Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

Doporučení „hashovat“ je hezké, ale je to rada podobná jako „máte žízeň? pijte průhlednou tekutinu“. Jak hesla správně ukládat a proč, jak uživatelé vytváří hesla a jak toho pak využívají útočníci při lámání („crackování“) hesel. A k čemu se taková cracknutá hesla hodí?

Řekneme si i něco o upgrade na „lepší“ ukládání, vzpomeneme si i na správné obnovení hesla při jeho zapomenutí. A možná přijde i kouzelník v podobě správce hesel.

Navíc podobně jako hesla mají celkem omezený počet možností i IP adresy a další identifikátory, při ukládání je tedy nestačí jen „zahashovat“.

Dozvíte se:

  • Jaké jsou známé úniky hesel
  • Jak se kradou databáze
  • Co je to a jak probíhá lámání („crackování“) hesel
  • Jaká pravidla pro vytváření hesel uživatelé používají
  • Jak by se měla hesla ukládat v aplikacích
  • Řešení zapomenutých hesla
  • … něco o ukládání dalších údajů jako např. IP adres

Vysílání probíhalo těsně před (posunutým) startem rakety Falcon Heavy, tak jsem si na začátku dovolil Elonu Muskovi a společnosti SpaceX vzdát hold ve formě takové malé legrace, tak se nelekněte.

Odkazy

Ve videu je spousta odkazů, tady jsou všechny pěkně pohromadě:

03:25 Zkontrolujte si, jestli váš e-mail (i ten pracovní) není v nějakém známém úniku dat na Have I Been Pwned? a nezapomeňte si nastavit notifikace (třeba i na celou doménu)

09:45 Články o některých českých únicích dat: Nevyhazujto, Czechia/Zoner, Mall.czJabbim

23:05 Vyhledávání známých hashů, v tomto případě výsledku sha1(konec) na Googlu

35:30 Vyzkoušejte si útok SQL Injection na mém webu exploited.cz, návod je v popisu téhle přednášky, prozkoumat můžete i zdroják

52:45 Firma stavějící crackovací servery a clustery: Terahash, dříve Sagitta HPC

55:50 Předpočítané tabulky hashů ke stažení i k prohledání online jsou na CrackStation. Mohla by se hodit i přednáška o ukládání hesel s příkladem lámání pomocí CrackStation

1:04:45 Analýzy některých úniků pomocí programu Pipal: SkTorrent a Xzone.cz

1:05:50 Programy na crackování hesel: hashcat a John the Ripper

1:18:15 Článek o crackování hesel z Mallu

1:22:40 Wordlisty ke stažení

1:24:45 Generátor kandidátů PRINCE

1:57:30 Článek, ve kterém vysvětluju jak na změnu hashování existujích hesel z MD5 apod. třeba na bcrypt

2:05:40 Můj projekt na sledování způsobu ukládání hesel, způsob známkování a přednáška s představením toho projektu

Další odkazy

Správci hesel: 1Password, LastPass, KeePass. Trochu víc do hloubky se jim věnuju v přednášce o správcích hesel.

Článek o jednom úniku z LastPass, zmiňuje i metodu na vytváření silných a zapamatovatelných hesel Diceware.

Jestli používáte Twitter (sledujete mě?), tak by se vám mohl hodit seznam Twitter účtů, které se nějak věnují heslům.

Na šifrování dat v PHP použijte Halite, využívá rozšíření Sodium a knihovnu libsodium, umí použít balíček paragonie/sodi­um_compat. Další knihovnou na šifrování v PHP je defuse/php-encryption, ale použijte ji jen pokud nemůžete použít Halite nebo Sodium, je méně výkonná a výsledek nelze dešifrovat na jiných platformách.

Rád vás přivítám na školení bezpečnosti (nejbližší termín: termín zatím nevypsán) a HTTPS (nejbližší termín: termín zatím nevypsán).

Datum a akce

6. února 2018, Livestream Péhápkaři (délka přednášky 150 minut, video)

Video záznam

YouTube

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: