Warto polecić w tym miejscu materiał z kanału Mateusz Chrobok, w którym opowiada o menadżerach haseł i mówi co w którym może stanowić potencjalne niebezpieczeństwo. Oba kanały - Mateusza i Kacpra świetnie się uzupełniają w tematyce ITSEC.
Menadżer. Kacper też ma świetny materiał o menedżerach haseł - to zapis live'a z 30.IV.2020 ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-1-3iKtg50Zc.html
Menadżer ;) Mała uwaga: jeden minus analogi smoothie jest taki, że użycie nie całkiem takich samych ale podobnych owoców powinno dać dość podobny smak. Dobra funkcja hashująca dla nawet odrobinę innych danych wejściowych powinna dać znacznie różne hashe.
HA HA HAHA HA !!!!!! Jutro swiat padnie mi do stop!!!!! Po tym programie wlamie sie na kazdego kompa!!! Zaczynam od Ciebie moj drogi Kacprze!!!!!! Drzyjcie bo jam jest potezny i pragne krwi!!!
Menadżer. Jak zawsze na najwyższym poziomie merytorycznym jak i jakościowym - idealne dla nietechnicznych aby w końcu zrozumieli, że menadżery haseł nie gryzą a pomagają :D
Fajnie tłumaczone tylko mam szereg wątpliwości... 1. Rozumiem że włamywacz dostaje się do serwera gdzie jest umieszczona tabela zawierająca funkcje skrótów do haseł! Pytanie jak ma się tam dostać? 2. Jeżeli już posiądzie taką tabelę z zahaszowanymi hasłami to jednym ze sposobów ich odzyskania jest zgadywanie czyli losowe "podstawianie haseł do funkcji skrótu a następnie sprawdzanie wyniku funkcji czy jest taki sam jak nasz hash?" 6:25! Skąd włamywacz ma mieć funkcję skrótu aby mógł przeprowadzać działania dekodujące? 3. Jaki jest algorytm funkcji deszyfrującej tzn kiedy wie że hasło które odkodował jest tym właściwym? Domniemując że jest logiczne? Jakie kryteria przyjmuje? Wykorzystując go przy logowaniu? Wykorzystując go przy logowaniu? Ale po kilku błędnych użyciach hasła serwis zablokuje użytkownika! "manager"
Ad 1. Przyczyn bywa sporo: błąd w jaki napisano system np pozostawiony publiczny endpoint, wirus w sieci, podatnosc oprogramowania, wreszcie zła wola pracownika.
To teraz wiem dlaczego nieraz google mnie informuję że moje hasło wyciekło. Nie że ktoś się włamał i je ukradł z jakiejś strony tylko ze pojawiło się w słowniku. 👍👍👍👍👍👍
wszystkie błędy w zabezpieczeniach sprzętowych i programowych da się naprawić łatwo i szybko jeżeli władza państwowa chce i potrafi mądrze rządzić żeby nie uprzykrzać życia ludziom
a jak t o jest klawiaturami Bluetooth? Kiedy wpisuję hasło w komputerze, to czy ktoś może przejać moje nieekranowane dane które klawiatura wysyła do komputera? Czy wciskane klawisze są w jakiś sposób szyfrowane ?
hasło nie jest zabezpieczeniem tylko potwierdzeniem identyfikacji ale kamery mikrofony czytniki linii na ludzkiej skórze palców czytniki siatkówki oka ludzkiego sztuczna inteligencja telemetria to największe zagrożenie bezpieczeństwa i prywatności dla ludzi
Apropo hash.. Wywnioskowałem, że jeśli ktoś ma konto w danym serwisie i uda mu się skopiować część lub całą bazę danych ze swoim loginem to odgadnie hash na podstawie swojego hasła..
Przecież używanie menadżera haseł oznacza nieznajomość swoich własnych haseł, a to powoduje tylko problemy, np z zalogowaniem się na nie swoim kompie, np. w kafejce internetowej, albo u kumpla w przypadku awarii własnego kompa. Wszystkie hasła są zapisane w menadżerze na twoim kompie i tylko na nim możesz się logować. A co jeśli coś się zepsuje. A co jeśli ktoś zgubi taki plik z hasłami, np. w wyniku padnięcia dysku. To ja już wolę znać na pamięć wszystkie swoje hasła.
Jeżeli używasz menadżera, który działa w chmurze to dostęp do swoich haseł masz z każdego miejsca na ziemi. Chociaż pewno większość poza domem sprawdza hasła w aplikacji na telefonie.
@Agrafka Agrafka kto korzysta w obecnych czasach z kafejek Internetowych? Mam wrażenie, że to dość mocno abstrakcyjny problem. No chyba, że mówimy o wyjazdach zagranicznych w bardzo odległe miejsca. Logowanie się na jakikolwiek serwis w takich miejscach jest niebezpieczne. Bo nigdy nie wiemy, czy właściciel nie zainstalował czasem oprogramowania do monitorowania wciśniętych klawiszy.
Menadżer działający w chmurze? Czyli wystarczy, że hakerzy złamią jedno hasło, żeby mieć dostęp do wszystkich? Tym bardziej podziękuję. Wolę mieć hasła, które znam na pamięć. Osobne mam do banku, osobne do Allegro, osobne do maila i osobne do innych stron typu forum. Aha, do fejsa też mam inne.
@@KacperSzurek Owszem, nigdy nie wiadomo czy na kompie użyteczności publicznej, ktoś nie zainstalował keyloggera, ale jeśli problem jest tego typu, że ktoś gdzieś zapodział bilet powrotny na samolot, a jedyną kopie ma na mailu, to wtedy priorytetem jest powrót do domu i człowiek jest w stanie zaryzykować keylogger, oczywiście w domu po powrocie rozsądnie jest zmienić hasło.Oczywiście można mieć kopię w telefonie, ale te się szybko rozładowują, można mieć powerbanka, który też może być padnięty i czasami wizyta w kafejce może okazać się jedynym rozwiązaniem. Kiedyś miałem taką sytuację, że jechaliśmy z kumplem pociągiem do Poznania, a stamiąt mieliśmy autobus na festiwal ASOT w Holandii. W pociągu do Poznania ktoś zajumał kumplowi torbę podróżną w której miał bilet na ten event. Mieliśmy hotel w Poznaniu przed wyjazdem i uspokajałem go w pociągu, że jak ma bilet na mailu, to w Poznaniu gdzieś się wydrukuje i będzie po problemie. W recepcji była opcja wydruku, ale okazało się, że kumpel nie mógł się zalogować na własnego maila, bo to był gmail, który wykrył próbę logowania na innym urządzeniu niż zwykle i konieczna była weryfikacja, która okazała się niemożliwa, bo kumpel przy zakładaniu tego gmaila podał numer, którego od dawna nie ma i nici z weryfikacji. Ktoś mu kupił nowy bilet, za większe pieniądze, bo z rynku wtórnego, bo był sold out i dopiero na miejscu w Holandii mu go dał wydrukowanego. Jak widać, weryfikacja dwuetapowa też może powodować więcej szkody niż pożytku.
@@bagi6 to tylko pogratulować kumplowi. Piszesz o problemie, który sam stworzył Twój kolega. Dodatkowo obecny właściciel starego numeru Twojego kolegi może się zalogować na jego konto. Wystarczy, że wejdzie na Gmaila, zaznaczy, że zapomniał hasła i da przypomnienie na numer telefonu. Kopię bazy danych z hasłami można mieć offline. Kody do 2FA można mieć również w paru miejscach. Korzystanie z menadżerów haseł i 2FA może na początku jest upierdliwe, do czasu aż nie wyrobimy sobie pewnych nawyków. Od 4 lat korzystam z obydwu i nigdy nie miałem problemu z zalogowaniem się gdziekolwiek. A nawet nie znam swojego głównego hasła do menadżera.
#menadżer Ja mam najlepsze hasło do "twarzoksiążki", nikt nigdy w życiu nie będzie wstanie włamać mi się na tan serwis! nie mam i nigdy nie miałem twarzoksiążki ...
Ostatnio mial włam na google, facebooka czy discorda Wszystkie hasla mialem zapisane w google ale odziwo pierwszy atak poszedl na facebooka wiec z menedżera hasel google nie wziął hasła oraz wszedzie dwustopniowa weryfikacja ktora nigdzie nie zadziala ani na google ani na facebooku, ktoś w jaki sposób ktos mi sie włamał? Konta odzyskane przez powiadomienia na mailu o zalogowaniu na konto
pierwszy błąd- ja nigdy nie modyfikuję krótkich słów. Przykładowe rozwiązanie hasła. Sprawdza się maksymalną długość hasła. I dwa warianty. Jakieś absurdalne, szokujące zdanie. Ulubione cyfry z niczym nie związane, nie publikowane. Lub generator 64 długich haseł i wybranie fragmentów, które się podobają, pasują.
Cóż, Twórcy mają rację. Osobiście pracuję na helpdesku w Fujitsu. Stosuję losowy ciąg 48 małych i dużych liter, cyfr i znaków specjalnych i proszę, jeżeli jest taka możliwość, aby system upominał się co miesiąc o zmianę hasła. Może to komuś podsunie pomysł...
Ale się dzieje i dzieje ? Nadchodzi pora jedności do walki ze " sztuczną inteligencją " ! Chłopaki , albo my albo " ona " ! Wystarczy jedno hasło - prawo , prawość i sprawiedliwość w świadomości !
Mój Menadżer haseł to notatnik papierowy i jakoś sobie chwalę. Ale widzę, że ktoś od czasu ataku na Ukrainę próbuje się dostać na moje konto na Wargaming, na którym nie mam nic i nie gram, bo po oszustach, jakich tam spotkałem w pierwszym dniu przestałem grać.
No ale jak mam proste hasło, ale dwuetapowe uwierzytelnianie to co hakerom z mojego hasła? Jak przyjdzie mi sms albo powiadomienie w aplikacji a ja nie korzystam z serwisu to wiem, że ktoś próbuje się włamać na moje konto. 😉 W ogóle to nie wiem czy można na stronie bankowej korzystać z logowania bez uwierzytelniania aplikacją lub smsem.
W teorii nic. Ale w praktyce trzeba pamiętać, że 2FA to ostateczna linia obrony. Wystarczy tylko, że strona nie posiada zabezpieczenia przed testowaniem wielu kodów na raz. A błędy się przecież zdarzają. Banki to co innego bo muszą się dostosowywać do ustaw.
Najprościej tworzyć jakieś cytaty co łatwo w głowę padają i szybko się je wpisuje: BierzCoChceszNawetDeszcz1 - przykładowe hasło :) Generalnie nie do złamania jeśli chodzi o hashcaty i tego typu narzędzia.
Tylko i wyłącznie menadżer, hasła w nim mają po minimum 64 znaki, główne hasło ma ponad 9 znaków i wykorzystuje różne pierdółki w nim. Sam plik z bazą haseł trzymany jest w kilku kopiach na różnych urządzeniach, dyskach czy nawet chmurach
hasło to podstawowy pierwszy etap identyfikacji dlatego strony internetowe potrzebują dodatkowego wzmocnienia identyfikacji istnieje sprzętowa identyfikacja w procesorach cpu na przykład procesor intel core i7 870 ale kapitaliści nie zachęcają ludzi do wzmocnienia szyfrowania bo strony internetowe są na serwerach korporacyjnych tam pracują hakerzy i oszuści dlatego najlepsze zabezpieczenia nie gwarantują bezpieczeństwa
Ze swojej strony dodam iż oprócz trudnych haseł każda strona powinna mieć weryfikacje dwu etapowa. Jest to najlepsze rozwiązanie przy logowaniu się z innego komputera czy telefonu.
Menadżer. Czy przetrzymywanie haseł zapisanych w przeglądarce jest bezpieczne? Jakby nie patrzeć jest to zbiór, który gdzieś jest zapisany na dysku. Pytanie czy przeciętny haker może taki plik z hasłami odczytać?
słyszałem kiedyś,że wystarczające dłuugie hasło i odpowiednio skomplikowane czyli raczej generowane hasła przez menedżer haseł, jest nie do odhashowania
Nie przekonałeś mnie. O łamaniu haseł mniej więcej widziałem i moje jest tak silne, że nie zawsze ja je pamiętam. Muszę w głowie układać ostatnie litery pewnych wyrazów, dat, itp. Długo się loguję do banku, ale warto.
Mnie czasami dziwi jak ktoś roznosi ulotki i może nie znać kodu do domofonu do klatki. Ciekawe, że taki kod do klatki może nie wyciec jak się patrzy co wycieka do internetu i jak duże ilości danych osobowych wypadają.
Menadżer PS. zabrakło wzmianki o pieprzu :( PS2. Następny film o hashowaniu haseł? Jak poprawnie przechowywać w bazie, jakich algorytmów używać i dlaczego nie MD5. Świetna robota!
Dzięki wielkie Pomimo siedzenia trochę w necie nie tylko na grach to nie miałem pojęcia ile jest w stanie dać ciut dłuższe halso i jak łatwo można je zrobić
Taki błąd Ci się wkradł mówisz unikanie kolizji i wymieniasz systemy minimalizowania skutków. Gdyby chodziło o unikanie to np systemy hamowania, kontroli trakcji itp
Nie rozumiem problemu z tworzeniem latwo zapamietywalnych haseł o wielkosci 30 znakow i wiekszych, zawierajacych male i wielkie litery, liczby i znaki specjalne. To jest tak banalnie latwe i glowę dam, ze zadna metoda szybko tego nie zlamie. Wystarczy odrobinę pomyslec .