Upload
new-media-inspiration
View
286
Download
2
Embed Size (px)
DESCRIPTION
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Citation preview
Zapomeňte vaše hesla Michal Špaček
www.michalspacek.cz @spazef0rze
Kdo zná vaše hesla
Jak vytvářet hesla
Jak si je nepamatovat
Kdo myslíte, že má přístup k vašim heslům? Vytváříte hesla správně? A víte, že si je vůbec nemusíte
Kdo zná vaše hesla?
Takže především, vaše hesla byste měli znát vy sami. Určitě je zná také web nebo aplikace, do které se přihlašujete, kvůli ověření. Daná aplikace má také vaše
MIZEROVÉ! Normální lidi. Jako vy. Nebo jako já. Nebo vlastně kdokoliv. Je dobré počítat s tím, že k nějaké té databázi mají přístup a z
MD5, SHA-1, SHA-2
Nevhodné pro ukládání hesel
Hashovací funkce
Hesla by se do databáze měla ukládat tzv. hashovaná. Hashovací funkce vyrábí otisk hesla, ze kterého nejde původní heslo získat. Je to něco jako otisk prstu člověka
Jak takové nevhodné ukládání hesel v praxi vypadá? Takhle. Pixel Federation je vcelku úspěšná slovenská firma, která vytváří online hry. Taky jse
e-mail:md5 (heslo)
Data, která byla vystavena na webu, vypadala takto. Adresa uživatele byla doplněna MD5 hashem jeho hesla (obojí pocházelo z databáze Pixel Federation) a v případě, že se heslo podařilo mizerům rychle
Dlooooouuuhááá
Jak vytvářet hesla
Aby tihle všichni mizerové měli celkem dost práce s crackováním vašeho hesla z nějakého hashe, pokud aplikace hesla takto vůbec ukládá, tak by vaše heslo mělo být
https://xkcd.com/936/
Jeden ze způsobů tvorby dlouhých hesel ukazuje komiks XKCD a tvrdí, že uhádnout toto heslo by trvalo stovky let. Jenže hesla
Ph'nglui mglw'nafh Cthulhu
R'lyeh wgah'nagl fhtagn1.
Tohle je jedno z nejdelších cracknutých hesel. Heslo je to parádní, o tom žádná, obsahuje mezery a tak, jenže je uvedeno v článku na Wikipedii. Cokoliv
Dlooooouuuhááá
Unikátní
Délka není vše. Představte si, že máte sice dlouhá hesla, ale jedno heslo používáte na více místech
A když říkám každé, tak myslím každé. Když budete mít jedno heslo pro e-mail a jedno heslo pro ty ostatní weby, tak to
Unikátní
Dlooooouuuhááá
Náhodná
Již víme, že mít dlouhá hesla nestačí, mohou být ve slovnících používaných k tzv. slovníkovému útoku
DSy$&yWH /T&s4p'vRER@K2;qTFiG
Ideální heslo vypadá asi takto. Je dlouhé, není nikde na webu napsáno, ačkoliv se zveřejněním slajdů vlastně už bude, a obsahuje všechny možné znaky, včetně mezer,
Ale ne všechny
Zapomeňte vaše hesla
Buďte v klidu, existuje totiž řešení, navíc celkem jednoduché a příjemné. Lidský mozek totiž není
Každý se již asi setkal s nějakým managerem nebo managerkou. Jsou to lidé, kteří se vám snaží pomoci a dělají věci za vás,
Password manager
http://www.flickr.com/photos/76029035@N02/6829471407/
1Password
KeePass
Takových password managerů existuje spousta. Za zmínku stojí asi tak tyhle tři, díky 1Password si budete muset pamatovat jen jedno heslo a díky
1.Něco vím 2.Něco mám
Dvoufaktorová autentizace
Žádný password manager vás nezachrání, když si dáte víc piv, než snesete a svoje hesla někomu vykecáte, ačkoliv s hesly vytvo
SMS ovšem někdy mohou dorazit s malou prodlevou nebo můžete být zavřeni v místnosti s olověnými zdmi bez mobilního signálu a
A které služby a webové aplikace tedy vlastně dvoufaktorové ověřování nabízí? Google a Gmail, Facebook, Twitter, Dropbox, Github a další. Kó
Používejte
Password manager
Dvoufaktorovou
autentizaci
Na závěr snad jen pár dobrých rad: vytvářejte silná hesla a zbytečně si je nepamatujte, k obojímu si najděte nějakého oblíbeného
Michal Špaček www.michalspacek.cz
@spazef0rze
BTW, Vaše heslo je: ********