Přepis řeči - Lámání a ukládání hesel

0:00:15	tak dobrý den ahoj já jsem nechal špaček
0:00:19	a nebyla dneska chtěl říct něco o mý krajkování hesel a něco o tom jak
0:00:23	se okrádají
0:00:24	a to podstatě vyplyne potom z toho poďme se tam access a takový ukážem sto
0:00:29	jenom příkladu vás toho nám byl ten _e podstatě jak se samej ukládat a proč
0:00:34	tak nejdřív takovejma ní takový malý ty teoretičtější úvod
0:00:38	o tom podstatě
0:00:39	a ty byses a měli ukládat asi
0:00:42	víme že hesla by se měli ukládat nějak hašovaný databáze že jo nějakým způsobem s
0:00:46	upadneš _e
0:00:47	že jo že to všichni víme
0:00:51	no neslyšel senzoru
0:00:53	ano se pak lze peněz a neví tak se pak mě přihlásí takže co to
0:00:58	vlastně znamená to hašování hesel a když máme nějaký heslo
0:01:01	třeba tady pepa devadesát dva dejme tomu
0:01:04	uděláme z něj nějaký otisk to nesla nějak je takzvanej hash to že podstatě otisk
0:01:08	něco jako otisk prstu tak tohlensto ten hash potom uložíme do tý databáze
0:01:13	prosím vás nemá to s drogama nic společnýho takže
0:01:16	jestli dovolíte naši nějakým jiným než na tomhlenctom kryptografickým
0:01:21	tak tady u penny jste správně asi
0:01:24	takže na
0:01:26	hash má jednu takovou
0:01:27	výhodou nebo nevýhodou podle toho o kterém ještě zrovna mluvíme
0:01:31	takže to graficky na takovou výhodu že
0:01:33	se nelze vrátit zpátky on podstatě ten druhej řešil úplně taky se musel vrátit zpátky
0:01:39	nejde
0:01:40	jak tak na tím přemejšlim
0:01:42	tak je to graficky tiskopisnou s otiskem prstu zpátky nedostanete člověka a stejně tak se
0:01:46	otisků vesla sto eště zpátky nedostanete to původní heslo prostě nejde to ta cesta zpět
0:01:51	prostě neexistuje
0:01:53	tedy když se bavíme o kriptování hesel před tím vlastně říká ne moc tím vlastně
0:01:58	myslíme
0:01:59	nemyslíme to že bysme vzali nějak ten hash a zpátky u rozlišovali
0:02:02	i dyž s to tak často říká že se to nesla se rozešli zpátky nebo
0:02:05	převede na původní podobu
0:02:07	ale co nepodsaditě myslíme
0:02:09	je ti myslíme to že budeme
0:02:12	takzvaně generovat nějaký kandidátky takzvaný
0:02:15	takzvaně generovat takzvaní kandidáti
0:02:17	který a
0:02:19	potom budeme zkoušet porovnává s tím našem tanec ten útok o kterém mluvím je takzvaný
0:02:23	offline útok ten spočívá v tom že někdo nějakej hodnej mezera nebo spíš asi zlej
0:02:29	mezera
0:02:30	z databáze nějaký aplikace nejmenovaný třeba jedni český firmě kterou pak později uvidíme
0:02:36	ono jich bylo víc ale konkrétně tady mám na mysli tu jednu na té jednou
0:02:40	vyjde
0:02:41	bez nej databáze nějaký ty uložený ve všem
0:02:45	a nějakým způsobem je krek ne on zkouší generovat ty kandidáty těch hesel to nejsem
0:02:49	případě tady je kandidát pepa devadesát dva
0:02:52	heslo jedna dva tři a linux list nebo beta modelů penalta tak podobně
0:02:57	zkoušíte ne se kandidáti generovat
0:02:59	vypočítá z nich hraješ udělá z nich ten otisk
0:03:02	a porovná ho jestli nalevo nahoru neodpovídá tomu co nás ty databáze
0:03:07	a pokud to pokud to a beneš odpovídá tomu co načatý databázi také
0:03:12	jasně to bylo to původní heslo
0:03:14	a je určitá možnost je velmi malá že by našel jinej řetězec které bude mít
0:03:20	stejné kryptografické hash jako jiný heslo
0:03:23	a _m
0:03:23	ale tam možnost je podstatě nulová že by dvě stejný hesla
0:03:27	měli stejnej kryptografické jedeš je podstatě ten možný a to z toho důvodu že trest
0:03:33	a jsou velmi krátký řetězce jo osum znaků jako maximálně
0:03:37	nám
0:03:38	jako jiný ale dobře kdyby to denaturace znaků pořád je to málo navíc
0:03:42	to je sloupcový poměrně omezený počet znak po počet jako
0:03:46	a znaků jo
0:03:48	ne není tam všech dvě stě padesát šest bajtů ale je tam nějaký malý velký
0:03:51	písmenka
0:03:53	a čísla což může bejt zhruba tak osmdesát až devadesát můžeš kombinací na tom jednom
0:03:57	místě
0:03:57	tedy na takle malý prostor je podstatě nemožný aby
0:04:01	dvě stejně s nebude různý hesla měli stejně hash
0:04:04	to se podstatě stát nemůže
0:04:06	takže útočník slušně dva kandidáty jakmile tenis odpovídá tomu smát ty databáze
0:04:11	tak je velmi pravděpodobně nám
0:04:14	to heslo to který tam uživatel třetin použil
0:04:18	celej ten trik toho krokování podstatě spočívá to
0:04:21	a jak generovat ty kandidátky
0:04:23	tom je celý no a u těch útočníků těch krek run a ty hesla a
0:04:27	vysvětlit intriky ukážem
0:04:29	čím rychleji ty kam ty kandidáty umí útočník generovat
0:04:33	tím jsem se jich vejde hesla krek ne
0:04:35	takže jeden sako jejich asi nejznámější způsobů je
0:04:39	a metoda bud false hrubou silou
0:04:42	pozor
0:04:43	není to brutal false
0:04:45	je to bud false
0:04:46	portál for switch engliš výraz no a prodal prostě může to vy brutální ale dozvíš
0:04:52	brutální čin když než cokoliv jinýho
0:04:55	takže metoda brute false a ne pro hrubou silou spočívá v tom že útočník zkouší
0:05:01	generovat kandidáty prostě jednoho po druhém
0:05:04	všechny možný kombinace
0:05:06	takže vyzkoušel třeba heslo a leje a _e c sorry nicméně naučil tesle
0:05:16	a kde a no a tak dále request představit
0:05:20	problém tyhlencty metody
0:05:22	je že spousta uživatel u takový lesa nepoužívá co si poměrně jste že slov a
0:05:28	nikdo z vás má určitě že jo
0:05:32	mějte se všichni to sem nečekal
0:05:35	copak bojím zeptat
0:05:38	zvedněte ruku doma hesla no a
0:05:43	jako jde o tobě to win to nemusí zorbujte
0:05:47	super na dobře
0:05:49	máte kdo a b
0:05:53	a takhle do konce přednášky a chce
0:05:57	zda a bejt materu se dobře
0:05:59	to jinak prosím tě eště
0:06:02	_m no matky za svobodna
0:06:05	takže
0:06:05	takže takhle způsobem udrží může zkoušet dělat jednotliví kandidáti a tak dál
0:06:10	a vypočítá z nich hraješ a porovnat to a pro na tenis potom jestli to
0:06:14	není ten se má s ty databáze
0:06:16	jak jsme se neviděli metoda je to dost pomalá že jo
0:06:19	čili a takle zkoušet spoustu různých kombinací nejsem moc se nevyplatilo trdlo by to dlouho
0:06:24	aby to prostě nemuseli si hodila čili to efektivnější metody jak to zkoušet
0:06:29	a
0:06:30	jedna z nich může bejt třeba slovníkové útok no co si pod tím představit
0:06:34	vypadá se nějak takle
0:06:38	většina detektiv tom ten panáček tom zeleným eso
0:06:41	ten panáček modlíme ten útočníka to červený to je asi slovník s tou prací ale
0:06:46	dá se slovy
0:06:47	útočník zkouší procházet jednotlivý slova ve slovníku
0:06:51	spočítat si jdeš pro na to jestli to je to co máte jistý databáze
0:06:56	a uživatele právě jsou často vytváří takže vezmu nějaký slovo slovníků z nějakýho
0:07:01	a použiju jako heslo
0:07:03	nicméně
0:07:03	uživatelé se snaží bejt trošku chytřejší
0:07:06	a řeknu si to nestane se by bylo příliš slabý žil mít tam heslo prostě
0:07:10	a nevím
0:07:11	a marmeláda třeba nebo něco takovýho
0:07:14	takže snaží bejt trošku chytřejší a snaží se to nějak jako to heslo udělat silnější
0:07:20	že jo že třeba nakonec a vykřičníkem takový
0:07:23	nebo nakonec za jedničku nebo dvojku čili slovníkové útok taky není moc jako efektivní protože
0:07:28	uživatele ty hesla dělej trošičku uši na něco naučili že heslo pepa je prostě slabý
0:07:32	teda etapa devadesát dva ne ze světa ty slovníkové útok jako takovej taky nemá moc
0:07:37	velkou úspěšnost záleží na tom slovníku ale dnes bohužel nějak i
0:07:41	česko anglicky slovní nebo seznam českejch slov tak to nebude stačit
0:07:46	o něco možná a
0:07:48	takovej
0:07:48	taky znám i útok
0:07:50	možná trošku lepší je u to pomocí předpočítaných tabulek
0:07:54	pomocí takzvaných rainbow table s tím by se tomu říká
0:07:57	si to spousta tabulek který a obsahují eště
0:08:01	předem známejch hesel
0:08:03	někdo vypočítal prostě
0:08:04	vesla udělá z nich naše a někam je uložil aby se pak můžete jednoduše nám
0:08:10	jednu šanci ten hraješ proti databázi se podívat jestli tam existuje
0:08:13	čili předpočítány do kaše podívá se do týmu tabulky a potom podstatě rychlost trekování jenom
0:08:19	prostě dotaz do tý uložený tabulky
0:08:21	problém ten tresty metody je zase vtom že
0:08:25	ta tabulka obsahuje spoustu hesel který nikdo nemá
0:08:29	nebo nám
0:08:31	ty tabulky další problém je tyto volby jsou příliš velký
0:08:34	je generován trvá strašně dlouho a drží nemusel pro každý algoritmus mít tabulku zvlášť coff
0:08:40	úplně
0:08:41	vestec jako moc nedělá nicméně kdybyste se to chtěl doma zkusit
0:08:46	pořád můžete na takovýto domácí krokování
0:08:49	použít třeba nástroj tak slyším a jak rackspacu teďka net
0:08:53	je a ve kam do formulářů jo políčka zadáte nějakej hash a pokud on má
0:08:58	visí databáze tak vám řekne to původní heslo tom
0:09:01	_e nástroje používá a
0:09:03	tabulku která má patnáct mark záznamů a mimo jiné obsahuje všechny slova z wiki peníze
0:09:08	všechny případy který sou ze všech jazyků
0:09:11	takže je to poměrně tabulka holka asi sto devadesát nikdo bajtů to je docela mazec
0:09:16	a nejsou tam jenom hesla který byl povídal jenom jako základním slovu a jsou tam
0:09:20	právě třeba hesla karel jedná karel dva a pepíček devadesát a tak podobně už ten
0:09:25	si trošku jako složitější esa tam jsou taky protože už odněkud unikly
0:09:29	čili někdo je zase do týdletý na si databáze dál
0:09:33	to databázi si můžete volně stáhnout
0:09:35	a pak si doma také kukačková ty byste neměli co dělat večer
0:09:40	ovšem
0:09:41	takovej nejlepší způsob který se dá použít a
0:09:45	neska nejpoužívanější jak a hrubá síla ani se počkej do bunkru se nepoužívají ta efektivita
0:09:51	je velmi malá
0:09:53	takže co se dneska používá grafický karty
0:09:56	tak všichni říkáte je zbytkový nežil zetky šel podobně ne
0:10:00	a to se to nepoužíváte zbytečně
0:10:02	na to už potom nešiď že tedy ne bitku jen tak to už ty prachy
0:10:05	stejně na prd pálit elektrice
0:10:07	takže
0:10:08	na kam by se používají moje brána krokování hesel
0:10:12	to protože ta karta má docela dost jader a je docela rychlá ten jestli třeba
0:10:17	tak a za co tady z obraze nám nvidia dětech se set osumdesát teď ní
0:10:22	a tisíc jader oproti vašim procesorů se máte celá osum let tak se dobrý
0:10:27	nosná tisíc čili paralelně to může velmi rychle počítače
0:10:30	má velmi rychlý operace
0:10:32	tahlecta karta
0:10:34	umí spočítat
0:10:36	třicet jedna
0:10:38	miliard
0:10:40	_e de jedeš za vteřinu
0:10:42	že pokud se lidé jsou k anýzem detekce za chvilku s lukášem co to znamená
0:10:46	ve finále ono miliardy jsou docela ztratí čísla jak tak koukám tak nikdo z vás
0:10:51	není ministr financí abyste viděli přesně to vypadá
0:10:57	ne jste fakt next
0:10:59	takže nám
0:11:01	ona svědectví na miliard je docela dost sil pro jako možná ale pro ministra financí
0:11:05	vlastně taky ne ale co vlastně znamená si každý za chviličku nám přepočtu na ty
0:11:09	hesla nicméně ta ne se karta dneska nejvýkonnější na krokování hesel běžně dostupná karta kterou
0:11:14	si koupíte obchodě a lze a podobně
0:11:17	také se používá medikovaně zcela určitě chcete kdyby jste je kupovali tak sebe kope takzvanou
0:11:22	fandil se dyž
0:11:24	pane se dyž nejsou karty který sou
0:11:27	navržený přímo výrobcem toho čipu grafický ho ten second jsou prej skoro úkor kil jejich
0:11:32	kvalita je skoro eště jako nesmyslně dobrá ani vydrželi zátěž dvacet čtyři hodin denně sedum
0:11:38	některým něco prosím dělat počítat nebo něco prostě nějaký náročný výpočty co sou celá trekování
0:11:44	sem generování těch kandidátů na těch grafických kartách
0:11:47	takže to nasere dyž dělat dvaceti hodin denně osobní stejnou a tady na
0:11:52	a když si koupíte pak být samozřejmě to potom ještě mnohem rychlejší tam sd karta
0:11:56	pro sebe von de se dyž
0:11:58	pan deset žen proto
0:11:59	že jsem říkal je navržená výrobcem karet přímo má komponenty který vydrží zátěž tak dál
0:12:04	když to porovnáte zelím a kartama
0:12:06	normálně klasická asi co jako herní kartu trus koupíte na a lze
0:12:10	tak vám
0:12:12	je tam taky prodávaj stojí tak dvacet litrů tam se karta podobná ale sou to
0:12:15	ty herní
0:12:16	elitní karty se nám ani se o nehodě
0:12:19	když to vadí kartu necháte běžet dvacet čtyři hodin denně
0:12:22	také ona se vám rozteče
0:12:24	čili co jsi celá chcete na a lze koupit kartu grafickou takovoudle jedna z nejdražších
0:12:30	karet a vlasy nejdražší úplně karta kterou tam mají neska asus republikovým rozpoznají do ní
0:12:37	hodinky s vodotryskem addition nebo co to je
0:12:40	ale katas legraci litrů to nejdražší nejvýkonnější ani karta dneska ale zamávání poznámku
0:12:46	produkt není určený pro použití při vysokých zátiší jich nebo dalších procesech
0:12:51	nejdražší karta dneška to je prostě ten chvilku kde si nejdražší věc nejvýkonnějšího vím honila
0:12:56	napíšu ale moc to radši nepoužívejte na vysoký zátěži
0:13:01	já jsem si říkal jsem to viděl jinak si dělaj srandu ale to jsou ty
0:13:03	herní karty výrobce často vezme či
0:13:06	ráno prosince a dostali jo dostali do návrhu karty prostě aby ušetřil peníze aby na
0:13:11	vás něco vydělal
0:13:13	takže no ale vona naštěstí a lze na to má sama docela dobrý názor
0:13:20	prostě všeho kupte si je dražší kartu dneška prostě
0:13:24	a
0:13:26	chcete vám že se liší rozhodně blbě to že von je se dyž _hm karty
0:13:29	dataset osmdesát _e i v dneska neseženete musíte se po červnu do začátku příštího roku
0:13:34	a eště
0:13:35	vyjde další teda tak potom zase na začátku dělat aby se dyšen a pak už
0:13:39	nikdy nebudou takže po mně se držím chcete na krku _e ně se
0:13:43	a
0:13:44	mluvil jsme tady v různých miliardách co to vlastně teda znamená že to přepočítáme na
0:13:48	na hesla
0:13:49	tak dyby útočník měl projít
0:13:52	všechny možný kombinace
0:13:54	osmi znakový jo veselá
0:13:56	který je sestavený z malejch písmenek velkých písmenek a čísel
0:14:00	tak mu to bude trvat dvě hodiny na týdlenctý kartě na ty get access osumdesátej
0:14:05	která dělá třicet jedna mem pokusu za vteřinu a ende pětku
0:14:09	a analyzed dvacet šest písmen dvacet šest malej dvacet šest velkej
0:14:13	a padesát dva plus deset číslic šedesát dva
0:14:17	šedesát dva na osmou
0:14:18	něco kolem dvě stě osmdesát
0:14:21	miluje strašně moc něco
0:14:23	ve finále to znamená že
0:14:25	pane se grafická karta pro de všechny kombinace za dvě hodiny
0:14:29	čili jakýkoliv heslo který byl složený z malej velkej písmenka číslic bude mít osum znaků
0:14:34	tak při uložením dev jako jo platí čemu za dvě hodiny ho prosil útočníka řekne
0:14:38	hrubou silou každou každý kus prostě vládne udělat
0:14:41	ovšem
0:14:42	a když to bude dělat třeba pronesl který má devět nebo deset nebo jedenáct nebo
0:14:46	dvanáct znaků
0:14:48	tak vtom narůstá
0:14:49	se podíváme
0:14:51	pronesl príma ne ve znaku všechny možný kombinace na ty na ty výkony kartě bude
0:14:54	trvat projít pěkný
0:14:56	což ještě pořád se dá vydržet
0:14:58	když to neslo bude mít deset znaků
0:14:59	tak ve dva tři sta třináct dní tomu vše rok touž
0:15:02	je docela sadu
0:15:05	to bude dvanácti znakový heslo
0:15:07	projít všechny kombinace tohlensto sám
0:15:10	no zabere tři tisíce tři sta let
0:15:13	_e docela dost
0:15:14	_e
0:15:15	v byla to asi mělo bejt celkem jedno za ty tři tisíce let tak jo
0:15:18	jak naše sobilo
0:15:20	ale kdyby náhodou dnešní zkoušel tak
0:15:22	jakýkoliv heslo který má dvanáct a být znaků a je náhodně vytvořený to je potřeba
0:15:26	říct
0:15:27	tak je bezpečný
0:15:28	čili když vám někdo omezíme sledovat se znaků
0:15:31	tak pořád se dá udělat bezpečně sou
0:15:34	pokud budete mít náhodně vytvořený s náhodně malých velkých písmenek a číslic názoru prostě udělat
0:15:39	víš pojmenovaná znaků stě pořád je to bezpečně sou ale musí bejt náhodný vytvořený nemůže
0:15:44	bejt vytvoření v hlavě
0:15:46	co jednání vytvořený
0:15:47	útočníci pak jsem si nemůžou vzít a ti ty karty dát dohromady
0:15:51	spustit jich víc těch karet
0:15:53	ale prostě to bylo parádní rychlejší
0:15:55	takže to neber dva tři tisíce tři sta let ale bude to trvat řídí se
0:15:58	přestala děleno osmi
0:16:00	co eště pořád šest set let nebo něco takovýho plus mínus
0:16:03	pořád dost ale to vaše se musí bejt náhodně vytvořený
0:16:07	tak teďkom drobný střih malinko posuneme se
0:16:11	jednomu známýmu případů docela
0:16:14	tak a jedna česká sedmička ten a jedu milionu uživatelů na konci prázný posadíme o
0:16:20	tom že prezentoval heslo komu z vás přišel schválně který má
0:16:24	dobrý mě samozřejmě taky
0:16:26	vy ostatní nečtete jiné ležel pokládá
0:16:30	tak
0:16:31	mohl měl takovej drobnej
0:16:37	problém
0:16:39	stems ten node někdo vzal databázi někde jsem ještě pořádně neviděli říkal jsem matice patnácti
0:16:44	co je mu za databázi a vzápětí a na polož toho se objevila ta databáze
0:16:50	o bylo se tam soubor který opsala nějaký data bohužel
0:16:54	a mohl tvrdil že tesla byly nějaké šifrovaný vzkaz cmd pecku cože docela dobrý ale
0:16:59	aspoň jako něco
0:17:00	ovšem na polož to
0:17:02	co bylo soubor který měl sedm set padesát tisíc hesel
0:17:06	ty vole čitelný podobě
0:17:09	tři čtvrtě _m selectively podobě což oboje neodpovídá tomu že by mohlo ukládat hesla zajišťovaných
0:17:14	nám
0:17:15	navíc tam nebyly všechny hesla
0:17:18	protože mimo
0:17:20	posílal tím asi jedna celá tři milióny uživatelů
0:17:25	ale vtom souboru bylo sem se padesáticí ze sel
0:17:28	to je trošku rozdíl nebude tam že dnes a nebylo tam třeba moje heslo
0:17:32	takže já si myslím že někdo ty hesla vzal
0:17:36	z databáze mohou respektive nikdo z ale šesti databázovou ty hesla vystrkovat na low to
0:17:42	uložil jenom to co vy to jako
0:17:45	a někteří lidi říkali to není možný prostě to musel bejt u nich čitelný podobě
0:17:48	hesel protože prostě tom se nedá vykradl a data
0:17:51	já jsem si říkal já to zkusím vyprchala taky vzal jsem ten soubor
0:17:54	snad je s a zavěšoval zpátky devět pětky a s úžasem tolik rekord
0:17:59	a
0:18:00	jak jsem to udělal já nemám doma grafickou kartu květech zase osmdesáté jí
0:18:05	ale pronajal jsem si prsu
0:18:07	pro nás jsem si to jsou a zkuste to bych reagovat na ní a
0:18:12	pro špatné obrázek sorry stanovené tenhlecten obrázek sem továrna
0:18:18	tesla je grafická karta
0:18:20	která se používá serverech na počítání vidíte že to je grafická karta ale nemá ani
0:18:25	do grafické výstup předem noci na ní monitor se nepřipojíte
0:18:29	ale dá se na ní krokovat ale se karta
0:18:31	nebo něco pomalejší nejde texas osmdesát který umí počítat jenom čtyři a půl miliardy pokusu
0:18:37	za vteřinu co a je docela málo
0:18:40	naštěstí na amazonu se to na se karta dá pronajmout
0:18:44	instanci když je
0:18:46	šestnáct
0:18:48	co si zase trošku jakoby rovná tento to ztrátu do výkonu
0:18:51	pane stanic nad se celá dávat dohromady sedmdesát dva miliard pokusu za vteřinu
0:18:55	takže předběžně jako dvě karty database osumdesátej
0:18:59	výhoda je to může pronajmout se todlecto jste názoru za hodinu
0:19:03	takže docela jako dobrých tak to vrátí takovýto krátkým krokování během pár hodin pronajme se
0:19:07	to moc
0:19:08	já jsem tam nechat je sled jako a
0:19:11	trvalo to a dvanáct hodin
0:19:13	a vykřikoval jsem skoro všechny těch sedm set padesáti tisíc s bylo mi asi devět
0:19:18	set čtyrycet pět hesel nevi krakovany
0:19:21	a to jenom z toho důvodu že sem to nestih
0:19:23	a jsem chtěli cpát už potom
0:19:25	ona jsem začal šest večer plus dvanáct hodin
0:19:28	no takže sem pak chtěli spát prostě a nechte si to nechat běžet protože čtrnáct
0:19:31	dolu je málo a listo poběží za čtrnáct hodin a vy budete spát
0:19:35	tak je to jako blbý pros patře držel třeba
0:19:40	nic moc
0:19:41	teďkon který že s asi neprošlo kliknout byly to ten stres a který se pak
0:19:45	pro zlámat
0:19:46	a _m jsem je podíváte tak a za dvanáct hodin zobrazovala na ty dva další
0:19:51	sedm set čtyrycet tisíc zasel
0:19:54	první heslo není dvacet pět deset
0:19:56	dva vykřičník nějaký méno číslo pro vypadne datum narození no vykřičník
0:20:01	nic jako nic složitýho
0:20:03	když to vypadá jako silně tohle sou pořádný analýza osmdesát devět zavináč
0:20:09	tam dal za _m slovo nějaký čísla na konci
0:20:13	poměrně rychle krachlo ty
0:20:14	dokládá velká
0:20:15	dvě český slova a s dlouhýma
0:20:19	pokud si ho vedení a nesla s diakritikou ale bude ten tam mít normální český
0:20:23	slova tak to moc nepomáhá že útočník ví že krakově česku databázi tak si prostě
0:20:28	vezme slovník nebo nějaký data který sou
0:20:30	který máj háčky čárky
0:20:32	další den kdy spadne sedmde ve tři
0:20:34	já jsem ani nevěděl co to je pořádně naštěstí mobil napověděl že taky ostrov
0:20:39	a sedmde ve tři roky tam vypadl nějaký kostel tak
0:20:43	nicméně pořád je to číslo na konci
0:20:46	velmi jako pravděpodobný a předvídatelně s
0:20:49	způsobit vážně se učili eso poměrně slabý
0:20:53	tady kobyla na malý blok
0:20:55	štyry český slova
0:20:58	že by se složité heslo ze čtyr slovo
0:21:00	je to docela null
0:21:01	musí bejt aspoň šest aby to vo potom útočník rauš jako já špatně hratelný
0:21:07	eso asi dost opilko a tak dál
0:21:09	procházka po klávesnici prostě nic taky dlouhý heslo ale
0:21:14	ta
0:21:15	a jasně chudobu zkoušel několik abyste se liga jako by jsem to zvládl poměrně rychle
0:21:20	první byl klasickej zásobníkový útok
0:21:23	ale slovník jsem použil roky u té jste cože
0:21:28	slovník s únikem hesel
0:21:30	když je třicet dva miliónů hesel čitelný podobě
0:21:33	mimo jiné nám tady plácá jsou to neuhodneš
0:21:35	no
0:21:36	dlouho do sem
0:21:39	a je tam jsme se loučili nejdem slovní jako nedali slov ale co tam už
0:21:43	nesla který stavět další typ útoku je kombinatorické útok
0:21:48	ten slouží na generování dvou různejch slovníku třeba ne na přímení
0:21:52	na jména i příjmení použili český republice se dají stáhnout
0:21:55	na webu ministerstva vnitra je tam docela dost tak si pěkně vezmete jakoby lépe si
0:22:00	každý s každým ale vám to té samolepek vygenerovat a
0:22:04	a uran to je snad rekord
0:22:06	poměrně
0:22:07	zajímavý způsob metoda princ
0:22:10	která funguje podobně
0:22:12	akorát že funguje najednou slovníku nebo na jednom jako vodvez na jednom seznamu slov
0:22:17	a zkouší třeba víš kdo stát ale stane teda za úkol generovat heslo který máš
0:22:21	tedy znak jak je to jednoduchý
0:22:23	tak se najde slovo který má čtyři znaky
0:22:26	pak najde dvě slova který mají dva znaky je spojí a zkusili krakovec udělá ten
0:22:30	otisk a porovná ho
0:22:32	pak bysme a co který má jeden znak
0:22:34	co který má ty znaky a proto postupně kombinuje
0:22:38	aby
0:22:39	počítalo generoval kandidáta
0:22:41	to nesvéprávné teda kterou se podařilo cattle to byla na malý blok
0:22:45	prostě dostal za úkol věnovat patnácti znakový heslo
0:22:48	a prostě zkombinoval si doslova k český tak aby to dávalo smysl
0:22:51	aby to mělo ten správný počet znaků a prostě zkusil
0:22:55	ta a
0:22:57	všechny donese metody pak ještě můžete kombinovat
0:23:00	a doplnila takzvané má pravidla
0:23:02	ty pravidla potom nevidím
0:23:05	ty pravidla potom a
0:23:08	ty pravidla potom
0:23:10	ty hesla jako můžou rozšířit takže třeba nahrazují písmenka čísla na
0:23:15	a zase zkusí to kandidáta sobě myslej má přece nemá písmenka má na čísla
0:23:19	ty slova třeba zdvojuje
0:23:21	nebo obrací obráceně nebo doplňuje čísla nakonec ti je přesně takhle dělají hesla taky základní
0:23:26	dovolí upravit
0:23:29	další je sou který tam bylo třeba todle fm deletes něco nedodá
0:23:33	dobrá to jako že generování s práce nesla ale vtom únikovou smolu nebylo ani jednou
0:23:37	generovaných práce nesl
0:23:39	to jsem skoro všechny detekovala kde sem se to si přečet
0:23:42	žádný nebo z práce s a tohle trošku vypadá správce složil
0:23:46	nedává to smysl
0:23:47	se si říkal okej co s tím uděláme tak sem opsal hrál jsem do googlu
0:23:52	psalo se tohle
0:23:59	to byl mezek jednak teda na první procesem sebe sprostý slovo na konci ale pak
0:24:02	se mi detekce školného
0:24:05	no dobře k nemyslíš tohlensto
0:24:07	říká a okej
0:24:08	pane sloveso začátek se líbil čísla na okresech své
0:24:12	někdo používá cédéčko zip ale máte se má dost práce s else podobně
0:24:20	to nese slovesa který se mi nepodařilo krek no ale to jenom kůli
0:24:24	kuli často že jsem to nestih
0:24:26	chtěl jsem cynická takže
0:24:30	jo já nevím jestli tam dostalo bylo to tam jako jsou opravdu
0:24:34	takže
0:24:35	první pás vrtule pásmu dost univerzalismu je slova který končeném nějaký poměrně známý a koncovky
0:24:41	a tři osum přišel z osum a tak dál není to moje heslo todle není
0:24:46	pro tři šest osum vypadá jako náhodný číslo
0:24:48	ve skutečnosti to sere vyčíslo na counter strike
0:24:51	ztráty do googlu si někdo vzal zase se vyčíslo použil jako
0:24:56	a heslo já nevím vole
0:24:58	asi neni oba dobrej nápad insist jsou nahrazovat číslička za to za interní písmenka jak
0:25:04	sem dostal tečky nevím nicméně varianta která ho tři tečky dýl se mika dnů porazila
0:25:09	to nestane
0:25:12	co bude v budoucnosti
0:25:14	amazon nedávno vydalo nebo respektive spustil instanci krám na o něco silnější kartu
0:25:19	tohle se karta nvidia na
0:25:22	tesla best _e s no vem čert vem trávu něco rychlejší je rychlejší než dětech
0:25:27	zase osumdesátej
0:25:29	pane se kartách za dá spočítat padesát dva miliard pokutu za vteřinu nd pětky jak
0:25:34	takže je textu listopadu si můžete pronajmout za dva celoru za hodinu se dvacet pět
0:25:39	to je taky poměrně rychlý
0:25:41	kartách po do běžný spotřebitele bude dispozici jak příští rok snad
0:25:45	ten šek
0:25:46	toto ale znamená ve finále
0:25:48	a
0:25:49	aby snesla ukradli správně tak jsem se měli podívat na to
0:25:53	jakým způsobem tam se karta umí nebo jak rychle umí generovat ty kandidátky
0:25:57	pro devět let o padesát miliard za sekundu
0:26:00	ale pro beky které by se měly ukázat hesla je to sedmnáct pokusu za vteřinu
0:26:05	pro rychlost deset set nácek je strašně málo a poslední slajd
0:26:11	ústřednou viz tři minuty teďkon
0:26:14	okej takže ukali vezla správně

Lámání a ukládání hesel

Neděle 5.11.2017 - D105

Michal Špaček