Check the online version, I often update my slides.

Talk detail

Doporučení “hashovat” je hezké, ale je to rada podobná jako “máte žízeň? pijte průhlednou tekutinu”. Jak hesla správně ukládat a proč, jak uživatelé vytváří hesla a jak toho pak využívají útočníci při lámání (“crackování”) hesel. A k čemu se taková cracknutá hesla hodí?

Řekneme si i něco o upgrade na “lepší” ukládání, vzpomeneme si i na správné obnovení hesla při jeho zapomenutí. A možná přijde i kouzelník v podobě správce hesel.

Navíc podobně jako hesla mají celkem omezený počet možností i IP adresy a další identifikátory, při ukládání je tedy nestačí jen “zahashovat”.

Dozvíte se:

  • Jaké jsou známé úniky hesel
  • Jak se kradou databáze
  • Co je to a jak probíhá lámání (“crackování”) hesel
  • Jaká pravidla pro vytváření hesel uživatelé používají
  • Jak by se měla hesla ukládat v aplikacích
  • Řešení zapomenutých hesla
  • … něco o ukládání dalších údajů jako např. IP adres

Vysílání probíhalo těsně před (posunutým) startem rakety Falcon Heavy, tak jsem si na začátku dovolil Elonu Muskovi a společnosti SpaceX vzdát hold ve formě takové malé legrace, tak se nelekněte.

Odkazy

Ve videu je spousta odkazů, tady jsou všechny pěkně pohromadě:

03:25 Zkontrolujte si, jestli váš e-mail (i ten pracovní) není v nějakém známém úniku dat na Have I Been Pwned? a nezapomeňte si nastavit notifikace (třeba i na celou doménu)

09:45 Články o některých českých únicích dat: Nevyhazujto, Czechia/Zoner, Mall.czJabbim

23:05 Vyhledávání známých hashů, v tomto případě výsledku sha1(konec) na Googlu

35:30 Vyzkoušejte si útok SQL Injection na mém webu exploited.cz, návod je v popisu téhle přednášky, prozkoumat můžete i zdroják

52:45 Firma stavějící crackovací servery a clustery: Sagitta HPC

55:50 Předpočítané tabulky hashů ke stažení i k prohledání online jsou na CrackStation. Mohla by se hodit i přednáška o ukládání hesel s příkladem lámání pomocí CrackStation

1:04:45 Analýzy některých úniků pomocí programu Pipal: SkTorrent a Xzone.cz

1:05:50 Programy na crackování hesel: hashcat a John the Ripper

1:18:15 Článek o crackování hesel z Mallu

1:22:40 Wordlisty ke stažení

1:24:45 Generátor kandidátů PRINCE

1:57:30 Článek, ve kterém vysvětluju jak na změnu hashování existujích hesel z MD5 apod. třeba na bcrypt

2:05:40 Můj projekt na sledování způsobu ukládání hesel, způsob známkování a přednáška s představením toho projektu

Další odkazy

Správci hesel: 1Password, LastPass, KeePass. Trochu víc do hloubky se jim věnuju v přednášce o správcích hesel.

Článek o jednom úniku z LastPass, zmiňuje i metodu na vytváření silných a zapamatovatelných hesel Diceware.

Jestli používáte Twitter (sledujete mě?), tak by se vám mohl hodit seznam Twitter účtů, které se nějak věnují heslům.

Na šifrování dat v PHP použijte Halite, využívá rozšíření Sodium a knihovnu libsodium, umí použít balíček paragonie/sodi­um_compat. Další knihovnou na šifrování v PHP je defuse/php-encryption, ale použijte ji jen pokud nemůžete použít Halite nebo Sodium, je méně výkonná a výsledek nelze dešifrovat na jiných platformách.

Rád vás přivítám na školení bezpečnosti (December 11–12, 2018 Praha) a HTTPS (December 13, 2018 Praha).

Date and event

February 6, 2018, Livestream Péhápkaři (talk duration 150 minutes, video)

Video recording

https://www.youtube.com/watch?v=qTbHMiH7UFo