Zapamiętanie silnego hasła

Czy wymaganie silnego hasła z polskimi znakami specjalnymi to nie przesada?
Jak to zapamiętać?
OK zsynchronizować z kontem GOOGLE .
A jak chcę odpalić aplikację z tym silnym hasłem na urządzeniu mobilnym niezsynchronizowanym z GOOGLE to są już problemy.

Jesteś pewny, że wybrałeś odpowiedni dział na forum do takich rozważań filozoficznych? :wink:

Wtedy ustawiasz proste hasło (np. niebieskouchawiewiorka) + włączasz uwierzytelnianie drugim składnikiem.

Albo zaczynasz używać menedżera haseł, jak większość cywilizowanego świata.

Możesz sobie zapisać :slight_smile:

vide: https://www.dobreprogramy.pl/januszek/Dr-House-Kazdy-klamie-czyli-o-hasel-swoich-zapisywaniu,27618.html

To nie są rozważania filozoficzne tylko praktyka logowania (Gdzie małym drukiem jest napisane małe i duże litery dwie cyfry znak specjalny polski i co jeszcze dwa znaki cyrylicy jeden hebrajski bez myślników i cudzysłowów) :laughing:

1 polubienie

I jak system akceptuje tyle alfabetów…

Firmowych mam chyba z 15 haseł, prywatnych przynajmniej drugie tyle. Każde hasło musi być unikalne na wypadek wycieku z jednego źródła i jednocześnie silne…
W dzisiejszych czasach bez menadżera hasłem nie ma sensu podchodzić do internetu.

Ja mam 180. Każdy, nawet najmniejszy gunwo-serwis, ma swoje indywidualne hasło. Zawsze zakładam najdłuższe i najbardziej skomplikowane, jak to tylko możliwe. Nieustająco mnie dziwi, że wiele serwisów nie pozwala na hasła dłuższe niż np. 15 znaków.

Hasła są hakowane przez trojany,wycieki z baz danych i następnie są rozszyfrowywane przez crackerów,nikt tych haseł nie zgaduje metodą prób i błędów.Hasło musi być po prostu unikalne.Jak takie stworzyć napisałem poradnik :slight_smile:
Jak stworzyć dobre hasło? To proste
to jest taki przykład można sobie przy odrobinie kreatywności stworzyć własną metode robienia haseł wg określonego algorytmu.I wtedy wystarczy znać ten algorytm lub mieć go gdzieś zapisanego.

Haseł nikt nie rozszyfrowywuje, bo zajmuje to wieczność:

Wyciek? Tylko gdy hasła są przechowywane w plaintext - nawet łamanie hasha to też skomplikowana zabawa. Z wycieków wykorzystuje się e-maile, żeby słać phishing. Trojany? Możliwe. Na blaszaka dawno już nie widziałem, co innego ransomware czy inna koparka.

Trojanów jest pełno ,ransomware to jest nic w porównaniu do ilości trojanów.Do tego jeszcze aplikacje które sie uważa za bezpieczne mogą mieć jakieś dziwne złośliwe zachowania jak jest w niektórych przeglądarkach. Co do rozszyfrowywania to zależy od siły hasła ,w necie mnóstwo już rozszyfrowanych wystarczy wpisać w google hashkiller i są to dziesiątki miliardów haseł.

Trojanów czyhających na hasła (keylogger) nie spotykam, ale kłócić się nie będę :slight_smile: Natomiast hashkiller - jak sama nazwa wskazuje - służy do łamania hashy, nie haseł. Jak się trafi hash z unikalnego hasła, to duda zbita.

Złodzieje mają niskie pobudki i zazwyczaj zależy im na szybkim wzbogaceniu się. Łatwiej im wysłać phishing do tysiąca osób i liczyć na “wpadkę” ofiary, niż łamać hasła.

Niemniej dobre hasło = unikalne hasło.

Dobrze zabezpieczona kartka A6 to stary dobry menadżer haseł. Po dziesiątkach razy przepisywania hasła zapamiętuje się coś :wink:

Podtrzymuję co napisałem w 2011, że w dobrze zaprojektowanym systemie hasło usera: “elemeledudki” jest tyle samo warte co hasło: “lC!$uNu^A\Qd”.

Pod tym wpisem, w komentarzach jest dyskusja na ten temat:

Karteczka może się sprawdzała w czasach kiedy potrzebne było hasło do 2 serwisów na krzyż plus banku i maila, ale nie ma najmniejszego sensu, kiedy musisz operować dziesiątkami haseł, w których w dodatku część z nich musi się cyklicznie zmieniać. Taka kartka to czysty masochizm.

Chyba, że karteczka robi za hasło do menedżera :wink:

Szansa, że ktoś kiedyś wykorzystał hasło “elemeledudki” jest zdecydowanie większa. Przez co rośnie również szansa na to, że hash tego hasła krąży już po sieci. Nie na darmo Mozilla projektuje teraz dodatek do FF, który będzie sprawdzać czy hasło wklepane w przeglądarkę nie jest skompromitowane (czyt. znany jest jego hash).

Dyskutowaliśmy o tym w 2011 (w komentarzach pod wpisem). Widzę, że wiele osób nadal nie rozumie, że nieposolony hash nie jest bezpieczną metodą przechowywania haseł…

Pozwolisz, że zacytuję:

Dziękuję za uwagę.

To chyba oczywiste, że dobrze zaprojektowany system to taki system, który zapewnia ten sam poziom bezpieczeństwa obu tych haseł: “elemeledudki” i “lC!$uNu^A\Qd”. Czyli, z definicji, nie może to być system, który przechowuje hasła w plain-txt albo w postaci haszy bez soli :slight_smile:

A teraz jaką masz gwarancję, że system - w którym zakładasz konto - jest DOBRZE zaprojektowany? Podpowiem, że nawet Facebookowi czy Google zdarzało się trzymać hasła userów w plaintext. Co to oznacza dla użytkownika? Że ZAWSZE powinien tworzyć unikalne hasło, maksymalnie długie, stworzone z losowych znaków.