„Tato zkratka funguje tak, že vezme prvních pět znaků z vašeho hesla, které poté zašifruje a odešle na stránku pwnedpasswords.com. Odsud se poté zjistí, zdali došlo k úniku, či nikoliv“
Pokuď to doopravdy funguje takto, tak je to opravdu nesmysl. Příklad: Unikne heslo – heslo123 a já mám heslo – hesloUSH3IW4D.
Prvních pět znaků se shoduje
Tato zkratka funguje ke zjištění toho, zdali na internet uniklo vaše HESLO, nikoliv e-mail.
Jako nesmysl mi to rozhodně nepřijde. Pokud unikla alespoň část hesla na internet, tzn. prvních 5 znaků, tak dopátrání těch zbývajících už je většinou jednoduché. Pokud máte heslo „pejsek11“ a někdo zjistí, že je na začátku hesla slovo „pejsek“, tak ono číslo „11“ v podobě dvou znaků už je celkem jednoduché rozšifrovat.
Se šifrováním máte pravdu, to bylo v článku uvedeno ke zjednodušení, jelikož mnoho uživatelů neví, co „hashování“ znamená a slovo šifrování je jim určitě bližší.
Úniklé hesla by měli být vždy provázané s mailem. Takto funguje https://haveibeenpwned.com.
Uniklé databáze jsou ve tvaru – email : hash.
Mě může být jedno, že nějaké osobě xxx v zemi yyy na portálu zzz uniklo heslo, protože útočník ho nebude zkoušet u mě a osob jiných než-li té se kterou je heslo spojeno.
Podle toho co tvrdíte, tak pokuď bude mít v nějaké databázi třeba nějaký Nizozemec heslo pejsek a vy se bude chtít dostat do účtu nějaké Čecha. Tak rozhodně budete zkoušet přidávat čísla do hesla nějakého cizince :) . Ono to je ve výsledku stejně jedno, protože většina serveru, když nemá prostý text, tak má hesla v MD5 a to je pomalu, jak kdyby to bylo bez hashe.
Navic za https://haveibeenpwned.com/ stoji Troy Hunt. Je to clovek ktery se bezpecnostni zabejva dlouhodobe, 9 let je Microsoft MVP a v ramci tohoto programu i Regional Director (ma na starosti dalsi MVP ale neni zamestnanec MS, je na volne noze).
Rozhodne bych nikam neposilal heslo at si kdo chce, co chce, rika – email staci
Nechci se hádat, ale jestli mi moje heslo někam uniklo a někdo se snaží na mě připojit (icloud a další služby od apple vč. nastavení nového telefonu atd), tak mám zapnuté dvou-faktorové ověření = pokud nic nedělám já nebo nedej bože někdo z mých dvou spolubydlících (žena/kluk), kteří znají mé heslo do telefonu a teoreticky toto mohou udělat (pro případ kdyby se mi něco stalo a potřebovali si stáhnout má data) = budou mít i moje telefony kam půjde ověření, mi toto přijde rada jen pro hňupy. Opravdu jen „blbec“ bude posílat své heslo někam a věřit tomu že je šifrované.
Umna v pohode bez ujmy :)
To vypadá nějak podivně. Daleko lepší služba je https://haveibeenpwned.com. Tam stačí jen email
„Tato zkratka funguje tak, že vezme prvních pět znaků z vašeho hesla, které poté zašifruje a odešle na stránku pwnedpasswords.com. Odsud se poté zjistí, zdali došlo k úniku, či nikoliv“
Pokuď to doopravdy funguje takto, tak je to opravdu nesmysl. Příklad: Unikne heslo – heslo123 a já mám heslo – hesloUSH3IW4D.
Prvních pět znaků se shoduje
A vsadím se, že to ty znaky nešifruje, jak se píše v článku nýbrž hashuje
Tato zkratka funguje ke zjištění toho, zdali na internet uniklo vaše HESLO, nikoliv e-mail.
Jako nesmysl mi to rozhodně nepřijde. Pokud unikla alespoň část hesla na internet, tzn. prvních 5 znaků, tak dopátrání těch zbývajících už je většinou jednoduché. Pokud máte heslo „pejsek11“ a někdo zjistí, že je na začátku hesla slovo „pejsek“, tak ono číslo „11“ v podobě dvou znaků už je celkem jednoduché rozšifrovat.
Se šifrováním máte pravdu, to bylo v článku uvedeno ke zjednodušení, jelikož mnoho uživatelů neví, co „hashování“ znamená a slovo šifrování je jim určitě bližší.
Úniklé hesla by měli být vždy provázané s mailem. Takto funguje https://haveibeenpwned.com.
Uniklé databáze jsou ve tvaru – email : hash.
Mě může být jedno, že nějaké osobě xxx v zemi yyy na portálu zzz uniklo heslo, protože útočník ho nebude zkoušet u mě a osob jiných než-li té se kterou je heslo spojeno.
Podle toho co tvrdíte, tak pokuď bude mít v nějaké databázi třeba nějaký Nizozemec heslo pejsek a vy se bude chtít dostat do účtu nějaké Čecha. Tak rozhodně budete zkoušet přidávat čísla do hesla nějakého cizince :) . Ono to je ve výsledku stejně jedno, protože většina serveru, když nemá prostý text, tak má hesla v MD5 a to je pomalu, jak kdyby to bylo bez hashe.
Navic za https://haveibeenpwned.com/ stoji Troy Hunt. Je to clovek ktery se bezpecnostni zabejva dlouhodobe, 9 let je Microsoft MVP a v ramci tohoto programu i Regional Director (ma na starosti dalsi MVP ale neni zamestnanec MS, je na volne noze).
Rozhodne bych nikam neposilal heslo at si kdo chce, co chce, rika – email staci
Jasně, určitě budu někam psát své heslo… Aby se zjistilo jestli neuniklo… Přemýšlí tu vůbec někdo?
Nechci se hádat, ale jestli mi moje heslo někam uniklo a někdo se snaží na mě připojit (icloud a další služby od apple vč. nastavení nového telefonu atd), tak mám zapnuté dvou-faktorové ověření = pokud nic nedělám já nebo nedej bože někdo z mých dvou spolubydlících (žena/kluk), kteří znají mé heslo do telefonu a teoreticky toto mohou udělat (pro případ kdyby se mi něco stalo a potřebovali si stáhnout má data) = budou mít i moje telefony kam půjde ověření, mi toto přijde rada jen pro hňupy. Opravdu jen „blbec“ bude posílat své heslo někam a věřit tomu že je šifrované.