Diskuse k článku

Internetový bazar Prahy napadli hackeři, získali tisíce jmen a hesel

Pražský magistrát spustil loni na podzim službu, která měla lidem ušetřit peníze. Na internetový bazar lze umístit nepotřebné věci, jež si zájemci mohou za odvoz rozebrat. Nyní se však ukazuje, že 35 tisíc lidí, kteří službu skutečně využili, může naopak o peníze přijít. Primátorka Adriana Krnáčová tvrdí, že pochybila radní.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

L56i70b52o98r 53J16a93n85e62č70e16k 4855715295501

Jak nekdo muze ukladat v systemu nezahesovana hesla? To to programuji uplni dementi?

0/0
2.2.2018 12:53

V97í51t 93B60r44z43o35b35o87h83a51t15ý 7760882143261

zaheslovaná hesla je krásné slovní spojení, ale asi jste měl namysli zašifrovaná hesla :-)

0/0
2.2.2018 15:33

J81i48ř75í 36P38o97l30á44k 9196294707114

Zašifrovaná ne. K zašifrovaným věcem existují rozšifrovací algoritmy. Uložená data hesel musí být změněna jednosměrnou funkcí, nesmí být možno je z tohoto tvaru získat.

+1/0
2.2.2018 19:59

J13a87n 44S76m84e90t36a75n28a 2335222455264

Neni to na 10M pokuty. Podle nasich zakonu je to za 14.000 (dohromady, ne za konto).

Kdo je prihlasen k odberu novinek na: https://haveibeenpwned.com/ tak vedel. Jen v tom prosincovem listu byly stovky zdroje ze stovek sluzeb, ale bez popsani o jakou sluzbu slo.

0/0
2.2.2018 9:29

I86v41o 47Ž26i42ž21k29a 8343937151301

Ukládat přihlašovací hesla uživatelů je lumpárna největšího kalibru. To programátoři nevěděli k čemu slouží md5sum, sha1sum nebo sha256sum? Kdyby ukradli jen heše, nic by se nestalo. Už jen za to bych tvrdě trestal - pokud se ovšem nejednalo o úmysl.

0/0
2.2.2018 9:16

M52i23c91h80a19l 74N55o39v61á37k 1854237322534

Záleží, jaké hashe by to byly. Na MD5 existují dekryptovací on-line služby (zadáte hash, zobrazí se vám heslo), možná už i na SHA1.

0/−1
2.2.2018 9:46

I95v20o 29Ž23i78ž87k32a 8883397601331

Odkaz prosím... Těch hesel by muselo být nekonečně mnoho a to správné by nebylo možno dohledat. Rád se na takovou stránku podívám.

0/0
2.2.2018 11:00

I37v26o 71Ž74i60ž45k64a 8703837601321

Zkoušel jsem několik stránek a žádná nefunguje. Některé dokonce hledají v nějakých databázích shodu - to je úplně stupidní. Už 15 let je napsána řada článků alespoň o útoku kolizí, ale realita nikde. Ale jak jsem již uvedl, i kdyby to byla pravda, správné heslo by se stejně nepodařilo dohledat. :-)

0/0
2.2.2018 11:39

L57i30b24o30r 35J77a75n12e59č54e34k 4935875255191

To je kravina. MD5 je kompovany algoritmus ale neni masove "odhesovatelny" v realnem case. Navic MD5 se nepouziva, ne proto, ze by byl realne prolomitelny ale proto, ze existuje hypoteticka sance, ze 2 rozdilne texty daji stejny hash.

+1/0
2.2.2018 12:57

I14v79o 35Ž41i29ž34k62a 8293857461381

Souhlas, už se nepoužívá. Ale pro nějaký průměrný e-shop je to dostatečná ochrana proti zneužití. Přece to není bankovní aplikace a pořád je lepší něco, než nic.

+1/0
2.2.2018 13:59

P67e85t75r 50F57u60k69a 8453866710915

Obecně čistý hash není dostatečný.

K dobrému algoritmu je potřeba také solit a hashovat opakovaně.

0/−1
2.2.2018 12:20

L64i67b96o20r 63J58a72n82e91č77e85k 4455365605891

MD5 se masove pouzival leta a neznam pripad, kdyz by ho nekdo prolomil.

0/0
2.2.2018 12:58

P57e28t12r 33F67u94k43a 8873486170265

MD5 má zásadní problémy, ale i kdyby neměla, čistý hash je zranitelný vůči slovníkovému útoku.

Více se rozepsal pan Žižka ve vedlejším komentáři.

0/0
2.2.2018 18:18

I83v13o 75Ž42i28ž78k31a 8423867701731

Ano, sůl třeba spolehlivě zajistí, že nebude možné dohledat, že se stejné heslo opakovaně užívá a hlavně se tím vyloučí dohledání slovníkových slov. Jakékoliv zabezpečení je lepší než ukládat heslo v prostém textu. Vzorově je to řešeno v souboru stínových hesel (shadow).

+1/0
2.2.2018 13:56

J31a23n 98N70ě22m62e46c 2880108396243

Kdo používá heslo do nějkých e-shopů stejné jako u finančních služeb? Nikdo. Objednávky e-shopů se klientovi oznamují mailem, takže ty neobjednané může zrušit a požalovat adminovi, že je to fake. Finanční transakce i změnu hesla nebo kontaktního telefonu potvrzuje klient sátvajícím číslem telefonu. Ukradené heslo nic nezmůže, škodí jen to, že na ty účty někdo může koukat a vybrané lidi vydírat únosem a pod. Na to ať si dávají pozor kontroverzní podnikatelé a rychlovypečení multimilionáři. Běžný šetřílek se 40 000 na účtě pro tyto případy není zajímavým. Lidi, nešilme, zapojme selský rozum a dejme si bacha na senzacechtivá média, nebo nás z nich spolehlivě jednoho po druhém klepne pepka ;-D

+1/−1
2.2.2018 8:53

P96e69t21r 26F84u48k34a 8683336180705

Bohužel, používání stejných hesel do různých služeb je naprosto běžné.

Jistě, někteří použijí alespoň pro to internetové bankovnictví jiné heslo, ale rozhodně ne všichni. Někteří pak to samé heslo použijí i pro ten e-mail.

+1/0
2.2.2018 9:00

J55a42r88o78s25l45a67v 66K14a27d12l86e54c 5791199672331

I kdyby tomu tak bylo, tak stejně o nic nejde. Byl tu nějaký článek, že snad díky tomu tisíce lidí v ČR přichází o majetky či identitu? O co vlastně těmito spekulacemi jde, když se nic neděje a vše funguje jak má...?

+1/−3
2.2.2018 9:02

J31a35r12o28m25í53r 88K77r71á16l 4610469934629

Budete se divit, ale spousta lidí to takhle dělá.

0/0
2.2.2018 9:10

J11a50r23o51s53l38a33v 83K30a53d41l72e19c 5791669342711

Ano. Spousta lidí, které nikoho nezajímají to tak dělá. Takže o co jde?

0/−3
2.2.2018 9:11

J14a38r65o45s11l82a68v 37K26a44d89l47e72c 5601149662331

Nechápu, komu může vadit uniknutí přihlašovacích údajů do takové služby, která by stejně měla být veřejná bez nějakého anonymního přihlašování.

0/−4
2.2.2018 8:29

J49a84r14o66m66í24r 93K97r50á80l 4730839804789

Viz níže. Tady o nic nejde, pokud nepoužijete stejná hesla i jinde.

+2/0
2.2.2018 8:33

J97a14r81o89s42l64a95v 65K48a39d81l26e22c 5871929822801

Ono vůbec o nic nejde. I to heslo je vám k ničemu.

0/0
2.2.2018 8:36

V80a68c51l55a27v 49K67u46b71i51s 5501131419877

Mate jmeno prijmeni a email, z toho vpohode sestavite username a pridate zjistene heslo. Pokud tohle passne tereba u FB nebo emailu, ma uzivatel docela problem a nemusite to heslo zneuzit, staci ten emailovy ucet zrusit.

+1/0
2.2.2018 8:43

J62a41r63o20s48l67a78v 24K34a68d53l29e65c 5361839972801

To nesestavíte v pohodě. Možná tak jeden z milonu má nick ze jména a přijmení. Navíc u emailových služeb, kde o něco jde je zabezpečení přes telefon. A to nemluvím o digitálním podpisu. I ten zbytečný Facebook vám také ihned oznámí podezřelou aktivitu na telefon a bez telefonu tam žádnou podstatnou změnu neprovedete.

0/−1
2.2.2018 8:56

J19o57s96e91f 12B22r36o51ž86e42k 7313945912541

Omyl - jakmile máte mail, tak můžete zkoušet jako přihlašovací jméno zadat email. Dokonce vím o bance, která to takto používá - a u dalších služeb je to normální.

A co se týká Facebooku apod. - ono bude stačit, když vám někdo na Facebook dá fotku nahého dítěte - a nejen že máte vše zablokováno, ale také trestní stíhání na krku a zkuste dokazovat, že jste to tam nedal.

0/0
2.2.2018 11:55

V24í44t 97B92r62z79o34b82o43h22a12t53ý 7270862723291

Zkuste dokazovat? - Já vím, že spousta lidí by chtělo a mnohdy se takové paskvily prosazují i zákonně, aby člověk prokazoval svou nevinnu. Nicméně náš právní řád je postaven na tom, že Vám někdo musí prokázat vinu, takže nedokazujete Vy, ale Vám by to přidání nahého dítěte musel někdo dokázat. A jak bylo zmíněno výše - facebook velmi dobře mapuje odkud byl ve kterou dobu nějaký účet přihlášen, ostatně je velké množszví dat, které facebook shromažďuje o činnosti svých uživatelů o kterých krom pověřených nikdo nemá ani páru.

0/0
2.2.2018 15:40

A12n19t86o52n68í92n 83Z90e70l38e50n82ý 2964803451916

Hesla byla odhalena protože obsahovala název serveru, nevyhazuj to. Takové heslo asi nepoužijete k jinému serveru nebo službě.

+1/0
2.2.2018 8:42

V39a75c98l14a30v 38K89u45b11i84s 5731621799107

bez urcite formyautentizace by fungovala dost tezko. Problem neni v tom ze by ty hesla sebrali, ale v tom, ze spousta uzivatelu uz je tak zmagorena ze vsech security, ze pouziva vsude stejny heslo a v tom je problem a heslo do emailu nebo na FB je totiz velmi cenene. Problem je v tom, ze ty sikanujici bezpecnostni praktiky jsou davno prolomene akorat to ti sekuritaci nevedi.

+1/0
2.2.2018 8:41

J67a19r64o24s22l29a84v 15K11a54d50l23e12c 5911509822101

V podstatě je to ale stejně jedno. Pokud máte emailový účet například u MS nebo Google, pak se ani se znalostí hesla nedá převzít a jste hned upozorněn na telefon a email, pokud dojde i jen k podezřelému přihlášení. Takže takovéto články mi spíše zavání jen vyvoláváním strachu ve společnosti u neinformovaných.

0/−1
2.2.2018 8:45

V46a41c65l61a86v 21K73u25b80i80s 5951161679187

Tehle informaci mi chodi obcas i pet denne pokud se pripojim na nove wifi. Poridil jsem si dokonce novy router domu a za den mi to prislo 3x, takze spousta lidi tohle ignoruje.

+3/0
2.2.2018 8:50

J20a37r89o38s82l72a41v 66K33a72d54l69e96c 5591789252861

Ignorují to ti, co nemohou o nic přijít.

0/−1
2.2.2018 9:00

M53i59r11o73s26l47a44v 16K31u53c50e96r47a 4147180947851

Pokud víte, proč vám to přišlo, tak je celkem logické, že to ignorujete ;-D

+1/0
2.2.2018 9:09

J42a13r74o11s22l98a36v 14K74a41d87l42e50c 5751649112641

Máte pravdu, ale on to tak nemyslel jako Vy;-)

0/0
2.2.2018 9:13

T18o62m18á16š 46V20e52l92č75o51v87s25k36ý 4343498619128

Když pominu fakt, že se někdo dostane na hesla a že jsou vůbec někde uložena v pt, jak uvedl kolega PV, tak mne zaráží:

Proč taková služba existuje a proč za ni praha platí nějakému Kmoníčkovi? Když chci něco koupit, prodat, vyhodit apod, existuje perfektní bazoš a sbazar a podobné.

Je to jen další odklánění veřejných peněz!!!

+3/−1
2.2.2018 8:27

J73a46n 21P22a52v46e12l46k21a 3727131274881

Bingo.

0/0
2.2.2018 8:28

V12a73c41l45a48v 98K42u76b35i66s 5631581299327

protoze lidi to chteji, Po zkusenostech s Open card proste je treba delat veci levne, ale ono to uplne nejde. Tyhle sluzby jsou bezne i ve svete, delaji se pod zaminkou snizeni ekologicke zateze a verejny sektor do nich cpe penize. Bazos a sbazar jsou primarne na prodej, tady myslim se jedna o sluzbu za odvoz. tedy mensi mnozstvi inzerat po kratkou dobu a rychle hledani a omezeny sortiment.

0/0
2.2.2018 8:48

J84a26r58o14s62l91a87v 73K90a64d53l95e19c 5711149982981

Ale je to dobře využitelný podnikateli v bazarech;-)

+1/0
2.2.2018 9:15

O78d89s58t61r84a51n93ě88n11ý 61U69ž95i21v54a57t93e26l

Uživatel požádal o vymazání
+3/0
2.2.2018 8:18

J78a61k94u24b 97V64e95s24e10l50ý 3803940131322

Podle mě ukradli databázi HASHů, takže pokud máte rozumné heslo, tak se nemáte čeho bát. Ale napsat to takto nebude to takový cool nadpis.

+1/0
2.2.2018 8:26

J15a31r66o64m78í39r 73K32r40á17l 4190739904359

Tady nejde o bezpečnost přihlášení do toho bazaru. Tam o nic nejde, takže je docela možné, že hesla nijak chráněna nejsou, protože být ani nemusí. Problém je v tom, že lidé ta hesla používají i jinde, kde už jde o hodně.

0/0
2.2.2018 8:32

J13a94r53o97s47l25a54v 35K46a13d63l90e93c 5651709502531

Samotné heslo je k ničemu.

0/0
2.2.2018 8:38

J17a16r58o46m89í88r 86K92r24á86l 4140389644179

Samotné ano. Ale pokud ho dokážete spárovat s přihlašovacím jménem, nebo mailem, pak už může být problém.

0/0
2.2.2018 9:03

J87a89r14o87s95l55a37v 95K64a17d60l94e30c 5601249472791

Jaký? Člověk, který nemyslí žádný problém ani tajnosti nemá.

0/0
2.2.2018 9:10

P65e69t65r 65F65u84k75a 8663146630205

Hesla v těch databázích jsou spojena s e-mailovou adresou či username.

+1/0
2.2.2018 9:05

J54i10ř66í 31P17o48l56á13k 9136604817534

Vy jste adminem v té firmě? Nebo jak to víte? Věřím tomu, že spousta firem si ukládá hesla v otevřeném tvaru, když je některé z nich dokonce posílají nezabezpečeným emailem při potvrzení registrace.

0/0
2.2.2018 8:32

J97a79r19o93m39í39r 93K66r41á98l 4490339714939

Tomu věřím. Z pohledu té firmy o nic nejde a z pohledu myslícího klienta také ne.

0/−1
2.2.2018 8:35

J50a32k34u29b 21V39e50s72e85l20ý 3173930731222

No z pohledu myslícího klienta by o něco jít mělo, protože neHASHovat hesla je dost brutální diletantství, minimálně dnes.

+2/0
2.2.2018 8:43

J22i67ř43í 76P15o86l21á67k 9846754817364

Já si myslím, že pro myslícího klienta je každý pofiderní web nedůvěryhodný a ve svém vlastním zájmu by měl pro něj používat jiné heslo než pro účty, které jsou pro něj důležitější (banka, práce, apod.). Nevím, jestli to Jaromír myslel podobně...

+3/0
2.2.2018 8:50

J74a69r53o22m10í26r 96K45r53á15l 4800789414709

Tak jest. Tam, kde o něco jde, mám silné heslo a na vše ostatní stačí "12345" a mailová adresa na googlu (i kvůli spamům).

0/0
2.2.2018 9:09

J24a56r16o33m83í32r 45K29r54á29l 4410159564669

A proč bych se měl obávat o to, že mi někdo ukradne heslo k informačnímu webu ? No, ať se tam klidně podívá, o co jsem měl zájem. Daleko více odrazují klienty požadavky na silné heslo a jeho změnu každých 14 dnů. U bankovnictví to pochopitelně význam má, ale např. u informací obecního úřadu rozhodně ne.

0/0
2.2.2018 9:06

Najdete na iDNES.cz