10:41
28/12/2011

* TP o hasłach

Telekomunikacja Polska przygotowała krótką prezentację dot. problematyki tworzenia bezpiecznych haseł — warto się z nią zapoznać.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

22 komentarzy

Dodaj komentarz
  1. W tej prezentacji niewiele jest o tworzeniu silnych haseł. Trzy slajdy straszenia, jeden slajd z informacją, żeby używać wielkich liter, cyfr i znaków specjalnych, jeden z sugestią, żeby korzystać z menedżerów haseł i jeden z opisem, jak można zapisywać hasła na kartce. Nic specjalnego.

    Żenujące są natomiast błędy w prezentacji: “wg.” z kropką, przecinki przed spójnikami…

    • Akurat wg. pisze się z kropką – wyjątek od reguły.

    • Wg nie pisze się z kropką. Niestety. Nie lubię przyznawać racji komuś innemu, niż sobie w kwestiach językowych, ale w trzech poważnych miejscach znalazłem to info.

  2. Za dużo info na jednym slajdzie. Posrało go?

  3. Ciekawi mnie jego drugi slajd. Na złamanie hasła przy 1Mb/s potrzeba 0.25 sekundy?
    Jak on to liczył? O_o
    Chyba sam czas transmisji tyle wynosi, a gdzie jeszcze oczekiwanie na odpowiedź serwera itp?

    • Może łącze jest podane “ot tak”; nie ma podanej informacji o tym, czy dane dot. hasła łamanego online/offline (przy czym łącze sugeruje atak online, a czas offline).
      BTW prezentacja wygląda strasznie nieskładnie, a pomarańczowy “wali po oczach” :)

  4. a W dodatku pod Opera wyskakuje mi info, ze certyfikat jest niekompletny ;)

  5. http://xkcd.com/936

    • Ta super, ale tworząc tego xkcd, ktoś zapomniał o łamaniu haseł metodą słownikową.

    • e, mnie tam wyglada, jak by wlasnie uwzglednil: zaklada, ze prostych slow jest ok. 2000, a 64k trudnych

  6. Kwadrat jest najlepszą częścią tej prezentacji, chociaż ja mam raczej problem z dopasowaniem hasła do serwisu niż z zapamiętaniem samego hasła.

  7. Mi wysypało przeglądarkę, z powodu braku ‘he*’ coś tam. Czcionki w każdym bądź razie, a później w ogóle uniemożliwiło klikanie w polu przeglądarki…

    • @Bushi, Bushi… chyba wiem, którym Bushim jesteś, bo na Niebezpieczniku żadnego nie widziałam, a tego pseudo używa mój znajomy, który czyta Niebezpiecznika. A jeśli nie jesteś tym Bushim, to przepraszam za pomyłkę. ^^”
      O ile dobrze pamiętam i o ile jesteś tym Bushim, o którym myślę, to po raz kolejny ci powtarzam, że IE9 nie jest dobre. O ile wciąż go używasz i zachwalasz tak jak ostatnio gadaliśmy o przeglądarkach, a gadaliśmy o tym dawno.

      _____
      Co do samej prezentacji…
      ‘Dla przeciętnego Kowalskiego’…? Dobra, choć tych najbardziej typowych znaków specjalnych można było nie wypisywać. Albo nie w takiej kolejności. Bo ponoć wykrzykniki są jednymi z najczęściej używanych (czy nawet najczęściej) znaków specjalnych w hasłach.
      Co do długości haseł… w moim przypadku komputer – 27 znaków, facebook – 17… z moich ‘grzechów’ hasłowych to: do niepotrzebnych mi kont, gdzie zwykle niestety trzeba się rejestrować, żeby coś zrobić – 6 znaków, proste, aczkolwiek niesłownikowe; do dziennika elektronicznego – 30-parę, jakby się uprzeć, to brute ze słownikiem to złamie, dopasowując brakujące znaki (składa się głównie ze słownikowych wyrażeń z pełną interpunkcję itd. XD). Ale to też się nie przejmuję, bo nie jestem nauczycielem, żeby to było jakieś ważne (i tak dotychczasowy spam w komunikatach był od jednego księdza, który uczy tylko dwie klasy, a wiadomość poszła do wszystkich uczniów).
      ‘Grzechy’ hasłowe moich znajomych – abcxyz (+ew. cyfra lub dwie), haslo (+jakiś drobny ciąg znaków), nazwa handlowa pewnej karmy dla zwierząt (najlepiej jak z tym znajomym kiedyś robiłam jeden projekt i dostęp był na jedno hasło… za pierwszym razem prawie umarłam ze śmiechu XD, do poważniejszych rzeczy jednak stosuje on poważniejsze hasła)
      Chyba sobie w końcu zainstaluję tego LastPassa, bo ostatnio hasła unikalne zapominam… i muszę latać je resetować, tak jak ostatnio z AppStore miałam.

  8. @bushi: Win? :)

    A prezentacja? Istne Sci-Fi!

  9. Dorzucę ciekawą stronę związaną z ostatnią metodą w prezentacji:

    http://www.passwordcard.org/

  10. Dzięki za istotne uwagi, liczyłem, że opublikowanie info przez Piotra trochę ich wywoła. Obiecuję, że wezmę je pod uwagę przy tworzeniu kolejnego poradnika.
    Przede wszystkim weźcie pod uwagę, że ta prezentacja jest dla “Kowalskiego”, który nie ma za bardzo pojęcia o IT Sec i pod tym kątem była robiona. Nie zamierzam na nowo wymyślać prochu – chcę przekazywać krótko i zwięźle to, co w sieci jest rozsiane i często napisane rozwlekłym, trudnym językiem.
    @Troll: Straszenie jest z premedytacją, szukam sposobu na przekonanie ludzi do tego, że hasło jest czymś istotnym. Co do “wg.” – biję się w pierś, przez lata w dziennikarstwie uczono mnie, że jest z kropką i nawet korekta mi tak zmieniała. Tym niemniej przecinki są umieszczone w odpowiednich miejscach :) Jakieś merytoryczne uwagi?
    @Neox&tomekby: Nie chciałem przesadzać z technikaliami
    @tomekby: To nasza firmowa kolorystyka, ale może faktycznie warto od niej odejść przy kolejnym poradniku.
    @zzz1986: Ja na kartce mam hasło do menedżera haseł, a resztę trzymam w menedżerze.
    @RafalB: Konkretne uwagi pls. Nie zamierzam bić piany, że jest super – naprawdę liczę, że dzięki Waszym uwagom kolejny poradnik będzie jeszcze lepsze.

    • Tylko wtedy trzeba(w sumie nie trzeba, ale lepiej) mieć kilka kopii kart(na wypadek zgubienia/kradzieży), manager nie może mieć połączenia z netem, dane musi szyfrować(rsa jest powolne, ale tu dużo danych by nie było wiec by się nadało, tylko trzeba by jeszcze klucz gdzieś trzymać) i silnie zaszyfrowane dane managera też “trzeba” mieć w różnych miejscach(na wypadek padnięcia dysku).

    • “Tym niemniej przecinki są umieszczone w odpowiednich miejscach :) Jakieś merytoryczne uwagi?”

      W zdaniu “Menedżery haseł zazwyczaj mają wersje na PC, Maca, oraz na telefony komórkowe” przecinek przed oraz jest błędem, patrz: http://poradnia.pwn.pl/lista.php?id=11547

      Z uwag bardziej merytorycznych: brakuje klasycznego mnemotechnicznego sposobu generowania trudnych i łatwych do zapamiętania haseł, czyli tworzenia ich na podstawie fraz (pierwsze litery z każdego wyrazu).

      Przykładowe hasło “T0je$tHAS?odoFEJS@” nie ma wiele wspólnego z mnemotechniką, a przy takich podstawieniach (o-0, s-$) warto wspomnieć, że łamacze haseł potrafią je stosować przy atakach słownikowych.

      Warto również przestrzec przed tworzeniem haseł słownikowych z doklejoną cyfrą czy znakiem interpunkcyjnym (kasia.1) – taka operacja nie zwiększa znacząco siły hasła.

      Kudos za szybkie poprawienie “wg”.

  11. Zdecydowanie my pleasure. Uwagi merytoryczne ;) wziąłem sobie do serca i odrobinkę poprawiłem slajd o zapamiętywaniu. Dziękuję – jak widzicie, działamy szybko :)
    Co do uwag, jak nie tworzyć haseł – zastanawiałem się nad tym, ale słowo “nie” ma odruchowe negatywne konotacje (podczas, gdy poradnik ma wywoływać pozytywne), poza tym to by oznaczało przedłużenie go o kolejny slajd, a ma być jak najzwięźlej.
    @zzz1986: Ja na komórce używam KeePassa, a na kompie LastPassa.

  12. Powiem wam tyle o silnych znakach:

    ⌂♦┐ö♥☺ô☻█Ä

    Wystarczy po koniec starego hasła wybrać jakąś ciekawą kombinacje alt + (co najmniej 3 cyfry z klawiatury alfa numerycznej).
    Moje hasła tak wyglądają tylko mają różną kombinacje na końcu. Są po prostu nie do złamania.

    P.S.
    Jest ich dużo więcej niż te które wymieniłem. Nie używa ich żaden brutus czy też hash decrypter :P

    • chciałbym widzieć, jak logujesz się z tel. kom. ;)

  13. To jest właśnie najlepsze dla mnie, między innymi dlatego że rzadko loguję się z innych urządzeń niż mój komputer. A ponieważ posiadam Smartphone’a który posiada opcje “Kopiuj Wklej” mogę w Google na komórce wpisać “alt + ***” i skopiować znak :P

    Dla osób które nie używają komórki do logowania się takie hasło jest bardzo bezpieczne.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: