To chyba mój pierwszy komentarz na jutubie, ale muszę :) Lata temu miałem przyjemność pracować z Mateuszem. Pamiętam, jak w pierwszych dniach miałem mu w czymś pomóc, Mateusz podszedł do swojego PC i miał się zalogować do domeny, a potem po ssh na jeden z serwerów. Palce śmigają po klawiaturze, kropek w polu "hasło" przybywa... cisza przerywana jedynie dźwiękiem stukających klawiszy... przeleciała mucha... Mateusz dalej wstukuje hasło... ludzie w tym czasie biorą śluby, rodzą im się dzieci... stukanie... wiatr przedmuchał kolczasty krzew przez open space... stuk, stuk... i wreszcie jest - możemy działać. Mateusz spojrzał na mnie wyszczerzony - "no co? :D" W ŻYCIU nigdy więcej nie widziałem żeby ktoś miał tak długie hasła. Zawsze i wszędzie. Tak więc potwierdzam z ręką na sercu, że "practice what you preach" is strong within this one :) PS. I jeszcze jedno! Raz Mateusz przyszedł do mnie z wyrzutem - "Michał, zmień sobie hasło na ten serwer. Ustawiłeś sobie asdqwe123 - rozpoznałem po hashu md5" :D
❤️ Tyle lat współpracy. Bardzo dziękuje! Przemiło mi się zrobiło i mam nadzieję, że jeszcze na piwie się spotkamy! xD Zupełnie nie pamiętam tej historii ale ubawiłem się 🤣😎
Ja trafiłem na kanał p. Mateusza przypadkiem ale nie mogę się oderwać ponieważ ten człowiek nie dość że ma dużą wiedzę to jeszcze umie ją przekazać w super sposób brakowało tego na yt mam nadzieję że kanał będzie się rozwijał i będzie zawsze bo uważam że w dzisiejszych czasach jest to mega potrzebne dla społeczeństwa pozdrawiam i trzymam kciuki wszystkiego dobrego!!!
Ja co prawda nie widziałam nigdy Mateusza wpisującego hasło, ale chciałam się pochwalić że też miałam przyjemność z nim pracować 😊 a także potwierdzić to co już wybrzmiało a mianowicie że Mateusz to nie tylko profesjonalizm i chodząca kopalnia wiedzy ale do tego nie lada charyzma a także styl wypowiedzi, które to sumarycznie dają właśnie ten wyjątkowy efekt, który możecie zobaczyć i usłyszeć na filmach 😎
Takiej wiedzy w świetnej formie ludziom spoza informatycznego środowiska potrzeba 👍. Materiał wyjaśnia, porządkuje i przypomina to, co w cyfrowym życiu ważne. I użyteczna wiedza przestaje być niedostępna. 🔓
Genialny odcinek, nareszcie ktoś powiedział to co powinni wiedzieć wszyscy. Jeśli ktoś zmusza mnie do zmiany hasła co miesiąc, bez istotnego powodu to także nie stosuję aż tak długich haseł, jak wtedy gdy nie muszę często zmieniać. W drugim przypadku standardem są hasła o długości przynajmniej kilkunastu znaków, które nie zawierają słów w żadnym języku lub żadnego popularnego ciągu liter i znaków oraz korzystają z całej "palety klawiatury". Po kilku, kilkunastu użyciach jakoś je zapamiętuję bo one dla mnie coś znaczą, ale jest to znaczenie zupełnie absurdalne dla kogokolwiek innego.
Podana formalna definicja entropii jest nieco niezrozumiała, ale praktyczna jest taka: entropia to liczba bitów do jakiej dałoby się skompresować nasze dane (tutaj hasło) z użyciem idealnego algorytmu kompresującego. Np dane zawierające jakieś wzorce (aaa, 123, qazwsx, wyrazy ze słownika) mają niską entropię bo mądry kompresor (lub atakujący) mógłby znać te reguły, z kolei długie dane losowe mają wysoką entropię (żaden kompresor nie jest w stanie wymyślić żadnej reguły, bo te dane są losowe).
Ten filmik muszę podesłać administratorom w mojej pracy, bo każą co miesiąc zmieniać hasła, a kończy się to tak, że co parę miesięcy muszę prosić o odzyskanie hasła.
Tak w temacie zmiany hasła, gdy z jakiegoś powodu jest polityka: "Twoje hasło jest zbyt podobne do poprzedniego" - też mi się otwiera nóż w kieszeni, bo wynika z tego, że hasła w bazie są trzymane plaintextem. Chyba, że o czymś nie wiem i na podstawie wartości hasha da się ogarnąć czy hasło jest podobne.
Jeśli po zmianie hasła zdążysz się zalogować, to znaczy że system zbyt rzadko wymaga zmiany hasła. System do którego nie da się zalogować jest bezpieczniejszy, od tego do którego się da.
Mądre słowa. Chaos jest tu rozwiązaniem. Prawie jedyne w IT potwornie prawidłowe rozwiązanie. Przestrogi na miarę horror survival albo na odwrót. Nie ma wyjścia. Jak patrzę na podejście do haseł u mnie w pracy to jestem 🙆🏼
Świetny materiał. Jestem administratorem stanowiska w firmie mam zastępcę, Teraz jestem na L4 właśnie zadzwonił do mnie zastępca administratora stanowiska z pytaniem kiedy będę w pracy bo system mu wymusił zmianę hasła i niby zmienił ale chyba coś poszło nie tak bo teraz nie może się zalogować na to konto z nowym hasłem. Ktoś wyżej w firmie wymusił zmianę hasła co 60 dni, i historię haseł na poziomie 15 poprzednich a ja muszę słuchać że ludziom się już pomysły kończą :)
Kurde, chciałem wykorzystać żart, z tym abyś podał sowje hasło jako przykład dobrego, a sam użyłeś go na końcu filmiku... Damn, krok przed wszystkimi :D
Zastanawia mnie na ile podświadomie Twoje intro z młotem sprawiło, że ostatnio słuchałem mitologii nordyckiej ;) Jest jeszcze metoda, że tworzymy sobie zdanie np. Litwo ojczyzno moja Ty jesteś jak zdrowie i potem hasło: LomTjjz I tak dowolnej długości :)
Potrzebny jest bardzo unikalny tekst. Jeżeli ktoś wpadłby na taki sam pomysł, a jego hasło wycieknie, to narażamy się na atak słownikowy. Najlepiej połączyć kilka metod.
Pierwsze litery imienia i nazwiska ludzi których znasz wraz z ich wiekiem jest również jakąś metodą. Nie wiem tylko czy ze względu na wysublimowanie dzisiejszych możliwości stosowanych przez oszustów pierwsze litery imion najbliższych członków rodziny jest w porządku :D
Jak pracowałem dla wojska czy urzędów państwowych na ich systemach to hasło zmienić trzeba było co 25 - 30 dni. Jak się nie zdążyło to trzeba było dzwonić do ich centrali informatycznej po odblokowanie w celu zmiany hasła :-) Na domiar zabawnego jak się by 3x wpisało je błędnie, to w jednym wypadku przyjeżdża pion ochronny ŻW a w drugim ABW. Polityka więc o której mówisz działa dla wielu osób tak - że mieli hasła pod klawiaturą z datą zmiany lub na lepcu w szufladzie. Nie żebym mówił że wszystko tam jest z tektury. Do tektury ogólnie jeszcze trochę brakuje - pytanie teraz dla bystrzaków - od której strony brakuje :-)
Musimy masowo pisać do banków, żeby umożliwili używanie dłuższych haseł! Np. Millenium daje 8 cyfr, BOŚ - 15 znaków, PKO - 16, mBank oraz Santander - 20, wygrywa dopiero ING z 32 znakami.
Wszystko sie zgadza co powiedziałeś, ale co powiesz o temacie zmiane haseł w firmie co 30 dni? Stwierdziłeś po co zmieniać hasło jak to złudne bezpieczeństwo... co na to wytyczne rodo? Jak zrobisz audyt w firmie i tego nie masz tzn zmiany haseł co jakiś czas to audytu nie przejdziesz(pewnie w zależności od firmy audytującej).
Dwa pytania 1. Solidna forma "2 step autentification", co tutaj wybrać? 2. Potrzebuję prostego, całościowego rozwiązania dla rodziców (po 60). Jakiś menadżer haseł, jakieś 2 step, itd, ale prosty w użyciu i taki dostosowany trochę dla mniej technicznych ludzi. Coś godnego polecenia?
Ja poszedłem na kompromis i tworzę swoje hasło wg algorytmu który tylko ja znam. To sprawia, że każde hasło jest unikalne i łatwe do zapamiętania, a przy tym odpada metoda słownikowa.
Jedno ale - jeżeli wycieknie baza haseł i będzie w niej kilka Twoich (pewnie zmieniasz) to poznanie algorytmu jest dość prostą operacją logiczną... w takiej sytuacji nie tylko obecne Twoje hasła, ale również przyszłe nie są bezpieczne. Sam już od dawna nie liczę na moc haseł, ale bardziej na rozwiązania systemowe np. wiele kanałów weryfikacji.
@@podluka89 mimo wszystko nie ufałbym zbytnio algorytmowi. Praktyka pokazuje, że bardzo często przeceniamy siłę takich własnych algorytmów generowania haseł. Z większością haseł zmigrowałem się do managera haseł (tam gdzie ma to sens także z 2FA). Najważniejsze zasoby są dodatkowo chronione z pomocą U2F (o ile wspierają). I nawet to traktuję jako utrudnienie życia potencjalnemu włamywaczowi bo niezależnie od tego co zrobię, zawsze będą dostępne jakieś wektory ataku (niektóre zupełnie ode mnie niezależne).
@@podluka89 Złamanie enigmy było prawdopodobnie trudniejsze, a jednak Ulamowi się udało bez dostępu do obecnych narzędzi. W praktyce Twój sposób jest ok, czepiam się akademicko ;)
ze co ? algorytmu ,ktory Ty znasz tylko ? czyli nakurwiasz systemem z czaszki ? LOL ja tez teak robie wymyslam znaki ,i haslo jest. najczescie to takie zeby mi sie kojarzyly latwo. ze slowami nazwami albo jakims dla komputera PROSTYMI do sutalenia wzorcami. Swietna metoda. hasło DUPA jest dobre
W 12:28 - 12:32 dzieją się czary 😆 A co do wygaszania haseł. Wykop od paru lat mierzy się z tym problemem, że są przejmowane konta użytkowników, najwięcej tych nieaktywnych ale i zdarzają się, że tych aktywnych też. Do dzisiaj nie zastosowali tego rozwiązania aby utrudnić możliwość przejmowania takich kont. Uparcie stoją na stanowisku, że problem ich nie dotyczy, bo wyciek miał miejsce w innych serwisach jak morele itp. W pewnym stopniu mają rację ale swoim podejściem do tego tematu nie wzbudzają zaufania swojej społeczności. Przez co aktualnie zmagają się z kolejną taką falą przejmowania kont pt. Pan Rumun w akcji. Jakiś czas temu ZagrajnikTV mający swoje konto na wykopie, padł właśnie ofiarą Rumuna.
@@mateuszburniak jak wycieknie to po co ma zgadywać? poza tym wiele serwisów już po 3 błędach wymagają kontaktu z centralą, to sprawdzanie tysięcy haseł na sekundę to bajki
Świetny film, a dodatkowo przystępny, jak zawsze. PS: Policzcie ile osób się cofnęło\próbowało cofnąć w trakcie emisji (niestety tych wyciętych już nie policzymy 😋).
w przypadku passfraze można sobie zrobić coś takiego, aby dla nas przynajmniej jedno ze słów kojarzyło sie z jakąś liczbą lub znakiem specjalnym i w ten sposób stworzyć swoicty passfrazeword. Zwłaszcza jak tą powiązaną liczbę dodamy ani nie na kocu, ani nie po słowie, do którego nawiązuje. Powiedzmy, że mamy córkę Anię, urodzoną w 2002 roku. Hadło Ania02 jest krótkie i banalne słownikowo, ale już wm9ieszanie w to paru innych rzeczy... Torttruskawkowyaniasuzuki02klawesynPompka - nadal daje się zapamiętać, a jest absurdalnie trudne do złamania.
Ostatnio zdarzyło mi się zapomnieć dosyć skomplikowanego hasła, jednak pamiętałem mniej więcej jakie znaki się w nim znajdują. Jaki typ ataku można by wykorzystać do złamania hasła w takim wypadku? Atak słownikowy?
3 Rzesza poza Jagermeisterem i Fantą zostawiła nam jeszcze dziwne i dla ludzi nie siedzących w temacie trudne nazwy pojazdów, dział i jednostek. To idealne hasła dla historycznych geeków. Sd.Kfz.142/2 zwyczajnemu zjadaczowi chleba powie nic, ale ty będziesz to kojarzył z działem samobierznym(bądź tłumacząc z niemieckiego "haubicą szturmową") StuH 42. Podobnie z PINami- różne rodzaje amunicji idealnie się do tego nadają. I od razu zaznaczam, w żadnym aspekcie nie popieram działalności narodowych socjalistów, jak i Sd.Kfz.142/2 nie jest moim hasłem
Jakiś czas temu napisałem skrypcik, któy czytał słownik jezyka polskiego i na podstawie parametrów (długość docelowa hasła, długość słow) generował hasło złożone z losowych słow z naszego języka, do tego fukcja podbijania liter do wielkich i doklejania ciągów liczb/znaków specjalnych w losowych miejscach. Ogólnie jestem mega zadowolony z tego (a ile przekleństw poznałem przeglądając słownik to moje :D) ale niestety zupełnie nie nadaje się dla użytkowników nietechnicznych @MateuszChrobok znasz jakieś gotowe rozwiązanie tego typu?
Wczoraj zakładałem konto w mbanku i na dzień dobry wielki czerwony error: Twoje hasło jest za długie ma mieć 8-20 znaków :D . No i przypomniał mi się ten filmik.
Fajnie że temat został poruszony. Ale jest ale. Mimo wszystko uważam, że nie został poruszony jeden bardzo ważny temat który trochę rozmazuje entropię i jej znaczenie. Przykładowo sposób hashowania haseł. MD5 i NTLM nie są równoważne z chociażby SHA512. Już trudniej o chociażby birthday attack. A zmierzam do tego, że fajnie by było poruszyć "zaplecze hasła", bo to jest bardzo ważny temat i bardzo często omijany w tej tematyce a bardzo dużo wyjaśnia jeśli chodzi o bezpieczeństwo haseł, a raczej uświadamia.
Password - hasło. Passphrase - zdanie zabezpieczające("hasłujące"). Chyba tak by to można było rozróżnić w polskim języku (który jest przecież dużo bogatszy niż język angielski. Tak abstrahując O ile lepiej brzmi "Kurła nie uruchamiaj mnie" od "kurła nie trigeruj mnie" :P ).
Mam pytanie. Lepiej jest mieć jakiś swój "system konstrukcji" haseł tak, żeby każde było inne, czy lepiej używać haseł generowanych przez manager? Tych drugich raczej nie będę pamiętał. Hasła są długie i dosyć skomplikowane. Używam managera haseł na swoich urządzeniach, więc raczej nie będzie problemu, żeby te hasła kopiować z managera.
Z tym wymuszaniem zmiany hasła to najszczersza prawda. I niepojętym dla mnie jest, że dział IT u mnie w pracy nie potrafi ogarnąć tego, że jak co miesiąc ludzie zmieniać 3 hasła, to hasło wygląda dokładnie jak w filmie przedstawione. Z 400 pracowników, to może 5 wie co to menedżer haseł... Korzystając z okazji - może kolejny (jeden z kolejnych) film o podpisach elektronicznych? Czy one faktycznie są gwarancją? I co z polityką polskich firm, by UNID tych podpisów było numerem PESEL użytkownika?
Okresowa zmiana haseł w organizacjach jest chyba wymuszona jakąś unijną dyrektywą lub tym, że firma nie przejdzie corocznego audytu bezpieczeństwa. Tak powiedział gostek z IT w moim przedsiębiorstwie w Niemczech.
Mateuszu, musisz podesłać ten odcinek do Banku Millennium. Pisałem im kiedyś o tym, ale to skandal jaki tam jest sposób logowania. Hasło może być tylko cyfrowe i ma 8 znaków. Do potwierdzenia trzeba podać... PESEL, który w zasadzie jest daną publiczną... Żenada.
Jakto było w tym dowcipie : aktualne hasło wygasło , wprowadź nowe, różowa róża - hasło za krótkie , jedna różowa róża - hasło powinno zawierać litery i cyfry .... i tak dalej .
Nie do końca mnie passphrase przeonuje - atak metodą słownikową wydaje mi się być znacznie prostszy niż brute force. Korzystając z managera haseł dobrze założyć, że kiedyś z jakiegoś powodu możemy stracić do niego dostęp. Jeszcze gorzej, gdy korzystamy np. z ProtonPass i generujemy nim aliasy - jeśli z jakiegoś (trudnego do wyobrażenia) powodu stracimy konto, to tracimy nie tylko hasła, ale także maile do logowania. Im dłużej o tym myślę, tym mniej jestem przekonany do korzystania z managera haseł jako jedynego miejsca ich przechowywania.
liczba! liczba nie ilość! na "ilość" boską :D Pracowałem kiedyś w globalnej korporacji, wymogi do głównego hasła do komputera były standardowe: x znaków, min. 1 cyfra, min 1 znak specjalny. Spoko. Ale! z racji mojego stanowiska i zadań, musiałem mieć dostęp do bardzo wrażliwego systemu, także zabezpieczonego hasłem. W pewnym momencie, ktoś wpadł na "genialny" pomysł, że jasło do tego systemu musi być _takie_ _samo_ jak hasło główne (pewnie chodziło o dodatkową formę identyfikacji, nie wiem). I też byłoby to spoko, gdyby nie fakt, że ów "ktoś" nie zauważył, że wymogi hasła do tegoż systemu nie dopuszczały znaków specjalnych :D Ergo: hasło1 musi mieć znak(i) specjalne, hasło2 nie może mieć znaków specjalnych, hasło1 = hasło2. :D:D:D Napisałem o tym do działu bezpieczeństwa, i dostałem odpowiedź, z której wynikało, że wszystko jest w porządku, takie są wymogi bezpieczeństwa :D. Po dłuższym zastanowieniu - to ma sens! Procedura dostępu do tego systemu była baaardzo skomplikowana, wymagała duuuużo samozaparcia i determinacji. Do tego wydaje mi się, acz nie jestem specjalistą od cyberbezpieczeństwa, że dostanie się do tego sytstemu przez osoby nieuprawnione było jeśli nie niemożliwe, to zapewne bardzo, baaaaaardzo trudne, a próby takiego ataku byłyby bardzo łatwo wykrywalne...
U mnie w pracy jest aplikacja zarządzająca dostępami... w której przez ograniczenia na hasło możliwych haseł jest 200... Co ciekawe np. generatory haseł generują nie działające tam hasła, bo jednym z pkt. Jest długość od 9 - 11 znaków i co 3-2 litery musi być znak specjalny ( nawet jest określone która litera ma być wielka )... A hasło wygasa po 14 dniach...
Firma w której byłem - nie dość że trzeba zmieniać co 90dni to jeszcze nie można zmienić wcześniej niż te parę dni przed tym jak jest informacja że zaraz wygaśnie.
silne hasło to takie kiedy od razu wiesz, że to kiepski pomysł, jeśli próbujesz je przepisać ręcznie. uuid4 lub mocniejsze. argument o łatwości zapamiętania jest chybiony - od tego są programy do trzymania haseł. dobrze jest gdy nie mamy tego samego hasła do wszystkiego, a wiele łatwych haseł do zapamiętania, już nie jest łatwe do zapamiętania
A czy jest możliwość złamania zapomnianego hasła na zbiorze Winrar. Już drugi rok leci jak nie mogę sobie przypomnieć jakie hasło zapisałem tworząc to archiwum, ale pliku nie wyrzucam , mam nadzieję że kiedyś jakims sposobem
A może hasło związane z naszym hobby, zainteresowaniami itp., o których wiedze czerpiemy nie z internetu. Ponadto użyjemy mały dużych liter, cyfr i znaków specjalnych. Nawet jak ktoś w pełni włamie się do naszego komputera nie będzie tam danych (śladów) o nim. My zapamiętamy hasło gdyż związane jest naszym hobby lub jakąś informacją znaną nam
Największą niedogodność stanowi wpisywanie skomplikowanego hasła na ekranie dotykowym jak sam wspomniales. Czy wykorzystując czytnik linii papularnych w menadżerze zamiast hasła głównego można się czuć bezpiecznie?
znajdziesz pełno filmów na YT jak pobierając czyjś odcisk paląca skądkolwiek i używając paru sztuczek z przeniesieniem go na odpowiednio spreparowaną gumę można stworzyć sztuczny odcisk do otwierania czegokolwiek
Nie znam 99.9% moich haseł, ba nawet do laptopa służbowego nie znam, kto by zapamiętał 45 randomowych znaków mienianych co 3 miechy ( ubić to za mało, ale w korpo nie przegadasz). Hasła do Managerów są zapisane na Yubikey lub się autoryzują nimi (ogólnie bez 2 kluczy nie odpalę tego cuda techniki) służbowy ma własny klucz, w którym jest ustawione hasło do konta i autoryzacja (nie chce mi się dodawać kolejnych, bo z backupami wychodzi za dużo)
@@c0ldie_ jestem .net dev do tego leniwym więc preferuje jak hasła same sie wstawiają. A że nam dostępu do kilku baz z danymi i licencji azure, to zainwestowałem w masę niepotrzebnych rzeczy np kamera do windows hello czy czytnik linii papilarnych (jeden mam zawsze przy kluczach tak samo yubikey). Ogólnie polecam yubikey nie trzeba tak hardcorowo robić, że w jednym jest hasło a w kolejnym drugi etap autoryzacji, wystarczy fizyczne potwierdzenie zamiast SMS czy apek. A co do mojego Korpo laptopa to po 2 zmianie hasła gdzie na myśl przyszło mi tylko "mamDalekoZmianyHaselMozecieMnieWywalic1" zainwestowałem w kolejny klucz i mam na nim skonfigurowana całość do pracy w korpo i też noszę go zawsze przy dupie, a hasło jest zapisane jeszcze w moim prywatnym managerze jak bym zgubił klucz i nie miał dostępu do backupu. Jedyna blokada przy takich kluczach jest cena bo zawsze trzeba kupić 2 sztuki, można czasem robić main klucz backupowy ale nie do wszystkiego to się nada (tylko dwa sloty na konfigurację) bezpieczniej jest nie tworzyć klucza który da dostęp do wszystkiego bo jak go zgubimy to :)
Hej, super masz te filmy, a ja mam taki problem, na jednym z portali na którym dokonuje zakupów drobnych usług graficznych pojawił się duży kłopot z moim kontem. W tej chwili jest zablokowane. W celu weryfikacji mojej tożsamości suport prosi o podanie 6 pierwszych i 4 ostatnich cyfr dwóch moich kart kredytowych z których dokonywałem zakupów, podawać?, czy to bezpieczne, i czy oni w ogóle mają te numery ? z tego co wiem sklepy nie mają dostępu do takich danych. Dodam ze wszystko się odbywa na czacie firmy, , pierwszy raz mam coś takiego, jeśli ktoś coś wie proszę o odpowiedz. Dzięki.
"Automatyzując proces odpowiednim oprogramowaniem można sprawdzać tysiące, czy nawet setki tysięcy haseł na sekundę". Do konta google, instagrama, twittera, facebooka itp.?!?!?!?!?!?!?!? Może by tak rozróżnić gdzie tak się da, a gdzie nie?
Nic po tej wiedzy, jeśli kluczowe osoby w danej organizacji są na nią odporne. Znam firmę z wymuszoną zmianą haseł co 3 miesiące. Tamtejszy "dział IT" nawet sobie zdaje sprawę, że jest to idiotyczne, ale jak sam przyznał "dział prawny się uparł". Wysyłanie żądania podania hasła smsem do osoby na L4 przez przełożonego jest standardem - w końcu czasem trzeba sprawdzić, czy na maila osoby nieobecnej przyszło coś istotnego, albo kierownik przyszedł z dzieckiem, które żeby się nie nudzić chciało pooglądać YT i pograć, a kierownik nie rozumie, że swoim loginem może się zalogować na każdym urządzeniu w organizacji. Hasła na żółtych kartkach też oczywiście występują, ale to jeszcze nie jest szczyt głupoty w tym zakresie. Istnieje w firmie co najmniej jeden zeszyt z danymi do logowania m.in. na epuap prezesa. Zeszyt leży w szufladzie, która niby ma zamek, ale i tak nigdy nie jest zamykana. To taka tam drobna lokalna firma budowlana mająca roczny przerób na poziomie od kilkudziesięciu do kilkuset milionów złotych. Niestety, ale są takie przypadki, w których jedyną szansą na poprawę bezpieczeństwa byłby jakiś porządny atak, po którym ktoś może wyciągnąłby wnioski.
A ja potam swoje hasło. Oto ono: GP%pUg*4U5n%*wtgy#B8PJ wystarczająco silne? No ja to już nie wiem.... :D Swoją drogą ja pamiętam zaledwie kilka swoich haseł. Może 4, czy 5.... takie które są mi potrzebne np do pracy, czy do różnych komputerów. Resztę mam w menadżerze zapisane. Nauczyłem już żonę z tego korzystać, teraz chciałbym dziecko. W końcu jak ktoś włamie się na urządzenie dzieciaka to może w prosty sposób zainfekować całą sieć w domku. Słabo... i słabo idzie uczenie dziecka. Cóż... może jeszcze za wcześnie? Zastanawia mnie jeszcze jedna rzecz - czy jeżeli używam 2FA do logowania się do jakiegoś serwisu, to czy atakujący mający dostęp do serwera takiego serwisu i znając moje hasło może wejśc na moje konto z poziomu serwera? W którym miejscu następuje wykorzystanie 2FA? Czy na serwerze, czy dopiero na końcówce klienckiej? Jeśli dane wyciekają z serwerów, to atakujący może mieć dostęp do nich. A jeśli ma dostęp, i ma z niego moje hasło i może wejść na moje konto, bo serwer go wpuści bez drugiego składnika uwierzytelniania.... to jaki sens w ogóle ma 2fa w takim przypadku? Trochę mi się to gryzie z logitką.
przypomniało mi się, jak dostałem xboxa 360 i miał on nałożoną blokadę rodzicielską. Hasło wklepywało się po prostu kombinacją przycisków na padzie. Coś jak 4cyfrowe hasło w telefonie. Nie potrafiłem go odgadnąć. W końcu znalazłem opcję odzyskiwania/resetowania hasła. Pytanie bezpieczeńśtwa: Ulubiony superbohater. Wpisałem z czapy Batman. Pomogło
Wiele osob TE SILNE hasla zapisuja gdzies w poblizu komputera (pod klawiatura, przy monitorze, pod stopka monitora, na karteczce, w... smartfonie w notatniku i tym podobne miejsca.
@@pantarei. Haker raczej podrzuci Ci Trojana ktory przejmie wprowadzane hasla. Jednak przyslowiowy "Kowalski" nie bedzie celem. Hakerom chodzi bardziej o ataki na instytucje i ich serwery. Szyfruje sie firmowe dyski a pozniej za kase odszyfrowuje. Mialem raz przypadek, ze zaszyfrowano mi na serwerze baze danych ale robie regularne kopie wiec akcja odzyskiwania byla dosc szybkim procesem. Zrobilem podwojna autoryzacje i kupilem klucz sprzetowy i teraz mam ok. Klucz sprzetowy miedzy innymi dziala tak, ze trzeba mechanicznie w danym momencie nacisnac przycisk aby po podaniu pinu autoryzowac. Tego sie zdalnie nie da zrobic.
Moje hasła najczęściej świetnie chronią moje konta... przede mną.
Miałem już w żuciu takie akcje, że wszystkie czarny sprawdzone nie pasowały do ramki. A na dodatek przypominacz też już był na spalone kontakty.
To chyba mój pierwszy komentarz na jutubie, ale muszę :)
Lata temu miałem przyjemność pracować z Mateuszem. Pamiętam, jak w pierwszych dniach miałem mu w czymś pomóc, Mateusz podszedł do swojego PC i miał się zalogować do domeny, a potem po ssh na jeden z serwerów. Palce śmigają po klawiaturze, kropek w polu "hasło" przybywa... cisza przerywana jedynie dźwiękiem stukających klawiszy... przeleciała mucha... Mateusz dalej wstukuje hasło... ludzie w tym czasie biorą śluby, rodzą im się dzieci... stukanie... wiatr przedmuchał kolczasty krzew przez open space... stuk, stuk... i wreszcie jest - możemy działać. Mateusz spojrzał na mnie wyszczerzony - "no co? :D"
W ŻYCIU nigdy więcej nie widziałem żeby ktoś miał tak długie hasła. Zawsze i wszędzie.
Tak więc potwierdzam z ręką na sercu, że "practice what you preach" is strong within this one :)
PS. I jeszcze jedno! Raz Mateusz przyszedł do mnie z wyrzutem - "Michał, zmień sobie hasło na ten serwer. Ustawiłeś sobie asdqwe123 - rozpoznałem po hashu md5" :D
❤️ Tyle lat współpracy. Bardzo dziękuje! Przemiło mi się zrobiło i mam nadzieję, że jeszcze na piwie się spotkamy! xD Zupełnie nie pamiętam tej historii ale ubawiłem się 🤣😎
Fajne nazwisko. :D
Ja trafiłem na kanał p. Mateusza przypadkiem ale nie mogę się oderwać ponieważ ten człowiek nie dość że ma dużą wiedzę to jeszcze umie ją przekazać w super sposób brakowało tego na yt mam nadzieję że kanał będzie się rozwijał i będzie zawsze bo uważam że w dzisiejszych czasach jest to mega potrzebne dla społeczeństwa pozdrawiam i trzymam kciuki wszystkiego dobrego!!!
Ja co prawda nie widziałam nigdy Mateusza wpisującego hasło, ale chciałam się pochwalić że też miałam przyjemność z nim pracować 😊 a także potwierdzić to co już wybrzmiało a mianowicie że Mateusz to nie tylko profesjonalizm i chodząca kopalnia wiedzy ale do tego nie lada charyzma a także styl wypowiedzi, które to sumarycznie dają właśnie ten wyjątkowy efekt, który możecie zobaczyć i usłyszeć na filmach 😎
hash był zapisany bez soli? Jak tak można?
Takiej wiedzy w świetnej formie ludziom spoza informatycznego środowiska potrzeba 👍. Materiał wyjaśnia, porządkuje i przypomina to, co w cyfrowym życiu ważne. I użyteczna wiedza przestaje być niedostępna. 🔓
Ten film powinien być obowiązkowy na wszystkich lekcjach informatyki i dla wszystkich adminów :)
Genialny odcinek, nareszcie ktoś powiedział to co powinni wiedzieć wszyscy. Jeśli ktoś zmusza mnie do zmiany hasła co miesiąc, bez istotnego powodu to także nie stosuję aż tak długich haseł, jak wtedy gdy nie muszę często zmieniać. W drugim przypadku standardem są hasła o długości przynajmniej kilkunastu znaków, które nie zawierają słów w żadnym języku lub żadnego popularnego ciągu liter i znaków oraz korzystają z całej "palety klawiatury". Po kilku, kilkunastu użyciach jakoś je zapamiętuję bo one dla mnie coś znaczą, ale jest to znaczenie zupełnie absurdalne dla kogokolwiek innego.
Podana formalna definicja entropii jest nieco niezrozumiała, ale praktyczna jest taka: entropia to liczba bitów do jakiej dałoby się skompresować nasze dane (tutaj hasło) z użyciem idealnego algorytmu kompresującego.
Np dane zawierające jakieś wzorce (aaa, 123, qazwsx, wyrazy ze słownika) mają niską entropię bo mądry kompresor (lub atakujący) mógłby znać te reguły, z kolei długie dane losowe mają wysoką entropię (żaden kompresor nie jest w stanie wymyślić żadnej reguły, bo te dane są losowe).
Ten filmik muszę podesłać administratorom w mojej pracy, bo każą co miesiąc zmieniać hasła, a kończy się to tak, że co parę miesięcy muszę prosić o odzyskanie hasła.
Tak w temacie zmiany hasła, gdy z jakiegoś powodu jest polityka: "Twoje hasło jest zbyt podobne do poprzedniego" - też mi się otwiera nóż w kieszeni, bo wynika z tego, że hasła w bazie są trzymane plaintextem. Chyba, że o czymś nie wiem i na podstawie wartości hasha da się ogarnąć czy hasło jest podobne.
Jak miło, że CKE o nas dba i każe co 2 tygodnie zmieniać hasło 😎
Jeśli po zmianie hasła zdążysz się zalogować, to znaczy że system zbyt rzadko wymaga zmiany hasła. System do którego nie da się zalogować jest bezpieczniejszy, od tego do którego się da.
Ale mega film! Dawno tyle się nie uśmiechałem słuchając. I tyle wycinków-cytatów z tego będzie! Dzięki!
Mądre słowa. Chaos jest tu rozwiązaniem. Prawie jedyne w IT potwornie prawidłowe rozwiązanie. Przestrogi na miarę horror survival albo na odwrót. Nie ma wyjścia. Jak patrzę na podejście do haseł u mnie w pracy to jestem 🙆🏼
uwielbiam twoje filmy, robisz bardzo dobrą i porządną robotę. Dzięki
Jeżeli jako hasło wprowadzisz "*" to osoba próbująca je wykraść będzie sie głowiła czemu jest zakryte
200iq
hehe
Ja miałem spację przez długi czas
Podaję silne hasło zatem ***** ***. Słownie 5 gwiazdek 3 gwiazdki. Czemu jutub mi je cenzuruje? Zobacz sam. *****_*** ******
***** ***
Świetny materiał. Jestem administratorem stanowiska w firmie mam zastępcę, Teraz jestem na L4 właśnie zadzwonił do mnie zastępca administratora stanowiska z pytaniem kiedy będę w pracy bo system mu wymusił zmianę hasła i niby zmienił ale chyba coś poszło nie tak bo teraz nie może się zalogować na to konto z nowym hasłem. Ktoś wyżej w firmie wymusił zmianę hasła co 60 dni, i historię haseł na poziomie 15 poprzednich a ja muszę słuchać że ludziom się już pomysły kończą :)
Kurde, chciałem wykorzystać żart, z tym abyś podał sowje hasło jako przykład dobrego, a sam użyłeś go na końcu filmiku... Damn, krok przed wszystkimi :D
Ciekawy film. Jak zawsze
Dobrze sie rozprawiles z wymuszaniem zmiany hasel.
o! super! proszę Ciebie, Mateuszu i całą społeczność o ocenę mojego hasła:
***********
z góry dzięki!
ruchampsa
Za krótkie ;)
Zastanawia mnie na ile podświadomie Twoje intro z młotem sprawiło, że ostatnio słuchałem mitologii nordyckiej ;)
Jest jeszcze metoda, że tworzymy sobie zdanie np.
Litwo ojczyzno moja Ty jesteś jak zdrowie
i potem hasło: LomTjjz
I tak dowolnej długości :)
Potrzebny jest bardzo unikalny tekst. Jeżeli ktoś wpadłby na taki sam pomysł, a jego hasło wycieknie, to narażamy się na atak słownikowy. Najlepiej połączyć kilka metod.
Pierwsze litery imienia i nazwiska ludzi których znasz wraz z ich wiekiem jest również jakąś metodą. Nie wiem tylko czy ze względu na wysublimowanie dzisiejszych możliwości stosowanych przez oszustów pierwsze litery imion najbliższych członków rodziny jest w porządku :D
Jak pracowałem dla wojska czy urzędów państwowych na ich systemach to hasło zmienić trzeba było co 25 - 30 dni. Jak się nie zdążyło to trzeba było dzwonić do ich centrali informatycznej po odblokowanie w celu zmiany hasła :-) Na domiar zabawnego jak się by 3x wpisało je błędnie, to w jednym wypadku przyjeżdża pion ochronny ŻW a w drugim ABW. Polityka więc o której mówisz działa dla wielu osób tak - że mieli hasła pod klawiaturą z datą zmiany lub na lepcu w szufladzie. Nie żebym mówił że wszystko tam jest z tektury. Do tektury ogólnie jeszcze trochę brakuje - pytanie teraz dla bystrzaków - od której strony brakuje :-)
Robisz niesamowitą robote :) Pytanie: co myślisz o poczcie thunderbird?
22:18 tabliczka z napisem sarkazm po prawej najlepsza xD 😆🫣
Musimy masowo pisać do banków, żeby umożliwili używanie dłuższych haseł! Np. Millenium daje 8 cyfr, BOŚ - 15 znaków, PKO - 16, mBank oraz Santander - 20, wygrywa dopiero ING z 32 znakami.
pytania, na ile pozwala a z ilu korzysta :D Widziałem system pozwalający wpisać 32 znaki, ale jako hasło do bazy leciało pierwsze 8 :D
Wszystko sie zgadza co powiedziałeś, ale co powiesz o temacie zmiane haseł w firmie co 30 dni? Stwierdziłeś po co zmieniać hasło jak to złudne bezpieczeństwo... co na to wytyczne rodo? Jak zrobisz audyt w firmie i tego nie masz tzn zmiany haseł co jakiś czas to audytu nie przejdziesz(pewnie w zależności od firmy audytującej).
Dwa pytania
1. Solidna forma "2 step autentification", co tutaj wybrać?
2. Potrzebuję prostego, całościowego rozwiązania dla rodziców (po 60). Jakiś menadżer haseł, jakieś 2 step, itd, ale prosty w użyciu i taki dostosowany trochę dla mniej technicznych ludzi. Coś godnego polecenia?
Robił już film o menedżerach haseł, polecam ;)
Szurek zrobił film o managerze, pełny opis wraz z instrukcją w pdf
Odp1 i 2: yubikey
Ja poszedłem na kompromis i tworzę swoje hasło wg algorytmu który tylko ja znam. To sprawia, że każde hasło jest unikalne i łatwe do zapamiętania, a przy tym odpada metoda słownikowa.
Jedno ale - jeżeli wycieknie baza haseł i będzie w niej kilka Twoich (pewnie zmieniasz) to poznanie algorytmu jest dość prostą operacją logiczną... w takiej sytuacji nie tylko obecne Twoje hasła, ale również przyszłe nie są bezpieczne.
Sam już od dawna nie liczę na moc haseł, ale bardziej na rozwiązania systemowe np. wiele kanałów weryfikacji.
@@TomaszLee oczywiście nie rezygnuje z 2fa ale uwierz mi, że nie będzie to prostą operacją logiczną 😉
@@podluka89 mimo wszystko nie ufałbym zbytnio algorytmowi. Praktyka pokazuje, że bardzo często przeceniamy siłę takich własnych algorytmów generowania haseł. Z większością haseł zmigrowałem się do managera haseł (tam gdzie ma to sens także z 2FA). Najważniejsze zasoby są dodatkowo chronione z pomocą U2F (o ile wspierają). I nawet to traktuję jako utrudnienie życia potencjalnemu włamywaczowi bo niezależnie od tego co zrobię, zawsze będą dostępne jakieś wektory ataku (niektóre zupełnie ode mnie niezależne).
@@podluka89 Złamanie enigmy było prawdopodobnie trudniejsze, a jednak Ulamowi się udało bez dostępu do obecnych narzędzi.
W praktyce Twój sposób jest ok, czepiam się akademicko ;)
ze co ? algorytmu ,ktory Ty znasz tylko ? czyli nakurwiasz systemem z czaszki ? LOL ja tez teak robie wymyslam znaki ,i haslo jest. najczescie to takie zeby mi sie kojarzyly latwo. ze slowami nazwami albo jakims dla komputera PROSTYMI do sutalenia wzorcami. Swietna metoda. hasło DUPA jest dobre
W 12:28 - 12:32 dzieją się czary 😆 A co do wygaszania haseł. Wykop od paru lat mierzy się z tym problemem, że są przejmowane konta użytkowników, najwięcej tych nieaktywnych ale i zdarzają się, że tych aktywnych też. Do dzisiaj nie zastosowali tego rozwiązania aby utrudnić możliwość przejmowania takich kont. Uparcie stoją na stanowisku, że problem ich nie dotyczy, bo wyciek miał miejsce w innych serwisach jak morele itp. W pewnym stopniu mają rację ale swoim podejściem do tego tematu nie wzbudzają zaufania swojej społeczności. Przez co aktualnie zmagają się z kolejną taką falą przejmowania kont pt. Pan Rumun w akcji. Jakiś czas temu ZagrajnikTV mający swoje konto na wykopie, padł właśnie ofiarą Rumuna.
Te czary to cięcie w montażu :)
a co z czasowym limitem błędnych haseł? wprowadzisz 5 razy błędne hasło czekasz 1h czy tam wiecej to coś utrudnia czy to też da się łatwo oszukać?
z tego, co wiem to kiedy wycieknie baza danych z hasłami, to atakujący może zgadywać hasła offline, więc Twoje rozwiązanie może nie pomóc
@@mateuszburniak jak wycieknie to po co ma zgadywać? poza tym wiele serwisów już po 3 błędach wymagają kontaktu z centralą, to sprawdzanie tysięcy haseł na sekundę to bajki
@nowy5, optymistycznie zakładam, że hasła nie są trzymane w bazie jako plain text, tylko zaszyfrowane
@@mateuszburniak tylko czy wtedy jest sens mówić o wycieku?
Świetny film, a dodatkowo przystępny, jak zawsze.
PS: Policzcie ile osób się cofnęło\próbowało cofnąć w trakcie emisji (niestety tych wyciętych już nie policzymy 😋).
Wywalili mnie z pracy za takie uwagi ;D
w przypadku passfraze można sobie zrobić coś takiego, aby dla nas przynajmniej jedno ze słów kojarzyło sie z jakąś liczbą lub znakiem specjalnym i w ten sposób stworzyć swoicty passfrazeword. Zwłaszcza jak tą powiązaną liczbę dodamy ani nie na kocu, ani nie po słowie, do którego nawiązuje. Powiedzmy, że mamy córkę Anię, urodzoną w 2002 roku. Hadło Ania02 jest krótkie i banalne słownikowo, ale już wm9ieszanie w to paru innych rzeczy...
Torttruskawkowyaniasuzuki02klawesynPompka - nadal daje się zapamiętać, a jest absurdalnie trudne do złamania.
Arką Gdynią rozwaliłeś system 😂😂😂
U nas kiedyś w pracy hakowali hasło domyślne ekspresu do kawy. Potem pojawiły się bardzo ciekawe nazwy napojów :)
Jesteś kozak. Ps: zabawni są bohaterowie drugiego planu w Twoich materiałach. Popatrz na reakcje przechodniów.
Ostatnio zdarzyło mi się zapomnieć dosyć skomplikowanego hasła, jednak pamiętałem mniej więcej jakie znaki się w nim znajdują.
Jaki typ ataku można by wykorzystać do złamania hasła w takim wypadku? Atak słownikowy?
Pewnie brute force z jakimiś maskami.
@@janepko co to znaczy brut force ? wpierdol ? bo za moich czasow nauki brutt force to bylio wyejabnie dysku z kompa.
Wow jaki przemyślany kadr 👍
Thank you
komentarz dla twórcy filmu + lajk ku chwale i na pohybel algorytmom youtuba,niech Ci wirtualny stwórca w subach wynagrodzi.
21:22 Właśnie, jaki jest w tym sens? Dużo serwisów ma to nadal i serio limity 16-20 znaków. W dzisiejszych czasach to jest żart.
Zrozumiał bym limit gdyby to było MAX 40 znaków .przez max 16 cierpią tylko metody pisania haseł
3 Rzesza poza Jagermeisterem i Fantą zostawiła nam jeszcze dziwne i dla ludzi nie siedzących w temacie trudne nazwy pojazdów, dział i jednostek. To idealne hasła dla historycznych geeków. Sd.Kfz.142/2 zwyczajnemu zjadaczowi chleba powie nic, ale ty będziesz to kojarzył z działem samobierznym(bądź tłumacząc z niemieckiego "haubicą szturmową") StuH 42. Podobnie z PINami- różne rodzaje amunicji idealnie się do tego nadają. I od razu zaznaczam, w żadnym aspekcie nie popieram działalności narodowych socjalistów, jak i Sd.Kfz.142/2 nie jest moim hasłem
Ciekawe podejście! Bez skrótów byłaby moc.
spoko. ale spaliłeś :D
Jakiś czas temu napisałem skrypcik, któy czytał słownik jezyka polskiego i na podstawie parametrów (długość docelowa hasła, długość słow) generował hasło złożone z losowych słow z naszego języka, do tego fukcja podbijania liter do wielkich i doklejania ciągów liczb/znaków specjalnych w losowych miejscach. Ogólnie jestem mega zadowolony z tego (a ile przekleństw poznałem przeglądając słownik to moje :D) ale niestety zupełnie nie nadaje się dla użytkowników nietechnicznych @MateuszChrobok znasz jakieś gotowe rozwiązanie tego typu?
Rewelacja!
22:18 piękny baner xD
TAK 😂❤
Wczoraj zakładałem konto w mbanku i na dzień dobry wielki czerwony error: Twoje hasło jest za długie ma mieć 8-20 znaków :D . No i przypomniał mi się ten filmik.
Fajnie że temat został poruszony. Ale jest ale. Mimo wszystko uważam, że nie został poruszony jeden bardzo ważny temat który trochę rozmazuje entropię i jej znaczenie. Przykładowo sposób hashowania haseł. MD5 i NTLM nie są równoważne z chociażby SHA512. Już trudniej o chociażby birthday attack. A zmierzam do tego, że fajnie by było poruszyć "zaplecze hasła", bo to jest bardzo ważny temat i bardzo często omijany w tej tematyce a bardzo dużo wyjaśnia jeśli chodzi o bezpieczeństwo haseł, a raczej uświadamia.
Password - hasło. Passphrase - zdanie zabezpieczające("hasłujące"). Chyba tak by to można było rozróżnić w polskim języku (który jest przecież dużo bogatszy niż język angielski. Tak abstrahując O ile lepiej brzmi "Kurła nie uruchamiaj mnie" od "kurła nie trigeruj mnie" :P ).
Mam pytanie.
Lepiej jest mieć jakiś swój "system konstrukcji" haseł tak, żeby każde było inne, czy lepiej używać haseł generowanych przez manager? Tych drugich raczej nie będę pamiętał. Hasła są długie i dosyć skomplikowane. Używam managera haseł na swoich urządzeniach, więc raczej nie będzie problemu, żeby te hasła kopiować z managera.
Hasła przez managera. żadnych swoich systemów
@@Czqcha Dziękuję za odpowiedź 😃
@@Czqcha co, jeśli stracisz dostęp do managera?
Jak robot może sprawdzać tysiące kombinacji haseł, jak zwykle już po 3 błędnych wpisach serwis zwykle blokuje dostęp do możliwości logowania?
Apple WWDC - bylo i powiedzieli o "Passkeys" - bardzo chetnie bym posluchal co masz do powiedzenia na ten temat.
Na Cthulhu, dzięki za odcinek!
Panie Mateuszu, jaki mikrofon Pan stosuje?
Z tym wymuszaniem zmiany hasła to najszczersza prawda. I niepojętym dla mnie jest, że dział IT u mnie w pracy nie potrafi ogarnąć tego, że jak co miesiąc ludzie zmieniać 3 hasła, to hasło wygląda dokładnie jak w filmie przedstawione. Z 400 pracowników, to może 5 wie co to menedżer haseł...
Korzystając z okazji - może kolejny (jeden z kolejnych) film o podpisach elektronicznych? Czy one faktycznie są gwarancją? I co z polityką polskich firm, by UNID tych podpisów było numerem PESEL użytkownika?
Okresowa zmiana haseł w organizacjach jest chyba wymuszona jakąś unijną dyrektywą lub tym, że firma nie przejdzie corocznego audytu bezpieczeństwa. Tak powiedział gostek z IT w moim przedsiębiorstwie w Niemczech.
@@janepko U mnie nigdy się czymś takim nie zasłaniali. Zresztą, 3 hasła zmieniamy, a jakieś 3-5 innych nie.
Mateuszu, musisz podesłać ten odcinek do Banku Millennium. Pisałem im kiedyś o tym, ale to skandal jaki tam jest sposób logowania. Hasło może być tylko cyfrowe i ma 8 znaków. Do potwierdzenia trzeba podać... PESEL, który w zasadzie jest daną publiczną... Żenada.
ale jakoś nie słychać afery o włamaniach na konta klientów
Jakto było w tym dowcipie : aktualne hasło wygasło , wprowadź nowe, różowa róża - hasło za krótkie , jedna różowa róża - hasło powinno zawierać litery i cyfry .... i tak dalej .
Nie do końca mnie passphrase przeonuje - atak metodą słownikową wydaje mi się być znacznie prostszy niż brute force.
Korzystając z managera haseł dobrze założyć, że kiedyś z jakiegoś powodu możemy stracić do niego dostęp.
Jeszcze gorzej, gdy korzystamy np. z ProtonPass i generujemy nim aliasy - jeśli z jakiegoś (trudnego do wyobrażenia) powodu stracimy konto, to tracimy nie tylko hasła, ale także maile do logowania.
Im dłużej o tym myślę, tym mniej jestem przekonany do korzystania z managera haseł jako jedynego miejsca ich przechowywania.
Chciałem zauważyć że jeszcze do dostępu gdzieś tam, trzeba znać też login, samo hasło nie wystarczy ;)
liczba! liczba nie ilość! na "ilość" boską :D
Pracowałem kiedyś w globalnej korporacji, wymogi do głównego hasła do komputera były standardowe: x znaków, min. 1 cyfra, min 1 znak specjalny. Spoko. Ale! z racji mojego stanowiska i zadań, musiałem mieć dostęp do bardzo wrażliwego systemu, także zabezpieczonego hasłem. W pewnym momencie, ktoś wpadł na "genialny" pomysł, że jasło do tego systemu musi być _takie_ _samo_ jak hasło główne (pewnie chodziło o dodatkową formę identyfikacji, nie wiem). I też byłoby to spoko, gdyby nie fakt, że ów "ktoś" nie zauważył, że wymogi hasła do tegoż systemu nie dopuszczały znaków specjalnych :D Ergo: hasło1 musi mieć znak(i) specjalne, hasło2 nie może mieć znaków specjalnych, hasło1 = hasło2. :D:D:D Napisałem o tym do działu bezpieczeństwa, i dostałem odpowiedź, z której wynikało, że wszystko jest w porządku, takie są wymogi bezpieczeństwa :D. Po dłuższym zastanowieniu - to ma sens! Procedura dostępu do tego systemu była baaardzo skomplikowana, wymagała duuuużo samozaparcia i determinacji. Do tego wydaje mi się, acz nie jestem specjalistą od cyberbezpieczeństwa, że dostanie się do tego sytstemu przez osoby nieuprawnione było jeśli nie niemożliwe, to zapewne bardzo, baaaaaardzo trudne, a próby takiego ataku byłyby bardzo łatwo wykrywalne...
Zaj*biscie dobrze i ciekawie sie tego slucha, dobrze gadasz :D
Zostawiam komentarz taktyczny
U mnie w pracy jest aplikacja zarządzająca dostępami... w której przez ograniczenia na hasło możliwych haseł jest 200...
Co ciekawe np. generatory haseł generują nie działające tam hasła, bo jednym z pkt. Jest długość od 9 - 11 znaków i co 3-2 litery musi być znak specjalny ( nawet jest określone która litera ma być wielka )...
A hasło wygasa po 14 dniach...
Dzięki
nie statystycznie macie po 3 nogi a średnio macie po 3 nogi ;)
Film sztos, czekam na kolejne!
Firma w której byłem - nie dość że trzeba zmieniać co 90dni to jeszcze nie można zmienić wcześniej niż te parę dni przed tym jak jest informacja że zaraz wygaśnie.
Drobna uwaga - w hasłach nie mówimy o ilości możliwych kombinacji, a permutacji. W kombinacjach kolejność nie ma znaczenia, a w hasłach owszem.
silne hasło to takie kiedy od razu wiesz, że to kiepski pomysł, jeśli próbujesz je przepisać ręcznie. uuid4 lub mocniejsze. argument o łatwości zapamiętania jest chybiony - od tego są programy do trzymania haseł. dobrze jest gdy nie mamy tego samego hasła do wszystkiego, a wiele łatwych haseł do zapamiętania, już nie jest łatwe do zapamiętania
A czy jest możliwość złamania zapomnianego hasła na zbiorze Winrar. Już drugi rok leci jak nie mogę sobie przypomnieć jakie hasło zapisałem tworząc to archiwum, ale pliku nie wyrzucam , mam nadzieję że kiedyś jakims sposobem
Bezpłatny RAR Password Unlocker
A może hasło związane z naszym hobby, zainteresowaniami itp., o których wiedze czerpiemy nie z internetu. Ponadto użyjemy mały dużych liter, cyfr i znaków specjalnych. Nawet jak ktoś w pełni włamie się do naszego komputera nie będzie tam danych (śladów) o nim. My zapamiętamy hasło gdyż związane jest naszym hobby lub jakąś informacją znaną nam
A co z plikiem Excela zabezpieczonym hasłem? Na ile to jest bezpieczne?
Wygooglaj sobie jak złamać hasło do ecxela. Na tyle jest to bezpieczne xD
Uf!
Dobrze, że Cthulhu nie wypowiedziałeś poprawnie.
Przekonałeś mnie wzywając mojego pana wiecznego Cthulhu !
A co z pinai . Na telfonie jeśli nie jest to 1234 lub 4321 lub 1243 to ma na celu unoemożliwienie sybkiego wejścia na telfon.
Super materiał, trafiłem tutaj dzięki Expertowi w Bentleyu, Twoja wiedza merytoryczna Mateuszu jest niesamowita!
Cześć, czy pamięta ktoś jaką aplikację 2FA poleca Mateusz? Wspominał chyba o niej u Rocka i Borysa, ale nie mogę sobie przypomnieć :/
Start2022! - napisane na żółtej karteczce na kompie w pracy. Poza dwom osobami reszta wykłąda się na wpisywaniu tego co tydzień.
Największą niedogodność stanowi wpisywanie skomplikowanego hasła na ekranie dotykowym jak sam wspomniales. Czy wykorzystując czytnik linii papularnych w menadżerze zamiast hasła głównego można się czuć bezpiecznie?
Nie. Mojej znajomej telefon kolega umiał odblokować swoim palcem.
znajdziesz pełno filmów na YT jak pobierając czyjś odcisk paląca skądkolwiek i używając paru sztuczek z przeniesieniem go na odpowiednio spreparowaną gumę można stworzyć sztuczny odcisk do otwierania czegokolwiek
A, wreszcie rozumiem! Najlepsze hasło to "sarkazm". Mogłeś od razu to powiedzieć ...
Nie znam 99.9% moich haseł, ba nawet do laptopa służbowego nie znam, kto by zapamiętał 45 randomowych znaków mienianych co 3 miechy ( ubić to za mało, ale w korpo nie przegadasz). Hasła do Managerów są zapisane na Yubikey lub się autoryzują nimi (ogólnie bez 2 kluczy nie odpalę tego cuda techniki) służbowy ma własny klucz, w którym jest ustawione hasło do konta i autoryzacja (nie chce mi się dodawać kolejnych, bo z backupami wychodzi za dużo)
O Kurde. Czym się zajmujesz?
@@c0ldie_ jestem .net dev do tego leniwym więc preferuje jak hasła same sie wstawiają. A że nam dostępu do kilku baz z danymi i licencji azure, to zainwestowałem w masę niepotrzebnych rzeczy np kamera do windows hello czy czytnik linii papilarnych (jeden mam zawsze przy kluczach tak samo yubikey). Ogólnie polecam yubikey nie trzeba tak hardcorowo robić, że w jednym jest hasło a w kolejnym drugi etap autoryzacji, wystarczy fizyczne potwierdzenie zamiast SMS czy apek. A co do mojego Korpo laptopa to po 2 zmianie hasła gdzie na myśl przyszło mi tylko "mamDalekoZmianyHaselMozecieMnieWywalic1" zainwestowałem w kolejny klucz i mam na nim skonfigurowana całość do pracy w korpo i też noszę go zawsze przy dupie, a hasło jest zapisane jeszcze w moim prywatnym managerze jak bym zgubił klucz i nie miał dostępu do backupu. Jedyna blokada przy takich kluczach jest cena bo zawsze trzeba kupić 2 sztuki, można czasem robić main klucz backupowy ale nie do wszystkiego to się nada (tylko dwa sloty na konfigurację) bezpieczniej jest nie tworzyć klucza który da dostęp do wszystkiego bo jak go zgubimy to :)
Do maila trudne hasło do kont typu "pudelek" mam wszędzie to samo... I nie mam zamiaru tego zmieniać 😅
Hej, super masz te filmy, a ja mam taki problem, na jednym z portali na którym dokonuje zakupów drobnych usług graficznych pojawił się duży kłopot z moim kontem. W tej chwili jest zablokowane. W celu weryfikacji mojej tożsamości suport prosi o podanie 6 pierwszych i 4 ostatnich cyfr dwóch moich kart kredytowych z których dokonywałem zakupów, podawać?, czy to bezpieczne, i czy oni w ogóle mają te numery ? z tego co wiem sklepy nie mają dostępu do takich danych. Dodam ze wszystko się odbywa na czacie firmy, , pierwszy raz mam coś takiego, jeśli ktoś coś wie proszę o odpowiedz. Dzięki.
pierwsze 4 cyfry karty to identyfikator wystwacy karty i banku
Thx
15:24 właściwie to nie. Macie po jednej, bo koty mają łapy. I nie statystycznie tylko średnio ;p
mój ziomek używał haseł które składały się z pierwszych liter słów jego ulubionych refrenów rapowych, też jakieś rozwiązanie;D
Ja kiedyś miałem do banku takie hasło które zawierało pewne znaki, których użycie i kliknięcie "zaloguj" wywalało aplikację mobilną XD
Odcinek jak zawsze pelny wartosciowej tresci.
Maly blad gramatyczny "uzyc dlugopisa" powinno byc "uzyc dlugopisu"
Polecam
Odszyfruje baze haseł? Hasło to nie szyfr tylko hash ;)
"Automatyzując proces odpowiednim oprogramowaniem można sprawdzać tysiące, czy nawet setki tysięcy haseł na sekundę". Do konta google, instagrama, twittera, facebooka itp.?!?!?!?!?!?!?!? Może by tak rozróżnić gdzie tak się da, a gdzie nie?
Ta i uwaga na managera hasel google bo lami.
I jeszcze uzywaj linuxa jak mozesz 😅
....czy można wprowadzić restrykcję czasową dla ew. "włamów"???.#
Nic po tej wiedzy, jeśli kluczowe osoby w danej organizacji są na nią odporne.
Znam firmę z wymuszoną zmianą haseł co 3 miesiące. Tamtejszy "dział IT" nawet sobie zdaje sprawę, że jest to idiotyczne, ale jak sam przyznał "dział prawny się uparł".
Wysyłanie żądania podania hasła smsem do osoby na L4 przez przełożonego jest standardem - w końcu czasem trzeba sprawdzić, czy na maila osoby nieobecnej przyszło coś istotnego, albo kierownik przyszedł z dzieckiem, które żeby się nie nudzić chciało pooglądać YT i pograć, a kierownik nie rozumie, że swoim loginem może się zalogować na każdym urządzeniu w organizacji.
Hasła na żółtych kartkach też oczywiście występują, ale to jeszcze nie jest szczyt głupoty w tym zakresie. Istnieje w firmie co najmniej jeden zeszyt z danymi do logowania m.in. na epuap prezesa. Zeszyt leży w szufladzie, która niby ma zamek, ale i tak nigdy nie jest zamykana.
To taka tam drobna lokalna firma budowlana mająca roczny przerób na poziomie od kilkudziesięciu do kilkuset milionów złotych.
Niestety, ale są takie przypadki, w których jedyną szansą na poprawę bezpieczeństwa byłby jakiś porządny atak, po którym ktoś może wyciągnąłby wnioski.
No i namówił. Ściągam menagera haseł 😁
Ja mam wykute w kamiennych tablicach i trzymam w piwnicy
U2F?
👍🏼
A ja potam swoje hasło. Oto ono: GP%pUg*4U5n%*wtgy#B8PJ wystarczająco silne? No ja to już nie wiem.... :D
Swoją drogą ja pamiętam zaledwie kilka swoich haseł. Może 4, czy 5.... takie które są mi potrzebne np do pracy, czy do różnych komputerów. Resztę mam w menadżerze zapisane. Nauczyłem już żonę z tego korzystać, teraz chciałbym dziecko. W końcu jak ktoś włamie się na urządzenie dzieciaka to może w prosty sposób zainfekować całą sieć w domku. Słabo... i słabo idzie uczenie dziecka. Cóż... może jeszcze za wcześnie?
Zastanawia mnie jeszcze jedna rzecz - czy jeżeli używam 2FA do logowania się do jakiegoś serwisu, to czy atakujący mający dostęp do serwera takiego serwisu i znając moje hasło może wejśc na moje konto z poziomu serwera? W którym miejscu następuje wykorzystanie 2FA? Czy na serwerze, czy dopiero na końcówce klienckiej? Jeśli dane wyciekają z serwerów, to atakujący może mieć dostęp do nich. A jeśli ma dostęp, i ma z niego moje hasło i może wejść na moje konto, bo serwer go wpuści bez drugiego składnika uwierzytelniania.... to jaki sens w ogóle ma 2fa w takim przypadku? Trochę mi się to gryzie z logitką.
przypomniało mi się, jak dostałem xboxa 360 i miał on nałożoną blokadę rodzicielską. Hasło wklepywało się po prostu kombinacją przycisków na padzie. Coś jak 4cyfrowe hasło w telefonie. Nie potrafiłem go odgadnąć. W końcu znalazłem opcję odzyskiwania/resetowania hasła. Pytanie bezpieczeńśtwa: Ulubiony superbohater. Wpisałem z czapy Batman. Pomogło
👍
Wiele osob TE SILNE hasla zapisuja gdzies w poblizu komputera (pod klawiatura, przy monitorze, pod stopka monitora, na karteczce, w... smartfonie w notatniku i tym podobne miejsca.
Haker raczej nie wykradnie Ci w domu kartki spod klawiatury - chyba, że przyjedzie i zrobi włam xD
@@pantarei. Haker raczej podrzuci Ci Trojana ktory przejmie wprowadzane hasla. Jednak przyslowiowy "Kowalski" nie bedzie celem. Hakerom chodzi bardziej o ataki na instytucje i ich serwery. Szyfruje sie firmowe dyski a pozniej za kase odszyfrowuje. Mialem raz przypadek, ze zaszyfrowano mi na serwerze baze danych ale robie regularne kopie wiec akcja odzyskiwania byla dosc szybkim procesem. Zrobilem podwojna autoryzacje i kupilem klucz sprzetowy i teraz mam ok. Klucz sprzetowy miedzy innymi dziala tak, ze trzeba mechanicznie w danym momencie nacisnac przycisk aby po podaniu pinu autoryzowac. Tego sie zdalnie nie da zrobic.
2Girls&1Cup - To moje hasło
21:22 - PKO BP, PayPal - to o was