Passphrase lepší než heslo aneb Tr0ub4dor&3 vs. correct horse battery staple

Cílem tohoto příspěvku je zaujmout pokud možno objektivní stanovisko ke komiksu na XKCD, který porovnává odolnost hesla a passphrase vůči útoku hrubou silou.

Autor komiksu tvrdí, že passphrase je lepší než heslo, protože si ji uživatel mnohem snáze zapamatuje a nebude tak nucen si ji někam zapisovat. Jistě, ale bude ten samý uživatel schopen si vytvořit silnou passphrase a následně ji i několikrát za den zadat, aby se mohl přihlásit?

Rubrika: Bezpečnost
celý článek

Zjistěte, jakou entropii má vaše heslo nebo passphrase a za jak dlouho může být prolomeno

V jednom minulém příspěvku jsem popisoval, jak vytvořit bezpečné heslo a bezpečnou passphrase a kladl si otázku, zda je bezpečnější heslo nebo passphrase.

Abychom vůbec mohli porovnat odolnost klasického hesla o určité délce (L) a komplexitě (C) a passphrase vytvořené z určitého počtu slov (L) a nacházejících se ve slovníku o určité velikosti (C), tak musíme nejprve vyjádřit jejich entropii (En) v bitech. Tu spočteme pomocí následujícího vzorce:

Rubrika: Bezpečnost
celý článek

Vrcholoví manažeři chovající kočky jsou ochotni více riskovat

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

Rubrika: Řízení rizik
celý článek

Jak aktualizovat Windows 10 s malým diskem a mít aktualizace plně pod kontrolou

Tohle Microsoft vážně nedomyslel. Proč vůbec podporuje Windows 10 na zařízeních s 32 GB interní pamětí, když pak na nich následně nelze z důvodu nedostatku místa nainstalovat ani bezpečnostní aktualizace.

A přitom by stačilo, kdyby měl uživatel možnost změnit adresář, do kterého se updaty stahují. Ono to sice jde, ale proč to dělat jednoduše, když to jde složitě, že? A jestli si myslíte, že s čistou instalací Windows 10 se vás tento problém netýká, jste na omylu.

Rubrika: Ostatní
celý článek

Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry

Ke stávajícím úžasným technikám jako je Punycode, Ropemaker, nám přibyla další, tzv. ZeroFont.

Je neuvěřitelné, jak jsou tyhle staronové techniky účinné a jak jsou stávající řešení na detekci podvodných e-mailů bezbranné.

Rubrika: Bezpečnost
celý článek

STDC framework a čtyři fáze nákupního rozhodování

V tomto příspěvku se podíváme na STDC framework a řekneme si, co má společného s modelem AIDA.

V příspěvku o AIDA jsem psal o tom, že je třeba si uvědomit, že lidé v daném tržním segmentu, na který jste se rozhodli cílit, se nacházejí v různých rozhodovacích fázích. Obecně pak lze identifikovat čtyři fáze nebo chcete-li skupiny, a to lidé, co:

Rubrika: Marketing
celý článek

Slabina vs. zranitelnost a jaký je mezi nimi vztah

Slabina (weakness) a zranitelnost (vulnerability) není totéž. A byť tyto pojmy bývají dost často používány jako synonyma, znamenají oba něco trochu jiného.

Za slabinu je v informační a kybernetické bezpečnosti obecně považována jakákoliv chyba v architektuře, návrhu, kódu nebo implementaci, která může vést ke zranitelnosti přímo zneužitelné útočníkem.

Rubrika: Bezpečnost
celý článek

K metrikám FAR a FRR přibyly ještě IAR a SAR

Google přichází v souvislosti se stále oblíbenějšími biometrickými autentizačními metodami se dvěma zcela novými metrikami, které by měly podstatně přispět ke zvýšení jejich bezpečnosti.

K důvěrně známým metrikám jako je False Acceptance Rate, zkr. FAR a False Rejection Rate, zkr. FRR nově přibyly ještě metriky Imposter Accept Rate, zkr. IAR a Spoof Accept Rate, zkr. SAR.

Rubrika: Bezpečnost
celý článek

Úskalí Bug Bounty programů

Na Bug Bounty programy můžeme narazit u různých společnosti, zpravidla z oboru IT, jako je např. Google, Microsoft, Facebook, apod.

Takový Bug Bounty program funguje vcelku jednoduše. Najdete zranitelnost, nahlásíte ji dané firmě a ona vám za ní zaplatí. Jenže je tu několik úskalí, především pro firmu, co takový Bug Bounty program vyhlásí.

Rubrika: Bezpečnost
celý článek

Penetration testing a ethical hacking není totéž

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Rubrika: Bezpečnost
celý článek