Vlákno názorů k článku Neměníte hesla dost často a nechráníte si je? Škodu vám nikdo neuhradí od jehovista - Mohl bych se zaptat, co si ten clovek...

Mohl bych se zaptat, co si ten clovek na verejne wifi sedici vedle z mistnosti, vezme na sifrovanem spojeni mezi mnou a bankou/jinou sluzbou? Jestli expert objevil nejakou snadno zneuzitelnou zranitelnost https, tak by nemel takto v naznaci h poustet stripky informaci do medii, ale jit se svym objevem na verejnost. Jinak je to zbytecne sireni strachu.

Pravdepodobne Vam podstrci svoji stranku misto te bankovni, poskytovatele emailu, atd. A vy mu tam patrne zadate svoje jmeno, heslo, autorizaci, atd. Staci jen trocha nepozornosti. A samozrejme to patrne nebude clovek, ale stroj.

I já se domnívám, že zabezpečení komunikace s bankou apod. se opírá o protokol HTTPS a na rozdíl od experta že tudíž při použití veřejné wifi sítě žádné zvláštní nebezpečí nehrozí. Samozřejmě se předpokládá jistá elementární obezřetnost, ovšem možnost připojení se k falešnému serveru hrozí vždy.
Podobně je diskutabilní požadavek na změnu hesla po třech měsících - proč by tak tomu mělo být? Proč ne po čtyřech nebo po dvou? Pokud by došlo k prozrazení hesla uživatele, nejspíše by útok následoval velmi rychle. Občas se lze setkat s tzv. únikem hesel ze systému, kam se uživatel hlásí. V moderních systémech (a nepochybuji, že banky mají pouze takové systémy) se hesla nikdy neuchovávají v otevřené podobě, ale pouze jejich heše (někdy se říká otisky), ted zpracovaná kvalitní jednosměrnou funkcí. Tudíž i kdyby taková "hesla" (tj. heše) unikla, bylo by nutné ještě je rozluštit. Pokud by byl pro hešování použit dnes již klasický algoritmus SHA-256, trvalo by luštění stovky miliónů let.
V čem má expert samozřejmě pravdu je nutnost používat netriviální hesla a dostatečně dlouhá hesla! Expertem popisované odvozování (Skákal peps ...) ve mně budí rozpaky - je to profláknuté. Na druhou stranu podle současných názorů není dobré uživateli podobu hesla nutit (např. že musí obsahovat malá písmena, velká písmena, číslice, zvláštní znaky apod.). Uživatel si takové heslo bude muset někde poznamenat a ne všude lze použít manažer hesel, anapř. KeePass (https://keepass.info/).

Nepozornosti prehlednu a potvrdim celostrankove varovani, ze mi stranka cpe neplatny certifikat?

P.S. Tohle schvalovani nazoru je vazne zlo. Pak se tu objevi x stejnych nazoru v "nahodnem" poradi a neni jasne kdo na koho reaguje.

To by mě zajímalo, jak by to udělal. Pokud by tam zkusil podstrčit něco jiného, samozřejmě to klientský program (webový prohlížeč, e-mailový klient apod.) pozná a zobrazí varování. V některých případech dokonce ani nedovolí přístup. A i kdybych třeba napsal URL bankovnictví špatně (neřeším, že ho otevírám ze záložek), dostal bych se na phishingovou stránku a nevšiml bych si toho, tak bez autorizace jiným kanálem (aplikace v mobilu, OTP token, případně SMS) žádná platba neproběhne. Samozřejmě, že kdo zanedbává základní zásady bezpečnosti, například odklikne nedůvěryhodný certifikát (třeba proto, že mu to kdysi poradil usměvavý pan Stiegler z České pošty, když začínaly datové schránky), může si naběhnout.

Pokud používá veřejná síť pochybný DNS resolver, často ten šílený od Google, protože je "zadarmo", tak problém čeká zde - MITM. Na PC se ještě můžete chránit doplňkem do prohlížeče na DNSSEC, na mobilu je to obvykle bez šance.

mitm si děláte srandu že? Pochybné google dns? Máte další vtipy? Sem s nimy.

Pokud nevíte co je to MITM, nějaké materiály ke studiu https://serverfault.com/questions/920805/dnssec-how-does-it-protect-from-an-mitm-attack

Zkuste trochu přemýšlet, proč Google takové DNS asi provozuje :-) Kombinace Google prohlížeče a kontrolovaného DNS serveru je ideální pro doručování cílené reklamy, tedy prakticky jediného zdroje příjmů Google. Víte tak, kam chodí uživatel nejen v Chrome, ale i ve všech ostatních aplikacích.

O bezpečnosti tohoto produktu už bylo také leccos publikováno https://thehackernews.com/2014/03/google-public-dns-server-traffic.html

No co si veme ten super chytrý člověk který je schovaný někde vedle v místnosti veřejné kavárny,no toto,C0999FDDE­378D7ED727DA00BCA5A84E­E47F269A4D6438190D9D52F7­8F53584997F922CCB5B068D99 pak naprosto jednoduše veme kód na kterým se klient a server domluvily a dekóduje to klíč vypadá takto 0E329232EA6D0D73 ten si ten muž za závěsem či čím vycucá z prsu,asi mámy toho pisálka co napsal tento pohlupavý článek.