Ogen Dogen Znawca AMXX

@ Whytti @ [CS:GO] Opiekun Only Mirage @ [CS:GO] Admin Only Mirage co sądzicie?

Wstęp Ostatnio zaobserwowałem jak wiele osób w moim otoczeniu nie dba o higienę swoich haseł. Wielu popełnia bardzo głupie, nierozważne błędy przez które w rażący sposób narażają się na złamanie hasła. Mówię tutaj zarówno o najbliższych mi osobach jak moi rodzice, lecz również obserwuje to na CSKatowice gdy zakładam konta i proponujecie beznadziejne hasła. Jest to zazwyczaj spowodowane brakiem wiedzy oraz lenistwem. Dlatego jako osoba, która posiada pewną wiedzę techniczną na ten temat, osoba której bezpieczeństwo zawsze leży na sercu oraz interesuje się tematem bezpieczeństwa to postanowiłem przygotować jeden, zbiorczy poradnik na temat bezpieczeństwa i higieny haseł oraz używania menadżerów haseł. Poradnik jest skierowany do zwykłych użytkowników! Nie jest tylko dla technicznych osób! Nie tłumaczę tutaj skomplikowanych, technicznych pojęć związanych z hasłami i chce pokazać, że menadżery haseł to nie jest skomplikowane, specjalistyczne oprogramowanie. Poradnik ten powinien przeczytać każdy użytkownik internetu. Staram się tutaj używać prostego języka, aby dotarł do każdego, niezależnie od tego na ile dana osoba potrafi się obchodzić z technologią. Nie myśl, że ten problem ciebie nie dotyczy, twoje bezpieczeństwo od dawna już nie zależy tylko od ciebie co wykażę w tym poradniku Być może wyjdzie trochę przydługawo, ale myślę że warto poświęcić trochę czasu na dokładne zapoznanie się z tym co chcę przekazać i w przyszłości zaoszczędzić sobie stresu Pokażcie go również swoim bliskim, rodzicom, mniej zaznajomionym osobom w temacie. Proszę jednocześnie o uszanowanie mojej pracy oraz ogromu wiedzy, który tu przekazuje. Jeżeli chcesz skopiować ten poradnik to dopisz chociaż jego źródło skąd został kopiowany oraz autora. Dziękuję 1. Ogólnie o hasłach. Czym w ogóle jest hasło? Hasło jest to pewien ciąg znaków, którym uwierzytelniamy się gdy chcemy skorzystać z danej usługi. Zdecydowana większość usług, serwisów, oprogramowania stosuje parę login-hasło jako wystarczające dane, które pozwalają nas uwierzytelnić. Udowadniamy w ten sposób, że jesteśmy tą osobą za którą się podajemy. Dlaczego w taki sposób się uwierzytelniamy? Taka kombinacja stanowi bardzo dobry kompromis pomiędzy użytkownikiem a systemem informatycznym. Osiągamy przyzwoity poziom bezpieczeństwa w systemie i jednocześnie jest to intuicyjne dla ludzi. W końcu haseł używało się jeszcze przed erą informatyzacji. Są również inne metody na wzmocnienie naszego bezpieczeństwa jak uwierzytelnianie dwuetapowe przez SMS/aplikację, którą powinniśmy stosować (raczej nie polecam tego przez SMS) lub klucze sprzętowe UbiKey. Jakie zatem powinniśmy mieć to hasło? Każdy zatem słyszał, że jego hasło powinno być "silne". Co to oznacza w praktyce? Najważniejsze założenia zostały tutaj omówione: Hasło powinno być w dzisiejszych czasach przede wszystkim długie. Tak, ważniejsza od znaków z jakich się składa jest jego długość. Według ASD (Australian Signals Directorate), australijskich służb wojskowych prowadzących wywiad elektronicznych, hasło w 2016r. powinno być długości przynajmniej 13 znaków w przypadku gdy składa się tylko z liter i jest proste lub 10 znaków jeśli składa się nie tylko z liter i jest bardziej złożone. Osobiście na rok 2022 postawiłbym tą poprzeczkę wyżej, na poziomie co najmniej 18-20 znaków dla prostych haseł oraz 14-16 znaków dla bardziej złożonych haseł. Jeżeli już decydujemy się na proste hasło, to powinno ono być przynajmniej długie. Każde hasło powinno zawierać w sobie przynajmniej jedną małą literę, dużą literę, cyfrę oraz znak specjalny. Dołożenie każdego kolejnego elementu w ogromny sposób zwiększa bezpieczeństwo naszego hasła Każde hasło powinno być unikalne Żadne hasło nie powinno zawierać w sobie fraz słownikowych Dlaczego tak ważne jest, żeby hasło było silne? Hasło powinno być silne, aby nikt nam się łatwo nie włamał na nasze konto. To oczywiste, lecz wiele osób nadal myśli, że haker to jest ktoś kto siedzi i zgaduje hasła ręcznie. Od wielu lat hasła są łamane w sposób zautomatyzowany przez karty graficzne. Wraz z postępem technologicznym i coraz większą mocą obliczeniową wymogi te będą się zaostrzać, ponieważ coraz więcej haseł będzie można łamać w relatywnie krótkim czasie. Ponadto, jeżeli z serwisu wyciekła baza danych a on przechowywał hasła w nieodpowiedni sposób to haker jest w stanie sprawdzać kilka a nawet kilkanaście miliardów kombinacji na sekundę! Hasła nie są również zapisywane w serwisie w postaci jawnej, jeżeli zostanie wykradziona baza danych to haker musi je odzyskać metodą siłową (sprawdzając wszystkie kombinacje). Z tego też powodu na wielu serwisach nie da się przypomnieć hasła, tylko wymuszana jest zmiana. Dlaczego tak ważne jest, żeby hasło było unikalne? Z bardzo prostego powodu. Jeżeli nasze hasło zostanie złamane w jednym miejscu, to hakerzy będą próbowali wykorzystać je w innych miejscach. Najczęściej na pierwszy ogień idzie nasza skrzynka pocztowa, później banki oraz najpopularniejsze serwisy typu Google, Facebook, Twitter, Reddit itp. To również dzieje się w sposób zautomatyzowany, istnieją odpowiednie narzędzia do których podajemy dane hasło i próbuje wykorzystać je do automatycznego zalogowania się na poszczególne strony. Wszystko trwa maksymalnie kilka minut i haker wie gdzie jeszcze używaliśmy naszego hasła. Dlaczego tak ważne jest, żeby hasło nie zawierało w sobie fraz słownikowych? Hakerzy są świadomi tego, że użytkownicy lubią dobierać sobie frazy, które łatwo zapamiętać. Frazy słownikowe to słowa z słownika np. imiona, nazwy przedmiotów typu komputer, lampka. Hakerzy wykorzystują to i posiadają odpowiednie narzędzia, które umożliwiają łamanie haseł według słowników haseł. Istnieje również możliwość łamania haseł i mieszania słów słowników z innymi kombinacjami i technikami jak np. doklejanie do każdego słowa w słowniku frazy "123" na końcu lub roku urodzenia itp. 2. Dobre praktyki tworzenia haseł Nie da się całkowicie zabezpieczyć hasło przed złamaniem, zwłaszcza jeżeli administrator serwisu nie dba należycie o ich bezpieczeństwo. Da się jednak wydłużyć czas łamania hasła do kilku, kilkudziesięciu albo nawet kilkuset lat. Aby znacząco wydłużyć czas łamania można dodatkowo (oprócz podstawowych zasad wymienionych wyżej) zastosować kilka nietypowych strategii: Dodaj polskie znaki do hasła. Nie wszystkie strony na to zezwalają, lecz ogromna większość tak. Co nam to daje? Bardzo dużo, w takiej sytuacji w przypadku wycieku naszego hasła istnieje bardzo wysokie prawdopodobieństwo, że nie będzie mogło zostać w ogóle złamane. Do łamania haseł wykorzystuje się zestawy małych, dużych liter, cyfr oraz znaków specjalnych. Zatem jeżeli w naszym haśle znajdzie się przynajmniej jedna polska litera to taki atak jest bezskuteczny. Dodatkowo należy wziąć pod uwagę, że zdecydowana większość wycieków dzieje się za granicą. Nawet gdyby za to się zabierał polski haker, to dla niego lepszym i łatwiejszym celem będą prostsze hasła. Ponadto dołożenie do zestawu angielskiego alfabetu, cyfer i znaków specjalnych jeszcze polskich znaków to znowu w bardzo znaczący sposób wydłuża czas łamania. Dodaj do hasła spację. Jest to znak specjalny, który zostaje pomijany przez wielu użytkowników jak i generatory haseł. Kwestia z spacją jest analogiczna jak z polskimi znakami. Twórz mnemoniki. Są to hasła, które niekoniecznie są bardzo złożone, lecz gdy je wymawiamy to tworzą jakieś dziwne, śmieszne zdanie, frazę. Ułatwi to nam ich zapamiętanie. Przykładem stosującym się do dotychczasowych zasad będzie hasło Lubię Jednorożce A Zwłaszcza Takie Różowe Zwróć uwagę na wysoką entropię hasła (będzie to omówione później przy menadżerach) Używaj "pokemonów" do tworzenia haseł. Zamiast prostego hasła cskatowice123, zacznij pisać na przemian z shiftem. Otrzymasz już dosyć silne hasło, zawierające małe i duże litery, cyfry oraz znaki specjalne: CsKaToWiCe!2# 3. Złe praktyki tworzenia i przechowywania haseł Nie przechowuj haseł na kartce. Zarówno schowanych jak i tym bardziej takich w widocznych miejscach. Nie twórz haseł z obecnym rokiem na końcu. Kiedyś częstym zaleceniem była regularna zmiana haseł. Prowadziło to do tego, że użytkownicy tworzyli hasła kończące się danym miesiącem lub rokiem. np. H@v^1%cZ2022. Jest to bardzo zły pomysł, hakerzy są tego świadomi i będą sprawdzać takie kombinacje. Równie głupie jest dopisywanie tego typu fraz na początek hasła, to również jest sprawdzane przez hakerów. Dziś już dowiedziono, że wymuszanie tego typu praktyk przynosi więcej szkód niż korzyści i odchodzi się od tego. Nie twórz haseł typu skomplikowana fraza plus nazwa serwisu w celu łatwiejszego zapamiętania np. H@v^1%cZfacebook, H@v^1%sZcskatowice, H@v^1%cZsteam. Jeżeli takie hasło wycieknie i zostanie złamane to haker na 100% będzie próbował wykorzystać ten schemat do wchodzenia na kolejne serwisy w których mamy konta Nie twórz haseł o których mają przypominać przedmioty z otoczenia. Wracamy tutaj do kwestii wykorzystania słowników, jeżeli użyjemy w haśle słowa np. zegarek, to jest to fraza słownikowa Nie przechowuj haseł w jawnym tekście np. w pliku tekstowym Nie przechowuj haseł na poczcie. W momencie włamania na twoją pocztę email, haker nie będzie ręcznie przeglądał twoich maili sprzed kilku lat. Również ten proces jest zautomatyzowany i będzie w pierwszej kolejności oprócz dokumentów osobistych (skany/faktury itp.) szukał również zapisanych haseł. Wydaje mi się, że jest to dla wszystkich oczywiste, ale napiszę to - nie używaj tego samego hasła w wielu miejscach! Jedna strona = jedno hasło! 4. Pokaz łamania hasła i przypadki z prawdziwego życia Opowiedziałem już sporo teorii, teraz chciałbym trochę podziałać na Waszą wyobraźnie i pokazać jak to wygląda po drugiej stronie i o co w ogóle tyle zachodu? Uruchomiłem na swoim komputerze najpopularniejsze narzędzie do odzyskiwania haseł. Uruchomiłem je celowo dosyć "niechlujnie", dobrałem tylko kilka podstawowych parametrów, nie ustawiałem żadnej konkretnej strategii. Nie mam też jakiejś super karty graficznej (Nvidia Geforce GTX 1050Ti). Chciałbym zwrócić Waszą uwagę na linijkę Speed #1 Taką zwyczajną kartą, w warunkach domowych uzyskałem prędkość 4535.8MH/s. Co to oznacza? Sprawdzam ponad 4,5 miliarda kombinacji na sekundę! Co prawda użyłem tutaj najprostszego zapisu haseł, który nie jest już dziś uznawany za bezpieczny i w rzeczywistym przypadku może to być trochę mniej jeżeli hasło jest przechowywane w odpowiedni sposób, lecz chciałem tutaj zobrazować jak to wygląda. Gdyby popracować trochę z parametrami i dobraniem odpowiednich strategii łamania, to można by przyśpieszyć ten proces. Co jeszcze powinniście zauważyć to to, że 2 z 8 haseł, które podałem zostały złamane w kilkadziesiąt sekund! Na kolejnym zrzucie widzimy szacunkowy czas na 20 minut i 6 sekund. Jest to czas w jakim sprawdzę wszystkie kombinacje 8 znakowe składające się z liter, cyfr i najpopularniejszych znaków specjalnych. Musicie również wziąć pod uwagę, że robię to wszystko w warunkach domowych. W praktyce, jeżeli komuś zależy na złamaniu hasła to... wynajmuje karty graficzne! Tak, są firmy które wynajmują karty graficzne na godziny. Ceny wahają się od kilkudziesięciu centów do nawet $4 za godziny. Wybór jest szeroki, można wynająć nawet klaster (złączonych) kilku najmocniejszych RTX'ów pracujących równolegle. Przypadki z życia wzięte W drugiej części tego rozdziału chciałbym się podzielić z tobą analizę wycieku haseł, który miał miejsce w 2011 w grze Battlefield Heroes. Hasła były bardzo słabo chronione i ponad 98% z nich udało się złamać. Liczba wszystkich haseł - 541014 Liczba unikalnych haseł - 416120 Top 10 haseł 123456 = 2588 (0.48%) password = 710 (0.13%) qwerty = 559 (0.1%) 123456789 = 480 (0.09%) starwars = 365 (0.07%) killer = 312 (0.06%) 12345678 = 302 (0.06%) dragon = 291 (0.05%) battlefield = 290 (0.05%) 123123 = 283 (0.05%) Top 10 bazowych słów kluczowych password = 1304 (0.24%) qwerty = 1241 (0.23%) dragon = 813 (0.15%) killer = 748 (0.14%) starwars = 662 (0.12%) master = 602 (0.11%) monkey = 543 (0.1%) shadow = 535 (0.1%) battlefield = 532 (0.1%) heroes = 531 (0.1%) Długość haseł 6 = 110067 (20.34%) 7 = 79580 (14.71%) 8 = 155937 (28.82%) 9 = 80856 (14.95%) 10 = 55487 (10.26%) 11 = 27030 (5.0%) 12 = 16601 (3.07%) 13 = 7382 (1.36%) 14 = 4111 (0.76%) 15 = 2167 (0.4%) 16 = 1072 (0.2%) 17 = 359 (0.07%) 18 = 196 (0.04%) 19 = 93 (0.02%) 20 = 69 (0.01%) 21 = 1 (<0.01%) 22 = 2 (<0.01%) 23 = 2 (<0.01%) 24 = 1 (<0.01%) 26 = 1 (<0.01%) Warto zwrócić uwagę, że było bardzo dużo prostych haseł, były to głównie hasła składające się z fraz słownikowych. Co ciekawe zostało złamane kilka haseł o bardzo długiej długości. Nie znalazłem niestety, jakie to były konkretnie hasła. 5. Menadżery haseł Skoro udało mi się Was trochę postraszyć to teraz chciałbym przejść do kluczowej rzeczy w tym poradniku - menadżerów haseł. Menadżer haseł jest programem, który w bezpieczny sposób przechowuje nasze hasła w specjalnym pliku, który możemy wyobrazić sobie jako taki sejf. Dostęp do tego pliku jest chroniony główny hasłem, można go dodatkowo zabezpieczyć plikiem kluczem. W takim "sejfie" przechowujemy sobie loginy i hasła, przypisane do poszczególnych stron. Nie powinniśmy w takiej sytuacji pamiętać wszystkich haseł, wystarczy że będziemy pamiętać główne hasło. Wszystkie inne hasła powinny być wygenerowane i długie. Nawet jeżeli nasz sejf wpadnie w czyjeś ręce np. zgubimy pendrive z tym plikiem, to i tak będzie to dla znalazcy bezużyteczne. Nie będzie w stanie nic z niego odczytać. Oczywiście, można próbować je złamać (tak jak to wcześniej pokazywałem), lecz jeżeli odpowiednio wszystko skonfigurujemy to będzie to trwać bardzo, bardzo, bardzo długo i będzie to nieopłacalne dla atakującego. Pokażę Wam na przykładzie mojej konfiguracji podstawowe zagadnienia związane z menadżerami. Używam Windowsa 10 i Firefoxa, menadżer którego używam i będę prezentować to KeePassXC. KeePassXC to darmowy, bezpieczny menadżer haseł z którego możemy korzystać bez internetu. Jest dostępny na wszystkie systemy operacyjne (Windows, Linux, macOS) oraz format plików jest zgodny z formatem kbdx, który jest obsługiwany również przez inne wersje programu KeePass oraz inne aplikacje np. na Androidzie. Dodatkowo jego kod źródłowy jest otwarty, więc mamy pewność że nie ingerują w niego żadne służby oraz jest cały czas rozwijany przez developerów. To wszystko co opiszę tutaj będzie zapewne wyglądać podobnie w innych menadżerach Istnieją również płatne rozwiązania dla bardziej zaawansowanych użytkowników. Ściągamy zatem nasz menadżer z strony https://keepassxc.org/ i instalujemy. Po instalacji musimy utworzyć naszą pierwszą bazę danych. To będzie ten nasz sejf. Wybieramy na górze opcję z menu "Bazy danych" -> "Utwórz bazę danych". W pierwszym nazywamy naszą bazę danych i krótko opisujemy. Na drugim etapie musimy dobrać pewne parametry naszej bazy danych. Dla większości domyślne wartości będą ok. Ważne aby format był ustawiony na KBDX 4.0 oraz żeby czas odszyfrowywania nie był krótszy niż sekunda. Jeśli ktoś chce to może sobie go trochę zwiększyć lub jeśli jesteś paranoikiem to ustaw nawet 5 sekund Im dłuższy czas tym złamanie będzie znacząco się wydłużać, lecz i otwieranie bazy danych będzie dłuższe. Pamiętaj, że będziesz musiał otwierać ją przy każdym włączeniu komputera. Ustawienia zaawansowane również większości użytkowników nie będą interesować, domyślne parametry zapewniają wystarczające bezpieczeństwo. W ostatnim kroku tworzenia bazy danych ustalamy nasze główne hasło (master password), którym będziemy otwierać naszą bazę danych. Na tym etapie warto wrócić do porad, które zawarłem powyżej. Zauważcie, że to będzie de facto jedno hasło, którym będziecie mogli się zalogować do wszystkich serwisów. Zadbajcie o to, żeby było bardzo bezpieczne a jednocześnie żebyście byli w stanie je zapamiętać. Tutaj taka porada ode mnie. Być może boicie się, że stworzycie sobie super mocne i długie hasło, po czym je zapomnicie i stracicie dostęp do haseł zapisanych wewnątrz. Możecie sobie zrobić przez pierwszy tydzień taki trening, że jeszcze nic nie będziecie zapisywać w bazie, lecz będziecie codziennie logować się do pustej bazy. Dopiero, gdy utrwalicie sobie to hasło to zaczniecie zmieniać hasła w serwisach. 6. Użycie i konfiguracja Tak się prezentuje główna strona naszej bazy danych. Po lewej stronie możemy tworzyć kolejne grupy/zakładki/foldery, klikając prawym przyciskiem myszy i wybierając "Nowa grupa", natomiast klikając po prawej możemy dodawać kolejne wpisy wybierając "Nowy wpis". Tworząc nowy wpis uzupełniamy nazwę wpisu, nazwę użytkownika, nasze hasło oraz dokładny adres pod którym się będziemy logować. Nie powinniśmy znać naszych haseł! Wybieramy zatem ikonę kostki do gry z prawej strony aby wygenerować odpowiednio silne hasło. Powinniśmy również rozszerzyć zbiór znaków o wszystkie znaki specjalne i nawiasy oraz rozważyć dopisanie polskich znaków. Tak jak wspomniałem wcześniej, nie wszystkie portale akceptują takie zestawy, więc możliwe że trzeba będzie je zmieniać w międzyczasie. Również co do długości często mamy restrykcje (np. do 20-22 znaków), lecz to na to co powinniśmy zwrócić szczególną uwagę to entropia o której wspominałem wcześniej. Entropia w dużym skrócie to jest poziom losowości, przypadkowości dobranych zbiorów znaków w haśle. Im hasło dłuższe i bardziej przypadkowe, tym wyższa entropia. Im wyższa entropia, tym hasło jest silniejsze i lepiej dla nas. Nasze główne hasło do bazy danych powinno mieć entropie (moim zdaniem) na poziomie co najmniej około 100 bitów. Generator haseł możemy również otworzyć wybierając ikonę kostki do gry z górnego paska. 7. Wtyczka do przeglądarki Kiedy już mamy zapisane nasze hasła to przyszła pora na zintegrowanie menadżera z przeglądarką, tak abyśmy nie musieli ręcznie kopiować naszych haseł. KeePassXC umożliwia integracje z wszystkimi popularnymi przeglądarkami. Oznacza to, że wystarczy, że mamy tylko odblokowaną bazę danych (wpisane hasło) na komputerze a wtyczka sama przekleja nam hasła do formularza. Ściągamy zatem wtyczkę do naszej przeglądarki: Google Chrome, Chromium, Vivaldi, Brave i inne przeglądarki oparte o Chromium: https://chrome.google.com/webstore/detail/keepassxc-browser/oboonakemofpalcgghocfoadofidjkkk Firefox, Tor Browser: https://addons.mozilla.org/en-US/firefox/addon/keepassxc-browser/ Microsoft Edge: https://microsoftedge.microsoft.com/addons/detail/keepassxcbrowser/pdffhmdngciaglkoonimfcmckehcpafo Gdy już zainstalujemy naszą wtyczkę to wracamy do naszej bazy danych w programie i uruchamiamy integrację z przeglądarką. Postępujemy według kolejności którą oznaczyłem. Najpierw wchodzimy w ustawienia (ikona koła zębatego), następnie w zakładkę "Integracja z przeglądarką", zaznaczamy opcję "Włącz integrację z przeglądarką" i w czwartym kroku wybieramy naszą przeglądarkę. Na tym kroku upewniamy się czy nasza baza danych jest odblokowana w KeePassie. Wracamy do wtyczki w przeglądarce i zaczynamy łączenie. Wybieramy "Połącz". Po wybraniu "Połącz" nazywamy nasze połączenie np. ChromeLaptop Gdy teraz wejdziemy na stronę to wtyczka wykryje, że istnieje wpis dla tej strony i poprosi o potwierdzenie. Warto tutaj zapamiętać ten wybór. Po dopasowaniu klikamy tylko w ikonę KeePass w formularzu i formularz jest sam uzupełniany. Nie musimy znać naszego hasła 8. Aplikacja mobilna Dla wielu wszystko zakończy się na etapie integracji przeglądarki na PC, lecz większość z nas więcej czasu spędza z telefonem niż z komputerem. Możemy w tym celu ściągnąć sobie aplikację, która obsługuje pliki w formacie KeePass. Od siebie polecam aplikację KeePass2Android https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=pl&gl=US Na urządzenia iOS zapewne znajdziecie również odpowiednik Niestety, nie zrobię tutaj szczegółowego opisu jej konfiguracji ze względu na to, że aplikacja blokuje robienie screenów (ze względów bezpieczeństwa), lecz wydaje mi się że jest ona na tyle intuicyjna, że czytając wszystko krok po kroku jesteśmy w stanie sobie ją skonfigurować. Pozostaje jedynie kwestia zgrania sobie z komputera naszej utworzonej bazy danych lub zsynchronizowania jej z chmurą. Możemy to zrobić ustawiając folder do synchronizacji na folder z naszym plikiem bazy danych na telefonie i na komputerze. Niestety jeszcze nie przetestowałem dokładnie jak to może działać i nie chce wprowadzać co niektórych w błąd, więc w przyszłości pewnie dopiero uzupełnię ten rozdział 9. Dodatkowe rady Mam jeszcze dwie dodatkowe rady dotyczące menadżerów haseł, które przychodzą mi teraz jeszcze do głowy: Jeżeli w pracy używasz komputer to stwórz sobie osobną bazę danych do prywatnych kont a osobną bazę danych do pracy. Tym bardziej, że trzymając hasła w pliku, który wynosisz z pracy może zostać potraktowane przez pracodawcę jako incydent bezpieczeństwa. W kwestii bezpieczeństwa twojej bazy danych pamiętaj o dwóch najważniejszych czynnikach, które wpływają na jej bezpieczeństwo: musisz mieć bardzo silne hasło główne (ewentualnie używać jeszcze plik klucza) oraz ważne aby plik bazy danych nie był dostępny publicznie. Co prawda, nawet gdybyś opublikował go na swoim wallu na Facebooku to prawdopodobnie nikt go nie otworzy tak łatwo. Warto jednak potraktować to jako kolejną warstwę bezpieczeństwa. Nikt nie będzie atakował naszej bazy danych jeżeli nie będzie miał do niej fizycznego dostępu Tak samo dotyczy to chmur, jeżeli robicie synchronizację z chmurą to upewnijcie się czy folder na chmurze jest ukryty i nikt inny nie może do niego zajrzeć. 10. Podsumowanie Podsumowując, mam nadzieję że ten poradnik będzie miał duży walor edukacyjny i uświadamiający o niebezpieczeństwach związanych z hasłami. Jeżeli tylko przescrollowałeś i miałbyś zapamiętać z niego jedną rzecz to po prostu zainstaluj dowolny menadżer haseł i zacznij go używać Natomiast myślę, że warto poświęcić jeden wieczór na spokojne przestudiowanie i wdrozenie tego co tutaj chce przekazać i zaoszczędzić sobie stresu w przyszłości, na wypadek wycieku z jakiegoś serwisu na które nie mamy żadnego wpływu. Gdyby ktoś miał jeszcze jakieś pytania lub problemy z menadżerem to chętnie odpowiem w tym temacie Kopiowanie tylko z podaniem źródła i autora. Wykorzystane materiały podczas pisania: Książka Sekuraka "Bezpieczeństwo aplikacji webowych" - rozdział Bezpieczeństwo haseł statycznych https://en.wikipedia.org/wiki/Password_strength https://www.reddit.com/r/KeePass/comments/rsompd/securitybackup_strategy/ https://iocane.com.au/talking-passwords-and-entropy/ https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/ https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/ https://www.theguardian.com/technology/2016/aug/31/dropbox-hack-passwords-68m-data-breach https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_setup_browser_integration

Sprawa została wyjaśniona! Jeżeli nie zgadzasz się z podjętą decyzją, zgłoś ten post Ta wiadomość została wygenerowana automatycznie

Jestem przeciwnikiem podnoszenia limitów dziennej reputacji. Po pierwsze zmniejsza to atrakcyjność innych rang, które w ramach nagrody za zajmowane stanowisko mogą przyznawać więcej reputacji - im wyższa ranga w hierarchii tym więcej. Jeżeli tak bardzo Wam na tym zależy, a nie chcecie zajmować żadnego stanowiska na sieci to pozostaje Wam zakup VIP'a na forum. Umożliwia on rozdanie 15 repek dziennie, co powinno Wam wystarczyć. Po drugie, im ludzie mogą więcej rozdawać punktów reputacji, tym bardziej staję się ona bezwartościowa i niewymierna, bo skoro zwykłym użytkownikom podniesiemy limit to wszystkim musimy. Jednocześnie jest to niefair wobec osób, które już uzbierały znaczącą ilość punktów. Musiały włożyć znacznie więcej pracy w osiągnięcie takiego wyniku niż nowi użytkownicy, działa to podobnie jak inflacja pożerająca oszczędności W przeszłości robiliśmy takie akcje, ale w drugą stronę - uruchamialiśmy narzędzie do przeliczania reputacji na nowo i zaostrzaliśmy limity. Jednym słowem podnoszenia limitów nie będzie.

Zamykam temat, bo widzę że już nic konkretnego się tu nie pojawi. @ [CS:GO] Opiekun Only Mirage @ Whytti rozpatrzcie skargę.

Jeszcze raz podkreślę, że u nas jesteście tylko oceniani za grę i zachowanie na naszych serwerach i forum. Reszta nas nie interesuje. @ [CS:GO] Opiekun Only Mirage @ Whytti

Ten temat został zamknięty! Jeżeli nie zgadzasz się z podjętą decyzją, zgłoś ten post Ta wiadomość została wygenerowana automatycznie

Można, odezwij się na pw lub na steam steamcommunity.com/id/ogendogen

Od 5 stycznia 2022 godz. 22:00 do 6 stycznia 2022 1:00 planowana jest przerwa techniczna w działaniu forum, sklepiku i list banów. Nie będą również działać usługi typu vip/admin/rezerwacja na serwerach. Jest to spowodowane pracami technicznymi na hostingu i jest to niezależne od nas. Mimo to, przepraszamy za uniedogodnienia

@ [CS:GO] Opiekun Only Mirage @ [CS:GO] Admin Only Mirage

Jak co roku, przypominam w rocznicę

Niedawno do ekipy opiekunów DD2 dołączyło dwóch nowych opiekunów - @ shox oraz @ KaZiu :] Gratulujemy! Chłopaki są dopiero wdrażani w obowiązki, ale mamy nadzieję, że współpraca będzie się układać

Prawko za 3 razem przez głupie błędy i stres. Pierwsze auto Fiat Punto z 93' z przebiegiem ledwo 80k Stłuczkę z mojej winy tylko raz miałem drugim autem, która nie do końca była wyłącznie z mojej winy, ale nie miałem kamerki i nic bym nie wskurał. Teraz się nie ruszam bez kamerki

Tak pomyślałem sobie ostatnio, że przydałby się taki temat widoczny publicznie, dla wszystkich. Ostatnio się z jednej strony trochę dzieje na sieci, z drugiej strony jest trochę cicho. Chciałbym tutaj rzucić trochę światła na obecną sytuacje na sieci, w jakiej pozycji jesteśmy, co zrobiliśmy, co planujemy. Na początek chciałbym uspokoić, że nie planujemy zamykać sieci tak jak jeden z naszych głównych konkurentów Wielu z Was zapewne jest w konsternacji i zadaje sobie pytania co się dzieje na sieci i co będzie dalej. Powinniście zatem wiedzieć o tym co się u nas dzieje. Na początku roku działaliśmy dosyć prężnie, również dzięki temu że trwał lockdown, lecz później przez liczne spiny, awantury narobiło się sporo zamieszania i spora część społeczności nas opuściła. Następnie organizowaliśmy turniej, którym również zraziliśmy do siebie część społeczności. Potem już były wakacje przez które jak to przez wakacje drastycznie spadła aktywność i de facto dopiero zaczyna wracać do normalnych poziomów. Z perspektywy zwykłego gracza może się wydawać, że niewiele się dzieje, lecz tak nie jest. Pod koniec wakacji udało nam się całe forum i inne nasze aplikacje internetowe zmigrować na nowe, lepsze maszyny co przełożyło się na lepszą wydajność i komfort użytkowania, między innymi dzięki wdrożeniu nowoczesnego protokołu HTTP/3. Równocześnie uruchomiliśmy pewne rozwiązania na serwerze www, które w znaczący sposób podnoszą nasze bezpieczeństwo. Dzięki zebranym funduszom opłaciliśmy kluczowe opłaty, takie jak hosting forum, domenę oraz przedłużenie licencji na silnik forum IPS. Co nas zaskoczyło, opłata za licencję wzrosła z $25 do $40. Przy słabnącej złotówce uszczupliło to kwotę zebraną podczas zbiórki. Wcześniej zajęliśmy się również optymalizacją stron Sourcebans i Amxbans na co wielu z Was narzekało i często nam zgłaszało, zwłaszcza wśród administracji. Dzięki przedłużonej licencji mogliśmy przeprowadzić aktualizacje silnika forum do najnowszej wersji, co umożliwiło nam wprowadzenie dalszych optymalizacji oraz przesiadkę na najnowsze wersje technologii webowych. Jednocześnie w głównej mierze dzięki ciężkiej pracy @ Waterovsky oraz @ Pogrom wdrożyliśmy nowy, odświeżony, autorski styl, który osobiście mi się bardzo podoba, mimo że byłem tego przeciwnikiem na początku Nie dość, że się dobrze prezentuje to jest również dużo lżejszy od poprzedniego. Udało nam się tutaj zaoszczędzić na licencji na styl. Serwery 1.6 również są regularnie aktualizowane i monitorowane pod kątem bezpieczeństwa. Jak zapewne wielu z Was zauważyło, forum zostało częściowo przeorganizowane. Zostały pousuwane zbędne działy oraz poprzenoszone do innych miejsc, aby ułatwić użytkownikom nawigację. To co jest dla Was niewidoczne to również bardzo gorąca dyskusja w kąciku OP/MOD, która trwała w ukrytym dziale. Dyskutowaliśmy długo na temat całokształtu sieci, reorganizacji pracy, reorganizacja forum, potrzeby lub braku potrzeby różnych rozwiązań. Część osób, która zdecydowała, że nie ma już czasu i chęci na ogarnianie swoich obowiązków na sieci sama zrezygnowała po lekturze. Zdecydowaliśmy również, że bardzo mocno poluzujemy wymagania na poszczególne rangi. Potrzebujemy moderatorów, blacklisted, redaktorów (również fanpage) oraz przede wszystkim adminów! Nie będziemy również otwierać nowych serwerów 1.6. Jedynie drogą wyjątku możemy przyjąć jakiś serwer z zewnątrz, który ma już graczy. Chcemy jednak skupić się na serwerach CSGO, pomimo tego, że Valve prowadzi politykę, która mocno ogranicza i utrudnia prowadzenie serwerów. Skąd taka decyzja? Utrzymanie reklamy serwerów 1.6 kosztuje majątek. Aby uruchomić w miarę sensowną reklamę to musimy wydawać przynajmniej 500zł miesięcznie. Ich głównym źródłem są darowizny graczy, za które bardzo dziękujemy, lecz serwery CSGO tego nie wymagają i mimo wszystko można tam prowadzić bardziej uczciwą konkurencję, niepolegającą na licytacji kto da więcej. Również w kwestii serwerów głosowych będziemy bardziej iść w kierunku Discorda niż TS3. Dlaczego? Jest darmowy, oferuje znacznie więcej funkcjonalności, umożliwia łatwiejsze tworzenie społeczności, jest prostszy w zarządzaniu i prowadzeniu oraz takie niestety są trendy. Wiem, że wielu graczy starej daty się tutaj oburzy, ale niestety, świat idzie do przodu, a my musimy za nim nadążać. Nie znaczy to oczywiście, że zamykamy serwer TS3, lecz raczej będziemy marginalizować jego rolę na rzecz Discorda. Musicie również zauważyć, że większość administracji to osoby dorosłe. Koncentrujemy się na swoich karierach, zakładamy rodziny, codzienność nas pochłania. Nie chcemy zamykać sieci, lecz nie możecie oczekiwać od nas, że będziemy prowadzić ten projekt jak jeszcze kilka lat temu. Dajemy z siebie tyle ile możemy, wkładamy w to nadal dużo czasu i wiedzy, ale w pewnym sensie został zamknięty już pewien rozdział na CSK. Dlatego jeszcze raz apeluje do osób, które chciałyby spróbować swoich sił na rangach. Wymagania zostały obniżone, potrzebujemy w głównej mierze adminów oraz redaktorów, lecz nie tylko. Zwłaszcza tych z otwartymi umysłami i pomysłami na pobudzenie forum Co dalej? W kwestii serwerów CS 1.6, uruchomiliśmy już reklamę na serwerze DD2. Jesteśmy w trakcie rekrutowania dwóch nowych opiekunów do pomocy. Równocześnie zebraliśmy spore fundusze na reklamę, których prawdopodobnie wystarczy nawet na 2 miesiące! Planujemy ją uruchomić od grudnia. Serwer Paintball również powoli zbiera fundusze na uruchomienie reklamy od grudnia. Tak więc kolejny raz zachęcam do składania podań na adminów, rekrutacja jest obecnie darmowa. Chciałbym tutaj również zapewnić, że wszystkie pieniądze które zostały w międzyczasie wpłacone na reklamy tych serwerów nie przepadły. Wprowadzamy na forum kolejne udogodnienia. Jesteśmy w trakcie negocjacji przyjęcia nowych serwerów z zewnątrz. Serwer Paintball zostanie odświeżony na dniach. Chcemy wrócić do projektu zupełnie nowego sklepiku, który zaczęliśmy na wiosnę, lecz porzuciliśmy przez obowiązki i wakacje. Niebawem otwieramy serwer CSGO Deathmatch na którym będzie można poćwiczyć przed wejściem na mecz rankingowy. Na tym etapie chcielibyśmy również zadać to pytanie naszej społeczności. Co dalej? Jak widzicie przyszłość CSK? Może jakieś pomysły, sugestie? Zapraszam do dyskusji P.S Przypominam o zniżce na VIP'a do końca weekendu