Bezbednost: Pretvorite lozinku u rečenicu

Moja lozinka: pnndobkekufd3000g
partizan nece nikad da osvoji bilo koji evropski kup u fudbalu do 3000. godine. Za kosarkaski menadzer menjam partizan u zvezdu ;)

strucnjak za lozinke? auuu...

Drugi deo slagalice da bi bezbednost bila kompletna, a koji nije pomenut u ovom tekstu, jeste na koji se nacin te lozinke cuvaju u bazi sajta na koji se registrujete, a to vam nece otkriti iz bezbednosnih ili 'bezbednosnih' razloga. Medjutim i tu se prave ogromni propusti koriscenjem npr. md5, obicnog des ili sha algoritma. Sony BMG je hakovan 2011 i na radost hakera dobili su bazu korisnika-pretplatnika i ostalih u plain text formatu. U svakom slucaju posebne lozinke za svaki sajt umanjuje rizik, ali je tesko za pamcenje i neprakticno za vecinju ljudi.

ma problem su napadi hakera na velike kompanije ciji smo korisnici. koliko god da je jaka sifra bice ukradena, kao sto se desilo adobeu. bolje da oni povecaju zastitu.

Svedske banke imaju ustaljena pravila vec godinama, cak ni placanje na netu sa Visa karticom nije moguce bez dzepnog citaca kartica. Naime, svi imamo citace cipova kartica gde prilikom bilo koje transakcije na monitoru izlazi sestocifreni digit cod, jednokratni, aktivan 3 minuta. Unosenje tog koda u citac kartice i aktiviranje funkcije, naplata, login, verifikacija, te zatim, unosenje sifre za bankomat, citac kartice generise sifru po tim faktorima koja je od 9 cifara. Unosenjem sifre za odgovor potvrdjujemo transakciju. Sistem radi na taj nacin da svi sajtovi i banke koje koriste internet naplate i net banking, po unosenju broja kartice, komunikacijom sa VISA serverima znaju da je kartica Svedska i salju zahtev bankinim serverima za sifru koja je potrebna za unos u dzepni terminal. Kako opisah ta sifra se uz login kao na bankomatu pretvara u verifikacionu suifru i to je to. Za sada neprobojan sistem a sami citaci sa sve dugmicima i displayom su jedva malo veci od same kartice te nepredstavljaju nikakav problem za poneti.

Primer: https://www.google.se/search?q=swedbank+nordea+kortl%C3%A4sare&client=firefox-a&hs=80h&rls=org.mozilla:sv-SE:official&source=lnms&tbm=isch&sa=X&ei=9nKYUq-XOai04ATs3YD4DQ&ved=0CAcQ_AUoAQ&biw=1024&bih=605#q=+nordea+kortl%C3%A4sare&rls=org.mozilla:sv-SE%3Aofficial&tbm=isch

@ realno
specijalni znaci se koriste zato što tvz "brute force" softveri za provaljivanje šifri najčešće prvo pokušavaju sve kombinacije običnih slova i brojeva a tek nakon toga pokušavaju i sa specijalnim znacima koji kada se uključe u broj kombinacija on dramatično raste pa je samim tim provaljivanje šifre daleko teže
naravno ako šifra ima 50 karaktera onda nije bitno kakvih ali kada ih je npr od 5 do 10 onda je ovo izuzetno vazno

"Što se tiče jačine lozinke, trebalo bi da ima najmanje dvanaest karaktera i da predstavlja kombinaciju slova, brojeva i specijalnih znakova kao što su tačka, minus ili znak uzvika. "
ovo nije tacno. ne trebaju vam nikakvi specijalni znaci. bitan je broj karaktera (tu dobro dodje recenica kao sto se kaze u naslovu), ali je bitno da bude gramaticki neispravna, da ne bi bila ranjiva na takozvani dictionary attack.

http://xkcd.com/936/

Uvek za password koristim velika slova, mala slova i brojeve

Ma kakva lozinka... Ja praktikujem 100% sigurnost - iz dvd rom-a ne vadim sistemski DVD, te, svaki put kada palim računar nanovo instaliram sistem - sigurno protiv virusa 1000000000000000%. Manite se vi lozinki....

moja dopuna
pnndobkekufd3000gank
'a ni kasnije' :)

@sash
Adobe-u je ukradena baza podataka, a ne sifre korisnika. Sve sifre su bile kriptovane u njihovoj bazi nepoznatim hash kodom i za sada ne postoje indicije da su ih hakeri provalili. Sama baza jeste zanimljiva zato sto sadrzi korisnicka imena, email adrese, brojeve kartica itd. jer ti podaci ne mogu biti kriptovani (obicno nisu, jer ni admini i moderatori ih u tom slucaju ne bi mogli proveravati) ali zato je vazno da lozinke budu kriptovane i da ne budu iste kao za bankovne racune, fejsbuk itd.

E ovako...mislim da nema potrebe da se od korisnika traze dugacke i komplikovane sifre, evo zasto. Sta ce nekim hakerima vasi licni podaci, mozda bi im trebali da mogu da dodju do broja i sifre vase kreditne kartice, ali to se ne pamti u bazi nekog sajta ili bilo gde, jer bi i sama kompanija znala vase podatke, sto je rizicno. Negde se eventualno pamti broj kreditne kartice, ali svaki put kada uplacujete morate uneti sifru, jer se ona ne pamti. Daleko je veca odgovornost tih kompanija, a evo i zasto. Nije bitno da li je moja sifra 1234 ili gd@'"$€, jer ako oni(hakeri ili ko vec) provale algoritam po kojem se sifrovao password, znace sifru za bilo koji char. Tako da je na kompanijama ta odgovornost da ne dopuste da im neko udje na server i dodje do tih sifrovanih podataka. Naravno, i smisliti sto bolji algoritam sa sifrovanje, kao sto je neko vec rekao md5 odavno nije siguran, u tom slucaju iako imaju hash-ovane podatke, ne mogu nista, ako je algoritam komplikovan kao sto treba da bude, dok oni provale, korisnici ce vec promeniti svoje sifre i to je to...Uhhh napisah esej :-)

Na temelju jedne rijeci moze se formirati vise od jedne prosto-prosirene, ili slozene recenice, i mnogim hakerima nisu meta sadrzaj u novcaniku, nego u glavi.

strucnjak za lozinke? auuu...

"Što se tiče jačine lozinke, trebalo bi da ima najmanje dvanaest karaktera i da predstavlja kombinaciju slova, brojeva i specijalnih znakova kao što su tačka, minus ili znak uzvika. "
ovo nije tacno. ne trebaju vam nikakvi specijalni znaci. bitan je broj karaktera (tu dobro dodje recenica kao sto se kaze u naslovu), ali je bitno da bude gramaticki neispravna, da ne bi bila ranjiva na takozvani dictionary attack.

http://xkcd.com/936/

Uvek za password koristim velika slova, mala slova i brojeve

moja dopuna
pnndobkekufd3000gank
'a ni kasnije' :)

Moja lozinka: pnndobkekufd3000g
partizan nece nikad da osvoji bilo koji evropski kup u fudbalu do 3000. godine. Za kosarkaski menadzer menjam partizan u zvezdu ;)

ma problem su napadi hakera na velike kompanije ciji smo korisnici. koliko god da je jaka sifra bice ukradena, kao sto se desilo adobeu. bolje da oni povecaju zastitu.

Ma kakva lozinka... Ja praktikujem 100% sigurnost - iz dvd rom-a ne vadim sistemski DVD, te, svaki put kada palim računar nanovo instaliram sistem - sigurno protiv virusa 1000000000000000%. Manite se vi lozinki....

Na temelju jedne rijeci moze se formirati vise od jedne prosto-prosirene, ili slozene recenice, i mnogim hakerima nisu meta sadrzaj u novcaniku, nego u glavi.

Svedske banke imaju ustaljena pravila vec godinama, cak ni placanje na netu sa Visa karticom nije moguce bez dzepnog citaca kartica. Naime, svi imamo citace cipova kartica gde prilikom bilo koje transakcije na monitoru izlazi sestocifreni digit cod, jednokratni, aktivan 3 minuta. Unosenje tog koda u citac kartice i aktiviranje funkcije, naplata, login, verifikacija, te zatim, unosenje sifre za bankomat, citac kartice generise sifru po tim faktorima koja je od 9 cifara. Unosenjem sifre za odgovor potvrdjujemo transakciju. Sistem radi na taj nacin da svi sajtovi i banke koje koriste internet naplate i net banking, po unosenju broja kartice, komunikacijom sa VISA serverima znaju da je kartica Svedska i salju zahtev bankinim serverima za sifru koja je potrebna za unos u dzepni terminal. Kako opisah ta sifra se uz login kao na bankomatu pretvara u verifikacionu suifru i to je to. Za sada neprobojan sistem a sami citaci sa sve dugmicima i displayom su jedva malo veci od same kartice te nepredstavljaju nikakav problem za poneti.

Primer: https://www.google.se/search?q=swedbank+nordea+kortl%C3%A4sare&client=firefox-a&hs=80h&rls=org.mozilla:sv-SE:official&source=lnms&tbm=isch&sa=X&ei=9nKYUq-XOai04ATs3YD4DQ&ved=0CAcQ_AUoAQ&biw=1024&bih=605#q=+nordea+kortl%C3%A4sare&rls=org.mozilla:sv-SE%3Aofficial&tbm=isch

@ realno
specijalni znaci se koriste zato što tvz "brute force" softveri za provaljivanje šifri najčešće prvo pokušavaju sve kombinacije običnih slova i brojeva a tek nakon toga pokušavaju i sa specijalnim znacima koji kada se uključe u broj kombinacija on dramatično raste pa je samim tim provaljivanje šifre daleko teže
naravno ako šifra ima 50 karaktera onda nije bitno kakvih ali kada ih je npr od 5 do 10 onda je ovo izuzetno vazno

E ovako...mislim da nema potrebe da se od korisnika traze dugacke i komplikovane sifre, evo zasto. Sta ce nekim hakerima vasi licni podaci, mozda bi im trebali da mogu da dodju do broja i sifre vase kreditne kartice, ali to se ne pamti u bazi nekog sajta ili bilo gde, jer bi i sama kompanija znala vase podatke, sto je rizicno. Negde se eventualno pamti broj kreditne kartice, ali svaki put kada uplacujete morate uneti sifru, jer se ona ne pamti. Daleko je veca odgovornost tih kompanija, a evo i zasto. Nije bitno da li je moja sifra 1234 ili gd@'"$€, jer ako oni(hakeri ili ko vec) provale algoritam po kojem se sifrovao password, znace sifru za bilo koji char. Tako da je na kompanijama ta odgovornost da ne dopuste da im neko udje na server i dodje do tih sifrovanih podataka. Naravno, i smisliti sto bolji algoritam sa sifrovanje, kao sto je neko vec rekao md5 odavno nije siguran, u tom slucaju iako imaju hash-ovane podatke, ne mogu nista, ako je algoritam komplikovan kao sto treba da bude, dok oni provale, korisnici ce vec promeniti svoje sifre i to je to...Uhhh napisah esej :-)

@sash
Adobe-u je ukradena baza podataka, a ne sifre korisnika. Sve sifre su bile kriptovane u njihovoj bazi nepoznatim hash kodom i za sada ne postoje indicije da su ih hakeri provalili. Sama baza jeste zanimljiva zato sto sadrzi korisnicka imena, email adrese, brojeve kartica itd. jer ti podaci ne mogu biti kriptovani (obicno nisu, jer ni admini i moderatori ih u tom slucaju ne bi mogli proveravati) ali zato je vazno da lozinke budu kriptovane i da ne budu iste kao za bankovne racune, fejsbuk itd.

Drugi deo slagalice da bi bezbednost bila kompletna, a koji nije pomenut u ovom tekstu, jeste na koji se nacin te lozinke cuvaju u bazi sajta na koji se registrujete, a to vam nece otkriti iz bezbednosnih ili 'bezbednosnih' razloga. Medjutim i tu se prave ogromni propusti koriscenjem npr. md5, obicnog des ili sha algoritma. Sony BMG je hakovan 2011 i na radost hakera dobili su bazu korisnika-pretplatnika i ostalih u plain text formatu. U svakom slucaju posebne lozinke za svaki sajt umanjuje rizik, ali je tesko za pamcenje i neprakticno za vecinju ljudi.