Proč ani silné heslo nemusí být bezpečné? 🤔
Vložit
- čas přidán 14. 06. 2024
- V tomto videu se zaměříme na to, jak se na webových serverech ukládají hesla.
V případě, že dojde k úniku databáze hesel, by hesla neměly být zjistitelné, ale zároveň musí samotná webová stránka nějak ověřit, jestli je heslo zadané uživatelem správné.
V tomto videu si tedy vysvětlíme, jak je možné hesla takto uchovávat
Pokud si soubory z videa chcete prohlédnout a nebo vyzkoušet, naleznete je zde: github.com/Grizlikk/GrizlikYT...
Můj Discord: github.com/Grizlikk/GrizlikYT...
0:00 Úvod
0:45 Problém s ověřováním hesel
2:45 Jak správně ukládat hesla
3:45 Hashovací algoritmy
5:50 Jak mohou hashovací algoritmy fungovat?
6:45 Ověření integrity souborů přes hash
8:20 Jsou hashe opravdu unikátní?
10:10 Prolomení hesla přes hash?
11:45 Password listy
12:30 Rychlost ověřování hashů
13:50 Rainbow table 🌈
14:50 Kryptografická sůl 🧂
17:10 Shrnutí videa
17:25 Program pro generování hashů :D
18:05 SHA
18:50 Rychlost generování hashe
19:40 Závěr
Je super, ze dokazes vysvetlit basic pc veci i normalnim lidem. I kdyz tomu rozumim, tak me zajima tvuj pohled a kouknu na to.
Díky :D
Myslím že si všichni teď půjdou změnit hesla. 😂 Skvěle vysvětlené video. 👍👀
Grizlik je dobrý youtuber
souhlasim
Díky :D
@@GrizlikD jsi velmi dobrý youtuber :)
Skvělé video, asi budu muset předělat login systém na mém webu. Protože hesla hashuji pouze jednou a přidávám sůl, která je 5 náhodných čísel, ale ukládám je v databázi. Asi přidám dlouhou sůl a to bude uživatelský email a první sůl nebudu ukládat do databáze. Popravdě se těším až to budu měnit děkuji za video
😆
Díky :D
Ta sůl se celkem často ukládá do té databáze jako prostý text, protože on to v podstatě není žádný extrémně citlivý údaj, je tam jen proto, aby nebylo možné použít předpočítané hashe
Konkrétně o použití uživatelského jména jako té soli jsem asi nikdy neslyšel, to mě napadlo až při natáčení toho videa, že by to vlastně takto šlo udělat a nemusím pak ukládat další položku do databáze :D
chlapče zlatá. hodně špatně si budeš hledat holku, protože až jí ukážeš hash velikosti podprdy, dostaneš po tlamě :D ale seš jako fák dobrej. hezkej vánoc
:D
Ahoj, toto je první video od tebe co jsem viděl a musím říct dobrá práce. A za sebe bych docela přivítal video o tom co je a jak se prakticky používá google passkey, což by měla být technologie, která jakékoli zadávání hesel nahradí. Měj se a budu se těšit.
Díky :D
Přiznám se, že Google passkey moc neznám :D Celkem zajímavý způsob zabezpečení mi přijdou hardwarové klíče, což je v podstatě taková fleška, kterou musíš připojit do počítače pro ověření, ale asi bych o tom nechtěl natáčet video, dokud takový produkt nebudu sám používat
Jsem rád za tvoji tvorbu. Jsem člověk co si poskládá PC, nainstaluje OS, ... Okolo programování jsem jen tak prošel. Proto jsem rád že to vysvětluješ tak jak to vysvětluješ. Ať jsou to delší videa nebo videa cílená přesně na konkrétní programovací techniku, tak se na to rád podívám. Jsem nadšenec a baví mě tvoje tvorba. Jen tak dál.🤌🤌🤌
Díky za podporu! :D
velmi užitečné - děkuji
Díky :D
Good 👍 ještě video jak přesně se počítají ty algoritmy
super video a super ze budou bezpecnostni temata, to se tesim 🎉🤩
Ahoj, máš super videa, kde čerpáš všechny tyto informace? Je to z brouzdání wikipedie, školy, nebo doporučuješ konkrétní časopisy/literaturu?
Tak nějak všechno dohromady :D
Z Wikipedie si obvykle udělám obecnou představu o tom, co v tom videu chci zmínit, jako zdroj mi to přijde hodně dobré, potom si kdyžtak konkrétní detaily hledám už na jiných stránkách nebo internetových fórech :D
@@GrizlikD Chápu, to je super, u toho se hodně naučíš. Díky.
Už jsem objevil a opravil tu chybu s tím programem na generování hashů, i tak ale byl ten program funkční :D
Kdyby vás to zajímalo, tak vysvětlení i opravenou verzi máte klasicky na GitHubu: github.com/Grizlikk/GrizlikYT/tree/noice/Videa/Pro%C4%8D%20ani%20siln%C3%A9%20heslo%20nemus%C3%AD%20b%C3%BDt%20bezpe%C4%8Dn%C3%A9
Super video, ještě bych ale doplnil že kryptografická sůl se přikládá k hashi a pak je zvlášť kryptografický pepř (pepper),
který se nepřikládá a i samotná stránka jej musí uhádnout.
Používat na každé stránce jiné heslo je strašně důležité, už jen proto, že nevíme jak daná stránka hesla ukládá a jak s nimi nakládá.
V principu má stránka plný přístup ke všem údajům, které do ni zadáme a je úplně jedno co je to za údaje.
Třeba ta stránka může být naprogramována tak, že ukládá všechny přihlašovaní údaje do souboru v čistém textu.
A pokud vím, tak bohužel není žádná legislativa, která by vyžadovala použití hashů.
Proto je vhodné používat správce hesel, který nám pomůže generovat silná hesla a také je bezpečně uloží, takže si je nemusíme pamatovat.
Děkuji za zajímavý obsah. Vypadá, že rozumíš šifrování. Časem budu potřebovat udělat pagger, který by měl umět odesílat a přijímat šifrované texty. Dokázal bys mi poradit, jestli je nějaké dostupné šifrování, které bych pro to mohl použít a mělo velmi vysokou bespečnost? Chtěl bych to postavit na ESP32 a přenos bude audio možná s DTMF kodováním.
Sice jsem žádný větší projekt s šifrováním ještě nedělal, ale na takovéto přeposílání textů mě asi jako první napadá šifrování RSA, což je docela známý způsob. Každé zařízení má 2 klíče: veřejný a privátní. Privátním klíčem je možné zprávu zašifrovat a veřejným klíčem je možné zprávu pouze přečíst, takže je nemožné vyslat platnou zprávu bez znalosti privátního klíče
Děkuji za tip, to vypadá zajímavě. ikdyž nějaké šance na dešifrování tu jsou.
@@hankaajindrich8622 Tak nějaké šance na dešifrování jsou vždy, nikdy nejde vymyslet stoprocentně bezpečné šifrování :D
A jak udelam, pokud ja jako admin, se chci podivat do jeho dashboardu,ale nedostanu se kvuli tomu hashi. Je nejaka moznost ?
No pokud jsi admin na dané stránce, tak bys měl mít přístup ke všemu o tom uživateli, protože to můžeš přímo vytáhnout z databáze
Ale ani ty se nemůžeš vyloženě přihlásit pod profilem toho uživatele, to je jako kdyby se CZcams jenom tak mohl přihlásit na můj účet a třeba vydávat videa za mě :D
Super video i když se mi to zdá trochu pozdě, nákup dárků na Aliexpress, už máme všichni dávno za sebou 😅
Příště můžeš zkusit třeba RSA šifrování, to je taky docela zajímavý :)
Už nějakou dobu plánuji video o kryptoměnách: To bych rozdělil na dvě videa: Proč jsou hashovací funkce bezpečné a jak se hashovací funkce používají pro zabezpečení kryptoměn
To bude ale asi celkem za dlouho (možná někdy v létě?) a taky tam asi budu vysvětlovat zjednodušenou verzi toho šifrování, která počítá pouze se součinem čísel, aby to bylo pochopitelnější :D Hlavní je pochopit, jak něco takového může fungovat a ne dělat tutoriál na vymýšlení hashovacích funkcí :D
ahoj dokázal by jsi naprogramovat třeba v c++ nějakej program kterej by dokázal cracknout omezení času obrazovky na iphonu ? zě by jsi připojil telefon k pc kabelem a pak by jsi to jen spustil a ono by ti to dalo to heslo k tomu času u obrazovky jestli víš jak to myslím 😅
Tak to nebude vůbec jednoduché a asi i zkušený programátor by to považoval za skoro nemožné.
Přesně: Tohle by i hodně zkušení programátoři asi nezvládli
Obzvláště ještě na telefonu je extra problém s tím, že ty jsi tam v podstatě pořád přihlášený jako uživatel, vyloženě "administrátor" toho operačního systému je pouze ten mobil, to není jako na počítači, kde jakmile je někdo administrátor, může dělat všechno :D
Proto jediný způsob, jak by bylo možné takto obejít nějakou aplikaci, je, že by přímo v té aplikaci byla nějaká vážná bezpečnostní chyba, která by to umožňovala, což je ale velmi nepravděpodobné
@@GrizlikD android takovou chybu má a je možno obelstít čtečku otisků :-D
Grizlik je super CZcamsr. Ale když vytvořím aplikaci exe a chci jí spustit v příkazovém řádku napíše mi to nějaký soubor.exe není kompatibilní se spuštěnou verzí systému Windows projděte si systémové informace o počítači a pak se obraťte na vydavatele softwaru. Co v tom případě mám dělat?
Ty jsi ten z toho discordu? Nemůžeš jenom přepsat příponu toho souboru na .exe, pokud se jedná o interpretovaný jazyk nebo nějaký skript, tak musíš ten soubor spustit s jeho originální příponou, pokud máš na mysli kompilovaný jazyk (jako třeba C# z toho videa), tak musíš program napřed přeložit a vygenerovat tak .exe soubor
1m
Moje 50ti místné heslo s polovinou speciálních znaků které zadávám aspoň 2 minuty pokaždé: 🗿
Nejhorší je, když u nějaké služby zapomenete heslo a tato služba vám zašle vaše heslo na email.
Ten kdo má v té firmě na starosti bezpečnost by měl vyletět na hodinu.
Protože:
Důkaz toho, že hesla ukládají v čistém textu - to je nepřípustné
A taky posílají citlivé věci - heslo přes nezašifrovaný email, který může cestou kdokoliv číst.
s tím mailem pokud nejsou sebe vrazi jak já tak to mají šifrované (já mam na svém webu přihlašení přes http😅)
@@PavelDeset Já sice nejsem odborník na email ale myslím, že samotný mail je vždy nešifrovaný. A to že se přihlašuješ přes https nemá vliv, protože to jen přihlášení do webové služby. Důležitá je samotná cesta emailu přes poštovní servery, kde to myslím vždy jde bez šifrování.
@@matej9437kdyby nebyl sifrovaný tak ho nikdo nepoužívá jak http:\\
@@matej9437 podobně jako je HTTP a HTTPS, existuje i SMTP a SMTPS. SMTPS je stejně jako HTTPS šifrované přes TLS.
používá se smtps vždy? A nebo je to spíše výjímka?
A neřeší SMPTS jen šifrování mezi klientem a serverem? A dále už přes poštovní servery to jde nešifrovaně?
Kdyby to mělo jít celou cestu šifrovaně, jak by to příjemce mohl dešifrovat, když příjemce a odesílatel se vzájemně " nezná" a nelze tak přenést šifrovací klíč?
proto kdyz potrebuju neco silneho,. mam kvalifikovany el. klic na tokenu od postsigna (toto neni reklama, to zjistite, az si ho budete zrizovat :D ). Kryptografii zdar :D
Tak jsme asi v pr**li💀 protoze pouzivam furt jedno heslo a jeste *** (no, radsi to nebudu rikat).
A jeste jsem si vsim ze kdyz zkusim pustit minecraft na mem vista laptopu tak se tam v error logu pise neco o sha256 a md5 tak to bude mozna ono😢
Jo prosím natoč vidi o hashovacím algoritmu
Zrovna se mě dnes hackli účet ale vyřešeno změněm hesla
Debuger hash na černotě je možné. Vše je jen algoritmus na bázy jednotlivých hash. Vem ten hash vygenerovaný a pak to prožeň pgm z černoty. Jde jen oto , že nemohu sloužit. mimochodem už jsi to v minulosti popisoval jak to lze zjistit. Jen to, že to nikdo neví-nezná-nezaznamenal a to dokoncr ani Ty. Jen napovým, že je nutné použít jiný os . Jinak dík za inspiraci na ... Ps: macroflesh..
Noo dikes. Jen mne vždy fescinovala ENIGMA z 2.sv.valky, kdy bez "stroje" to nedaly. Jiknak seš super. Co se týče šifrování, tak to je trochu složitější D(: Napovým: Ten jinej os je 8-bit pc .
To jak ses dostal k tomu seznamů 😮😮😮
Myslíš ty emaily a jejich hesla? :D
To jsem vygeneroval 200 náhodných textů a zkopíroval je pod sebe do Excelu xDDD
:O takový bait :O @@GrizlikD
@@JohnHonza Aby to i vypadalo, jako emaily, tak jsem to generoval přes program, který jsem nahrál na GitHub, takže se můžeš podívat na GitHub do popisku videa, pokud tě to zajímá :D
yop kouknu se tam :D@@GrizlikD
Hlavně ani dvoufaktor není úplně bezpečné a i ten dokáže útočník obejít.
falešná přihlašovací stránka, která vypadá jako pravá, oběť tam vyplní jméno a heslo a to útočník předá do skutečné přihlašovací stránky. Uživateli příjde ověření na dvoufaktor, on to potvrdí ale ve skutečnosti to potvrdí tomu útočníkovi.
Pravda, dost lidí si právě myslí, že jakmile mají dvoufázové ověření, tak je to 100% bezpečné
O tomto jsem dělal video před Vánoci minulý rok, ale za mě je to video celkem Lidl, protože je to, jak já říkám: _"20 minut čumění na prázdnou plochu"_ 😁
Před tímto tě ale žádná byť nejmodernější technologie nechrání. Ne nadarmo se říká lidská blbost nezná mezí 😉
Dnes sociálně hackovat je celkem jednoduché. Stačí zavolat a říct že je účet v ohrožení a lidi ochotně jdou nastrkat peníze do bitcoinmatu 😞
Ale přesně tohle je podle mě největší nebezpečí.
3FA zabezpeceni zachranuje
Upřímně mě překvapuje, že tady není žádný komentář typu: *_"Jak můžeš "hashování" označit jako "šifrování" 😡😡😡😡😡když to jsou úplně rozdilné věci, měl by jsi přestat natáčet na youtube když ani nevíš co říkáš 😡😡👎👎👎👎👎👎"_*
_(ty gramatické chyby a zástup smajlíků jsou u komentářů tohoto typu nutnost 🙂)_
PS: *Šifrování* je obousměrné, takže nějakou zprávu můžu zašifrovat a zpátky rozšifrovat
Naopak *Hashování* je jednosměrné, takže můžu nějakou zprávu zahashovat, ale už ji nemůžu rozhashovat
Mě prostě jenom nenapadlo, jak jinak bych té zahashované podobě hesla měl říct, aby to pochopili všichni, když jsem ještě ani neříkal, co je to hash 🙂
@@GrizlikD hash beru něco jako kontrolní součet - z něčeho reálného se vypočítá jiná hodnota, která už se ale nedá převést zpátky na tu reálnou.
@@matej9437 Jo, to jo, ale taky to není úplně totéž :D
Zase by někdo mohl argumentovat, že z kontrolního součtu se při poškození souboru mohou dopočítat poškozené bajty, ale z hashe souboru poškozené bajty nikdy nedopočítáš, jedině metodou pokus omyl
Ale víš, že já na tyto odborné definice moc nejsem 😁 Prostě hlavní je, aby mě druhý člověk pochopil a už neřeším, jestli jsem použil konkrétní definici :D
Dokonce sis i odpověděl 😂😂😂😂👍👍👍🎄
@@GrizlikDOpravdu se z kontrolního součtu dají dopočítat poškozené bity?
součet jako CRC32 snad je jen něco jako hash, kontroluje správnost, ale nic nemůže dopočítat.
Naopak třeba na CD je spousta opravných dat - pomocí kterých se dá dopočítat chybějící data.
Třeba 700 MB CD má skoro 300 MB opravných dat. Ale to je zase něco jiného než kontrolní součet, ne? To jsou samooprvané kódy nebo tak nějak.
Ale možná se pletu :-D