Tato přednáška byla doplněna a nahrazena novější přednáškou "Hlava není na hesla", prohlédněte si raději tu. Najdete ji na https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
Odkazy z článku jsou také na http://www.michalspacek.cz/prednasky/zapomente-vase-hesla-new-media-inspiration
Přednáška s podtitulkem Jak vytvářet, ukládat, používat hesla, jaké nástroje k tomu používat a proč proboha.
Používáte hesla? Kolik jich máte? Asi dost, co. Znáte nějaký program pro správu a pamatování hesel nebo snad používáte jedno heslo na více místech? Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Šmarjá, opravdu? Když náhodou takové službě unikne databáze emailů a hesel, včetně toho vašeho, tak pak případný zlý hoch může získat přístup i k dalším službám, protože do vaší emailové schránky vám chodí např. zapomenutá hesla nebo odkazy na nastavení hesel nových. Pokud k tomu tedy dojde, tak vás může zachránit už jen dvoufaktorová autentizace, víte, co to je? To je otázek, že… ale nebojte, mám i odpovědi.
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Operations security (OPSEC) is a term originating in U.S. military jargon. In IT, it says what to do to protect your servers, developers, information, and other resources. Targeting developers, new trend in computer security, is becoming increasingly common because they usually have access to production servers and other critical infrastructure.
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
HTTP Strict Transport Security (HSTS) provides secure transport of data, by removing the possibility of HTTPS stripping. HSTS is an HTTP header issued by the server. After receiving such header, the browser will perform internal redirects from http:// to https:// for given amount of seconds.
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
Users often forget their passwords, so applications often must have a password reset mechanism. There are several options for how to do it; some of them are good, most of them not so good. Generate a password and send it in an email? No. Security questions? No way. Reset passwords via a phone call? Rather not. This talk presents some really creative examples of botched password reset implementations, as well as a proven method for resetting passwords securely.
From unsalted SHA-1 to bcrypt, from generated passwords sent in e-mails to just links and other stories of securing user passwords at your regular e-commerce site from web developer's point of view.
Video of the talk available at http://www.michalspacek.cz/prednasky/the-problem-with-the-real-world-passwords
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Zapomeňte vaše hesla
1. Zapomeňte vaše hesla
Michal Špaček
www.michalspacek.cz
@spazef0rze
Tato přednáška byla doplněna a nahrazena přednáškou
Hlava není na hesla, prohlédněte si raději tu.
https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
2. Kdo zná vaše hesla
Jak vytvářet hesla
Jak si je nepamatovat
Kdo myslíte, že má přístup k vašim heslům? Vytváříte hesla správně? A víte, že si je vůbec
nemusíte pamatovat? Odpovědi na tyto otázky, i na všechny ty další, bych vám chtěl naznačit v
následujících slajdech. Tyhle poznámky jsou jen v této online verzi, v původní prezentaci chybí.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
3. Kdo zná vaše hesla?
Takže především, vaše hesla byste měli znát vy sami. Určitě je zná také web nebo aplikace, do
které se přihlašujete, kvůli ověření. Daná aplikace má také vaše heslo v nějaké formě uloženo v
databázi a kvůli bezpečnostním chybám mohou mít přístup k této databázi i …
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
4. Michal Špaček @spazef0rze
MIZEROVÉ! Normální lidi. Jako vy. Nebo jako já. Nebo vlastně kdokoliv. Je dobré počítat s tím,
že k nějaké té databázi mají přístup a zařídit se podle toho. Když mizera získá databázi, ve které je
nějak uloženo vaše heslo, může se stát, že to vaše heslo zjistí, protože je tam uloženo nevhodně.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
5. MD5, SHA-1, SHA-2
Nevhodné pro ukládání hesel
Hashovací funkce
Hesla by se do databáze měla ukládat tzv. hashovaná. Hashovací funkce vyrábí otisk hesla, ze kterého nejde
původní heslo získat. Je to něco jako otisk prstu člověka – z něj taky člověka zpátky nevyrobíte. Hashovacích
funkcí je mnoho, některé jsou vhodné pro ukládání hesel a některé ne. Ty výše uvedené jsou ty nevhodné a je
celkem jedno, jak je použijete. Jsou zkrátka příliš rychlé a tak je možné vytvářet miliony otisků různých slov či
kombinací písmen za vteřinu a porovnávat je s otiskem, který mizera získal z databáze a dříve nebo později
původní heslo takto zjistit. Správné ukládání hesel je rozsáhlé téma, které se nám sem nevejde a pokud vás
zajímá více, tak vás raději odkážu na moji prezentaci z konference Devel.cz nebo vás rád přivítám na školení
Bezpečnost PHP aplikací. Nebojte, toto je nejvíc technický slajd, dál to bude zas srozumitelné.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
6. Jak takové nevhodné ukládání hesel v praxi vypadá? Takhle. Pixel Federation je vcelku úspěšná
slovenská firma, která vytváří online hry. Taky jsem ji neznal, nebojte. Do podvědomí mizerů
i bezpečnostních expertů se zapsala v prosinci 2013, kdy někdo z její databáze získal e-mailové
adresy a hesla přibližně 38 tisíc uživatelů. Nic výjimečného, podobné případy se objevují dnes
a denně. Pixel Federation však mizerům usnadnila práci, hesla totiž nebyla správně hashována.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
7. e-mail:md5 (heslo)
Data, která byla vystavena na webu, vypadala takto. Adresa uživatele byla doplněna MD5 hashem jeho hesla
(obojí pocházelo z databáze Pixel Federation) a v případě, že se heslo podařilo mizerům rychle cracknout, tak
to původní heslo uvedli do závorky. Vidíme, že Šílená Mišulka má e-mail na Seznamu, její heslo pro přístup do
her Pixel Federation mělo MD5 hash a3fa5atd. a že její původní heslo bylo 197412. Kdyby Mišulka používala
stejné heslo i pro přístup na Seznam, byla by tak trochu v háji. Nepoužívá, nemusíte to zkoušet. Spousta lidí
bohužel své heslo k e-mailu používá i jinde. Vy to NEDĚLEJTE. Proč? Protože když jdete na nějaký web a
zapomenete heslo, tak většinou jediné, co musíte udělat, je zadat e-mailovou adresu a ten web na ni v lepším
případě pošle odkaz na nastavení nového hesla, v tom horším případě nějaké náhodné vygenerované
heslo, které si stejně nikdy nezměníte. A když k té e-mailové schránce bude mít přístup i nějaký mizera, tak
vám může změnit hesla na všech dalších webech, které používáte. E-mail je branou k vaší digitální identitě.
Jestli vaše e-mailová adresa byla v nějaké uniklé databázi si ověřte na haveibeenpwned.com.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
8. Dlooooouuuhááá
Jak vytvářet hesla
Aby tihle všichni mizerové měli celkem dost práce s crackováním vašeho hesla z nějakého hashe,
pokud aplikace hesla takto vůbec ukládá, tak by vaše heslo mělo být celkem dlouhé. Čím delší
heslo, tím déle to bude trvat. Délka hesla by měla být minimálně 8, lépe je 12 a více znaků.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
9. https://xkcd.com/936
Jeden ze způsobů tvorby dlouhých hesel ukazuje komiks XKCD a tvrdí, že uhádnout toto heslo by
trvalo stovky let. Jenže hesla se dnes zas tak často nehádají, pamatujete na mizery s přístupem do
databáze? Problém zde je ten, že všechna slova tohoto hesla (nebo passphrase) jsou běžná slova.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
10. Ph'nglui mglw'nafh Cthulhu
R'lyeh wgah'nagl fhtagn1.
Tohle je jedno z nejdelších cracknutých hesel. Heslo je to parádní, o tom žádná, obsahuje mezery
a tak, jenže je uvedeno v článku na Wikipedii. Cokoliv napsaného na webu se nehodí na tvorbu
hesel, je to totiž i ve slovnících mizerů a ti takové slovníky používají ke zrychlení crackování.
Odkazy na články zabývající se crackováním dlouhých hesel najdete u mě na webu, zajímavé čtení.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
11. Dlooooouuuhááá
Unikátní
Délka není vše. Představte si, že máte sice dlouhá hesla, ale jedno heslo používáte na více
místech, mizerovi pak stačí najít jednu databázi s hesly v čitelné podobě a získá přístup i k
dalším webům, kde používáte tohle dlouhé heslo. Každé heslo by mělo být jiné.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
12. A když říkám každé, tak myslím každé. Když budete mít jedno heslo pro e-mail a jedno heslo pro ty ostatní
weby, tak to nestačí. Nedůležitý web se může jednoho dne stát důležitým, navíc to, co se vám zdá nedůležité
může být naopak velmi důležité pro mizery. Například tenhle Amazon – jednou jsem si tam koupil knihu, nic
extra. Jenže jsem platil kartou a Amazon zobrazuje část čísla karty v seznamu objednávek. To je důležitý
údaj, některé weby totiž změní e-mailovou adresu jen díky znalosti těchto čtyř číslic. Když mizera zná tenhle
údaj, může napsat na jinou službu a říci, že již bohužel nemá přístup k té staré e-mailové adrese, ale že zná
poslední čtyři čísla karty, kterou jste platili, takže určitě musí být vy a že ji chce změnit na nějakou jinou,
kterou má pod kontrolou. Podpora daného webu mu ji samozřejmě změní a on si pak nechá poslat odkaz na
nastavení nového hesla, protože to vaše zapomněl a získá tak plný přístup k vašemu dalšímu účtu. Ehm.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
13. Dlooooouuuhááá
Unikátní
Náhodná
Již víme, že mít dlouhá hesla nestačí, mohou být ve slovnících používaných k tzv. slovníkovému
útoku. To platí i o unikátních heslech, když budete mít každé heslo jiné, ale všechny budou jak ze
slabikáře, tak je to taky k ničemu. Hesla by tedy měla obsahovat různé znaky náhodně za sebou.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
14. DSy$&yWH /T&s4p'vRER@K2;qTFiG
Ideální heslo vypadá asi takto. Je dlouhé, není nikde na webu napsáno, ačkoliv se zveřejněním
slajdů vlastně už bude, a obsahuje všechny možné znaky, včetně mezer, náhodně za sebou. Jenže
kdo si taková hesla má pamatovat, že. Soukromý e-mail, pracovní e-mail, Twitter účet, falešný
Twitter účet, Facebook účet, falešný Facebook účet, LinkedIn profil, falešný… ah, to je jedno.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
15. Ale ne všechna
Zapomeňte vaše hesla
Buďte v klidu, existuje totiž řešení, navíc celkem jednoduché a příjemné. Lidský mozek totiž
není dobrý nástroj na pamatování hesel (ale ani na jejich vytváření), takže je možné je v klidu
zapomenout. Já sám mám přes 600 hesel, ale pamatuji si jich jenom pár. Jak to jako, cože?
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
16. Každý se již asi setkal s nějakým managerem nebo managerkou. Jsou to lidé, kteří se vám snaží pomoci a dělají
věci za vás, že. Stejně tak password manager. To ovšem není žádný člověk, je to program, který si hesla
pamatuje za vás a pomáhá vám je i vytvářet a navíc vás umí na web přihlásit jedním kliknutím. Takže si musíte
pamatovat jen jedno heslo, to pro password managera. Všechny vaše hesla jsou tedy schovaná pod jedním
hlavním silným heslem, ale to je v dnešním světě zasílání zapomenutých přihlašovacích údajů e-mailem již
dávno běžné. Většina vašich hesel je již dnes chráněna jen jedním heslem – tím k e-mailu. Se stim smiřte.
Password manager
http://www.flickr.com/photos/76029035@N02/6829471407/
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
17. 1Password
KeePass
Password managerů je spousta. Za zmínku stojí asi tak tyhle tři, díky 1Password si budete muset pamatovat
jen jedno heslo a díky LastPass to bude to poslední. Oba tyto nástroje jsou také online a umí synchronizaci
mezi mobilním zařízením a počítačem. KeePass je program, který si nainstalujete do počítače nebo telefonu a
sdílení dat si musíte zařídit sami. Třeba přes nástroj Wuala, jehož výrobce zaručuje, že k vašim datům nemá
nikdo jiný přístup, díky použité technologii, nebo pomocí Dropboxu, jehož někteří zaměstnanci přístup k
vašim datům mají. Před používáním jiných password managerů si raději prověřte jejich zabezpečení.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
18. 1. Něco vím
2. Něco mám
Dvoufaktorová autentizace
Žádný password manager vás nezachrání, když si dáte víc piv, než snesete a svoje hesla někomu vykecáte,
ačkoliv s hesly vytvořenými podle dříve uvedených pravidel to asi nebude snadný úkol. Před touhle katastrofou
vás může zachránit dvoufaktorová autentizace (2FA). Dvoufakcožé? Takže dejme tomu, že něco víte a že
to, co víte, je vaše heslo. To je první faktor. Když to heslo někomu řeknete nebo ho někdo uhádne, tak je to
lidský faktor, ale o tom jindy. Dvoufaktorové ověřování potřebuje i druhý faktor, tedy něco mít. Třeba
zaregistrovaný telefon, který umí přijímat SMS od provozovatele webu. Ten vám pošle nějaký kód, který potom
zadáte společně s heslem a tím se ověří, že něco máte (telefon) a něco víte (heslo) a tak to jste asi opravdu vy.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
19. SMS ovšem někdy mohou dorazit s malou prodlevou nebo můžete být zavřeni v místnosti s olověnými zdmi
bez mobilního signálu a tak existují alternativy, jako třeba mobilní aplikace Google Authenticator. Ta umí
tyhle kódy potřebné pro dvoufaktorovou autentizaci (2FA) generovat sama. Ovšem ani 2FA není dokonalá,
stačí si na telefon nějak nainstalovat aplikaci od nějakého mizery a ta bude odchytávat SMS a je to celé v háji.
Případně stačí hledat two factor authentication bypass a najdete (již nefunkční) návod na obejití 2FA
většiny služeb, které tento způsob nabízí. Dnes bohužel neznáme nic lepšího běžně dostupného, než 2FA.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
20. A které služby a webové aplikace tedy vlastně dvoufaktorové ověřování nabízí? Google a Gmail,
Facebook, Twitter, Dropbox, Github a další. Kód zaslaný SMS nebo vygenerovaný mobilní aplikací
nevyžadují vždy, ale například jenom když se hlásíte z jiného počítače nebo jednou za 30 dní.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.
21. Používejte
Password manager
Dvoufaktorovou
autentizaci
Na závěr snad jen pár dobrých rad: vytvářejte silná hesla a zbytečně si je nepamatujte, k
obojímu si najděte nějakého oblíbeného password managera a na službách, které podporují
dvoufaktorovou autentizaci si ji zapněte. Může vám to jednou zachránit zadek, opravdu.
Tato přednáška byla doplněna a nahrazena přednáškou Hlava není na hesla, prohlédněte si raději tu.