Što se tiče lozinki, ljudi su još uvijek jaaako komforni po pitanju izrade lozinki. Ja osobno imam dvije - jedna dosta komplicirana koja mi služi za osjetljivije podatke i jedna malo manje komplicirana za ostale podatke. Naravno, gdje god je moguće koristim 2FA.
Ako sam dobro shvatio sta si htio reći, to ti isto nije dobro. Dosta da jedan site na kojem koristiš tu kompliciranu lozinku bude provaljen i lozinka ti završi na ko zna koliko listi koje se prodaju po dark webu. Vjerojatno nisi osobno toliko zanimljiv nekom hakeru ali već i ovo što si ovdje napisao te može kompromitirati nekada u budućnosti ako postaneš zanimljiv. Recimo zbog enormnog skoka BTC-a. Meni si recimo napisao točnu količinu btc koju imaš ali to je mislim bilo u PMu pa je valjda više privatno
ali recimo da btc napravi x1000 i ti to napišeš javno možeš odjednom postati interesantan. Općenito dosta nas ovdje na forumu dijeli dosta povjerljive informacije....kao u onom topicu kada smo pisali o našim portfolijima kriptovaluta.
Da se razumijemo i sam radim dosta grešaka, svakako sam kriv i za to da sam već previše istinitih informacija podijelio na ovom forumu. Sram me je i reći šta mi je bila šifra kad sam se prvi put prijavio na ovaj forum. Recimo samo da bi vjerojatno sam napisao program u 5 minuta koji bi na prosječnom računalu provalio tu šifru brute force napadom u sat ili dva. Promjenio sam je negdje kada sam prešao pola puta od full membera do senior membera kada mi je sinulo da ovaj račun zapravo ima solidnu vrijednost, pogotovo sada kada su uvedeni meriti.
Možda je malo off topic ali ja bi odmah ukinuo onu zaštitu povratka šifre preko pitanja i odgovora. Npr. Djevojačko prezime vaše Majke i slična pitanja. To je samo takva pomoć hakerima da ne mogu vjerovati da ozbiljne stranice to nude kao opciju u vremenu facebooka. Mogu se kladit da više od 50% ljudi koji to koriste istovremeno imaju odgovore na svom facebook profilu dostupne svima.
Znam da nije pametno, ali nemam bolji način. Stvarno ne mogu za svaku web stranicu imati drugu šifru jer bi izludio.
Osim toga, svaki site koji drži do sebe (a takvi bi trebali biti svi na kojima imam osjetljivije podatke) lozinke ne čuva spremljene u "plain text" formatu nego ih sprema njihov
hash. Odnosno, tako je bilo prije 10-tak godina kad sam se aktivno bavio web developmentom (vjerujem da je sad sve to dovedeno na još viši nivo). Znači, kod registracije korisnik upiše lozinku, a u bazu se spremi njezin
hash. Onda kad se kasnije korisnik želi prijaviti, prije provjere u bazi opet se od lozinke koju je korisnik upisao stvori
hash i provjeri odgovara li onom spremljenom u bazi. Naravno,
hash algoritam koji se koristi trebao bi raditi samo "u jednom smjeru", odnosno ne bi smjelo biti moguće iz
hasha dobiti lozinku. Prije 10-tak godina za to se koristio md5 hash, a sad ne znam što se koristi. Malo sam zahrđao u tom pogledu
I još dodatno, na takvim stranicama koristim 2FA tako da čak i ako mi netko sazna šifru, ne može ući.
Inače, kad već pričam o korištenju glupih lozinki... Sjećam se kad mi je na poslu (IT-evac sam) došao korisnik sav izbezumljen da mu je provaljeno u Gmail i obrisani su mu svi mailovi. Prvo što sam ga pitao je koja mu je bila lozinka (koju je taj netko, naravno, promijenio). Odgovor je bio - moj datum rođenja...
Stvarno ne mogu razumjeti ljude koji zbog vlastitog komfora svjesno riskiraju gubitak često i vrlo vrijednih podataka... Takvi će naučiti tek kad im podaci nestanu.To radimo vjerujem svi. Samo je pitanje do koje mjere. Ja sam recimo do nedavno radi komfora prilikom putovanja često koristio mjenjačnice i neke novčanike dok sam spojen WiFi hotela. Da je netko pratio, a nije teško, mogao mi je maznuti poprilično toga. U međuvremenu sam sve promjenio i zaključio da takve stvari više neću raditi.
Baš me je ono predavanje na temu Enigma stroja što sam poslušao u sklopu Verity okupljanja natjeralo da još jednom razmislim o osobnoj sigurnosti i promjenim dosta svojih standardnih loziniki. Više nemam ni jednu lozinku za bilo šta vrijedno a da ne sadrži brojeve, velika i mala slova i neke znakove te minimalno 8 znakova, a češće 10 ili 12. Imao sam i prije ali ih je većina bila na istu shemu za lakše pamćenje a sad sam i to promjenio. Ljudski faktor je uvijek slaba točka.
Mislim da ću dodati i periodičke promjene svih važnijih šifri a već sam dodao i neke enkripcije. U svakom slučaju čak i da Verity projekt propadne drago mi je što sam sudjelovao u onom njihovom probijanju šifri jer mi je pokazao da je zapravo vrlo jednostavno šifrirati podatke i da ima hrpa open source softvera za to.
Oprostite na dužem postu koji je više tok misli nego neki dobro konstruirani i osmišljeni post ali tema je škakljiva a ni sam još nisam 100% siguran šta ću sve napraviti a za djelove za koje jesam siguran nema smisla podijeliti na forumu jer ih onda treba promjeniti
Naravno da smo svi komforni kad su u pitanju lozinke. Pogotovo kad ih koristimo na dnevnoj bazi. Nema čovjeka koji će pratiti pravila za sigurne lozinke (barem 12 znakova; barem 2-3 broja, 2-3 specijalna znaka; mijenjanje lozinki svakih par mjeseci; za svaki web koristiti različitu lozinku...). Ali da ne moramo koristiti baš datum rođenja i slične stvari koje je lako pogoditi, to je istina.