Kacper, trafiłem na Ciebie przypadkiem i teraz nadrabiam oglądanie, hehehe. Jedyne co mogę powiedzieć to to, że jak na treści jakie prezentujesz oraz na sposób mówienia - masz o wiele za malo subów.
Masz dużą wiedzę i dar do jej przekazywania. Naprawdę robisz dobrą robotę! Pół żartem, pół serio wspomnę, że istnieje jeszcze jedno rozwiązanie, o którym nie wspominasz - kartka papieru i długopis... Ale to rozwiązanie dla hardcorów, którzy mają w dodatku odpowiednią sytuację mieszkaniowo-pracowo-komputerowo-telefonową :)
Bardzo fajny materiał. Chcę się tylko przyczepić do "sztuczki" z 9 około 25:00. Oczywiście jakąkolwiek cyfrę z tego przedziału się wybierze to po tych przekształceniach dostanie się 9, więc to nie jest przewidywanie jaką liczbę miało sie na myśli. Wydaje mi się, że to jest oczywiste dla większości odbiorców tego kanału. Ale można tak wprowadzić w błąd i sprawić, że ktoś pomyśli, że mozna ze 100% prawdopodobieństwem przewidzieć o jakiej cyfrze myśli człowiek. Efekt przeciwny do nauki. Przykład wcześniej pokazujący konkretną dystrybucję "losowo" wybranych przez ludzi znaków jest za to super, i ilustruje dobrze ten sam punkt bez wprowadzania w błąd. Dzięki za dobrą robotę!
Panie Kacprze, wpadłem tutaj na chwilę z czystej ciekawości, pozwoli Pan że zostanę na dłużej. Winszuję świetnych materiałów, podejścia do tłumaczenia trudnych zagadnień, bardzo dobrej dykcji a przede wszystkim wiedzy i merytoryki. Zasłużony dzwoneczek i Like. Nieśmiało prosze o więcej, będę wyczekiwał kolejnych materiałów.
Fantastyczne materiały Kacprze! Również i ten. Uporządkowany i czytelny sposób przedstawienia wiedzy. Oglądam z przyjemnością. Dziękuję za udostępnienie!
1:00:50 - a ja polecam zapisywanie haseł... w formie zaszyfrowanej. Taką kartkę można przykleić do monitora. Jakie jest prawdopodobieństwo, że osoba z naszego otoczenia będzie w stanie je odszyfrować? Przechowywanie haseł w sieci nawet w formie zaszyfrowanej znacznie poszerza zakres osób, które są w stanie złamać szyfr. W zasadzie o tym mówisz przez cały wykład. Nawet to o czym wspomniałeś na chwilę przed tym. W sieci tak - ktoś może złamać taką metodę podstawiania. Ale w naszym otoczeniu? Dlatego ja mam hasło do banku zapisane w zeszycie na moim biurku (nie loguję się na żadnym innym urządzeniu niż komputer domowy). Powodzenia w próbie włamania się do tego zeszytu ;) Jak już się komuś uda, to musi to jeszcze odszyfrować. Zresztą na upartego podobnie można zrobić z hasłem głównym do menedżera haseł. Można je sobie zapisać jawnym tekstem, ale w jakimś nietypowym miejscu. Na przykład jako fragment strony dodanej do ulubionych. Powiedzmy adres tego filmiku to th-cam.com/video/7-3iKtg51Zc/w-d-xo.html - mogę ukryć w tym adresie swoje hasło po v=. Ale dodatkowo w zaszyfrowanej formie, czyli nie przepisuję go wprost, ale modyfikując znaki według określonego klucza, np. przepisuję od tyłu, znak poprzedzający cyfrę zamieniam z tą cyfrą, a numerację modyfikuję tak, że pierwsza cyfra jest pomniejszona o 1, kolejna o 2, kolejna o 3... I w tym przykładzie wyszłoby, że moje hasło to: c03ZgtKi0-3. Można użyć jakiejś epickiej muzyczki i zawsze odpalać filmik podczas logowania. Gdyby ktoś zapytał dlaczego zawsze odpalacie muzykę gdy się logujecie, to mówicie, że tworzycie klimat ;) A tak naprawdę przepisujecie hasło z okna przeglądarki :-D Można mieć osobną muzykę na każde konto ;) W efekcie linki generowane przez youtube stają się szumem, na który nakładacie własny algorytm. Nikt tutaj nie jest w stanie wyłapać schematu podstawiania nawet jeśli przechwyci hasło z 20 serwisów. Inny sposób na hasło główne - np. macie ulubioną książkę. Hasło bankowe zbudowane jest z dziesiątej litery na kolejnych stronach poczynając od 50 do 72. Zgubicie telefon? Padnie wam komputer z zapisanym hasłem? Spłonie dom z zeszytem, w którym macie zapisane hasło? Klops. Ale jak stracicie ulubioną książkę... to idziecie do księgarni/antykwariatu i kupujecie swoje hasło ;)
Panie Kacprze, świetny materiał. Chciałbym dodać mały komentarz do TOTP w Menadżerze haseł: Password Manager zabezpieczony haslem o Entropi 90bit z YubiKey'em jako 2FA oraz unikatowym mailem (tylko do logowania do Menadżera) i można bezpieczenie trzymać kody TOTP w menadżerze haseł. 1. Mail (something you know) - 2. Password (something you know) - 3. YubiKey (something you have) - 4. YubiKey Bio [jeszcze nie w sprzedaży] (something you are) Połączenie bezpieczeństwa z wygodą. Oczywiście można iść jeszcze dalej i zabezpieczyć jeszcze bardziej. Należy jednak pamiętać że w pewnym momencie nasz "system logowania" będzie zbyt skomplikowany i rodzi to wieksze problemy niż atak hakerski.
wydaje mi się że idea soli została źle wytłumaczona. Z tego co wiem to sól nie chroni przed atakiem słownikowym, bo musi być ona jawnie zapisana aby dodać ją do hasła atak Brute Force z solą czy bez soli (a tę sól poznamy, bo jest zapisana jawnie. Aby można było ją dodać do wpisywanego hasła) nic nie zmienia. Sól chroni przed atakiem z użyciem "Tablic Tęczowych" jest to baza danych która polega na tym że raz ktoś poświęcił czas i moc obliczeniową na zamianę każdego możliwego hasła na HASH. Przy ataku szukamy do jakiego hash-a będzie serwer porównywał hash naszego hasła. Mając tablicę tęczową do danego algorytmu nie musimy liczyć hasha ale go tylko wyjąć z bazy. Sól powoduje to że hasło+sól jest za długie/trudne aby ktokolwiek kiedykolwiek poświęcił czas na tworzenie tak wielkiej tablicy tęczowej aby obejmowała ona hasła z każdą możliwą solą. Ważne jest aby każdy użytkownik miał inną sól, bo jeśli serwis używa taką każdą sól do wszystkich użytkowników to może się okazać że warto zrobić tablicę tęczową na "standardowe hasła"+sól. Jeśli każdy użytkownik ma inną sól to wracamy do prostej metody Brutal Force. problem z słabymi hasłami i nieodpowiednim ich hashowaniu/soleniu że jeśli ktoś się włamie na serwer to pierwsze co sprawdzi to czy z dostępnych tablic tęczowych pozna hasła jakiś użytkowników mając hasło do danego użytkownika staje się on celem ataku. Przed atakiem słownikowym/brutal force, skuteczniej chroni wielokrotne hashowanie (np 100 054x tak aby na słabym smartfonie sprawdzenie hasła trwało max kilka sekund) i wielokrotne hashowanie ma taki sam efekt jak sól w stosunku do Tablic Tęczowych, inna liczba powtarzania haszowana to inna sól.
Dzięki za uświadomienie o zagrożeniach .Super zestawienie Zauważyłem że raczej ostrzegasz . Przydał by się film jak się bronić ,jak sprawdzić komputer czy jest bezpieczny .Czy antywirusy bezpłatne są wystarczające . Czy przeglądarka Tor jest bezpieczna , czy pod względem bezpieczeństwa jest lepsza niż Chrome ?
odnośnie haseł z tego co mi wiadomo odchodzi się od przypadkowych liter dużych małych, znaków specjalnych, liczb, na rzecz losowych wyrazów ponieważ odpowiednia ich liczba jest równie bezpieczna a o wiele łatwiejsza do zapamiętania przez człowieka np "kon droga chmura lampa farba płyta noga" vs "3&:7dCKs3£" (w krypto przyjętym standardem jest losowe 12-24 słowa ze słownika zawierającego 2048 możliwych słów, 12słów to 2^128 możliwości)
42:52 z branżą gier jest jeszcze ten szkopuł, że wielu graczy zakłada wiele kont (co wg niektórych zasad jest zabronione); ktoś chciał to wykorzystywać, ale chyba spełzło na niczym (jedna gra MMO RPG której tytułu z oczywistych powodów nie wymienię). Zakładanie wielu kont ma skutkować wypchnięciem słabszych graczy do niższych lig, możliwością (zabronionego) handlu przygotowanymi kontami, sprzedawania rzeczy z gry innym graczom, czy zwykłego podniesienia trudności w danej 'lidze'.
Dwa miesiące temu definitywnie przestała działać synchronizacja "Everyone" w AI RoboForm dla aplikacji we wersji 7.9. Co w niej (do wersji v7) było takiego, że o tym wspominam? Dwie kluczowe kwestie: 1. hasło do logowania się do konta na stronie roboforma było INNE niż hasło do bazy, 2. w aplikacji można było włączyć hasła dwupoziomowe. Te dwie funkcje to było mistrzostwo świata, moim zdaniem. Nawet gdyby ktoś uzyskał hasło do zalogowania się do chmury to i tak nie miał dostępu do zapisanych haseł/przepustek. Majstersztykiem były dwupoziomowe hasła w samej aplikacji. Polegało to na tym, że tworzyło się tzw. hasło użytkownika i hasło główne (oddzielało się je ukośnikiem). Teraz najlepsze - chcąc się zalogować na jakąś stronę która miała przepustkę w roboformie wystarczyło wpisać tylko hasło użytkownika. To hasło nie pozwalało na nic więcej. Chcąc podejrzeć hasło, edytować go - należało wpisać oprócz hasła użytkownika także hasło główne. Rewelacja. Ale producent wprowadził wersję "RoboForm v8" i ... pousuwał te ficzery :/ Teraz jest JEDNO hasło do logowania na stronę i do otwierania przepustek/loginów :/ Szukałem od chyba 2-3 lat zamiennika "Ai RoboForm" posiadającego możliwość stosowania dwupoziomowych haseł, ale nie znalazłem niczego takiego. Żeby była jasność - chodzi o dwupoziomowe hasła a nie dwuskładnikowe uwierzytelnianie.
Jeśli hasło użytkownika pozwalało na zalogowanie - to znaczy, że można je było zobaczyć. Wygląda to bardziej na blokadę w interfejsie niż prawdziwe zabezpieczenie.
@@KacperSzurek Hasło użytkownika mogłem nawet "pokazać żonie" ale to nie było hasło logowania do np. banku, fejsa czy jakiegoś tindera ;) Hasło użytkownika pozwalało tylko na wypełnienia formularza w oknie logowania. Tutaj hasła nie są widoczne (zazwyczaj). Hasło użytkownika nie pozwalało w "RoboFormie" na otwarcie tajnych notatek, profilu, danych kart, danych wrażliwych. Być może masz na myśli, że po wprowadzeniu hasła użytkownika "AI RoboForm" (nawet przed żoną, służbami ;)) wypełniany jest formularz logowania i tutaj istnieje możliwość przejęcia danego hasła do np. banku poprzez np. jakiegoś sniferra, czy innego narzędzia przechwytującego ruch w pamięci komputera/smartfona? Jeżeli to masz na myśli to w takim przypadku nic nas nie ochroni ;) pozdro
@@Artur.Chmielewski Z tego jak to opisujesz "hasło użytkownika" a "hasło główne" niczym się nie różniło z punktu widzenia bezpieczeństwa. Bo OBA hasła pozwalały na dostęp do bazy danych. Więc OBA hasła były w stanie odszyfrować bazę. Ograniczenie działało tylko po stronie interfejsu graficznego. Coś podobnego możesz osiągnąć używając kilku kont z różnymi hasłami głównymi. Czyli jedno konto dla mało istotnych rzeczy. A drugie dla tych ważniejszych/notatek.
@@KacperSzurek To pewnie coś mętnie opisałem. Hasło użytkownika: 123kot Hasło master: 123kot\qw34%!zKgP Każda przepustka/login/notatka to były oddzielne pliki - nie było jednej centralnej "bazy". Hasła użytkownika mogły być różne dla każdej jednej przepustki/loginu/notatki. Ale teraz po Twoim wpisie faktycznie dałeś do myślenia ;) Z kilkoma kontami to tak średnio ;) To płatna aplikacja :)
Ja uzywam Google Chrome jako menedzera. W ustawieniach zaawansowanych wlaczylem szyfrowanie osobnym haslem synchronizacji Tak wiec - zero knowdlege - jest - obsluga formularzy - jest - 2fa - jest - na koncie Google - generowanie - jest - synchronizacja - jest - koszt - za darmo - kod odpowiedziapny za szyfrowanie user-data jest open source i jest czescia Chromium
Czemu wiec nie istnieje pięcio poziomowe uwierzytelnianie, albo lepiej dziesięcioleci poziomowe ???! Lepiej jest skomplikować życie niż je ułatwiać. Taki nowy lepszy swiat
Firefox ma wbudowaną funkcjonalność z "Have i been pwned". Jeśli dobrze pamiętam to nazywa się Firefox Monitor. Można było o tym wspomnieć przytrzymując się przy Firefoxie
Ciekawie się ciebie słucha. Stosunkowo dużo błędów językowych, przejęzyczeń (np. 59:51 "losowJE hasło" i zaraz 59:59 - "którą użyMAMY"), ale lecisz przez nie na tyle płynnie (rzadko się zacinałeś i poprawiałeś), że to nie razi tak bardzo. Podejrzewam, że większość osób nawet nie zwróci na to uwagi. Dla mnie o tyle ciekawe zjawisko, że pomimo tych błędów słucha się ciebie lepiej niż osoby, która popełnia niewiele błędów, koryguje je od razu, ale mniej panuje nad tonem głosu, tempem wypowiedzi. Nadajesz się do prowadzenia takich wykładów :)
Nie mam twarzoksiazki😁 Bardzo fajny/pożyteczny filmik Zdrówka życzę Jedyne czego nie "ogarniam" to ta sztuczka z dziewiątkami🤨 Co ona miała na celu Pozdrawiam
Witam mam smartfon Xiaomi Redmi 8 i po każdej próbie ustwienia hasła pojawia mi się błąd serwera. Co może być tego przyczyną. Używam 4 znaków i 4 cyfr tak jak jest wymagane
Pytanie od laika. Skoro hasło do poczty jest bardzo ważne to czy powinienem na moim PC używać klienta poczty np. Thunderbird? Jeśli będę się logował do poczty poprzez stronę internetową za pomocą menadżera haseł to sprawa wydaje się jasna i w miarę bezpieczna. Jeśli będę używał Thundrbirda na PC to z niego bardzo łatwo można wyciągnąć wszystkie hasła do kont pocztowych. Co zatem robić? Używać klienta poczty czy logować się przez stronę internetową? Przy kilku kontach pocztowych może to być uciążliwe. wolałbym pozostać przy Thunderbird ale jak go zabezpieczyć? Materiał świetny !!!
Rozważamy tutaj sytuacje, kiedy złośliwe oprogramowanie zostanie uruchomione na naszym komputerze. W takim przypadku i tak jest pozamiatane - bo malware widzi co robimy.
Nie zabezpieczam telefonu bo gdybym miał za każdym razem w domu z 50x go odbezpieczać to Szajba gwarantowana. Tym samym poza domem jestem narażony. Czy są takie apki które automatycznie deaktywują zabezpieczenie w strefie bezpieczeństwa (in sagę space..np w zasięgu konkretnego WiFi ? i aktywują po utracie zasięgu ( out safe space) ?
Dziękuję za film. Z tym autowpisywaniem haseł/loginów przez KeePassXC jest problem (firefox, W10). Jak strona ma animowane okienka logowania, "nakładane" na stronę (przepraszam ale nie umiem tego inaczej nazwać. Jestem jełopem informatycznym) to mimo opcji manualnego wybierania rubryk menedżer nie działa prawidłowo. Może ktoś napisać jak sobie inne menedżery z tym radzą? Czy też są strony że jest problem z autowpisywaniem?
jest hasło nazywane numerem Boga takie hasło wyjątkowo ciężko złamać ale hasło pisze się inaczej niż pokazywane publicznie dlatego jest ukrywane i bezpieczne nikt nie może używać podobnego hasła dlatego nazywa się hasłem Boga
Nie korzystam. Mam 3 hasła, używane w zależności od ważności strony. Dzięki temu pamiętam wszystkie używane hasła. Na wszystkich używanych stronach. A do spamowych stron używam jednego skompromitowanego emaila z jednym hasłem.
Generalnie większość posiada taką opcję. Niestety, z tego co wiem żaden darmowy. Bitwarden w wersji płatnej bitwarden.com/help/article/setup-two-step-login-u2f/ lub 1Password (też płatny) - support.1password.com/security-key/
@@KacperSzurek Dziękuję, zacząłem korzystać z Bitwardena, co ważne jest w języku polskim :). innymi słowy jest super. Próbowałem także Dashlane, ale jak dla mnie jest zbyt "agresywny" i nie po polsku
świetny materiał osobiście mam również osobne konta email do każdego z kluczowego serwisu (finansowego) bez podanego w nim nr telefony tylko 2FA czy myślisz że to dobre rozwiązanie ?
@@KacperSzurek pytanko czy odblokowywanie bitwardena przy pomocy face ID jest bezpieczne? każdorazowe wpisywanie skomplikowanego masterpassword jest uciążliwe natomiast czy możemy polegać na face id bez żadnych obaw np. w przypadku utraty iphona?
@@gracxx162 To zależy od przyjętego przez Ciebie modelu zagrożeń. Po prostu trzeba pamiętać, że istnieją pewne metody aby obejść ten mechanizm. Bezpieczeństwo to zawsze kompromis pomiędzy wygodą a użytecznością. Czy zwykły przestępca będzie w stanie odblokować telefon z Face ID? Pewno nie. Czy obcy wywiad jest w stanie to zrobić? Pewno tak.
@@KacperSzurek konkretna odpowiedź! mam mały problem z mailami gmail niestety nie da się albo nie umiem tego pominąć aby ustawić 2FA google auth bez uprzedniego podania numeru telefonu jako domyślny 2FA co nie jest chyba najlepszym wyborem z tego co się orientowałem, poradzisz coś ?
Program do generowania niestety tylko pseudolosowych haseł może napisać nawet początkujący programista Przykładowy kod w Pascalu uses crt; var k,n:byte; c:char; s:string; esc:char; begin clrscr; randomize; repeat writeln('Podaj dlugosc napisu'); readln(n); s:=''; k := 0; while k < n do begin c := chr(random(256)); if upcase(c) in ['A'..'Z','0'..'9'] then begin s := s + c; k := k + 1 end end; writeln('Wygenerowany napis to : ',s); esc := readkey until esc = #27 end.
Start 4:56
Szanuje, ostatnio tylko takiego komentarza szukam pod wieloma filmikami :)
Kacper, trafiłem na Ciebie przypadkiem i teraz nadrabiam oglądanie, hehehe. Jedyne co mogę powiedzieć to to, że jak na treści jakie prezentujesz oraz na sposób mówienia - masz o wiele za malo subów.
tak samo
Zgadzam się w pełni
Super materiał . Kanał powinien być dużo bardziej popularny , wysoka jakość produkcji( krystaliczne audio i świetna dykcja )
Masz dużą wiedzę i dar do jej przekazywania. Naprawdę robisz dobrą robotę! Pół żartem, pół serio wspomnę, że istnieje jeszcze jedno rozwiązanie, o którym nie wspominasz - kartka papieru i długopis... Ale to rozwiązanie dla hardcorów, którzy mają w dodatku odpowiednią sytuację mieszkaniowo-pracowo-komputerowo-telefonową :)
najlepsza metoda zachowania hasla to wlasna glowa a nie kartka papieru
Bardzo fajny materiał. Chcę się tylko przyczepić do "sztuczki" z 9 około 25:00. Oczywiście jakąkolwiek cyfrę z tego przedziału się wybierze to po tych przekształceniach dostanie się 9, więc to nie jest przewidywanie jaką liczbę miało sie na myśli. Wydaje mi się, że to jest oczywiste dla większości odbiorców tego kanału. Ale można tak wprowadzić w błąd i sprawić, że ktoś pomyśli, że mozna ze 100% prawdopodobieństwem przewidzieć o jakiej cyfrze myśli człowiek. Efekt przeciwny do nauki. Przykład wcześniej pokazujący konkretną dystrybucję "losowo" wybranych przez ludzi znaków jest za to super, i ilustruje dobrze ten sam punkt bez wprowadzania w błąd. Dzięki za dobrą robotę!
25:14 Cwanisław z Ciebie! Przeca każda z tych "losowych liczb od 2 do 9" pomnożona razy 9 - po zsumowaniu cyfr powstałego wyniku da 9 :D
Panie Kacprze, wpadłem tutaj na chwilę z czystej ciekawości, pozwoli Pan że zostanę na dłużej. Winszuję świetnych materiałów, podejścia do tłumaczenia trudnych zagadnień, bardzo dobrej dykcji a przede wszystkim wiedzy i merytoryki.
Zasłużony dzwoneczek i Like.
Nieśmiało prosze o więcej, będę wyczekiwał kolejnych materiałów.
Dziękujemy za świetny wykład/prezentację! 😀😀
wyczerpujący materiał, dziękuje
Fantastyczne materiały Kacprze! Również i ten. Uporządkowany i czytelny sposób przedstawienia wiedzy. Oglądam z przyjemnością. Dziękuję za udostępnienie!
Ciekawy i rzeczowy materiał. Dziękuję! Pozdrawiam.
Dobry gosciu jestes. Like. Koment. Sub!
Świetny materiał, oby więcej takich
1:00:50 - a ja polecam zapisywanie haseł... w formie zaszyfrowanej. Taką kartkę można przykleić do monitora. Jakie jest prawdopodobieństwo, że osoba z naszego otoczenia będzie w stanie je odszyfrować? Przechowywanie haseł w sieci nawet w formie zaszyfrowanej znacznie poszerza zakres osób, które są w stanie złamać szyfr. W zasadzie o tym mówisz przez cały wykład. Nawet to o czym wspomniałeś na chwilę przed tym. W sieci tak - ktoś może złamać taką metodę podstawiania. Ale w naszym otoczeniu? Dlatego ja mam hasło do banku zapisane w zeszycie na moim biurku (nie loguję się na żadnym innym urządzeniu niż komputer domowy). Powodzenia w próbie włamania się do tego zeszytu ;) Jak już się komuś uda, to musi to jeszcze odszyfrować.
Zresztą na upartego podobnie można zrobić z hasłem głównym do menedżera haseł. Można je sobie zapisać jawnym tekstem, ale w jakimś nietypowym miejscu. Na przykład jako fragment strony dodanej do ulubionych. Powiedzmy adres tego filmiku to th-cam.com/video/7-3iKtg51Zc/w-d-xo.html - mogę ukryć w tym adresie swoje hasło po v=. Ale dodatkowo w zaszyfrowanej formie, czyli nie przepisuję go wprost, ale modyfikując znaki według określonego klucza, np. przepisuję od tyłu, znak poprzedzający cyfrę zamieniam z tą cyfrą, a numerację modyfikuję tak, że pierwsza cyfra jest pomniejszona o 1, kolejna o 2, kolejna o 3... I w tym przykładzie wyszłoby, że moje hasło to: c03ZgtKi0-3. Można użyć jakiejś epickiej muzyczki i zawsze odpalać filmik podczas logowania. Gdyby ktoś zapytał dlaczego zawsze odpalacie muzykę gdy się logujecie, to mówicie, że tworzycie klimat ;) A tak naprawdę przepisujecie hasło z okna przeglądarki :-D Można mieć osobną muzykę na każde konto ;) W efekcie linki generowane przez youtube stają się szumem, na który nakładacie własny algorytm. Nikt tutaj nie jest w stanie wyłapać schematu podstawiania nawet jeśli przechwyci hasło z 20 serwisów.
Inny sposób na hasło główne - np. macie ulubioną książkę. Hasło bankowe zbudowane jest z dziesiątej litery na kolejnych stronach poczynając od 50 do 72. Zgubicie telefon? Padnie wam komputer z zapisanym hasłem? Spłonie dom z zeszytem, w którym macie zapisane hasło? Klops. Ale jak stracicie ulubioną książkę... to idziecie do księgarni/antykwariatu i kupujecie swoje hasło ;)
Panie Kacprze, świetny materiał. Chciałbym dodać mały komentarz do TOTP w Menadżerze haseł:
Password Manager zabezpieczony haslem o Entropi 90bit z YubiKey'em jako 2FA oraz unikatowym mailem (tylko do logowania do Menadżera) i można bezpieczenie trzymać kody TOTP w menadżerze haseł.
1. Mail (something you know) -
2. Password (something you know) -
3. YubiKey (something you have) -
4. YubiKey Bio [jeszcze nie w sprzedaży] (something you are)
Połączenie bezpieczeństwa z wygodą. Oczywiście można iść jeszcze dalej i zabezpieczyć jeszcze bardziej. Należy jednak pamiętać że w pewnym momencie nasz "system logowania" będzie zbyt skomplikowany i rodzi to wieksze problemy niż atak hakerski.
super materiał, dziękuję
Super materiał leci like sub i dzwon ;)
Świetny materiał Kacper. Jak zwykle w przypadku security, wszystko jest zniuansowane.
Super!
wydaje mi się że idea soli została źle wytłumaczona.
Z tego co wiem to sól nie chroni przed atakiem słownikowym, bo musi być ona jawnie zapisana aby dodać ją do hasła atak Brute Force z solą czy bez soli (a tę sól poznamy, bo jest zapisana jawnie. Aby można było ją dodać do wpisywanego hasła) nic nie zmienia.
Sól chroni przed atakiem z użyciem "Tablic Tęczowych" jest to baza danych która polega na tym że raz ktoś poświęcił czas i moc obliczeniową na zamianę każdego możliwego hasła na HASH. Przy ataku szukamy do jakiego hash-a będzie serwer porównywał hash naszego hasła. Mając tablicę tęczową do danego algorytmu nie musimy liczyć hasha ale go tylko wyjąć z bazy.
Sól powoduje to że hasło+sól jest za długie/trudne aby ktokolwiek kiedykolwiek poświęcił czas na tworzenie tak wielkiej tablicy tęczowej aby obejmowała ona hasła z każdą możliwą solą. Ważne jest aby każdy użytkownik miał inną sól, bo jeśli serwis używa taką każdą sól do wszystkich użytkowników to może się okazać że warto zrobić tablicę tęczową na "standardowe hasła"+sól. Jeśli każdy użytkownik ma inną sól to wracamy do prostej metody Brutal Force.
problem z słabymi hasłami i nieodpowiednim ich hashowaniu/soleniu że jeśli ktoś się włamie na serwer to pierwsze co sprawdzi to czy z dostępnych tablic tęczowych pozna hasła jakiś użytkowników mając hasło do danego użytkownika staje się on celem ataku.
Przed atakiem słownikowym/brutal force, skuteczniej chroni wielokrotne hashowanie (np 100 054x tak aby na słabym smartfonie sprawdzenie hasła trwało max kilka sekund) i wielokrotne hashowanie ma taki sam efekt jak sól w stosunku do Tablic Tęczowych, inna liczba powtarzania haszowana to inna sól.
Dziękuję I pozdrawiam
1:05:34 - Dlatego imho przydałoby się by powstało tego typu rozwiązanie jako OpenSource
Dzięki za uświadomienie o zagrożeniach .Super zestawienie Zauważyłem że raczej ostrzegasz . Przydał by się film jak się bronić ,jak sprawdzić komputer czy jest bezpieczny .Czy antywirusy bezpłatne są wystarczające . Czy przeglądarka Tor jest bezpieczna , czy pod względem bezpieczeństwa jest lepsza niż Chrome ?
Jaki menadżer haseł sugerujesz?
Może BitWarden?
odnośnie haseł z tego co mi wiadomo odchodzi się od przypadkowych liter dużych małych, znaków specjalnych, liczb, na rzecz losowych wyrazów ponieważ odpowiednia ich liczba jest równie bezpieczna a o wiele łatwiejsza do zapamiętania przez człowieka np "kon droga chmura lampa farba płyta noga" vs "3&:7dCKs3£" (w krypto przyjętym standardem jest losowe 12-24 słowa ze słownika zawierającego 2048 możliwych słów, 12słów to 2^128 możliwości)
42:52 z branżą gier jest jeszcze ten szkopuł, że wielu graczy zakłada wiele kont (co wg niektórych zasad jest zabronione); ktoś chciał to wykorzystywać, ale chyba spełzło na niczym (jedna gra MMO RPG której tytułu z oczywistych powodów nie wymienię).
Zakładanie wielu kont ma skutkować wypchnięciem słabszych graczy do niższych lig, możliwością (zabronionego) handlu przygotowanymi kontami, sprzedawania rzeczy z gry innym graczom, czy zwykłego podniesienia trudności w danej 'lidze'.
Dwa miesiące temu definitywnie przestała działać synchronizacja "Everyone" w AI RoboForm dla aplikacji we wersji 7.9.
Co w niej (do wersji v7) było takiego, że o tym wspominam?
Dwie kluczowe kwestie:
1. hasło do logowania się do konta na stronie roboforma było INNE niż hasło do bazy,
2. w aplikacji można było włączyć hasła dwupoziomowe.
Te dwie funkcje to było mistrzostwo świata, moim zdaniem.
Nawet gdyby ktoś uzyskał hasło do zalogowania się do chmury to i tak nie miał dostępu do zapisanych haseł/przepustek.
Majstersztykiem były dwupoziomowe hasła w samej aplikacji. Polegało to na tym, że tworzyło się tzw. hasło użytkownika i hasło główne (oddzielało się je ukośnikiem).
Teraz najlepsze - chcąc się zalogować na jakąś stronę która miała przepustkę w roboformie wystarczyło wpisać tylko hasło użytkownika. To hasło nie pozwalało na nic więcej.
Chcąc podejrzeć hasło, edytować go - należało wpisać oprócz hasła użytkownika także hasło główne.
Rewelacja.
Ale producent wprowadził wersję "RoboForm v8" i ... pousuwał te ficzery :/
Teraz jest JEDNO hasło do logowania na stronę i do otwierania przepustek/loginów :/
Szukałem od chyba 2-3 lat zamiennika "Ai RoboForm" posiadającego możliwość stosowania dwupoziomowych haseł, ale nie znalazłem niczego takiego.
Żeby była jasność - chodzi o dwupoziomowe hasła a nie dwuskładnikowe uwierzytelnianie.
Jeśli hasło użytkownika pozwalało na zalogowanie - to znaczy, że można je było zobaczyć.
Wygląda to bardziej na blokadę w interfejsie niż prawdziwe zabezpieczenie.
@@KacperSzurek Hasło użytkownika mogłem nawet "pokazać żonie" ale to nie było hasło logowania do np. banku, fejsa czy jakiegoś tindera ;)
Hasło użytkownika pozwalało tylko na wypełnienia formularza w oknie logowania. Tutaj hasła nie są widoczne (zazwyczaj).
Hasło użytkownika nie pozwalało w "RoboFormie" na otwarcie tajnych notatek, profilu, danych kart, danych wrażliwych.
Być może masz na myśli, że po wprowadzeniu hasła użytkownika "AI RoboForm" (nawet przed żoną, służbami ;)) wypełniany jest formularz logowania i tutaj istnieje możliwość przejęcia danego hasła do np. banku poprzez np. jakiegoś sniferra, czy innego narzędzia przechwytującego ruch w pamięci komputera/smartfona?
Jeżeli to masz na myśli to w takim przypadku nic nas nie ochroni ;)
pozdro
@@Artur.Chmielewski Z tego jak to opisujesz "hasło użytkownika" a "hasło główne" niczym się nie różniło z punktu widzenia bezpieczeństwa. Bo OBA hasła pozwalały na dostęp do bazy danych. Więc OBA hasła były w stanie odszyfrować bazę. Ograniczenie działało tylko po stronie interfejsu graficznego. Coś podobnego możesz osiągnąć używając kilku kont z różnymi hasłami głównymi. Czyli jedno konto dla mało istotnych rzeczy. A drugie dla tych ważniejszych/notatek.
@@KacperSzurek To pewnie coś mętnie opisałem.
Hasło użytkownika: 123kot
Hasło master: 123kot\qw34%!zKgP
Każda przepustka/login/notatka to były oddzielne pliki - nie było jednej centralnej "bazy".
Hasła użytkownika mogły być różne dla każdej jednej przepustki/loginu/notatki.
Ale teraz po Twoim wpisie faktycznie dałeś do myślenia ;)
Z kilkoma kontami to tak średnio ;)
To płatna aplikacja :)
Ja uzywam Google Chrome jako menedzera. W ustawieniach zaawansowanych wlaczylem szyfrowanie osobnym haslem synchronizacji
Tak wiec - zero knowdlege - jest
- obsluga formularzy - jest
- 2fa - jest - na koncie Google
- generowanie - jest
- synchronizacja - jest
- koszt - za darmo
- kod odpowiedziapny za szyfrowanie user-data jest open source i jest czescia Chromium
Czemu wiec nie istnieje pięcio poziomowe uwierzytelnianie, albo lepiej dziesięcioleci poziomowe ???! Lepiej jest skomplikować życie niż je ułatwiać. Taki nowy lepszy swiat
Firefox ma wbudowaną funkcjonalność z "Have i been pwned". Jeśli dobrze pamiętam to nazywa się Firefox Monitor. Można było o tym wspomnieć przytrzymując się przy Firefoxie
Google passwords też zgłasza, że hasło wyciekło
Ciekawie się ciebie słucha. Stosunkowo dużo błędów językowych, przejęzyczeń (np. 59:51 "losowJE hasło" i zaraz 59:59 - "którą użyMAMY"), ale lecisz przez nie na tyle płynnie (rzadko się zacinałeś i poprawiałeś), że to nie razi tak bardzo. Podejrzewam, że większość osób nawet nie zwróci na to uwagi. Dla mnie o tyle ciekawe zjawisko, że pomimo tych błędów słucha się ciebie lepiej niż osoby, która popełnia niewiele błędów, koryguje je od razu, ale mniej panuje nad tonem głosu, tempem wypowiedzi. Nadajesz się do prowadzenia takich wykładów :)
Nie mam twarzoksiazki😁
Bardzo fajny/pożyteczny filmik
Zdrówka życzę
Jedyne czego nie "ogarniam" to ta sztuczka z dziewiątkami🤨 Co ona miała na celu
Pozdrawiam
Tak wyłączam komputer na listwie, by podczas mojej nieobecności nikt nie wszedł. A są sprytni.
Witam mam smartfon Xiaomi Redmi 8 i po każdej próbie ustwienia hasła pojawia mi się błąd serwera. Co może być tego przyczyną. Używam 4 znaków i 4 cyfr tak jak jest wymagane
Niestety nie wiem.
Pytanie od laika. Skoro hasło do poczty jest bardzo ważne to czy powinienem na moim PC używać klienta poczty np. Thunderbird? Jeśli będę się logował do poczty poprzez stronę internetową za pomocą menadżera haseł to sprawa wydaje się jasna i w miarę bezpieczna. Jeśli będę używał Thundrbirda na PC to z niego bardzo łatwo można wyciągnąć wszystkie hasła do kont pocztowych. Co zatem robić? Używać klienta poczty czy logować się przez stronę internetową? Przy kilku kontach pocztowych może to być uciążliwe. wolałbym pozostać przy Thunderbird ale jak go zabezpieczyć?
Materiał świetny !!!
Rozważamy tutaj sytuacje, kiedy złośliwe oprogramowanie zostanie uruchomione na naszym komputerze. W takim przypadku i tak jest pozamiatane - bo malware widzi co robimy.
Nie zabezpieczam telefonu bo gdybym miał za każdym razem w domu z 50x go odbezpieczać to Szajba gwarantowana. Tym samym poza domem jestem narażony. Czy są takie apki które automatycznie deaktywują zabezpieczenie w strefie bezpieczeństwa (in sagę space..np w zasięgu konkretnego WiFi ? i aktywują po utracie zasięgu ( out safe space) ?
Android !
Dziękuję za film.
Z tym autowpisywaniem haseł/loginów przez KeePassXC jest problem (firefox, W10). Jak strona ma animowane okienka logowania, "nakładane" na stronę (przepraszam ale nie umiem tego inaczej nazwać. Jestem jełopem informatycznym) to mimo opcji manualnego wybierania rubryk menedżer nie działa prawidłowo. Może ktoś napisać jak sobie inne menedżery z tym radzą? Czy też są strony że jest problem z autowpisywaniem?
jest hasło nazywane numerem Boga takie hasło wyjątkowo ciężko złamać ale hasło pisze się inaczej niż pokazywane publicznie dlatego jest ukrywane i bezpieczne nikt nie może używać podobnego hasła dlatego nazywa się hasłem Boga
Zrozumiałem może~10% ale fajnie się słucha🤔
A ja zrozumiałem wszystko.
Czy keepassXC jest bezpieczniejszy niż lastpass?
Nie korzystam. Mam 3 hasła, używane w zależności od ważności strony. Dzięki temu pamiętam wszystkie używane hasła. Na wszystkich używanych stronach. A do spamowych stron używam jednego skompromitowanego emaila z jednym hasłem.
Jak oceniasz menedżer haseł wbudowany w przeglądarce brave? Ona jest oparta na chrome, ale ma swój osobny menadżer haseł
Każdy menadżer jest lepszy niż jego brak ;) co do brave - nie wiem, bo nie używałem.
Najlepsze hasła to mieszanina kodów do gier
Czy jakiś Menadżer haseł obsługuje uwierzytelnianie U2F?
Generalnie większość posiada taką opcję. Niestety, z tego co wiem żaden darmowy. Bitwarden w wersji płatnej bitwarden.com/help/article/setup-two-step-login-u2f/ lub 1Password (też płatny) - support.1password.com/security-key/
@@KacperSzurek Dziękuję, zacząłem korzystać z Bitwardena, co ważne jest w języku polskim :). innymi słowy jest super. Próbowałem także Dashlane, ale jak dla mnie jest zbyt "agresywny" i nie po polsku
Najbezpieczniej to na kartce zapisywać hasła :P
A co Pan uważa o SafeInCloud?
świetny materiał osobiście mam również osobne konta email do każdego z kluczowego serwisu (finansowego) bez podanego w nim nr telefony tylko 2FA czy myślisz że to dobre rozwiązanie ?
Warto pamiętać aby odpowiednio zabezpieczyć każdy z tych emaili.
@@KacperSzurek pytanko czy odblokowywanie bitwardena przy pomocy face ID jest bezpieczne? każdorazowe wpisywanie skomplikowanego masterpassword jest uciążliwe natomiast czy możemy polegać na face id bez żadnych obaw np. w przypadku utraty iphona?
@@gracxx162 To zależy od przyjętego przez Ciebie modelu zagrożeń. Po prostu trzeba pamiętać, że istnieją pewne metody aby obejść ten mechanizm. Bezpieczeństwo to zawsze kompromis pomiędzy wygodą a użytecznością. Czy zwykły przestępca będzie w stanie odblokować telefon z Face ID? Pewno nie. Czy obcy wywiad jest w stanie to zrobić? Pewno tak.
@@KacperSzurek konkretna odpowiedź! mam mały problem z mailami gmail niestety nie da się albo nie umiem tego pominąć aby ustawić 2FA google auth bez uprzedniego podania numeru telefonu jako domyślny 2FA co nie jest chyba najlepszym wyborem z tego co się orientowałem, poradzisz coś ?
Program do generowania niestety tylko pseudolosowych haseł może napisać nawet początkujący programista
Przykładowy kod w Pascalu
uses crt;
var
k,n:byte;
c:char;
s:string;
esc:char;
begin
clrscr;
randomize;
repeat
writeln('Podaj dlugosc napisu');
readln(n);
s:='';
k := 0;
while k < n do
begin
c := chr(random(256));
if upcase(c) in ['A'..'Z','0'..'9'] then
begin
s := s + c;
k := k + 1
end
end;
writeln('Wygenerowany napis to : ',s);
esc := readkey
until esc = #27
end.
Co to jest hasz ?? Często tu używany
pl.wikipedia.org/wiki/Funkcja_skr%C3%B3tu