Ukládání historie přihlašovacích hesel

5. 6. 2012 08:56:38

Ahoj,

pravidelně se přihlašuji na jeden server, který vyžaduje každý rok povinnou změnu hesla. Přičemž všechna stará hesla jsou zde uložena a nelze tedy žádné použít dvakrát.

Mám docela problém s tím, že všechna hesla, které jsem kdy zadal, jsou někde uložena na serveru a nemám je možnost smazat. Obvykle se heslo přepíše a už nikde uloženo není. Takhle jsou teoreticky všechna hesla, co jsem kdy použil, stále někde k dispozici šikovným hackerům.

Jaký je Váš názor na ukládání historie hesel? ( aneb je to trochu proti srsti jen mně? :-)

Myslíte, že by měl uživatel mít možnost svou historii hesel smazat?

Díky za Vaše názory.

5. 6. 2012 08:56:38

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771753

Tomáš Faldyna

(54 hodnocení)

5. 6. 2012 09:10:42

Jo to by mne taky stvalo. Spravne se ma heslo overit, zda nezadavas to soucasne - pokud ne, tak prepsat. Zadna historie hesel!

Bohuzel, pokud to jinak nejde, vol zapamatovatelne hesla ktera nikde jinde nepouzivas.

Co se tyka bezpecnosti hesel na serveru, to ty neovlivnis.

5. 6. 2012 09:10:42

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771752

David Kácha

(39 hodnocení)

5. 6. 2012 09:26:50

Asi bych si vymyslel heslo pro daný web a jen ho obměňoval př. "superheslo2012", "superheslo2013", "superheslo2014" atd...

5. 6. 2012 09:26:50

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771751

Petr Pojer

(9 hodnocení)

5. 6. 2012 10:21:09

Nevím, který server máš na mysli ty, ale takhle to praktikuje i O2 u svého Exchange serveru, a chcou měnit heslo tuším každého půl roku. A je to prostě k zbláznění pořád vymýšlet něco nového.

5. 6. 2012 10:21:09

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771750

ora

(14 hodnocení)

5. 6. 2012 10:46:29

Změna hesla je sice otravná, ale účelná technika jak zvýšit bezpečnost (např. v bankách se používá standardně). Hesla se většinou ukládají s šifrováním MD5, takže nejdou zpětně dekódovat. Pro případné hackery je snazší zjistit aktuální heslo přes keylogger, trojského koně apod. Nebo proniknout do systému bez nutnosti rozšifrování hesla.

Když už by si dal někdo práci a dokázal by hesla rozšifrovat, to znalost historie hesel nemá pro něj až takovou hodnotu a nebezpečnost hackera se taky nezvětší.

Smazáním historie by změna hesel ztratila smysl.

5. 6. 2012 10:46:29

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771749

Martin Schlemmer

(37 hodnocení)

5. 6. 2012 11:04:23

Používejte správce hesel (můžu vřele doporučit KeePass, existují další jako např. 1Password atd.), naprostá většina starostí odpadne.

http://keepass.info/

Vaše nová starost bude "Proč mi tato hloupá stránka nebere heslo XX znaků dlouhé".

Na ukládání historie hesel nemám názor. Záleží, jak se hesla ukládají, kdo k nim má přístup atd.

5. 6. 2012 11:04:23

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771748

Bacon

(2 hodnocení)

9. 6. 2012 01:13:05

Napsal ora;804032
Změna hesla je sice otravná, ale účelná technika jak zvýšit bezpečnost (např. v bankách se používá standardně). Hesla se většinou ukládají s šifrováním MD5, takže nejdou zpětně dekódovat. Pro případné hackery je snazší zjistit aktuální heslo přes keylogger, trojského koně apod. Nebo proniknout do systému bez nutnosti rozšifrování hesla.
Když už by si dal někdo práci a dokázal by hesla rozšifrovat, to znalost historie hesel nemá pro něj až takovou hodnotu a nebezpečnost hackera se taky nezvětší.
Smazáním historie by změna hesel ztratila smysl.

Nerad ti kazím radost, ale zrovna MD5 je nejslabším šifrováním, protože k němu už existují obsáhlé rainbow tables, takže je možné zpětně dekódovat spoustu hesel. Účinnější je používat pokročilejší šifrování se saltem.

9. 6. 2012 01:13:05

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771747

Martin Schlemmer

(37 hodnocení)

9. 6. 2012 12:04:40

Napsal Bacon;805857
MD5 je nejslabším šifrováním, protože k němu už existují obsáhlé rainbow tables

Abych to upřesnil, MD5 je hashovací algoritmus, který se pro hashování citlivých informací nedoporučuje, protože

1. Je rychlý a tím usnadňuje brute force útok

2. Ale hlavně existují algoritmy, které dokáží vyvolat kolize (platí i pro SHA1). Možná jste zaznamenali aktuální kauzu s malware Flame vyvinutým top vědci na zakázku zatím neidentifikovaného státu. Ten právě používal nezveřejněný algoritmus pro kolize s MD5, aby se šířil pomocí Windows Update jako regulérní update.

Crypto breakthrough shows Flame was designed by world-class scientists

Rainbow tables si můžete se slovníkem vypočítat sami pro libovolný hashovací algoritmus, proti nim slouží právě správné solení (pro každý záznam jiný salt).

Pro hashování citlivých informací se doporučuje bcrypt, protože používá v této chvíli neprůstřelný algoritmus Blowfish a umožňuje si zvolit náročnost hashe (počet hashování) jako obranu proti brute force útokům.

9. 6. 2012 12:04:40

https://webtrh.cz/diskuse/ukladani-historie-prihlasovacich-hesel/#reply771746

Pro odpověď se přihlašte.

Přihlásit