslo podle kalendáře s citátama:-) Ty hlášky jsou tak obskurní, že na to nikdo nemůže přijít.
    ROUMEN
    ROUMEN --- ---
    QWWERTY: Hezký, ještě to mohlo pokračovat úplně na konci místo vykřičníkem pár slovy: "... by user JohnSmith01" :-)
    QWWERTY
    QWWERTY --- ---
    CELLINDRA: BFU nemůžeš říct, že je BFU
    útokem na "jeho systém" vyvoláš akorát psychologickou imunitní reakci (backfire effect)

    ROUMEN:
    http://i.imgur.com/o4MOvG8.jpg
    VOMAJDA
    VOMAJDA --- ---
    ROUMEN: Kámoš tohle řešil tak, že při vypršení platnosti hesla změnil heslo 11x přičemž to poslední bylo stejné jako heslo, které právě vypršelo.
    PJT
    PJT --- ---
    mě to připomnělo klasiku z doby kamenné: "Nastavil jsem minimální délku hesla na 64 znaků, ať si chlapec taky trochu užije."

    komplet text tady: http://sorry.vse.cz/~bohunka/pocitace/cz/tyden.htm
    ROUMEN
    ROUMEN --- ---
    CELLINDRA: Kdysi stačilo střídat dvě hesla, když to manager pro bezpečnost zjistil, přidali omezení, že se heslo nesmí shodovat s dřívějším a pamatují si jich asi 10 nazpátek. Když všichni ve firmě začali iterovat heslo tak, že přidali číslo měsíce (nebo jen +1), tak poté, co to bezpečáci zjistili, přidali omezení, že se nové heslo musí lišit v nejméně dvou znacích. Nyní jen čekáme, kdy se to číslo ze 2 změní na 3 a více. Někteří už preventivně přešli na systém, kdy součástí hesla je slovní název měsíce :-) Postupem času bude systém pro platnost nového hesla tak komplikovaný, že ten, komu se podaří vygenerovat nové platné heslo jej vyvěsí na nástěnku a všichni ve kanclu budou toto heslo sdílet společně. Takový nový IT komunismus :-)
    CELLINDRA
    CELLINDRA --- ---
    ROUMEN: Jj u nás je to stejný. A kolegové jsou na sebe strašně hrdý a vždycky, když na to nadávám, tak si poklepávají na nos a spiklenecky mi sdělují, jak na to vyzráli, protože "na to mají systém" (a je to přesně ten, co píše ALCATOR). :D
    Neznáte nějaký článek, který by dokazoval, že je to míň bezpečný? Abych měla nějakej argument v ruce.
    ROUMEN
    ROUMEN --- ---
    ALCATOR: U nás tyhle iterující hesla používá každý koho znám. A za nebezpečnost tohoto jevu mohou ti bezpečnostní manažeři, kteří si vynucují nesmyslnou změnu hesla každou chvíli, takže dobře jim tak, chtěli to, tak to mají :-)
    A stejně tak přeju lidem z helpdesku, když jim po dovolených volají lidé žádající resetování hesla, protože jim staré vypršelo během řádné dovolené a na změnu po vypršení je jen krátké časové okno. Předpokládám, že kdyby to zbytečné obtěžování a zdržování někomu vadilo, tak by okno zvětšili nebo alespoň posunuli, aby nekolidovalo s hromadnou dovolenou, ale když to tak chtějí ...
    ALCATOR
    ALCATOR --- ---
    ALDARION: Paradoxně "level papírek" je bezpečnější než to, co praktikují mí kolegové - iterativní hesla:
    Leden: Jaroušek01
    Březen: Jaroušek23
    Květen: Jaroušek45
    ...

    Stačí ti odpozorovat jedno heslo a znáš i heslo, který dotyčný bude mít za X měsíců - ideální na plánování útoku.
    PISKVOR
    PISKVOR --- ---
    CEPAL: Protoze threat model je "nobody gives a fuck about hacking BBS." To je zcela adekvatni.
    AXTHEB
    AXTHEB --- ---
    CEPAL: a?
    CEPAL
    CEPAL --- ---
    AXTHEB: LIANE BBS dodnes pouziva totalne nesifrovanej telnet i pro autentizaci... :-))) bbs.vslib.cz. Troska historie v praxi...
    AXTHEB
    AXTHEB --- ---
    CEPAL: Volaj devadesátky a chtěj svoje bezpečnostní pravidla zpátky.
    ALDARION
    ALDARION --- ---
    CEPAL: To si někdo reálně pamatuje? Od doby, co se nařídila "bezpečná hesla" a pravidelné změny, mají asi vlastně všichni kolegové hesla vypsaná někde v diáři...
    CEPAL
    CEPAL --- ---
    PLECH: a proto moje hesla jsou kompletne nahodny 12-ti-mistny retezce s upper/lower case, cisly a aspon jednim specialnim znakem. Ale ten porod, nez si takovy heslo zapamatuju! :-) (a za dva mesice znova...)
    MAKROUSEK
    MAKROUSEK --- ---
    PLECH: Ja myslim, ze si to vsichni pamatujeme dodnes napoprve.
    PLECH
    PLECH --- ---
    Opakování, matka moudrosti.

    Kliknutím sem můžete změnit nastavení reklam