Názory k článku Vlna hacknutých účtů na Gmailu se dotkla i Česka
-
nobody (neregistrovaný)
Ochrana pred vlastni blbosti neexistuje a jedine co se da rici: "dobre jim tak". To si meli rozmyslet predtim, nez-li tam do pole password zacnou neco klepat. Chranit blbce pred vlastni blbosti neni realne a pokud se nekomu zda komplikovane si pamatovat jedno, dve hesla pro SW typu KeePass apod. tak uz neni co rici. Takovy pitomec se bude mnozit, uz ted je jich az prilis mnoho.
Za blbost se proste plati, Google nic neuteklo a nic se nestalo.
-
... (neregistrovaný)
Mimo dvoufázového ověření je ještě možné použít Google Authenticator.
Autor opět neví co píše? Bez aktivace dvoufázového ověření je Google Authenticator k ničemu.Navíc u Google dvoufázový ověření funguje tak, že při výzvě o zadání číselného kódu buď zadám číslo z této aplikace, nebo zvolím zda má přijít SMS (popřípadě bude číslo sděleno telefonicky) nebo použiji jeden ze záložních kódů které lze vytisknout a každý lze použít jen jednou.
Není to tedy tak že by tahle aplikace byla něco extra ještě nad 2fázové ověření, ale je jeho součástí.
-
Třebas proto, že je naprosto nereálné, aby si pamatoval jeden člověk tolik silných unikátních hesel, kolik má na internetu účtů. Ta hesla lze uložit nikoliv do stránky, ale schránky, obvykle chráněné master heslem. Na jeho bezpečnosti a schování dat schránky to celé leží a padá. Trochu problém vidím v tom, že tohle se dá používat jenom na zcela bezpečných zařízeních, kde si navíc můžu instalovat svůj software.
-
Ten nástroj pro správu hesel teoreticky taky může fungovat jako webová aplikace a být dostupný odkudkoli, můžete jej používat i na nezabezpečených zařízeních (samozřejmě s rizikem, že unikne to jedno heslo, které jste na zařízení takhle získal).
Nebo pokud cílový web podporuje přihlášení účtem třetí strany (OpenID, Google Account, Facebook apod.), což je alternativa ke správě hesel, můžete se přihlásit i z nezabezpečených zařízení a kompromitace účtu nehrozí (ale během přihlášení samozřejmě zařízení může ovládat účet vaším jménem).
-
x (neregistrovaný)
Pouzivat openid je varianta naprosto nejhorsi, protoze ztrata jedinyho hesla a dotycny je totalne v haji ... navic jeste jako bonus zjednodusuje smirakum jejich praci.
Jediny rozumny postup je nejaky spravce hesel a generovat hesla. Bohuzel, cast stranek generovane heslo nezkousne (pokud obsahuje nepismenkove znaky).
Jinak pro zajimavos, zazitek s M$ .... kolega, ktery ma ucet na jedne z jejich sluzeb onehda dostal mail, ze delka hesla byla omezena, na 8 znaku ... on mel heslo 12 znaku ... a vpohode se prihlasil. => jediny duvod = M$ uchovava vsechna hesla jako open text.
=> co web to heslo, a idealni i random login a vubec nejlip i nejaky random alias k mailu.
-
Zatímco v případě správce hesel stačí ztráta jediného hesla a dotyčný je totálně v háji. Tedy v tomto není rozdíl žádný. Jako bonus si OpenID můžete provozovat sám, takže poznámka o šmírování je poněkud mimo.
Zajímavost je hezká, ale nepravděpodobná. Pravděpodobnější je, že tu službu odjakživa zajímalo jen prvních 8 znaků hesla a zbytek byl na ozdobu, a e-mail o omezení hesla na 8 znaků bylo jen uvedení do souladu skutečné implementace a deklarovaných vlastností. Těžko by někdo speciálně nově implementoval omezení délky hesla a ještě pak ořezával heslo zadané uživatelem při jeho kontrole. Jinak pro zajímavost, pouze prvních osm znaků se bere v úvahu při použití unixové funkce crypt, tudíž u nejstaršího unixového formátu ukládání hesel, také v MySQL funkci encrypt() a také v PHP funkci crypt(). Tam někde bych hledal příčinu toho vašeho zážitku.
-
Autentizační mechanismus OpenID taky nemusí být veřejně přístupný na síti. Naopak správce hesel může být síťově dostupný (ať už záměrně nebo chybou). Navíc v dnešní době je offline správce hesel pro pár jedinců, kteří používají jediný počítač. Většina lidí ale používá počítačů několik, tablety, chytré telefony -- a pokud by museli hesla neustále přepisovat ze správce v jednom zařízení do správce v druhém a pátém zařízení, letěl by brzo správce hesel z okna.
Správce hesel provozovaný na počítači uživatele je závislý na tom, že je bezpečný ten počítač. OpenID je závislé na tom, jak bezpečný je provozovatel příslušné služby a jak bezpečně s ním uživatel zachází. Při volbě mezi zabezpečením počítače běžného koncového uživatele a zabezpečením serveru profesionálního poskytovatele bezpečnostní služby bych já na ten počítač koncového uživatele nesázel.
-
Zizi (neregistrovaný)
Jako správce hesel jedině offline verzi. Jinak nemůžeš mít jistotu, že tvůj PC neopustí příslušná data nezašifrovaná. Takže Keepass, a následně databázi hesel (již šifrovaný soubor, který sám o sobě nikdo "nerozlouskne") automaticky synchronizovanou skrz všechny použiívané zařízení (což dneska není problém díky sugarsync, dropboxu apod.)
A mám jistotu, že nešifrované heslo je k dispozici výhradně lokálně a jen na nezbytně nutnou dobu (od vyvolání v programu do vložení ze schránky, maximálně na 10 sec). Jakou máte jistotu u webových služeb, že ty vaše hesla jsou skutečně chráněná a šifrovaná? co když nejsou a jen to "tvrdí"? Až je někdo hackne tak se začnou dít věci :-)
Nene, není nad Keepass a lokální šifrovaný soubor, kde to mám plně pod kontrolou co se s ním děje, a hlavní heslo mám jen v hlavě a nemusí ho ověřovat žádný web :-) -
To už záleží jenom na pojmenování. Já bych správce hesel, který zašifrovaný datový soubor synchronizuje přes síť, nenazýval offline.
Vy ten lokální soubor možná máte plně pod kontrolou, to ale neplatí pro většinu uživatelů.
Nějaký web nemusí ověřovat jen vaše (ne příliš složité) heslo, ale může taky ověřovat třeba OTP heslo nebo podpis vytvořený privátním klíčem uloženým na šifrovacím tokenu. To druhé je s offline databází hesel také možné, to první nikoli.
ČLÁNKY DO MAILU