• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    R_U_SIRIOUSCybersecurity. Kyberbezpečnost. (Ne)bezpečí v síti.
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Hm...

    Microsoft’s global sprawl under fire from regulators after Windows outage - The Washington Post
    https://www.washingtonpost.com/technology/2024/07/20/microsoft-outage-crowdstrike-regulatory-scrutiny/
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Stát chystá novou strategii kyberbezpečnosti. NÚKIB vyzval veřejnost k posílání podnětů a témat - Lupa.cz
    https://www.lupa.cz/aktuality/stat-chysta-novou-strategii-kyberbezpecnosti-nukib-vyzval-verejnost-k-posilani-podnetu-a-temat/?
    _KRYSTOF_
    _KRYSTOF_ --- ---
    Centralized system concept ouched loud out today.
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Vybavila se mi hláška z Návštěvníků, když na konci Brodský dá do vodováhy CML pomocí dřevěného klínku: "CML je idiot."

    #kecy
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Není to tak trochu problém monopolizace kyberprostoru Microsoftem? Počítačů s Mac a Linux se to netýká.
    Kvůli něčemu takovému byl internetový protokol koncipovaný jako distribuovaný systém. Až na to, že zařízením s MS Windows ta skutečnost, že centrální informační systém není bezpečný, možná tak trochu unikla.
    MUXX
    MUXX --- ---
    QWWERTY: Jo. Akorat tam nesmis mit bitlocker. To se pak do toho Safe mode tak jednoduse nedostanes.
    QWWERTY
    QWWERTY --- ---
    MUXX: udajne, no guarantees
    MUXX
    MUXX --- ---
    Cybersecurity platform Crowdstrike down worldwide, many users logged out of systems
    https://www.digit.in/news/general/cybersecurity-platform-crowdstrike-down-worldwide-many-users-logged-out-of-systems.html
    Reddit - Dive into anything
    https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

    Volal mi kamos, ze ma vsechny sklady a pobocky v cesku a na slovensku nepouzitelny a zamestnanci posilaji fotky Windows BSOD...
    E2E4
    E2E4 --- ---
    VIXLE: zas kdo se ti bude srat s jednotlivým dekodovanim tvýho schématu aby se ti dostal do Spotify..

    u banky, emailu apod to je jiná, ale u běžných služeb mi to přijde ok, když nechceš nebo nemůžeš použít správce hesel..
    VIXLE
    VIXLE --- ---
    R_U_SIRIOUS: ten seznam je absolutni bullshit, slepenec predchozich leaku (pouze hesel nesparovanych s username, jak plaintext, tak necracknuty hashe ruznych formatu) a totalnich nesmyslu (email adresy, nazvy firem, random non-ascii stringy)
    viz treba: https://x.com/lkarlslund/status/1809573815887761459

    SYNTAX_TERROR: jakmile v tom budes mit nejakej takhle trivialni system, nekdo se dostane k vic nez jednomu heslu ktery si sparuje treba podle emailu, neni zas tak tezky ten system reverznout a voila, mas pristup vsude. imho stejna blbost jako inkrementy cisel nebo pouzivat vsude "SuprTruprDlouhyHesloRandomBramboraPentagram" a pridavat za to "-sluzba". realne vetsinou ty leaky budou slouzit stejne k nejakymu stuffingu, takze by si te musel nekdo cilene vybrat, ale to uz mas asi lepsi nepamatovat si zadny heslo a pri kazdym prihlaseni si vyzadat reset na email s poradnym zabezpecenim...

    QWWERTY: to mi pripomelo jak me kdysi SOC detekoval za pouziti Get-Aduser ... | findstr -i password kdyz jsem si chtel vyjet expiraci svyho vlasniho hesla z AD properties... tak od ty doby pouzivam Get-Aduser ... | findstr -i ssword a nic...
    E2E4
    E2E4 --- ---
    QWWERTY: jo, to byl příklad a ani jsem si nevšiml že tam nabízí řešení.

    a ano, najít řešení který bude natolik malej oser pro uživatele že ho skutečně začne používat místo triků jak to obejít je těžký..
    QWWERTY
    QWWERTY --- ---
    E2E4: kdyz nekomu posilam heslo k RADIUSu, aby se mohl pripojit na wifi, tak nedava uplne smysl do toho michat jeste Azure. nemluve o tom, ze treba nase business unit nema do Azure vubec prava tam cokoliv delat, takze se sice prihlasim, ale nemuzu nic.

    bezpecnou alternativu mas nabidnutou primo v tom pop-upu: pouzij mail + AIP Protected/Encrypted.
    jenze v tom je prave ten vtip - pro beznyho uzivatele uz jsi prave timhle prekrocil tu hranici "pouzitelnosti", takze nez aby sli hledat, jak vytvori zabezpeceny mail, tak udelaji screenshot a poslou ho znova tim stejnym kanalem
    E2E4
    E2E4 --- ---
    QWWERTY: ono bohužel nejde dělat test na secrets, aniž by měl false positives. tak se to prostě pohladí tak, aby měl málo false positives za cenu false negatives, lepší než nedělat nic.
    been there, done that.

    a druhá věc je, že by to mělo rovnou nabízet alternativu bezpečného a pohodlného sdílení hesel. (typu Azure keyvault)
    QWWERTY
    QWWERTY --- ---
    pripomeli jste mi vcerejsi situaci, kdy jsme zjistili, ze nam Teamsy delaji screening na secrets

    a) jim to funguje jenom nekdy


    b) to vyhodi tenhle vtipny popup



    prvni reakce bezneho uzivatele? "no tak si to budem pres Teamsy posilat misto plaintextu jako screenshoty" :D

    NAVARA
    NAVARA --- ---
    QWWERTY: epicgames - "úmyslně blokujeme password managery, nepovažujeme je za bezpečné" :)
    QWWERTY
    QWWERTY --- ---
    NAVARA: obecne ty proprietarni reseni jsou zlo
    "heslo smi obsahovat POUZE tyto specialni znaky"
    "heslo je moc dlouhe"
    nepodporujeme copy&paste, takze heslo z manageru se musi rucne opsat (nedejboze, pokud mi tam generator hodil znaky, ktery nejsou ani na klavesnici)
    etc...
    NAVARA
    NAVARA --- ---
    Password manager a zcela náhodná dlouhá hesla - už jsem někde přes 1500 individuálních účtů za ty roky.

    Jediná věc, se kterou někde bojuji, je když tam dají nějaké omezení typu "max 10 znaků" a to o dost delší náhodné heslo se mi tam nevejde :)
    E2E4
    E2E4 --- ---
    SYNTAX_TERROR: asi nikdo nebude zkoumat tvoje schéma generování hesel, ale pokud budou tvoje hesla jednoduchá a/nebo používaná, generováním nebo použitím leaklych hesel bude tvůj účet hacknut.

    nejlepší je mít hesla generována náhodně a používat správce hesel.

    pokud si je musís pamatovat (typu heslo od počítače, heslo od správce hesel), použij spíš dlouhý zapamatovatelné hesla / passphrases - několik slov: "nábřeží opice revizor krkavec zvednout Heydrich". pro nějakým min významný hesla typu registrace na idnes můžeš používat i odvozeny passphrases, k tomu základu přidáš klidně rovnou jméno ty služby.
    SYNTAX_TERROR
    SYNTAX_TERROR --- ---
    I jsem se chtěl zeptat, jestli tu někdo máte nějaký systém pro generování hesel per-služba. Jakože nemusím si pamatovat / ukládat heslo pro každou servicu, stačí znát nějaký klíč, podle kterého si heslo do služby snadno vybavím, když tam znám alespoň username (což bývá záhodno :))

    Příklad: username: pepik, servica: post.cz
    Klíč: první 2 znaky z username, poslední 2 znaky ze servicy a heslo je na světe: pest

    Jasně, velmi primitivní klíč, slouží jen jako ukázka.

    Mně to docela slouží. A jsem si vědom nevýhody, že když mi někdo přijde na 2+ hesla, tak z toho (možná i z jednoho, když je to borec a klíč je slabý) dokáže ten klíč vyluštit a dostat se tak vesměs ke všem mým ostatním heslům. Ale zatím se (podle zatím netrignutých traps ;) tváří, že mi to nikdo necracknul (čti => jsem dostatečně velký chcípáček, aby to někomu stálo za snahu).
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    „RockYou2024“: téměř 10 miliard jedinečných hesel uniklo do online světa - není mezi nimi i to vaše? | CHIP.cz
    https://www.chip.cz/rockyou2024-temer-10-miliard-jedinecnych-hesel-uniklo-do-online-sveta-neni-mezi-nimi-i-vase
    Kliknutím sem můžete změnit nastavení reklam