Hackeři z Czechurity napadli web české UniCredit Bank. Nešlo o DDoS

Viz výše můj komentář. Pokud se nějak dostali do db k heslům, tak z hashe vyzjistit takovéto heslo je otázkou chvilky. A ten hash může být klidně i osolený, obzvláště, pokud se použil dávný standard md5 + sůl.
12 místné heslo (nějaké primitivnější písmena+čísla) lze z neosoleného md5 hashe zjistit v řádu minut.
Lidi, probuďte se a nežijte v dobách dávno minulých.
Zdar Max
PS: podle té rychlosti bych si tipnul, že to heslo byl jen md5 hash

Silně pochybuji, že ta hesla byla v MD5. To je snad už několik let stará technologie.Osobně mi to celé přijde jako příliš nafouknuté. Nejspíše to někdo vypustil do éteru, aby se měli novináři po čem vozit.

By jsi se divil, kde všude jsou hesla v plaintextu. MD5 je slabota, ale je na hodně místech. MD5 + nějaká sůl se také vyskytuje dost často.
Pokročilejší hashe apod. už se vidí o mnoho méně.
Zdar Max

Nejde o to, že je to několik let stará technologie, ale o to že md5 slouží k vytváření otisků souborů. Cílem byla rychlost. Tím se také stává - zejména v dnešní době - nepoužitelnou k ukládání hesel. Sůl sem, sůl tam, na tom nesejde, s tím si prográmky taky umí poradit.

No, upřímně řečeno, rozhodně dnešním standardům neodpovídá. Tyto požadavky na heslo byly aktuální tak před 5 leti a to ještě s odřenýma ušima. A to kdo ví jestli, jelikož trochu rozumnější systémy zakazují používání postupek typu 123 apod.
Dnešní požadavek na heslo bych shrnul asi takto :
minimálně 10 znaků, písmena malá/velká + číslo + speciální znak.Heslo dlouhé 12 míst, které se skládá jen z písmen a číslic, lze z hashe zjistit během několika minut. Ano, jedná se o hash, nicméně hrál jsem si i s Johnen u osoleného hesla a během pár hodin jsem šestimístné heslo vykousal na průměrném CPU. Osmimístné heslo z písmen a číslic schované v osoleném hashi lze vykousat relativně rychle.Samozřejmě, tyto postupy nelze použít na webové aj. služby, ale když už se někdo dostane k takto uloženým heslům, tak bychom se měli snažit aspoň o to, abychom měli čas na jeho změnu, tzn. čas, než ho útočník vykouše a pokusí se ho zneužít - prostě a jednoduše dbát na složitost hesla v každé situaci.
Zdar Max

Tímhle tempem za 10 let bude požadavek na heslo alespoň 100 znaků a 2 znaky minimálně z 25 stránek UTF8 a stejně tu bude nebezpečí. Lidi si budou hesla psát na papírek k počítači, což bude maximální zabezpečení a celé snažení půjde do háje.Zajímalo by mne, zda všude používáš heslo, které odpovídá tvým požadavkům.
Samozřejmě, že bys měl mít ještě všude heslo úplně jiné.

Zapomínáš na možnosti certifikátů ...Jinak ano, vesměs ano. Na serverech a v důležitých systémech ano.Tam, kde to není potřeba, jedu pořád postaru s low cost heslem (různé webové sračky, které vyžadují registrace).
Prostě na čem mi záleží, tam si na heslu dávám záležet (někde mám i 24 místné heslo apod.).
Všechna hesla si samozřejmě pamatuji a navíc mám nevýhodu oproti jiným uživatelům v tom, že pracuji jako Administrátor a tak si musím pamatovat dalších hafo relativně složitějších hesel a nemám s tím problém.Zdar Max

co je tak kouzelnýho na použití různých čísel a pseudoznaků v hesle? "Toto_je_heslo_na_můj_počítač" je IMHO dostatečně bezpečné a jednoduše zapamatovatelné.

To je jednoduché. Když je heslo složitější, může být kratší a člověk si ušetří zbytečné tlučení do klávesnice navíc :)
Zdar Max

Jinak jen tak pro zajímavost, Heslo, co jsi napsal, splňuje požadavky, které jsem uvedl, ba dokonce překračuje :).
Je minimálně 10 místné, obsahuje velká a malá písmena, obsahuje i speciální znaky.
Sice neobsahuje číslo, ale za to obsahuje více druhů speciálních znaků (diakritiku lze považovat za speciální znaky), takže ve finále těžko říci, na co vlastně narážíš :).Zdar Max

A slovnikovy utok byl Zenevskou konvenci zakazany? Jestli ne, tak nechapu o cem Vas prispevek je.

To je mimochodem dobrá ukázka toho, že takovéhle technické požadavky na heslo jsou na ****. Akorát to vytváří nezapamatovatelná hesla a bezpečnost jde za pár let do kytek tak jako tak.
Napriklad tato veta je radove bezpecnejsim a zaroven zapamatovatelnejsim heslem.

To ano, ale než jí napíšeš, tak si můžeš uvařit kafe :).
Né, je to samozřejmě na uživateli. Buď si zvolí kratší, ale složitější heslo a pak nemusí datlovat jak idiot, nebo použije něco jednoduššího a pak musí datlovat o trochu víc.
Další možností je klávesová mapa.Zdar Max

To nebyla nahoda, to byla Ceska posta.

Admin má pěkné heslo :DDD

Vse je to o lidech. Vsadte se, ze ma zavidenihodmy plat. I moje heslo sem je lepsi. :(

Jestli je to fakt pravda, tak je to drsný

Znám admina jedný docela velký sítě, co jako heslo použivá "password" když sem se ho ptal proč, tak mi odpověděl, ze tam psaly insert password tak tam vlozil password

To tam psaly nějaké ženy "insert password"?

NBU SR :)
nbusr123

Po jistych potizich zmeneno na bfusr123.