Hlava není na hesla
If you can't read please download the document
-
Upload
michal-spacek -
Category
Internet
-
view
2.528 -
download
0
Transcript of Hlava není na hesla
1. Hlava nen na heslawww.michalspacek.cz @spazef0rze Hesla zapomn kad. Tedy krom m. j si hesla nepamatuji, take je nemu ani zapomenout. Je to skvl pocit. Obrzek pochz z videa What is Your Password, puste si ho, stoj za to. Pvodn slajdy tyto poznmky neobsahuj. 2. Kdo & Jak Foto: https://commons.wikimedia.org/wiki/File:Bos_grunniens_at_Letdar_on_Annapurna_Circuit.jpg Vte, kdo vechno zn vae hesla? A vbec, tute, jak je vytvet sprvn? A jaktoe si hesla nemusm pamatovat? Nebojte, vechno vm prozradm. Mimochodem, tohle zve je jak domc. 3. Kdozn vae hesla? Take pedevm, vae hesla byste mli znt vy sami. Urit je zn tak web nebo aplikace, do kter se pihlaujete, kvli oven. Dan aplikace m tak vae heslo v njak form uloeno v databzi a kvli bezpenostnm chybm t aplikace mohou mt pstup k tto databzi i 4. MIZEROV! pln normln lidi. Jako vy. Nebo jako j. Nebo vlastn kdokoliv. Je dobr potat s tm, e k njak t databzi maj pstup a zadit se podle toho. Kdy mizera zsk databzi, ve kter je njak uloeno vae heslo, me se stt, e to vae heslo zjist, protoe je tam uloeno nevhodn. 5. MD5, SHA-1, SHA-2 Nevhodn pro ukldn hesel Hesla by se mla ukldat hashovan. Hashovac funkce vyrb z hesla jeho otisk, ze kterho nelze pvodn heslo dostat. Je to nco jako otisk prstu lovka, z nj taky lovka zptky nedostanete. Hashovacch funkc je mnoho, nkter jsou vhodn a nkter ne. Tyhle uveden vhodn nejsou a je jedno, jestli pidte salt nebo ne. Jsou pli rychl a tak je mon vytvet miliardy otisk rznch slov i kombinac psmen za vteinu a porovnvat je s otiskem z databze, tomu se k offline tok. Pokud vs hashovn hesel zajm vce, tak pijte na kolen bezpenosti nebo si prohldnte moji prezentaci o hashovn. Nebojte, toto je nejvc technick slajd, dl to bude zas normln. 6. Jak vypad takov nevhodn ukldn hesel v praxi? Teba takto. Pixel Federation je vcelku spn slovensk firma, kter vytv online hry. Taky jsem ji neznal. Do podvdom mizer i bezpenostnch expert se zapsala v prosinci 2013, kdy nkdo z jej databze zskal e-maily a hesla 38 tisc uivatel. Nic vjimenho, podobn ppady se objevuj dnes a denn. Pixel Federation mizerm ale trochu usnadnila prci, hesla nebyla sprvn hashovna. 7. e-mail:md5 (heslo) Data, kter unikla na web vypadala takto. E-mailov adresa uivatele byla doplnna MD5 hashem jeho hesla (oboj pochzelo z databze Pixel Federation) a v ppad, e se heslo podailo mizerm rychle cracknout, tak to pvodn heslo uvedli do zvorky. Tady vidme, e len Miulka m e-mail na Seznamu, jej heslo pro pstup na web Pixel Federation mlo MD5 hash a3fa5atd. a e jej pvodn heslo bylo 197412 to vypad jako njak datum, pesnji rok 1974 a 12. msc. 8. Heslo k mejlu Kdyby Miulka pouvala stejn heslo i pro pstup na Seznam, byla by v hji zelenm. Nepouv, nemuste to zkouet. Jene spousta lid hesla recykluje, pouvaj jedno heslo na vce mstech. Vy to nedlejte. Kdy toti zapomenete heslo, tak sta zadat e-mailovou adresu a web vm pole odkaz na nastaven novho hesla v tom nejlepm ppad. V tom horm ppad vm rovnou pole njak vygenerovan heslo. Kdyby Miulka pouvala heslo 197412 i na Seznam, tak by si njak mizera mohl nechat do jej schrnky na Seznamu poslat odkazy nebo hesla z dalch web a tm zskat pstup i k dalm slubm, kter Miulka pouv. 9. haveibeenpwned.com Kadou chvli nkdo vyhackuje njakou databzi, stalo se to nkolikrt i u ns, naposled v prosinci 2014 Jabbimu. Z jeho databze unikla hesla 150 tisc uivatel, hesla byla dokonce v iteln podob. Natst databze nebyla nikde zveejnna, alespo prozatm. Jestli vae e-mailov adresa nebyla v njak takov veejn unikl databzi si mete ovit na webu haveibeenpwned.com. Nebojte, je to dvryhodn web, nen to sbr e-mailovch adres. V e-mail u spammei dvno maj. Chod vm spam? Tak vidte. 10. Pepicek92 Jak vytvet hesla? Takto rozhodn ne. Je znm, e kdy se po uivatelch chce, aby vytvoili siln heslo, kter m mt aspo jedno velk psmeno a jedno slo, e to velk psmeno bude na zatku a slo na konci. To slo na konci navc asto pedstavuje njak rok. Hesla vymlen v hlav jsou dky znmm postupm pi jejich vytven v naprost vtin pedvdateln a proto jsou velmi slab. 11. Dloooooooooooooo oooooooouuuuuuuu uuhhhhhhhhhhhhhh hhhhhhhhhhh Vae heslo by mlo bt celkem dlouh. m del heslo, tm dle bude trvat crackovn toho hesla. Dlka vmi pouvanch a vytvench hesel by mla bt minimln 8, lpe 12 a vce znak. Vtina mch hesel m 20-40 znak. 12. https://xkcd.com/936/ Jeden ze zpsob tvorby dlouhch hesel uvd komix XKCD a tvrd, e uhdnout toto heslo by trvalo stovky let. Jene hesla se dnes zas tak asto nehdaj, pamatujete na mizery s pstupem do databze a na to, e zpsoby, ktermi uivatel vytv hesla jsou znm? Problm je ten, e vechny sti tohoto hesla jsou bn slova. Mizerov tento zpsob tvorby hesel tak znaj. Mimochodem, XKCD popel sm sebe, kdy o rok dve vyel dl, ve kterm tvrd, e entropie zas nen tak dleit. 13. Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1 Toto je jedno z nejdelch cracknutch hesel. Heslo je to pardn, obsahuje mezery a tak, jene je uvedeno v lnku o Cthulhu na Wikipedii. Cokoliv zveejnnho na webu se nehod na tvorbu hesla, mizerov si toti vytv slovnky z mnoha zdroj a pak takov slovnky pouvaj ke zrychlen crackovn. Vimnte si t jedniky na konci. Ta rozila pvodn heslo, ale i tak to bylo houby platn. 14. Dlooooouuuh Uniktn Dlka ale nen ve. Pedstavte si, e mte sice dlouh heslo, ale to jedno heslo pouvte na vce mstech. Mizerovi pak sta zskat pstup do jedn databze s hesly v iteln podob a zsk pstup i k dalm webm, kde pouvte tohle dlouh heslo. Kad heslo by mlo bt jin. 15. Jedno heslo pro e-mail a jedno heslo pro ty ostatn weby nesta. Jednou jsem si na Amazonu koupil knihu, platil jsem kartou a st sla t karty se zobrazuje v seznamu objednvek. Kdy budu mt na Amazonu stejn heslo, jako na slub, k jej databzi itelnch hesel m mizera pstup, tak se mizera st sla m karty me dozvdt a pak pesvdit podporu njak jin sluby, e on je j, protoe zn njak mj daj. Podpora pak zmn e-mail mho tu na njak mizerou zaloen. A mizera si pak na tu adresu nech poslat odkaz na nastaven novho hesla mho tu. Co nen dleit pro vs, me bt dleit pro mizeru. 16. Dlooooouuuh Uniktn Nhodn Kdy budete mt kad heslo jin (a dlouh), ale vechny budou jak ze slabike nebo z Wikipedie, tak je to taky k niemu. Pokud vae heslo nen nhodn, tak ho crackneme, k Jeremi Gosney. Jeho firma Sagitta HPC stav crackovac servery a Jeremi o crackovn hesel v docela dost. Hesla by mla obsahovat rzn znaky nhodn za sebou. 17. @F-PjxZY@ f0Z^c/U 48ek+E2nK$n Takto vypad ideln heslo. Je dlouh, nen nikde na webu napsno, akoliv se zveejnnm slajd vlastn u bude, a obsahuje vechny mon znaky, nhodn za sebou. Jene kdo si takov hesla m pamatovat, e. Soukrom e-mail, pracovn e-mail, Twitter et, falen Twitter et, et na Facebooku, falen et na Facebooku, LinkedIn profil, falen ah, to je jedno. 18. Zapomete sv hesla Ale hesla si nemuste pamatovat. Bute v klidu, existuje een, navc celkem jednoduch a pjemn. Lidsk mozek toti nen dobr nstroj na pamatovn vech tch hesel (ale ani na jejich vytven), take je mon je v klidu zapomenout. J sm mm pes 600 hesel, ale pamatuji si jich jen pr. Jak to? 19. Password manager Foto: http://www.flickr.com/photos/76029035@N02/6829471407/ Protoe password manager. To je program, kter si hesla pamatuje a vytv za vs, navc vs um na web pihlsit jednm kliknutm. Take si budete muset pamatovat u jen jedno heslo, to do password manageru. Ostatn hesla budou schovan pod jednm hlavnm silnm heslem. Vtina vaich hesel je stejn ji dnes chrnna jen jednm heslem tm k e- mailu. Tam se toti poslaj odkazy na nastaven novch hesel. 20. 1Password KeePass Vyberte si jeden z tchto tech password manager, ty jsou nejvc doporuovan. 1Password je placen program, databzi hesel m jen u vs v potai a s mobilem se um synchronizovat teba pes Dropbox. LastPass je pro prohle zdarma a je online, zaifrovan databze hesel je na serverech vrobce, ale pokud chcete synchronizaci s telefonem, muste si piplatit. KeePass je open source, zdarma, ale synchronizaci si muste zadit sami. 21. Sk p#_s p- *s Aby password manager mohl dobe chrnit vae hesla, muste pout siln heslo. Jak takov siln heslo vytvote? Vezmte njakou vtu, kterou si zapamatujete, teba skkal pes pes oves, vezmte prvn psmena ze slov t vty a nkter dal psmena nahrate specilnmi znaky. Vsledkem bude napklad Sk p#_s p- *s. Skkal pes pes oves je ale obecn znm kanka, na hesla nen vbec vhodn a to ani jako zklad. Vae heslo zalote na vt, kter nen tak proflkl, je blzk vm a pokud mono jenom vm. Foto: http://www.ekevu.com/kevin/?lang=1&category=5&item=486 22. Foto: http://www.flickr.com/photos/reidrac/4696900602/ Heslo k password manageru si nkam poznamenejte, kdy ho zapomenete, tak mte vtinou smlu. Napite si ho nkam na paprek a dejte do oblky, teba k rodim nebo prvnkovi do sejfu. Na monitor si ho nelepte. 23. Pihlaovn s password managerem funguje tak, e v pihlaovacm formuli se objev ikonka, na n kliknete, password manager pedvypln heslo a rovnou se pihlste. Takto vypad LastPass na pihlaovacm formuli Google. 24. LastPass um hesla samozejm i vytvet. Kliknete na ikonku v polku pro zadn hesla a password manager vm njak siln vygeneruje. Vyberte pokud mono co nejdel heslo, krat ne 20 znak radji ne. 25. 1. Nco vm 2. Nco mm dn (password) manager vs nezachrn, kdy si dte pr piv navc a svoje hesla nkomu vykecte, akoliv s hesly vytvoenmi password managerem to asi nebude snadn kol, zvl po tolika pivech. Ped touto nepjemnou situac vs me zachrnit dvoufaktorov autentizace (2FA). Ta od vs potebuje nco navc mt, nejenom znt. Mete mt teba telefon, na kter provozovatel webu zale SMS, kterou pak opete do polka ve formuli. 26. SMS obas pijde pozd nebo vbec a tak existuj alternativy, jako teba mobiln aplikace Google Authenticator. Ta um tyhle kdy potebn pro 2FA generovat sama bez pipojen kamkoliv. Pouit thle aplikace je lep zpsob, ne ovovn pomoc SMS, protoe na telefonu mete mt zken aplikace, kter vs mizera njak donutil nainstalovat a tyhle aplikace mohou st SMS a mizerovi je poslat. Dvejte pozor na to, jak aplikace do telefonu instalujete a jak maj prva. 27. Kdy ztratte telefon s Authenticatorem, tak mte smlu. Radji pouvejte aplikace, kter kdy zlohuj a synchronizuj mezi rznmi zazenmi, jako teba Authy nebo Duo Security. Nebo rovnou njak hardwarov token, jako teba YubiKey. 28. Dvoufaktorov ovovn nabz Google a Gmail, Facebook, Twitter, Dropbox, Github a dal. Kd zaslan SMS nebo vygenerovan mobiln aplikac nevyaduj vdy, ale napklad jenom kdy se hlste z jinho potae nebo jednou za 30 dn. 29. A prv proto, e ty sluby nechtj ovovac kd zadat pokad, tak to nen dvoufaktorov autentizace (2FA), ale dvoukrokov oven (2SV). Vimnte si, e Google to tak opravdu nazv, akoliv tedy jen v anglitin. Naprost vtina toho, co se dnes oznauje jako 2FA je ve skutenosti 2SV. 30. Pouvejte Password manager 2FA/2SV Pr dobrch rad na zvr: vytvejte siln hesla a zbyten si je nepamatujte, k obojmu si najdte njakho oblbenho password managera. Ten pouvejte pln na vechno, doma i v prci, na bankovnictv, i na seln kd ke kufru. Na slubch, kter podporuj 2FA/2SV si ji zapnte. Jednou vm to zachrn zadek, vte mi. 31. [email protected] Pokud pouvte Gmail a vae adresa je [email protected], tak se na weby registrujte se speciln adresou. Za jmno (foo) ped at-sign (esky zavin) mete za znak plus doplnit cokoliv, teba adresu webu, na kter se prv registrujete. Kdy vm pak na takovou adresu zane chodit spam, vte, kdo vai adresu prodal nebo komu databze unikla. Znak plus je normln povolen znak v adrese, ale web ho mus pi registraci pijmout. Pokud nepijme, je to chyba webu, nahlaste ji provozovateli. 32. Michal paek www.michalspacek.cz @spazef0rze BTW, Vae (pt) heslo je: ********1 Sledujte m na Twitteru (@spazef0rze), pokud vs zajmaj odstraujc ppady zachzen s hesly, dal tipy a triky nebo odkazy na lnky o heslech.
