webhosting by: WebSupport.sk                                             UnlimitedHosting | CustomHosting | FreeWeb.sk

Nepoznám ani jedno svoje prihlasovacie heslo!

Čitatelia tohoto portálu určite poznajú základnú poučku o voľbe vhodného prístupového hesla >> malo by byť dlhé minimálne 8 znakov, kombinácia malých a veľkých písmen + nejaké tie čísla, prípadne znaky z ASCII rozsahu 0x21 - 0x2F, 0x3A - 0x40. Vymyslieť podobné heslo zabere pol sekundy, zapamätanie je už iná káva. Množstvo problémov so zapamätaním rastie linárne s počtom webov do ktorých sa musíte prihlásiť kombináciou meno/heslo.

Správny BFU to rieši jednoducho, všade používa jedno heslo, kľudne aj dva roky. Takýto ľudia zvyčajne ešte svoje pamäťové schopnosti podporia tým, že si ako heslo vyberú jednoduchú frázu zo slovníka. Je jasné, že takýto prístup nie je bezpečný - je mimoriadne dôležité mať sadu niekoľkých hesiel, najlepšie každé iné, pre každú webu, kde sa prihlasujeme.

Ľudia znalí problematiky používajú napr. Firefox a jeho master-pasword feature. To umožňuje mať jediné master heslo, pre všetky navštivované weby. Ako sa však nedávno ukázalo (viď zistenia okolo SKYPE), ani toto nie je prísliš bezpečné, navyše je toto riešenie neprenosné medzi počítačmi.

Ja už niekoľko mesiacov používam riešenie, keď si pomocou java skriptu vygenerujem heslo podĺa kombinácie [adresa.domény]/[moje_master_heslo]. Stačí teda ak si zapamätám jedno silné heslo, toto pri registrovaní sa, vložím do vstupu skriptu a ten na základe názvu aktuálnej domény stránky vygeneruje jedinečné silné heslo. Potom už iba stačí dokončiť registráciu. Pri najbližšom prihlasovaní sa k portálu, znova zavolám skript, ten opäť na základe kombinácie [adresa.domény]/[moje_master_heslo] vygeneruje pôvodné heslo.

Celá idea bezpečnosti tkvie v tom, že je mám jediné master heslo, ale prihlasovacie heslá sú pre každý portál iné, lebo každý má inú URL adresu, ktorá vstupuje ako element, ktorý sa zmieša (v skutočnosti sa vykoná hašovanie, takže bezpečnosť je cca zaručená) s mojím master heslom.

Celé riešenie sa veľmi jednoducho integruje do browseru ako záznam v bookmarkoch. Celá procedúra prihlásienia je potom veľmi triviálna:

- zobrazíte strámku portálu s prihlacovacími políčkami
- kliknete na bookmark => spustíte JS skript
- skript vás požiada o zadanie master hesla
- po odentrovaní sa vygenerované heslo objaví v políčku pre heslo

Celá procedúra ide ešte zjednoušiť, tak, že heslo bude tzv. hardcoded do JS skriptu, po kliknutí na bookmark sa vás skript na master heslo neopýta (má ho totiž vo svojom kóde) a rovno vyplní políčko pre heslo. Toto ale nie je úplne tip-top pre bezpečnosť, ak však veríte v bezpečnosť svojho PC, môžete si život trocha zpohodlniť. Určite takýto bookmark nevytvárajte v iNet kaviarni.

Najväčšou zvláštnosťou tohoto postupu je, že nepoznám ani jedno heslo na portáloch, kde sa takto prihlasujem, nikdy som ich totiž ani nevidel.

No a ako je to s prenositeľnosťou? Vinikajúce, kód na vygenerovanie bookmarku sa nachádza na webe, takže môžete infikovať všetky PC s ktorými pracujete na Internete. A ak si nezapamätáte presnú adresu, stačí zavolať na pomoc strýčka Gúúgla a kliknúť na druhý odkaz.

Nevýhoda --> iba jedna, pre niekoho podstatná, je to JavaScript.

Average rating
(11 votes)

Comments

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Dalsie riesenie je mat fotograficku pamat ako ten chlapik, co si pamata 16000 telefonnych cisel.
____________________________________________________
Nahoda je celkom nezmyselny pojem, pretoze nic sa nestane bez nejakej priciny.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Imho tam je este jeden problem, a to, ak by som bol nuteny si heslo na nejakom portali zmenit (ci uz z bezpecnostnych pravidiel portalu alebo uz cohokolvek). V takom pripade by som si musel zvolit novy master password, pouzivany iba pre danu stranku a krasa riesenia je pospinena.

Teda, mozno nie az tak velmi, stacilo by pridat do generacie hesla este nejaku hodnotu nezavislu na url (alebo domene, ta sa mi zda byt vhodnejsia na pouzitie) a master password-e, tieto mozu byt kludne zavesene na domovskej stranke a moze ich kazdy vidiet, kedze o bezpecnost sa stara master password, cele by sa to dalo dotrickovat aj do toho skriptu, ktory sa moze za touto hodnotou sam obzerat.

Nuz ale zasa treba aj tu trosku porozmyslat, tym, ze mam prihlasovacie heslo na stranku neviem ake silne nemusim docielit nic moc, ked je moj master password "anicka" :-)
(Skutocnost, ze potencionalny utocnik na moje konto nemusi vediet, ktory system na generovanie hesiel pouzivam, neberiem ako dostatocny sposob obrany.)

Anyway, zaujimava vecicka.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Problem so zmenou Master Passwordu som vyriesil pridanim druheho Bookmarkletu.

Nemusim teda pisat stare heslo, ked nefunguje prihlasenie s novym. Len kliknem na stary bookmarklet, prihlasim sa s povodnym heslom, a hned si ho zmenim.

Je lepsie master password 'anicka', ktore generuje silne 12-znakove upper-lower-digit hesla, alebo heslo 'anicka' na bohvie kolkych strankach? ;-)

Pri mnozstve bezvyznamnych portalov, na ktorych som mal roky to iste slabe heslo, je toto pre mna idealny nastroj na podstatne zvysenie bezpecnosti.

Samozrejme, nepouzival by som to na Google account, ci ibanking. Alebo by som pri citlivych kontach aspon prepisoval meno domeny a pouzival ho ako druhe heslo. Odhalenie Master Passwordu by teda nepostacovalo.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Nj, ale ja som chcel docielit to, aby som nemusel menit heslo na ostatnych strankach. Takto to sice je prezitelne, ale pri velkom pocte stranok nevyhovujuce - a ano, viem, ze riesim uplne abstraktne problemy, ale to ja rad :-)

No, sice su tie upper-lower-digit hesla lepsie, ale iba o malo. Teoreticky je to iba schovanie hesla a spolieha sa to na to, ze nikto nepozna algoritmus, ktorym sa z anicky a urlky stane tvoje heslo pre danu stranku. Ak by to dakto vedel, tak by skusane hesla najprv prehanal cez ten algoritmus a potom skusal. Horsie je, ze uz ked uhadne, tak si moze byt isty, ze ziskal access aj na tvoje ostatne stranky, co si predtym isty nemusel byt.

Ano, silny argument je, ze su to vzhladom na tvoju bezpecnost bezvyznamne portaly - nevyvraciam idealnost tohoto riesenia pre taketo pouzitie. Aj ta bezpecnost je momentalne celkom vyssia - az do momentu, dokym zacne takuto utilitku pouzivat vela ludi a bruteforce attacky zacnu tento fakt zohladnovat.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Ten algoritmus je znamy, je opisany aj na tej stranke, a vyuziva rovnako znamy algoritmus MD5. Ten sa na Master Password + Domain Name aplikuje minimalne 10-krat, kym vysledne heslo nesplna urcite podmienky.

Znalost algoritmu je ti ale nanic, kedze ide o jednosmernu hashovaciu funkciu.

http://labs.zarate.org/passwd_new/MD5.html

Co sa tyka brute force attacku, cesta k master heslu vobec nie je taka trivialna ako si myslis.

Teoreticke odhalenie master hesla je, samozrejme, problem. Ked si to ale porovnam s pouzivanim rovnakeho blbeho hesla na vsetkych strankach (co som ja osobne z lenivosti robieval), vychadza mi to ovela praktickejsie, a urcite aj bezpecnejsie.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

snad len pre pridanie do vseobecnej statistiky :)))

Ja som si pred rokmi vymyslel dve slova a jedno cislo ktore medzi sebou rozne kombinujem cim vzdy dostanem 12 - 19 miestne heslo s malymi aj velkymi pismenami a minimalne 4 cislicami (zvykne obsahovat aj medzery a tabulatory) + pouzivam 3 nicky podla toho ci ide o oficial ucet napriklad pre prihlasenie do inet obchodu aleno neoficial pre prihlasenie hocikde.

Neviem ako mozno len prostym castym pouzivanim si pametam vsetky hesla a vsetky loginy co s kombinaciami moze presahovat kludne cislo aj 20. Nieje to az taky problem ak urcite veci pouzivate casto.
Staci mat pre sameho seba vymyslene simple rules (mam urcite hesla na shelly, urcite na emaily a urcite na bezne konta) a potom nieje problem si vybavit login a heslo. Viem ze ak sa hlasim na web mozu to byt len urcite loginy a urcite passwordy (cca 5 kombinacii na vyskusanie ak by som si nepametal login ani pass) a napriklad pri prihlasovani na shell zas ine.

Mozno to znie zlozito ale je to celkom jednoduchy system a po tyzdni pouzivania funguje krasne aspon zatial.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

ja myslim ze nepoznat svoje hesla neni az tak pohodlna metoda, ja si heslo sice tiez generujem z nazvu url ale algoritmy su tak lahke ze sa daju vpohode zapametat, napriklad: stranka blackhole.sk tak si vyhodim TDL zostane mi blackhole a teraz jazdim po klavesnici najblizsiou cestou od prveho po posledne pismeno tej url, teda heslo by vypadalo takto: bvcxde + podobne metody a urcite ciselne konstanty.... osobne si mislim ze je to lepsi sposob jak je popisany v clanku

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

V skutocnosti tvoj sposob vobec nie je az tak vzdialeny od toho, co je popisany v clanku. Len vysledne heslo je ovela slabsie a algoritmus lahko odhalitelny.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

ani nemislim ze moj algoritmus musi byt lahko odhalitelny, to co som ukazal je len primitivny priklad da sa robit omnoho zlozitejsie kombinacie toto malo len ukazat zakladny princip... sak pozri tu je variacia pre tuto sajtu z jedneho z mojich algoritmou: 4623gfde3782 cele heslo je vygenerovane V HLAVE na zaklade domeny, velmi pochibujem ze niekto odhali na zaklade coho som ho vygeneroval ked nepozna moje postupy... zatial co heslo generovane javascriptom teoreticky ide odhalit... vzhladom na to ze js zavesil na net mohly by sme sa pomocou spetneho ininierstva pokusit vybrat master heslo z jeho hesla co pouzil ne najeku nedvoverihodnu site.

sa ospravedlnujem ze som to napsal dost chaoticky ale mislim ze to ide pochopit alebo aspon pochopit co som tym chcel povedat

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

No ja si tipnem, co si chcel povedat: primitivny sposob tukania po klavesnici od prveho pismena domeny po posledne, prekladany numeric keypadom, je bezpecnejsi ako 10-nasobna aplikacia MD5 hash funkcie na kombinaciu hesla a mena domeny, pricom klavesnice sa nemusis ani dotknut.

To si chcel povedat?

(Jo, a ta gramatika je fakt, FAKT zla..)

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Dobra metoda podla mna ... aj ked je to trosku paranoidne nie ? Nechapem na co by komu bolo napriklad tvoje heslo na bh ... predpokladam ze sa zivis ako administrator :). Ja mam hesla napisane v textovom subore na ploche a navyse su uplne jednoduche ... jedine heslo ktore tam nemam je k mojej sukromnej mailovej schranke. Zalezi proste na tom ako velmi si tie svoje hesla cenis. Zda sa mi vazne trochu smiesne chranit si prihlasovacie heslo na nejaky portal ktory navstivis mozno jeden krat v zivote.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Nechranis si heslo na portal, ktory navstivis raz v zivote, ale to, pomocou ktoreho sa ti generuju hesla na vsetky portaly, bez ohladu na to, kolko ich je a kolkokrat ich navstivis.

Inac, nezda sa ti to pohodlnejsie ako zakazdym otvarat textovy subor na ploche a kopirovat z neho heslo? Len kliknes na Bookmarklet v Personal Toolbare a heslo sa ti same vlozi do password input pola.

Pre teba by mohla byt pridana hodnota ta, ze by tie hesla vobec neboli jednoduche, ze by si si ich ale nemusel pamatat, a ze by si ten textovy subor nemusel nosit so sebou na kluci.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Toto su presne dovody preco to pouzivam ja!

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Este jedna mozna nevyhoda - teda pokial sa heslo generuje pomocou URL a stranka zmeni system a zmeni sa aj URL login strany, tak uz sa neprihlasis :) Myslim ze by stacilo aby to bolo generovane iba z domeny a nie celej URL.
Inac pre tych co to tazsie chapu, tak heslo pre nejaku stranku by mohlo vyzerat napr. takto: md5(masterpw+url). Cize pokial nemas masterpw tak ti nepomoze ze vies url ani ze poznas zdrojak skriptu...

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Vsak si ani neklikol na stranku toho projektu?

SuperGenPass takes your master password and the domain name of a website and uses a one-way hash function to generate your password.

SuperGenPass ignores subdomains and only uses the primary domain name of the website. This ensures that the same password is generated at www.domain.com, login.domain.com, and domain.com, no matter where you are on the site.

Recognizes over 1,000 second-tier top-level domains (so that different passwords are generated at amazon.co.uk and yahoo.co.uk).

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Ja by som to v ziadnom pripade nepouzival ani v kaviarni, kedze keylogger tymto neobides a zisti si aj tvoje master pass a tym aj vsetky hesla. V tomto pripade mam teda radsej riesenie, ze mam urcite hesla na stranky, kde sa zaregistrujem napriklad kvoli par postom, urcite hesla na tie, kde sa zaregistrujem trvalo a urcite hesla na maily. Takto sa nebojim pristupovat k registraciam, ktore su len kvoli par postom, lebo by mi takmer nevadilo, keby niekto zistil heslo prave k tomu. Hesla mam pravdaze random, kde su velke a male pismena spolu s cislami.

V Tvojom pripade musim ale verit aj dotycnej firme, ze nebude heslo odosielat aj sebe a aj ich algoritmu, ze niekto lahko nenajde nejaku koliziu na zaklade hesla, ktore dodam na jeho stranku.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Ako sa branis keyloggeru v kaviarni? Co je ti vtedy platne, ze mas hesla pravdaze random, kde su velke a male pismena spolu s cislami?

Jednoduche riesenie je v ziadnom pripade nepouzivat v kaviarni nic! A uz vobec nie GenPass, radsej sa vzdy dobre zamysliet, ked sa ho chystam kdekolvek instalovat.

Verit dotycnej firme nemusis, pretoze to nie je ziadna firma, ale Chris Zarate, ktory zbuchal sikovny JavaScriptovy program.

Tento program (SuperGenPass) ma okolo 30 kB, je ulozeny vo forme zdrojoveho kodu v tvojich bookmarkoch, bezi v tvojom browseri, heslo, domenu a input field ziskava lokalne, a vobec necaha von. Mozes si to skontrolovat.

Co sa tyka MD5, kolizii atd:

You may have read that MD5 is vulnerable to “collision attacks”, but this is not applicable to the way SuperGenPass uses MD5.

Hash databases are another threat to MD5 and other hash algorithms. SuperGenPass avoids this issue by performing the MD5 hash calculation at least ten times.

Last and most importantly, because most people require passwords of moderate length (8–12 characters) and do not use the full 24-character hash value, all security concerns related to MD5 are essentially moot. No attack can succeed on such a truncated hash value.

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

nechapu... co kdyz ten tvuj generator objevim? (trebas z historie prohlizenych stranek). co mi potom zabrani v tom, abych si to tvoje heslo vygeneroval?

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

Nechapem co neahapes , ved je to primitivne ... vzdy potrebujes svoje master password heslo ...

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

no prave, to jsme tak ale na stejne urovni, jak kdyby mel jenom jedno silne heslo, ne? a to je mozne zjisti, jak pise, celkem jednoduse... tak v cem je ta inovace?

Re: Nepoznám ani jedno svoje prihlasovacie heslo!

v tom ze nemam rovnake heslo na forum o zahradkarstve a do mailovej schranky. prevadzkovatel fora o zahradkarstve moze byt hajzel a ulozit si moje heslo, ktorym sa k nemu regnem, do plain textu, a ak mam tak iste heslo aj do mailu, ktory som mu pri registracii dal, prevadzkovatel si moze citat moje maily.. osobne to vsak roibm tak ako tu uz bolo spomenute, mam par hesiel, asi 3, a pouzivam ich podla uvazenia, na zaklade toho ako velmi je pre mna dolezity dany portal/forum/cokolvek..

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.
webhosting by: WebSupport.sk UnlimitedHosting | CustomHosting | FreeWeb.sk