Krypto bezpečnost: hesla a autentizace

Tento živý přenos pokrývá základní bezpečnostní postupy pro držitele kryptoměn, od základů správy hesel až po vícefaktorovou autentizaci. Andreas Antonopoulos prochází principy vyvažování bezpečnosti a použitelnosti, vysvětluje, proč jsou správci hesel nezbytní, představuje koncept přístupových frází podle XKCD a podrobně popisuje hierarchii metod dvoufaktorové autentizace.

Tento přepis je přístupnou kopií původního přepisu videa (opens in a new tab) publikovaného uživatelem aantonop. Byl lehce upraven pro lepší čitelnost.

Základy bezpečnosti a vyvažování rizik (3:05)

(pípání) - Zdravím všechny a vítám vás u tohoto sobotního živého vysílání. Tohoto bonusového živého vysílání na téma hesel, správců hesel, ověřování, vícefaktorového ověřování a všeho, co souvisí s bezpečností vašich účtů. Ve frontě už máme spoustu dotazů, ale tentokrát se jimi nebudu nutně řídit primárně, protože chci vysvětlit určitá složitá témata. A možná bude dávat větší smysl, když o některém tématu budu mluvit o něco déle než obvykle, nebo možná o něco méně, a vytvořím si těmito tématy vlastní cestu. Jsou trochu záludná. Bezpečnost je záludné téma. Takže se možná ani nebudu snažit najít tu naprosto dokonalou otázku. Na druhou stranu mám několik skvělých otázek do začátku. Takže ze všeho nejdřív vám všem děkuji, že jste se připojili. Je mi potěšením,

jako vždy, strávit sobotní dopoledne prací s vámi na nových a zajímavých tématech, která se týkají bitcoinu a otevřených blockchainů. Jak tedy hesla a vícefaktorové ověřování souvisí s bitcoinem a otevřenými blockchainy? Víte, abyste zachovali bezpečnost svých kryptoměn, musíte udržovat v bezpečí všechny své účty. Na kryptoměnách je velmi zajímavé to, že pro mnoho lidí je to vůbec poprvé, co musí pečlivě přemýšlet o bezpečnosti své online identity a online zařízení. Protože teď tam leží peníze, což z nich dělá mnohem lákavější cíl. V minulosti lidé nebyli příliš motivováni chránit svou vlastní bezpečnost, protože když přijdete o soukromí, když jsou vaše informace hacknuty, nepocítíte to hned. A má to spoustu špatných důsledků, ale tyto důsledky nejsou přímo

viditelné a nepocítíte je okamžitě. Pokud někdo přijde a ukradne vám z vašich digitálních zařízení několik set dolarů, několik tisíc dolarů nebo v horším případě desítky tisíc, pocítíte to, a to okamžitě. A můžete si to hmatatelně, no, abych byl přesný, spíše nehmotně spojit. Můžete si to nehmotně, ale velmi, velmi znatelně spojit se svou bezpečností. Je to tedy jedna z těch věcí, která je bohužel lekcí, jíž se člověk naučí až díky bolestné zkušenosti. A tak mohu strávit spoustu času tím, že budu nováčkům vysvětlovat, jak a proč si mají zabezpečit své účty. Dokud si na jedno ze svých zařízení nenainstalují horkou peněženku na kryptoměny a pak nepřijdou o peníze, které v této horké peněžence jsou, je velmi těžké pochopit, o čem mluvím, nebo se tím nechat motivovat. Další věc, kterou je v celé této konverzaci opravdu důležité pochopit, je, že bezpečnost

je o rovnováze. Všechno je to o rovnováze. Je to řízení rizik. Nic takového jako stoprocentní bezpečnost neexistuje. Neexistuje žádná dokonalá bezpečnost. A nemůžete se chránit před všemi hrozbami. Musíte zjistit, jakým hrozbám čelíte. Musíte zjistit, před kolika z těchto hrozeb se dokážete reálně ochránit a kolik úsilí do ochrany před těmito hrozbami vložíte, v závislosti na tom, co vlastně chráníte. Musíte také zjistit, kdy se řešení, které budujete, a systémy, které používáte, stanou natolik složitými, že se samy o sobě stanou bezpečnostním rizikem. A často vidíme, že nováčci, zejména v oblasti kryptoměn, vytvářejí řešení, která jsou až příliš složitá. A pak skončíme na špatné straně rovnováhy mezi bezpečností a odolností. Kde je mechanismus pro zabezpečení vaší kryptoměny tak složitý, že o ni ve skutečnosti nakonec

přijdete, protože používáte něco nestandardního, protože zapomenete heslo, protože nikdo přesně neví, co jste udělali, a vy nejste k dispozici, abyste jim pomohli. Bezpečnosti tedy nelze dosáhnout stoprocentně a vše je o rovnováze. A jednoduchost je často klíčovým prvkem bezpečnosti. Jednoduchá bezpečnostní řešení, která dokážete aplikovat v rámci svých technických dovedností a která můžete uplatňovat konzistentně. A ze kterých se dokážete zotavit, pokud nastanou problémy, jsou lepší než složitá bezpečnostní řešení, která vás nutí překračovat úroveň vašich dovedností, dostávají vás do neprobádaných vod a zvyšují pravděpodobnost, že uděláte chybu. To je často něco, o čem slyšíte spoustu špatných rad. Lidé vám budou radit, abyste implementovali něco, co se zdá být velmi, velmi složitým bezpečnostním schématem. A protože je to tak složité, působí to bezpečně. Máte pocit, že je tu

Udržujeme bezpečnost jednoduchou (8:40)

...se toho děje hodně, takže to musí být velmi sofistikované a vážné. A v mnoha případech nakonec překročíte své technické možnosti a ve skutečnosti přijdete o peníze, ne kvůli krádeži, ale kvůli chybě, kterou uděláte, protože fungujete mimo úroveň svých dovedností. Takže to pojďme udržet jednoduché. Držme se standardů. Používejme osvědčené postupy, běžné nástroje a používejme je konzistentně. Tak můžeme být velmi v bezpečí. Půjdeme rovnou na, půjdeme rovnou na první otázku. Zatím je na streamu 220 lidí. Děkuji vám za zpětnou vazbu k videu a zvuku. Je vždy dobré to vědět. Jen abyste věděli, dnes dříve jsme tu měli menší výpadek elektřiny, a pokud bychom o elektřinu přišli, poznáte to, protože se stream zastaví. A trvá minimálně pět minut, než se internetový router a wifi

restartují. Možná se mi podaří vrátit, ale i kdyby to byl jen vteřinový výpadek proudu, budu muset počkat pět minut, než se budu moci vrátit. Pokud se nebudu moci vrátit, dáme vám vědět v chatu. Takže buďte prosím trpěliví a doufám, že nás to neodpojí. Ale víte, to je jedno z rizik, se kterými se dnes musíme vypořádat. Pojďme na naši první dnešní otázku. První otázka pochází od anonyma a už jen to, že jste si pro položení otázky vybrali slovo anonym, je prvním a dobrým bezpečnostním mechanismem. Jaký je nejlepší způsob správy mnoha jedinečných, silných hesel, když jsem dyslektik a nejsem dobrý v pamatování si dlouhých hesel? To je skvělá otázka. Je to skvělá otázka, protože se dotýká širšího problému, kterým je obtížnost pamatovat si věci. A všichni si myslíme, že si pamatujeme lépe, než

ve skutečnosti dokážeme. A někteří z nás mají potíže s pamětí, čtením, psaním nebo jinými dovednostmi, které nám pomáhají se zapamatováním hesel. A možná vědí, že si nepamatují moc dobře. Takže anonym se ptá z pohledu někoho, kdo trpí dyslexií, ale to platí pro všechny stejně. Pro každého, kdo má lidskou omylnou paměť. Lidé jsou opravdu špatní v pamatování si věcí po dlouhou dobu, zvláště věcí, které nejsou zapamatovatelné, protože nejsou spojeny s obrazy, zážitky nebo emocemi. Pamatovat si věci, které nemají žádnou spojitost s našimi životy, je téměř nemožné, protože náš mozek je velmi dobrý v odstraňování informací, které nejsou relevantní. Pokud nemáte emoci, zážitek nebo obraz spojený s tím, co se snažíte zapamatovat, mozek si řekne: tohle už není pro můj algoritmus ukládání do mezipaměti relevantní, a zahodí to. A spousta

lidí zapomíná hesla právě kvůli tomu. Takže zde vlastně použiji několik zdrojů, abych na tuto otázku odpověděl šířeji a pomohl lidem získat základní přehled o základních principech hesel. K tomu použiji nějaké vizuální pomůcky. Obvykle vizuální pomůcky nepoužívám, ale myslím, že v tomto konkrétním případě budou užitečné. Uvidíme, jak to půjde. Dobrá, takže první věc, o které budeme mluvit, jsou systémy pro správu hesel. Po desetiletí jsme uživatele učili vytvářet dlouhá, náhodná alfanumerická hesla se širokou škálou znaků. To jsou hesla, která si lidé nedokážou zapamatovat. Jsou to hesla, která ve skutečnosti podporují špatné chování. Podporují chování, kdy nakonec použijete stejný záludný vzor, Satoshi Nakamoto s písmeny O nahrazenými nulami, prvním písmenem druhého slova velkým a písmenem T nahrazeným

sedmičkou a křížkem na konci. A teď tam máte čísla, malá písmena, velká písmena a další znaky. Ale pokud to musíte použít na více než jedné stránce, uděláte malou změnu. Pak možná musíte přidat číslo na konec. A pak skončíte s tímto opravdu záludným problémem s pamětí, který spočívá v tom, že vás stránky nutí vytvářet variace, ale variace znemožňují, abyste si to skutečně pamatovali, zvláště u hesla takové složitosti. A tak nakonec své heslo používáte opakovaně na mnoha stránkách. To dělá téměř každý. A to je pro bezpečnost velmi, velmi špatné. Nyní, jedním z nejlepších zdrojů pro pochopení toho, jak tento problém vyřešit, je vlastně komiks. Takže to, co udělám, je, že vám dám dvě rady. První je: nesnažte se vytvářet svá vlastní hesla,

Správci hesel (13:50)

používejte správce hesel. Správce hesel je software, který pro vás generuje náhodná hesla a pamatuje si je za vás. Tyto systémy řeší dva problémy: lidská paměť je omylná a lidská náhodnost je na tom ještě hůř. Jsme velmi špatní ve vytváření náhodnosti. Jsme velmi špatní v pamatování si věcí a jsme dvojnásob špatní v pamatování si náhodných věcí. Tento problém tedy nevyřešíte tím, že budete disciplinovanější, inteligentnější nebo opatrnější. Nevyřešíte ho ani tím, že si na monitor nalepíte papírky a budete dělat, no víte, všechny ty věci, které tu vidíte, že? Které neustále vídáte v kancelářích. Zapsat si heslo není špatný nápad. Pokud je místo, kam si ho zapisujete, skutečně bezpečné. Takže tou nejzákladnější formou správce hesel je malý sešitek, notýsek na hesla. A víte, i když řeknu, že to není příliš moderní, není to

příliš technologicky pokročilé a neřeší to problém generování náhodných hesel. Je to upřímně řešení, které používají moji rodiče. Protože když si je zapíšou, mohou mít svá hesla rozmanitější. A pokud ten malý notýsek uchovávají na bezpečném místě, jako je například doma zamčená zásuvka nebo něco podobného, je to docela trvanlivý mechanismus. Většina z vás je ale pravděpodobně technicky zdatnější než moji rodiče. Pojďme se tedy bavit o lepším řešení pro vás. Tím lepším řešením je stáhnout si software, který to udělá za vás. Existuje celá řada správců hesel. A skvělou zprávou je, že pro základní funkce jsou zdarma. Můžete použít produkt jako LastPass, 1Password, Bitwarden a celou řadu dalších, KeePass a tak dále. Tyto programy budou

mít spoustu různých funkcí a vy budete muset zjistit, které z nich vlastně potřebujete. Moje rada zní: začněte tím, že si ujasníte, na jakých zařízeních ho potřebujete používat, protože jednou z velkých výhod používání správce hesel je fakt, že můžete mít všechna svá hesla synchronizovaná napříč všemi svými zařízeními. Takže pokud používáte Windows, Android a iOS, je to pravděpodobně snadné. Všichni správci hesel budou tyto platformy podporovat a budete v pohodě. Také chcete, aby to podporovalo prohlížeče, které používáte. Tedy Chrome, Firefox, Edge, Opera, Brave nebo cokoli jiného, co používáte, jako rozšíření, abyste mohli automaticky vyplňovat a odesílat hesla do webových formulářů. Myslím, že jste všichni viděli, jak moje videokamera právě ohlásila plnou kartu. Přímo do streamu, to

bylo užitečné. Jo, moje SD karta se právě zaplnila, takže už nenahrávám na kameru. Jejda. No nic, nevadí. Pokračujme. Takže jedním ze způsobů, jak si vybrat správce hesel, je zjistit, jaká zařízení potřebujete podporovat. A pokud máte nějaká neobvyklá zařízení, začíná to být trochu složitější. Já například používám na desktopu Linux. Linux na desktopu používám už velmi dlouho. A víte, myslím si, že tento rok je vlastně rokem Linuxu na desktopu. Stane se to, lidi. Ne, nestane. Ale v každém případě ho používám, funguje mi, ale není široce podporován. Takže ne všichni správci hesel fungují nebo fungují dobře na linuxových desktopech. Naštěstí většina správců hesel funguje v prohlížeči jako rozšíření, což z nich dělá převážně multiplatformní záležitost. Takže pro mě,

Výběr správce hesel napříč zařízeními (18:22)

Správce hesel musí fungovat na Androidu, Windows, Linuxu, v Chrome, Firefoxu, na iOS a tak dále a tak dále. Takže ho mohu mít nainstalovaný na všech svých zařízeních a díky tomu mít přístup ke všem svým heslům na všech svých zařízeních. Dobrá. Abych tedy odpověděl na otázku, kterou položil anonym: jaký je nejlepší způsob správy mnoha jedinečných a silných hesel, když jsem dyslektik a nejde mi pamatovat si dlouhá hesla? Nejlepším způsobem je používat správce hesel, který pro vás náhodně generuje jedinečná a silná hesla. A jakmile si správce hesel vyberete, nastavíte si jedno heslo a toto jediné heslo bude vaším heslem do správce hesel. Také bych doporučil používat mechanismus dvoufaktorového ověřování, aby se někdo nemohl jednoduše přihlásit a stáhnout si váš soubor s hesly jen pomocí tohoto jednoho hesla. Potřebujete druhý faktor ověření. O tom si promluvíme

ve druhé části dnešního videa. Máme tu také doplňující otázku z publika, a to: jak mohu tomuto softwaru důvěřovat? Jednoduchá odpověď zní, že hledáte software, který je buď široce používaný, kontrolovaný a auditovaný bezpečnostními profesionály, nebo je open source, případně všechno z toho. A myslím si, že všechny ty, které jsem zmínil dříve, tyto požadavky splňují. Nyní se vraťme k tomu, co jsem zmínil předtím. Vzpomínáte si, jak jsem říkal, že bezpečnost není stoprocentní a že je to otázka vyvažování a zmírňování rizik? Pojďme si tedy dát tato dvě rizika na stůl. Riziko první: mohu správci hesel důvěřovat? A co se stane, když je správce hesel, kterého si stáhnu, kompromitován nebo kompromitovatelný, případně má chybu, které si nevšimly miliony dalších uživatelů a bezpečnostních profesionálů, kteří ho

kontrolují? Riziko druhé: mohu důvěřovat svému mozku? Když to podáte takto, je jasné, že problém spočívá v tom, že jakýkoli správce hesel je lepší než žádný správce hesel. Je to stejný druh řízení rizik, jaký děláme, když mluvíme o hardwarové peněžence versus softwarové peněžence v kryptoměnách. Mohu důvěřovat výrobci hardwarové peněženky? No, do jisté míry ano, ale ne stoprocentně. Jsou tu určitá rizika. Jak si tato rizika stojí v porovnání s tím, když hardwarovou peněženku nemáte? A odpověď zní opět tak, že jakákoli hardwarová peněženka je lepší než žádná hardwarová peněženka. Jaká rizika tedy můžete skutečně řídit? Při pořizování tohoto správce hesel je důležité se ujistit, že máte ten správný software. Že si ho nestáhnete jen tak z nějaké náhodné webové stránky, s kupónem ze slevového portálu, na něco, co bylo stejně zdarma, a

pak si do systému nenatáhnete trojského koně. Ale abych se vrátil k věci, jakýkoli správce hesel je lepší než žádný správce hesel. A proto byste se neměli snažit vytvářet jedinečná hesla sami. Pokud po vás webová stránka požaduje alfanumerické heslo o osmi a více znacích, udělejte to, co dělám já. Kliknete na to malé tlačítko, které říká „vygenerovat bezpečné heslo“. Nastavíte délku na 31 znaků, 75 znaků, 213 znaků. Rád si s weby hraju a zkouším, jak dlouhé heslo mohu vytvořit, než začnou křičet, že je to příliš dlouhé. Po všech těch letech, kdy na mě správci hesel a systémy křičeli, že to není dost dlouhé. Že to není dost složité. Chci vidět, jak webové stránky začnou křičet, že je to příliš dlouhé. Že je to příliš složité. No tak, chlape, co to děláš? Do mojí databáze se to nevejde. Takže si vygenerujte silné náhodné heslo. A teď, dokážu si toto heslo zapamatovat?

Samozřejmě že ne. Ve svých správcích hesel mám 800 hesel, všechna mají více než 20 znaků, jsou to zcela náhodné alfanumerické řetězce se symboly, velkými a malými písmeny a číslicemi. Je pro mě nemožné zapamatovat si byť jen jedno z nich, natož všech 800, ale pamatuji si své hlavní heslo. Dobrá, podívejme se, jaké tu máme další otázky. A přejděme k další otázce, která mi dá příležitost promluvit o dalším tématu, o kterém chci mluvit. Anonym se ptá: existují nějaké minimální životaschopné bezpečnostní standardy pro hesla nebo přístupové fráze, když používám silný generátor hesel a na mnoha místech to nefunguje? Ano. Webové stránky mají ohledně hesel směšná očekávání a často jsou to špatná očekávání. Podporují například protichůdné informace. Dám vám příklad. Musí to mít více než osm znaků, být alfanumerické se symboly a číslicemi, ale zakázali jsme vkládání do formuláře. Cože

Špatné zásady pro hesla (24:02)

děláte? Co to děláte? Proč po mně chcete, abych si vybral složité heslo, na které očividně použiji generátor, a pak mi ho nedovolíte vložit? Nebo mi ho nedovolíte vložit do potvrzovací části formuláře? Zbláznili jste se? Co to děláte? Přestaňte s tím. Nebo ta další hesla, která vyžadují osm až 12 znaků. Vážně? Chcete po mně, aby to bylo složité, ale ne příliš složité. Takže 13 znaků už použít nemůžu, to nedává žádný smysl. Nebo ty podivné kombinace symbolů. Jasně, můžeme použít symboly, ale jen křížek, vykřičník a hvězdičku. Jednoduché uvozovky a zavináč nebereme, protože by to zmátlo náš regulární výraz (regex). Tohle všechno jsou opravdu, ale opravdu špatné zásady pro hesla. Nebo měnit heslo každý měsíc, ale nesmíte znovu použít žádné z předchozích měsíců a musíte je udržovat

takto podivně složitá. To všechno jsou zvláštní zásady pro hesla a narazíte na spoustu z nich. Jde o to, že nemůžete očekávat, že různé webové stránky od různých společností, které mají odlišné bezpečnostní týmy, bezpečnostní zásady a různé úrovně povědomí o bezpečnosti, vymyslí dobrou zásadu, která bude fungovat pro většinu jejich uživatelů. Mějte na paměti, že se snaží vyjít vstříc uživatelům, jejichž spektrum sahá od „snažím se zadat 37místné náhodně vygenerované heslo ze svého správce hesel“ až po „jedna, dva, tři, čtyři, pět, šest, sedm, osm“. Což je zřejmě nejčastější heslo na internetu, nebo „heslo jedna, dva, tři, čtyři“, což je myslím druhé nejčastější heslo na internetu. Takže najít zásadu, která by fungovala pro všechny tyto lidi, je pro weby velmi, velmi obtížné. Takže to, co dělám já,

je, že to prostě zkouším dál. Zkusím tam hodit náhodně vygenerované heslo takového typu, jaký mám rád, víte, 37 znaků a samé symboly. A webová stránka si pak začne stěžovat a řekne: „Hvězdičky se mi moc nelíbí, proč mi to děláš?“ Takže některé symboly vypnu, nebo mi to řekne, že je to moc dlouhé, tak to zkrátím. Nebo to řekne: „Vlastně potřebuji i alespoň dvě velká písmena, ale nesmí to začínat číslem.“ A já si říkám: „Uf, no tak.“ Prostě si s tím budu hrát, dokud nezískám něco, co funguje. Ale ať už mi z toho vyjde cokoliv, bude to mít dvě záruky. Bude to dlouhé a složité a bude to zcela náhodně vygenerované, aniž bych se spoléhal na to, že mi to vymyslí nebo zapamatuje lidský mozek. A využívám tu největší možnou složitost. Dobrá, takže anonym

nám pokládá další otázku, která mi umožňuje pokračovat v tomto vyprávění. Možná hloupá otázka, ale není správce hesel umístěn v cloudu, a nemohl by se tak snadno stát cílem hackerů? Skvělá otázka, anonyme. Takhle tato zařízení fungují. Záloha vaší databáze hesel je uložena v cloudu. Tato záloha je však šifrovaná, a to koncovým šifrováním (end-to-end). To znamená, že je zašifrována na vašem lokálním počítači. Do cloudu se odesílá zašifrovaná a dešifruje se opět pouze na vašem lokálním počítači. Způsob, jakým se šifruje a dešifruje, využívá vaše hlavní heslo (master password). A samotné toto hlavní heslo prochází něčím, co se nazývá „stretcher“ (prodlužovač). A to, co stretcher dělá, je, že vezme algoritmus pro prodlužování hesel, chcete-li, vlastně je to hashovací algoritmus. Dělá to, že vezme slova nebo znaky, které zadáte jako své hlavní

heslo, a pak ho prožene tisíci koly hashování. To zabere nějaký čas a výsledkem je heslo, které nelze prolomit útokem hrubou silou (brute force). Protože řekněme, že bych zadal heslo a zašifroval ho nebo zahašoval jen jednou a pak ho poslal na server. Skvělé, to je ale vystaveno sice obtížnému, ale poměrně snadno proveditelnému útoku, kterému se říká duhová tabulka (rainbow table). Následně by se stalo to, že by útočník vzal všechna nejběžnější hesla, která si dokážete představit, zahašoval by je a vytvořil by databázi zahašovaných hesel, kterou by mohl použít k tomuto útoku. Na druhou stranu, nebo mohu prostě zkoušet různá hesla znovu a znovu a znovu, dokud nenajdu to správné. Typický útok hrubou silou. Ale pokud je každé heslo zahašováno 25 000krát, 50 000krát nebo stotisíckrát, pokaždé, když já

Jak jsou databáze hesel šifrovány (29:19)

napsat to do mého počítače trvá dvě až tři sekundy. Což pro mě není žádný velký problém. Dvě až tři sekundy, když se poprvé přihlásím do prohlížeče nebo počítače, abych spustil svého správce hesel, dvě až tři sekundy. Ale pokud musíte přidat dvě až tři sekundy pokaždé, když zadáváte heslo, tak to úplně zhatí pokusy o prolomení hrubou silou. Také to znemožňuje vytvořit databázi předem vypočítaných hashů hesel, protože by trvalo příliš dlouho vyzkoušet byť jen několik tisíc kombinací. A pokud je vaše hlavní heslo dostatečně složité, je potřeba mnohem více než jen pár tisíc kombinací hesel. Databáze hesel je tedy obvykle šifrována pomocí poměrně přímočarého šifrovacího algoritmu založeného na standardech. AES256 je pravděpodobně ten nejběžnější, který se k tomuto účelu používá, ale je to něco jako

to. Je to symetrický šifrovací algoritmus, který používá jediný klíč, soukromý klíč k šifrování a dešifrování dat. Stejný klíč se používá pro šifrování i dešifrování, proto se nazývá symetrický šifrovací algoritmus. A tento klíč se vytváří opakovaným hashováním vaší hlavní přístupové fráze. Takže dokud svou hlavní přístupovou frázi zadáváte pouze na lokálním zařízení a toto zařízení je důvěryhodné, získáte vysokou míru bezpečnosti. Ano, databáze hesel je v cloudu, ale je šifrovaná a nikdo ji nemůže otevřít, pokud nemá vaši hlavní přístupovou frázi, kterou nikdy nezadáváte na ničem jiném než na jednom ze svých vlastních zařízení. Samozřejmě jsou tu určité problémy. Protože pokud máte na svém lokálním zařízení keylogger, může vás zachytit při zadávání hlavní přístupové fráze. Ale je zajímavé, že to nebude

pro útočníka stačit, pokud máte dvoufaktorové ověřování, a důvodem, proč to útočníkovi nebude stačit, je to, že sice může zachytit vaši hlavní přístupovou frázi, ale nemůže si stáhnout šifrovanou databázi z cloudu bez druhého faktoru ověření, který je doufejme vázán na váš počítač nebo na něco jiného. A oni tento druhý faktor nemají, více o dvoufaktorovém ověřování za chvíli. Budujeme vrstvy. Nevím, jestli vidíte, co tu děláme, ale ano, díváme se na každý z problémů, které mohou nastat, a přidáváme vrstvy zabezpečení. Bezpečnost není o tom, že tady je jedna věc, která všechno zastaví. Bezpečnost znamená klást útočníkovi do cesty překážky. A ano, mohli byste tuto překážku prolomit, ale hned za ní je další překážka. A když prolomíte i tu, hned za ní je

další překážka. A pokud udělám překážky dostatečně silné, ale také vytvořím spoustu vrstev a vrstev zabezpečení a zajistím, že dovednosti potřebné k prolomení jedné vrstvy se liší od dovedností potřebných k prolomení další vrstvy. A ujistím se, že nástroje a rozpočty, které potřebujete k prolomení jedné vrstvy, se liší od těch pro druhou. Pak je šance, že projdete všemi těmito vrstvami, aniž bych si toho všiml, aniž bych tomu udělal přítrž a vy byste úspěšně prošli, nebo to dokonce udělali ve velkém měřítku proti mnoha a mnoha obětem, velmi, velmi, velmi snížená. A o to přesně jde. Dobrá, dám si tu rychle lok kávy a trochu si s vámi popovídám na chatu, zatímco budu lovit další otázky, na které, ano, další otázky, na které byste se mohli chtít zeptat. Dovolte mi zobrazit

malou stránku, myslím, že všem patronům, díky kterým je pro mě možné dělat tento druh vzdělávacích materiálů, zatímco piju kávu ze svého nového hrnku s nápisem pravidla bez vládců (rules without rulers). Jedna z mých populárnějších nedávných přednášek. Je na něm malý oranžový bitcoin. Panebože, přestaň nám dělat reklamu, my si ten tvůj merch koupíme. Prostě pokračuj s dobrým obsahem. Za vteřinku. A jsme zpět. Dobře, tohle můžu dát stranou. Natočím to, aby to vypadalo hezky. Tak a je to. Dobrá. Procházel jsem tedy otázky a snažil se najít takovou, která by mi umožnila pokračovat v tomto malém vyprávění co nejstručnějším způsobem. Takže teď si pojďme promluvit o přístupových frázích a s tím mi pomůže Bruce, který se ptá: jaký máte názor na používání silných hesel jako přístupových frází k peněžence.

Přístupové fráze peněženky a BIP-39 (35:02)

A to, o čem zde Bruce mluví, je volitelná přístupová fráze, která je k dispozici těm, kteří používají mnemotechnickou frázi standardu BIP-39. Je také známá jako 25. slovo, protože mnemotechnické fráze mají 24 slov. A teoreticky, pokud přidáte 25. slovo... ale já nebudu přidávat 25. slovo, místo toho to budeme nazývat tím, čím to ve skutečnosti je, tedy volitelnou přístupovou frází, která může mít i více než jedno slovo. To je tedy přístupová fráze peněženky. Je to dodatečná volitelná přístupová fráze, kterou přidáte ke své mnemotechnické frázi, aby měla druhý faktor. Takže pokud někdo ukradne těch 24 slov, která máte napsaná na kousku papíru například ve své kanceláři, nemůže vám okamžitě vzít vaše peníze, protože je tu ještě přístupová fráze peněženky. Vzpomeňte si, když jsme mluvili o tom jednom hesle, hlavním hesle, které se

používá ve správci hesel. A říkali jsme, že se opakovaně hashuje, což zabraňuje prolomení hrubou silou. Přesně to samé se děje s volitelnou přístupovou frází a mnemotechnickou frází ve standardu BIP-39. Algoritmus pro prodlužování hesel zvaný PBKDF2 se používá k jejímu prodloužení pomocí SHA-512 tím, že se aplikuje 2000 kol SHA-512. To je tak trochu kompromis, je to kompromis ve standardu BIP-39, protože standard BIP-39, standard mnemotechnických frází pro peněženky, musí být schopen běžet na zařízeních typu hardwarová peněženka, což jsou malá USB zařízení asi takto velká, která nemají velký výpočetní výkon. Takže provedení 2000 kol SHA-512 ve skutečnosti trvá několik sekund. Dvě, tři sekundy. To bohužel znamená, že to není příliš dobrá ochrana. Je sice adekvátní, ale lze ji prolomit hrubou

silou, pokud máte mnohem výkonnější počítač. Pokud tedy použijete například GPU, nebo ještě lépe ASIC navržený pro SHA-512 či zařízení FPGA pro SHA-512, pak můžete oněch 2000 kol provést za zlomek sekundy. A proto můžete vyzkoušet stovky, možná tisíce hesel nebo přístupových frází za sekundu na stejném seedu. Což vám umožní zaútočit na mnemotechnickou frázi BIP-39 s volitelnou přístupovou frází, pokud máte odpovídající rozpočet na hardware. Ale znovu, není to triviální. Bavíme se tu o vrstvách ochrany. Pojďme se tedy bavit o přístupových frázích. Používáme termín přístupová fráze (passphrase) místo heslo (password), abychom naznačili, že se nejedná o jediné slovo. Je to skutečně fráze. Stejně jako mnemotechnická fráze je fráze. Je to řada slov oddělených mezerami. A díky tomu je mnohem snazší si ji zapamatovat, stejně jako

zapsat a přečíst, a to i v případě, že je text mírně poškozený. Ukazuje se, že lidé jsou opravdu, ale opravdu dobří v rozpoznávání vzorů. Takže pokud napíšete vlastním rukopisem řadu slov malými písmeny, dokážete je přečíst, i když jsou dvě třetiny slova rozmazané, nebo to dokážete docela dobře odhadnout. A pokud pro vás tato slova mají nějaký význam, nebo si s nimi dokážete vytvořit mentální obraz, zapamatujete si frázi mnohem lépe než náhodně vygenerované heslo, které se skládá z velkých a malých písmen a číslic. Abych to ale vysvětlil trochu lépe, vezmu si na pomoc Randalla Munroea. Možná jste mě už v minulosti slyšeli o Randallu Munroeovi mluvit. Randall Munroe je grafik, který tvoří komiks s názvem XKCD. A XKCD je komiks, který ukazuje různé technické koncepty, a také vtipnou sociální kritiku a nejrůznější fantastické nápady.

Jsou to opravdu velmi chytré nápady, které jsou prezentovány opravdu, ale opravdu dobře. A víte, je to jedna z těch situací, kdy existuje XKCD... existuje kresba XKCD pro téměř jakýkoli koncept, který chcete dobře vysvětlit. Takže použiji jeden, o kterém už mnozí z vás pravděpodobně slyšeli, a je známý jako „correct horse battery staple“ (správný kůň baterie sponka). A pokud vám to zní jako nesmysl, vydržte vteřinku. Dobrá, pojďme se na něj podívat tady na naší obrazovce. Takže tento se jmenuje... tento se jmenuje hesla. Za 20 let úsilí jsme úspěšně naučili všechny používat hesla, která si lidé těžko pamatují, ale počítače je snadno uhodnou. A když se podíváte sem nahoru na

Koncept přístupové fráze podle XKCD (40:47)

v levém horním rohu je typické heslo, které po vás vyžadují na webových stránkách. Takže to jsou velká a malá písmena, čísla a symboly v nějakém pořadí. To, co zde vidíte, je typická věc, kterou uživatelé dělají, aby je vygenerovali a zapamatovali si je – snaží se zkomolit nějaké slovo. Takže toto je slovo Trubadúr (Troubadour). Potulný muzikant, který zpívá o hrdinských činech. Myslím, že to je to, co trubadúr znamená. Trubadúr a trojka. Takže v tomto případě vidíte něco, co vypadá docela náhodně, ale ve skutečnosti to náhodné není. Tuto konkrétní věc lze analyzovat z počítačového hlediska. Z matematické perspektivy, z pohledu teorie informace, abychom zjistili, jak moc je tato věc náhodná. Nebo kolik náhodnosti taková věc obsahuje. Takže v tomto konkrétním případě máme přibližně 28 bitů entropie. To znamená, že toto

množství složitosti by se dalo vyjádřit binárním číslem o 28 binárních číslicích, dvě na dvacátou osmou. Což, pokud byste byli schopni hádat rychlostí tisíc pokusů za sekundu, by vám trvalo tři dny prolomit hrubou silou. Takže to je v podstatě webová služba nebo něco podobného, kde zkoušíte více pokusů za sekundu. Pokud máte databázi, kterou jste ukradli z webové stránky, můžete samozřejmě na průměrném počítači aplikovat mnohem více než tisíc pokusů za sekundu. Ale v každém případě je to pro počítače vlastně snadné uhodnout. A pro počítače je to snadné uhodnout, protože 28 bitů entropie nestačí, ale i když je to pro počítače snadné uhodnout a prolomit hrubou silou jednoduše vyzkoušením všech možných kombinací velkých a malých písmen v této sekvenci, pro lidi je ve skutečnosti velmi těžké si to zapamatovat. A hned

níže nám Randal Monroe ukazuje jiný přístup, kterým je použití obyčejných anglických slov oddělených mezerami. Toto je mnemotechnická přístupová fráze, nikoliv heslo. A v tomto případě pouhý náhodný výběr čtyř slov, jen čtyř. Čtyři náhodná slova ve skutečnosti vytvoří, pokud předpokládáte, že pocházejí z velkého slovníku, třeba anglického, který obsahuje sto tisíc slov. Pak získáte asi 44 bitů entropie. 44 bitů entropie vám dává 550 let při tisíci pokusech za sekundu. A 55 let při 10 000 pokusech za sekundu. Pět let při 100 000 pokusech za sekundu. Toto je ve skutečnosti těžké prolomit hrubou silou a jsou to jen čtyři slova. Ale co je nejdůležitější, pro lidi je snadné si to zapamatovat. Proto používáme mnemotechnické fráze v BIP 39. Takže když se zamyslíte nad „correct horse battery staple“, můžete si vytvořit, i když jsou to náhodná

slova, můžete si vytvořit tento zvláštní mentální obraz, který vám poskytne základ pro asociaci. A asociace je způsob, jakým funguje lidská paměť. Takže tu máte tuhle malou kresbu, která se tu dělá. To je sponka na baterie (battery staple), správně. Takže to je kůň, který říká, že to je sponka na baterie, a někdo říká správně, to je sponka na baterie, správný kůň sponka na baterie (correct horse battery staple). A pokud tato čtyři slova řeknete nějakému geekovi, okamžitě bude vědět, o čem mluvíte, protože tato fráze je tak snadno zapamatovatelná, že si ji miliony lidí na internetu úspěšně zapamatovaly z tohoto jediného komiksu a příkladu. Takže s obrovským díkem, Xkcd.org je místo, kam můžete jít a podívat se na tuto sérii komiksů. Fantastická práce. XKCD. Ale myslím, že to vám pomůže pochopit podstatu. Takže toto je přístupová fráze a toto je mnohem lepší způsob, jak vytvořit

Použití přístupových frází pro peněženky a šifrování (45:27)

hlavní heslo pro vašeho správce hesel, stejně jako volitelnou přístupovou frázi pro vaši peněženku. Takže si s tímto můžete pro své peněženky vytvořit volitelnou přístupovou frázi. Tu je opravdu těžké prolomit hrubou silou, a to i pomocí GPU nebo FPGA. I když dokážete provést 2000 kol SHA-512, stále se bavíme o měsících, ne-li letech, než někdo dokáže hrubou silou prolomit něco, co má pouhá čtyři nebo pět slov. Pokud přejdete na šest slov, máte opravdu velmi silný mechanismus. Nyní byste ale nepoužili jen toto. Řekněme tedy, že máte mnemonickou frázi BIP-39 a chcete přidat volitelnou přístupovou frázi a řeknete si: dobře, vyberu náhodně čtyři slova ze slovníku. A to pak bude moje volitelná přístupová fráze, přičemž si ta čtyři slova mohu zapamatovat a udržet v hlavě. A také je budu zálohovat

na sekundární místo, protože i když si je pamatuji, co když se mi něco stane. Chci, aby mé dědictví zmizelo v nenávratnu, protože nikdo nedokáže najít volitelnou přístupovou frázi, kterou jsem použil? Ne, to samozřejmě nechci. Takže budu muset zálohovat i tu přístupovou frázi, budu zálohovat mnemonickou frázi, tedy seed. A také zazálohuji volitelnou přístupovou frázi a uložím je na dvou různých místech. Také to udělám tak, že pokud někdo nahlédne na můj seed, budu vědět, že se k němu dostal, abych mohl přesunout své peníze dříve, než stihne pomocí výkonného počítače projít všechny možné kombinace přístupové fráze. Způsob, jakým to dělám, je velmi, velmi primitivní (low-tech). Je to plastový sáček, bezpečnostní plastový sáček s ochranou proti neoprávněné manipulaci. Můžete si je koupit v

balení po stu kusech u online prodejců všude možně. Používají se na peněžní dary při bingu, v kostelech a podobně. Používají se k tomu, aby zaměstnanci nekradli. Jsou neprůhledné, a jakmile je zapečetíte, jediný způsob, jak je můžete otevřít, aniž by to bylo zřejmé, je jejich roztržení nebo rozříznutí, čímž zanecháte stopu. Nemůžete je zmrazit, zahřát nebo rozlepit a znovu zalepit, aniž byste zanechali stopu. Takže pokud vložíte svou mnemonickou frázi a volitelnou přístupovou frázi do takového bezpečnostního sáčku a někdo do něj nahlédne, budete vědět, že se podíval. Pokud tedy každých pár měsíců zkontrolujete svá úložiště, máte dobrý základ pro bezpečnost. Dobrá, budu to pomalu uzavírat. Budeme pokračovat ještě přibližně 45 minut, protože mám stále o čem mluvit, ohledně dvoufaktorového

ověřování. Ale chtěl jsem, abyste pochopili, jak funguje tento koncept přístupové fráze. V další části tedy budu mluvit o tom, jak bezpečně vygenerovat přístupovou frázi. Pojďme na emoji bouři a prosím, vyzývám všechny členy komunity na YouTube, aby všem předvedli neuvěřitelnou kreativní a vyjadřovací sílu vlastních emoji z mého kanálu tím, že spustí emoji bouři, teď. Dobrá, jsem zpět. Takže si chcete vytvořit přístupovou frázi. A víte, že tato přístupová fráze je pravděpodobně nejlepší, pokud má podobu toho, co známe jako XKCD přístupovou frázi: correct horse battery staple. Série anglických slov, která jsou náhodně vybrána a ke kterým si můžete vytvořit mentální asociaci, obraz, který se k nim hodí. Tuto přístupovou frázi použijete možná jako své hlavní heslo pro správce hesel, které budete muset zadávat

Bezpečné generování přístupových frází (50:25)

mnohokrát denně na různých zařízeních. Podobné přístupové fráze používám i k jiným účelům a stejnou frázi neopakuji. Zjistil jsem ale, že si dokážu zapamatovat tři nebo čtyři, než to začne být složité. Takovou přístupovou frázi tedy budu potřebovat jako volitelnou frázi pro svou BIP39 peněženku. Podobnou přístupovou frázi budu potřebovat také pro šifrování pevného disku na svém notebooku. Dávám přednost používání šifrovaného pevného disku. A než vůbec spustíte můj notebook nebo jakékoli mé zařízení, musíte zadat přístupovou frázi. A tato přístupová fráze má také tuto podobu. Je to mnemotechnická přístupová fráze. Využívá řadu anglických slov oddělených mezerami. Z důvodu konzistence píšu své mnemotechnické přístupové fráze vždy malými písmeny s jednoduchými mezerami mezi nimi. Takže slovo malými písmeny, mezera, slovo malými písmeny, mezera, slovo malými písmeny, enter. A mohou

mít délku od čtyř do osmi slov. Musíte se rozhodnout, jakou úroveň zabezpečení potřebujete, a to závisí na tom, kde ji používáte. Kolik kol hashování se používá při generování šifrovacího klíče, který je z této přístupové fráze odvozen, a jaké úrovni hrozby u těchto věcí čelíte. Čtyři slova by ale měla být pravděpodobně minimum a osm by mělo být maximum, než začnete věci zapomínat a plést se. Zvláště u přístupové fráze, kterou nepoužíváte příliš často. Čím častěji přístupovou frázi používáte a čím častěji ji zadáváte, tím delší může být. Praxe vás totiž donutí si ji zapamatovat. Ve svém správci hesel tak mohu používat o něco delší přístupovou frázi, protože ji zadávám každý den. O něco kratší přístupovou frázi použiji,

například jako volitelnou přístupovou frázi u peněženky, a ještě o něco kratší přístupovou frázi jako volitelnou frázi na svých zařízeních, pro šifrované spouštění pevného disku, protože tu zadávám řekněme jen jednou za měsíc a mohl bych ji snáze zapomenout. Jak tedy tato slova vybrat? Existuje řada způsobů, jak to udělat, ale chcete, aby byla náhodná. Nechcete, aby to byla píseň. Text k, já nevím. Chtěl jsem říct nějakou píseň, ale myslím, že by to vyvolalo příliš mnoho kontroverze. Takže to úplně přeskočím. Nechcete, aby to byl pokřik vašeho fotbalového týmu. Nechcete, aby to byl slogan vašeho státu. Nechcete, aby to byla fráze ze Star Treku. Proč? Protože všechny tyto fráze existují ve slovnících, které

hackeři shromáždili. Cokoli, co by vám mohlo najít výsledek, kdybyste to zadali do Googlu jako frázi – což samozřejmě do Googlu zadávat nebudete, protože to narušuje bezpečnost – byste nikdy neměli používat. Nikdy byste neměli použít frázi, která už někdy byla vyřčena, nebo je pravděpodobné, že ji někdy někdo vysloví. Místo toho si chcete vybrat náhodná slova a pak se pokusit vytvořit mentální obraz nebo asociaci, která pro vás má smysl. A může to být velmi divné a bizarní, pokud to pro vás má smysl a dokážete si ten obraz zopakovat v hlavě a trochu si to procvičit. To je dobrý způsob, jak na to. Jak tedy vybrat náhodná slova? No, existuje řada způsobů, jak to udělat. Mohli byste otevřít slovník na různých stránkách a zapíchnout prst naslepo, což není moc

dobré. Pravděpodobně strávíte většinu času tím, že budete vybírat prostřední třetinu stránek ve slovníku a prostřední třetinu stránky svým prstem. Ale ve skutečnosti je to dostatečně dobré, protože slovník obsahuje spoustu slov. Pěkný, velký, tlustý slovník. Získáte tak dostatečnou náhodnost. To je tedy snadný způsob, který můžete udělat přímo doma bez jakéhokoli dalšího úsilí. Pokud chcete jít o něco dál, můžete použít techniku zvanou diceware. D-I-C-E-W-A-R-E. A diceware je mechanismus, kde máte seznam slov, který si můžete stáhnout. Můžete si stáhnout index diceware, webová stránka, kterou najdete, je... Na Googlu to najdete docela snadno. Ta první, která se objeví, což je diceware.D-M-U-T-H dmuth.org, je ta správná. A pokud tuto webovou stránku použijete, můžete si seznam stáhnout. A co je

Metoda diceware (55:27)

Zajímavé na tomto seznamu je, že je indexován čísly, která mají číslice od jedné do šesti, což vám umožňuje použít kostky, obyčejné kostky, běžné hrací kostky. Hodíte kostkou pětkrát a vytvoříte pěticiferné číslo, kde jsou všechny číslice od jedné do šesti, a pak si vyhledáte slovo, které odpovídá tomuto indexu v seznamu diceware, zapíšete si ho a získáte náhodnost. Máte náhodnost, která je navržena pro použití s obyčejnými kostkami, což je praktické. Pokud se vám někde povalují kostky, můžete to snadno udělat. Je to nedigitální, stáhnete si seznam do vlastního počítače a jednoduše z něj náhodně vybíráte slova. Opět platí, že je to skvělý způsob, jak vygenerovat jednu z těchto náhodných přístupových frází. A samozřejmě můžete také použít program ve svém počítači. Problém je samozřejmě v tom,

že pokud už ve vašem počítači je trojský kůň, malware nebo keylogger, může to způsobit určitou obtížnost. Používám program s názvem XKCD pass, který ve skutečnosti vytváří přístupové fráze kompatibilní s XKCD. Vygeneruji jich celou řadu. A pak si z toho velmi, velmi dlouhého seznamu náhodně jednu vyberu. A ve svém počítači nijak neoznačuji, kterou jsem si vybral. Jen roluji a roluji a roluji velmi dlouhým seznamem. Tímto způsobem je mnohem těžší ji zachytit. Opět jde o vrstvy. Není to dokonalé. V celém tomto procesu je spousta obtížností a děr. Dobrá. Takže jsme nyní mluvili o bezpečnosti hesel a spojili jsme dohromady několik témat. Mluvili jsme o složitosti hesel. Mluvili jsme o vrstvení bezpečnosti. Mluvili jsme o slabinách lidské paměti a lidské náhodnosti. Mluvili jsme o tom, proč

je používání softwaru lepší než jeho nepoužívání, i když softwaru nemůžete stoprocentně důvěřovat. Mluvili jsme o tom, jak vygenerovat hlavní přístupovou frázi a jaký typ hlavní přístupové fráze byste měli použít, kterou pak můžete použít k vygenerování hesel relací nebo hesel pro weby ze správce hesel, která jsou složitá, alfanumerická a náhodná, takže je nemožné si je zapamatovat, a necháte správce hesel, aby si je pamatoval za vás. Dalším tématem je tedy dvoufaktorová autentizace. Co je to vlastně dvoufaktorová autentizace? Dvoufaktorová autentizace je, když k ověření své totožnosti použijete dva různé způsoby. Autentizace tedy v podstatě znamená prokázání, že jste tím, za koho se vydáváte. A dvoufaktorová autentizace znamená použití dvou odlišných mechanismů k prokázání, že jste tím, za koho se vydáváte. A v počítačové bezpečnosti popisujeme vícefaktorovou autentizaci a faktory autentizace jako jednu ze tří věcí. Tři možné faktory, které

můžete mít, jsou něco, co znáte, přičemž heslo je příkladem něčeho, co znáte. Zapamatujete si ho, a proto ho znáte. Autentizace založená na znalostech je také formou tohoto faktoru „něco, co znáte“, jako například: kde jste se narodili? Jaká je značka vašeho prvního mixéru? Kdo byl první člověk, kterého jste ve škole políbili? ať už je to cokoliv. Je zřejmé, že něco, co znáte, je faktor, a je to dobrý faktor. Ale pouze tehdy, pokud si to zaprvé dokážete zapamatovat a zadruhé to nikdo jiný nedokáže snadno uhodnout. A tady přichází na řadu veškerá ta složitost, o které jsme mluvili u hesel. Druhá forma autentizace. Faktor autentizace je něco, čím jste. A něco, čím jste, obvykle odkazuje na biometrický údaj, neměnné měření vaší fyzické bytosti, které nelze zfalšovat. Takže otisk prstu, sken duhovky, zvuk vašeho hlasu, když

opakujete frázi, kterou máte zopakovat. Vaše chůze, vaše výška, vaše tvář pro rozpoznávání obličeje, to všechno jsou biometrické faktory. Tedy něco, čím jste. Biometrické faktory mají své výhody i nevýhody. Lze je použít jako doplněk k jinému faktoru. Velkou nevýhodou biometrických údajů je samozřejmě to, že pokud jsou zkopírovány nebo ztraceny, nelze je nahradit. Takže pokud například uniknou mé otisky prstů a každý k nim bude mít přístup a bude je moci znovu vytvořit pomocí latexu, jak jste to viděli ve všech těch špionážních filmech, pak si své otisky prstů nemohu změnit. A proto pro mě tento biometrický údaj už není užitečný. A viděli jsme, že biometrické údaje je poměrně obtížné aplikovat, ale jsou velmi užitečné jako druhý faktor, nikdy však jako primární. Nikdy bych nepoužil biometrický údaj jako jediný způsob ověření své totožnosti, řekněme do mé

Biometrické ověřování (1:00:44)

telefonu. Protože jak jste viděli a jak ví každé osmileté dítě, když přiložíte maminčin iPhone k jejímu prstu, zatímco spí na gauči, můžete jít a nakupovat věci na Amazonu. Můžete být svým vlastním osobním Santou. Stačí, když získáte přístup k maminčinu palci nebo k tatínkovu obličeji tím, že podržíte zařízení pro rozpoznávání obličeje před tatínkovým obličejem. Zatímco tatínek po vší té práci na grilovačce spokojeně chrápe. Samotná biometrie nestačí, ale je to velmi dobrý druhý faktor. Posledním faktorem je něco, co máte, něco, co máte u sebe a co vlastníte. A tento biometrický faktor je obvykle obsažen v dalším zařízení. Je to zařízení, které představuje bezpečnostní faktor, který držíte. Klíč je ověřovací faktor typu „něco, co vlastníte“. Digitální klíč, soukromý klíč, dokonce i fyzický

klíč k otevření vašich dveří. A v dnešní době máme stále častěji druhé faktory založené na něčem, co vlastníte, které mají podobu USB zařízení. Vlastně mám jedno trvale zapojené do svého notebooku. Mnozí z vás mě o nich už pravděpodobně slyšeli mluvit. Je to YubiKey a tento YubiKey je zařízení tak malé, že když ho vložím do USB portu svého notebooku, jediné, co vyčnívá, je malý kovový výstupek, který je citlivý na dotek. Když se ho pokusím použít, vyžaduje, abych se ho dotkl. A když se ho dotknu, aktivuji ho a on odešle kód z mého počítače. Nyní se nemůžete přihlásit do mého počítače a mnoha dalších služeb, které používám, aniž byste klepnutím na bok mého počítače provedli ověření. Takže pokud mi ukradnete databázi nebo hlavní přístupové heslo, nebo

uhodnete mé heslo, stále nemůžete dešifrovat nebo otevřít tato zařízení ani získat přístup k mým různým účtům, protože nemáte tuto věc. Tuto věc mám já. A to je samozřejmě další bezpečnostní faktor. Samo o sobě to nestačí, protože kdyby mi někdo dokázal ukrást notebook, měl by teď tuto věc, ale naštěstí by neměl mé heslo, což je ten druhý faktor. Takže obecně, když mluvíme o vícefaktorovém ověřování, uvědomujeme si, že žádný jednotlivý ověřovací faktor sám o sobě nestačí. Všechny ověřovací faktory mohou selhat. Ale pokud používáte vícefaktorové ověřování a vaše ověřovací faktory jsou různorodé, pak selhání jednoho ověřovacího faktoru ponechává ten druhý jako vaši ochranu. Máte tedy vrstvy. Znáte to z každého špionážního filmu, když v podstatě uříznou prst

padouchovi, přiloží ho ke čtečce otisků prstů a použijí ho k otevření dveří, no, žádné dveře takhle nefungují. Všechny vyžadují také PIN kód přesně proto, že když ukradnete PIN kód, nemáte ten prst. A když ukradnete prst a uříznete ho, neznáte PIN kód. Je potřeba obojí. Žádný výrobce takového zařízení by ho nevyrobil tak, abyste ho mohli otevřít pouze jedním způsobem. A ve skutečnosti, když si lidé nastaví své telefony tak, aby se otevíraly pouze pomocí biometrie, je to neuvěřitelně nebezpečné a musíte se ujistit, že máte další mechanismus. Skvělá doplňující otázka v chatu: co když ztratím svůj YubiKey, svůj bezpečnostní klíč? No, já jich mám vlastně několik. Mám tři. A jeden mám uložený na jiném místě jako svou naprosto ultimátní zálohu.

Mám druhý, který nenechávám zapojený v notebooku a který nosím s sebou. Často je to něco, co uvidíte nosit lidi z bezpečnosti na šňůrce na krku nebo připojené jako klíčenku. Tato zařízení jsou poměrně robustní a často jsou navržena tak, aby se dala připevnit na klíčenku. Můžete si je tedy vzít s klíči, což dává smysl. Podobný bezpečnostní model, jsou téměř nezničitelné. Můžete je přejet náklaďákem a stále fungují. Mám tedy zaregistrované všechny tři tyto bezpečnostní klíče, takže bude fungovat kterýkoli z nich a musel bych ztratit všechny tři, než bych ztratil přístup. Ale všechny tři jsou na místech, kam je těžké se dostat. A hlavním rizikem, hlavní hrozbou, kterou se zde snažím řešit, je kompromitace na dálku. Ano, pokud se vloupáte do mého domu, kanceláře

Bezpečnostní klíče a YubiKey (1:05:51)

nebo na utajeném místě číslo pět, a vy jste ta zlá pokojská, která se vloupá do mého hotelového pokoje nebo tak něco, můžete tato zařízení najít, ale pak pravděpodobně nemáte mé heslo. Pokud se nabouráte do mých systémů a získáte mé heslo, nemáte to zařízení. Pokud se pokusíte použít heslo k přihlášení do jednoho z mých zařízení, neklepnu na bok počítače, abych vám umožnil přístup. A zcela upřímně, víte, když nechám svůj počítač bez dozoru, vytáhnu YubiKey a vezmu si ho s sebou. Takže znovu, je to o vrstvách. Dvoufaktorové ověřování tedy znamená použití alespoň dvou faktorů k ověření vaší identity u jakékoli služby nebo zařízení. A těmi jsou něco, co znáte, něco, co máte, a něco, čím jste. Kterýkoli z těchto tří může být použit jako druhý faktor. A samozřejmě můžete

použít třífaktorové ověřování, pokud chcete, ačkoli to je poněkud neobvyklé, v tu chvíli se to stává těžkopádným a složitým. Je obtížné ho obnovit a snadno se můžete zablokovat. Takže dvě je obvykle to magické číslo, a proto tomu říkáme 2FA, dvoufaktorové ověřování. Jiní tomu říkají MFA, což znamená vícefaktorové ověřování (multiple factor authentication nebo multi-factor authentication). Je to úplně to samé. Existuje další standard, což je standard pro univerzální formát bezpečnostních klíčů, jako je ten malý YubiKey, který jsem vám ukazoval a který se používá v oboru. Vytvořila ho standardizační organizace zvaná FIDO Alliance a jmenuje se U2F, univerzální dvoufaktor (universal two factor). Pokud si všimnete, na snímku mého kódu je uveden termín U2F, univerzální dvoufaktor. U, číslo dvě, písmeno F, U2F. To je jednoduše standard pro hardwarové vícefaktorové zařízení, které lze zapojit, připojit nebo

přenášet data přes Bluetooth nebo NFC do zařízení, ke kterému se snažíte ověřit. Dobrá, pojďme tedy na otázku. Ne na tuhle. Kde to je? Možná teď? Dobře, vteřinku. Zdá se, že otázka není zvýrazněná. Nevím proč. Dejte mi prosím vteřinu. Spravím to. Musím obnovit prohlížeč. Doufejme, že to po mně nebude chtít složité heslo. Dobře, zdá se, že je tu nějaký... oh počkejte, vydržte vteřinu. Něco se pokazilo s mým Slidem, takže vlastně nevidím zvýrazněné otázky. Nevím, proč se to děje. To jsem ještě neviděl. Aha, je tu anketa. Očividně je tu aktivní anketa, která mi teď brání vidět otázky. Nevím proč. Omluvte mě. Aha, už to je. Spravilo se to samo. Omlouvám se za technické potíže, lidi. Proč je textová

zpráva slabým dvoufaktorovým ověřováním, je to lepší než nic? Mnoho bank používá SMS, jak už někdo jiný poukázal, používají SMS textové zprávy jako dvoufaktorové ověřování. Takže proč je textová zpráva slabým dvoufaktorovým ověřováním? Dobrá. Jaký typ faktoru je tedy textová zpráva? Pojďme zjistit, jestli na to přijdeme. Je to něco, co znáte? Ne, v tu chvíli to neznáte. Zdá se, že běží nějaká anketa, která to přerušuje. Omlouvám se. Slido z nějakého důvodu začalo anketou. To je divné. Dobrá. Je textová zpráva dobrým druhým faktorem? Jaký typ faktoru to je? Je to něco, co znáte? Ne, protože to neznáte, když vám to pošlou jako textovou zprávu, neznáte to, teprve se to dozvíte. Takže to není něco, co znáte. Je to

Proč jsou SMS slabou dvoufázovou autentizací (1:11:00)

něco, co jste? Ne, není to něco, co jste. Je to něco, co vlastníte? Tak trochu. Možná si říkáte, dobře, je to něco, co vlastním, vlastním telefon, který přijímá textovou zprávu. Ale textová zpráva se neposílá na telefon, posílá se na telefonní číslo. Vlastníte to telefonní číslo? A odpověď zní, že telefonní číslo je ve skutečnosti SIM karta, respektive účet, ke kterému je SIM karta ve vašem telefonu připojena, a kdo tento účet vlastní? Odpověď zní Vodafone, Verizon, AT&T, T-Mobile nebo kdokoli jiný. Takže problém s dvoufázovou autentizací pomocí textových zpráv spočívá v tom, že to telefonní číslo nevlastníte vy. Vlastní ho telefonní operátor. A telefonní operátor má mizerné zabezpečení. To je vše, je to opravdu takhle jednoduché. Takže jediné, co musíte udělat, je zavolat na zákaznickou podporu u telefonního operátora,

pustit do pozadí zvuk plačícího dítěte, předstírat, že mluvíte s frustrovanou chůvou, zatímco dítě křičí. A v pozadí na vás křičí váš manžel nebo manželka. A vy se hroutíte a máte opravdu špatný den. A velmi ochotní a velmi empatičtí lidé na zákaznické podpoře obejdou všechny bezpečnostní kontroly, protože nevíte, jaké heslo váš manžel nebo manželka na účtu nastavili, a tohle je opravdu stav nouze a vy se s nimi nutně potřebujete spojit. A oni to číslo ochotně přenesou na váš nový telefon, který je potřeba aktivovat právě teď, protože je to naléhavé. Pokud vám to zní jako teoretický útok, existuje vlastně fantastická ukázka, která probíhá na Def Conu, Black Hatu a dalších hackerských konferencích, kde provádějí takzvané útoky sociálního inženýrství. A

jedním z nejlepších příkladů je video, kde velmi, velmi zručný hacker využívající sociální inženýrství předvedl novináři, jak rychle dokáže převzít jeho telefonní číslo tím, že zavolá telefonnímu operátorovi, pustí do pozadí nahrávku křičícího dítěte a prosí o pomoc v této nouzové situaci. A doslova za méně než 10 minut převzal telefonní číslo, pak ho použil k obnovení jeho e-mailového účtu a následně k obnovení všech jeho dalších účtů, čímž v podstatě kompromitoval celou jeho digitální identitu za méně než 15 minut. To je důvod, proč jsou textové zprávy slabou formou dvoufázové autentizace. A je opravdu důležité, abyste je nepoužívali, pokud se tomu můžete vyhnout. Ale k anonymnímu dotazu, je to lepší než nic? Je to lepší než nic. Je to lepší než nic, pokud

se můžete vyhnout jejich použití u účtů, kde máte na výběr lepší možnosti. Takže u všech účtů, kde můžete použít něco jiného než textové zprávy, to použijte. Další věcí je velmi pečlivě zvážit, kdo je váš telefonní operátor. Mnoho bezpečnostních profesionálů používá telefonní operátory, kteří nemají lidskou zákaznickou podporu, na kterou by se dalo uplatnit sociální inženýrství, a kde jsou samotné účty chráněny silnou dvoufázovou autentizací. Například projekt Fi od Googlu, F-I, což je virtuální mobilní operátor, nemá lidi, se kterými byste si mohli promluvit. A k tomuto telefonnímu účtu se připojujete, přistupujete k němu a konfigurujete ho prostřednictvím účtu Google, který můžete zabezpečit silnou dvoufázovou autentizací, jako je univerzální dvoufázový token. To znamená, že vaše číslo nemůže být přeneseno, což znamená, že pak můžete toto číslo bezpečněji používat k zabezpečení dvoufázové autentizace založené na textových zprávách

u institucí, jako je vaše banka, které mají mizerné zabezpečení. Takže pokud jde o společnosti s nejhorším zabezpečením, jsou to banky, telefonní operátoři a pak skuteční poskytovatelé služeb, kteří mají slušné bezpečnostní týmy. Takže je to všechno o vrstvách. Pokud nemáte jinou možnost než použít textovou zprávu jako druhý faktor autentizace, pak vám řeknu, že existují některé služby, které používám a kde nemám jinou možnost než použít textovou zprávu. Pak se ujistěte, že tato textová zpráva přijde na účet, který je dobře zabezpečený. Dokonce i u svého telefonního operátora si můžete na účet nastavit PIN. Můžete vypnout možnost přenosu čísla. Můžete udělat spoustu věcí pro posílení zabezpečení tohoto účtu. Ale pokud můžete, je ještě lepší přesunout své číslo k virtuálnímu mobilnímu operátorovi nebo poskytovateli služeb, který nemá lidi, kteří by mohli

Zabezpečení vašeho telefonního čísla (1:16:25)

být obětí sociálního inženýrství a nechat si přenést své číslo. A to má silné ověřování na faktorech, které kontrolují vaše telefonní číslo. A pokud se tomu můžete vyhnout. Obzvláště se tomu vyhněte, pokud je to druhý faktor pro připojení k vaší burze, kde uchováváte kryptoměnu v hodnotě milionů dolarů. A samozřejmě zde tak trochu narážím na jednoho poměrně nechvalně známého kryptoměnového experta, který skutečně uchovával kryptoměnu v hodnotě milionů dolarů v peněžence na burze, v horké peněžence, která byla spravovaná (custodial) – tedy ne vaše mince – s dvoufaktorovým ověřováním pomocí SMS, které provozovala společnost AT&T, a v současné době žaluje AT&T za ztrátu nějakých, nevím, 50 milionů, sto milionů dolarů, nějaké takové absurdní částky. Upřímně řečeno, to je přesně ten typ soudního sporu, kde bych se jako odborný svědek postavil na lavici svědků a 30 minut se smál do tváře

žalobci. Když by řekli, že je chybou někoho jiného, že vložili miliony dolarů na burzu zabezpečenou textovou zprávou, dvoufaktorovým ověřováním u AT&T. Pro to bych neměl moc pochopení. Dobrá. Pojďme se tedy bavit o dvoufaktorovém ověřování, které skutečně funguje. Mluvil jsem o bezpečnostním klíči, což je kus hardwaru, ale existuje také další mechanismus, který je velmi běžný a který jste už všichni někdy použili, a to ten, kde máte šestimístné číslo. Neeraj mi ochotně položil otázku přesně na toto téma. Ahoj Andreasi, jak funguje Google nebo Microsoft Authenticator? Existuje nějaký decentralizovaný systém, který by je mohl nahradit? Neeraji, toto jsou decentralizované systémy. Ačkoli je aplikace vytvořena centralizovanou entitou, je ve skutečnosti poměrně hloupá. A v důsledku toho je vlastně decentralizovaná. Tajemství, která jsou v těchto autentizátorech uložena,

jsou uložena pouze na vašem lokálním zařízení. Samozřejmě existují určité odchylky. Některé z těchto aplikací, jako například Offi, vám umožňují zálohovat a přenést tajemství, která jsou základem vašeho dvoufaktorového ověřování, na jiné zařízení. Což je činí pohodlnými, ale nebezpečnými. Pokud máte v Offi nebo jiných systémech podporujících zálohy zapnutou podporu pro více zařízení, musíte ji nechat vypnutou a zapnout ji pouze tehdy, když přenášíte data na jiný telefon nebo zařízení, například když si pořídíte nový chytrý telefon a potřebujete přesunout všechny tyto účty na nové zařízení. Google Authenticator vlastně ve své nejnovější verzi zavedl zálohování a přenos. Nevím, jak to funguje, ale pokud to funguje tímto způsobem, ujistěte se, že to máte ve výchozím nastavení vypnuté. Takže pouze toto lokální zařízení

může tyto bezpečnostní kódy používat. Jinak to vlastně není dvoufaktorové ověřování, že? Není to něco, co vlastníte. Je to záložní heslo. Je to něco, co znáte, a to může být snadno ukradeno, nebo je to vázáno na vaše telefonní číslo. V takovém případě jsme zpět u zabezpečení pomocí textových zpráv, o kterém jsme mluvili předtím. Někdo přenese vaši SIM kartu, převezme vaše číslo. Nainstaluje si do chytrého telefonu autentizační software. Poté si stáhne zálohu a přenese ji do tohoto zařízení. A má všechna vaše dvoufaktorová ověřování, která vlastně dvoufaktorovým ověřováním nebyla. Takže toto je způsob selhání, ale pojďme se nejprve bavit o tom, jak tato věc funguje. Jak tedy funguje Google nebo Microsoft Authenticator? Nejprve si tuto věc pojmenujme. Jedná se o mechanismus zvaný jednorázové heslo (OTP). Jednorázová hesla jsou stará desítky let a používají se, no, dovolte mi se opravit. Digitální

jednorázová hesla na přenosných zařízeních jsou stará desítky let. Jednorázová hesla jako taková jsou ve skutečnosti stará tisíce let. Obecný koncept spočívá v tom, že pokud vygenerujete sekvenci náhodných čísel a obě strany komunikace mají kopii této sekvence, nebo mohou tuto sekvenci vygenerovat a nikdo jiný nemůže. Pak není co ukrást nebo uhodnout. Jednorázové tabulkové šifry (one-time pads) jsou neprolomitelnou metodou šifrování, pokud dokážete tato tajemství vygenerovat a nenechat si je ukrást. A jednorázová hesla, která jsou číselná, šestimístné kódy, je velmi, velmi obtížné ukrást. Dokud dokážete udržet v tajnosti kořenová tajemství, která je generují. Google a Microsoft Authenticator jsou nyní konkrétní podtřídou jednorázových hesel nazývanou časově závislá jednorázová hesla. A pokud chcete najít aplikaci, která podporuje standard časově závislých jednorázových hesel, použijete zkratku

Časově závislá jednorázová hesla (1:21:56)

T-O-T-P. Tedy OTP znamená jednorázové heslo (one-time password) a T-OTP časově závislé jednorázové heslo (time-based one-time password). A časově závislé jednoduše znamená, že kód je vázán na aktuální čas a mění se každých 30 sekund. Tyto systémy tedy využívají tajemství (secret) a hodiny, které musí být víceméně správně synchronizovány s aktuálním časem, aby vygenerovaly konkrétní kód pro konkrétní čas, kdy jej chcete použít. A protože jde o 30sekundové časové okno, můžete se trochu opozdit a máte čas si ho prohlédnout na obrazovce a zadat na webovou stránku. Jelikož webová stránka nebo zařízení, ke kterému se připojujete, má stejné tajemství a hodiny jsou víceméně synchronizovány, dokáže zjistit, jaký kód byste měli zadat. Obvykle kontroluje i kód předchozí a následující, takže pozná, jestli jste se trochu netrefili,

například o něco málo přes 30 sekund. Takové kódy přijme. Na obrazovce pak vidíte aktuální kód a malý odpočet. A po 30 sekundách se změní a vy máte nové šestimístné číslo. Funguje to tak, že se používá soukromý klíč. A z tohoto soukromého klíče se použije derivační funkce, což může být celá řada různých věcí. Nevím, co se pro T-OTP používá standardně. Předpokládám, že jde o nějaký mechanismus využívající hash v kombinaci s časem. A pomocí této derivační funkce se každých 30 sekund vytvářejí nové číselné kódy. A ze sekvence, pardon, z tajemství a aktuálního času můžete vypočítat správný kód pro daný okamžik. Samotné tajemství se nachází v QR kódu, který vám služba, jíž se snažíte použít, zobrazí při prvním spuštění. Takže když začnete používat jedno z

těchto zařízení – a všechna jsou kompatibilní, takže ať už používáte Google Authenticator, Microsoft Authenticator, Offi, Duo nebo jakékoli jiné, a většina správců hesel má také jednu z těchto služeb T-OTP zabudovanou. Stačí jen naskenovat QR kód z webové stránky nebo služby, do které se snažíte přidat dvoufaktorové ověřování. A tento QR kód obsahuje tajemství. Toto tajemství je alfanumerický, náhodně vygenerovaný řetězec, který je připojen k vašim účtům. A webová stránka ho pro vás náhodně vygeneruje. Prezentuje se jako QR kód. Naskenujete ho pomocí aplikace Google Authenticator, ta si ho uloží jako tajemství a začne generovat kódy pro aktuální čas. Poté jeden z těchto kódů zadáte na webovou stránku. Ta může potvrdit, že jste ho zadali správně, tím, že ho zkontroluje a řekne: ano, to je kód, který jsem očekávala

v tomto 30sekundovém okně. A nyní máte nastaveno dvoufaktorové ověřování. Problémem u nich je samozřejmě zálohování. Existuje několik způsobů, jak můžete zálohovat. Jedním ze způsobů – a upřímně řečeno pravděpodobně tím nejbezpečnějším – je fyzický výtisk. Takže když máte tento QR kód na obrazovce, klikněte na tisk. Říkám fyzický výtisk, protože byste mohli mít sklony udělat něco jiného, a to vyfotit si ho. A k tomu, abyste ho vyfotili, samozřejmě použijete svůj chytrý telefon. Problém je, že se tato fotka uloží do cloudu. V tu chvíli už není pouze v zařízení v aplikaci Google Authenticator, v T-OTP autentikátoru. A v tu chvíli už to není bezpečný druhý faktor. Vytvářet zálohy

tajemství pro dvoufaktorové ověřování v cloudu je špatný nápad. Ve skutečnosti je lepší použít funkci zálohování, kterou může software pro dvoufaktorové ověřování mít a která je alespoň zašifrována heslem podle vašeho výběru. Kam si toto heslo uložíte? Do správce hesel? Jak vidíte, točíme se tu v kruhu a někdy to může být matoucí. Takže si QR kód vytiskněte, pokud si chcete udělat zálohu. Nebo to nedělejte – u většiny služeb platí, že pokud ztratíte svůj token nebo aplikaci pro dvoufaktorové ověřování, můžete je požádat o resetování. A oni vás donutí překonávat překážky, ukazovat doklady totožnosti, dělat si selfie a potvrzovat to prostřednictvím mnoha dalších mechanismů, jako jsou e-maily, telefonáty a podobně. Mnoho z těchto služeb vám také poskytne řadu záložních kódů, což jsou předem vypočítané číselné kódy, které můžete zadat místo těch dynamicky

Hierarchie dvoufázového ověřování (1:26:44)

vygenerované, které jsou statické. A ty slouží pro případ, že ztratíte své ověřovací zařízení. A kde je uchováváte? Ve svém správci hesel, tam je uchováváte. Takže dvoufázové ověřování pomocí aplikace pro jednorázová hesla založená na čase je silný, efektivní a snadno použitelný mechanismus, který si dnes můžete přidat ke všem svým účtům. Nyní se podívejme na hierarchii bezpečnosti. Univerzální dvoufázový bezpečnostní klíč, založený na velmi, velmi silném šifrování. Pokud si jich zaregistrujete několik a uchováte je na bezpečných místech, je velmi obtížné je kompromitovat. Velmi snadno se zálohují, je to fyzická věc. Zálohujete je tak, že si pořídíte další fyzickou věc. Je nemožné je zkopírovat a je nemožné je ukrást, aniž byste si toho všimli. Druhou úrovní jsou jednorázová hesla založená na čase, která používáte naskenováním QR kódu a aplikace, jako je ta, o které mluvil Neeraj. Ty vám dají šestimístný

kód každých 30 sekund. Opět to dělá z vašeho telefonu, tedy z něčeho, co vlastníte, druhý faktor, a ty se trochu obtížně zálohují. A pokud vám telefon ukradnou, může být snadné je kompromitovat. Rád si na samotnou aplikaci pro dvoufázové ověřování dávám otisk prstu, abyste neviděli číselné kódy bez použití otisků prstů. To je v podstatě třetí faktor navíc k druhému faktoru, který mě chrání v případě, že mi někdo ukradne telefon a ten je zrovna odemčený, takže by se mohl dostat do mé aplikace pro dvoufázové ověřování, jenže nemůže. A konečně, nejnižší úrovní je dvoufázové ověřování pomocí textových zpráv, které samozřejmě není bezpečné, pokud nemáte jinou možnost, v takovém případě je to lepší než nemít nic. Takže to jsou úrovně dvoufázového ověřování. Pojďme se podívat, jaké tu máme další otázky, zatímco

si tu udělám krátkou přestávku. A pustím vám video od svých patronů, které vám řekne, proč byste měli podporovat mou práci online. Takže to, co dnes děláme, a o co se vždy snažím, je poskytovat vám vysoce kvalitní vzdělávací materiály o bitcoinu a otevřených blockchainech způsobem, který je neutrální, bez sponzorů, bez propagace, bez zaprodání se inzerentům nebo závislosti na firemních zájmech. Nikdo jiný než vy za to neplatí. A tak, pokud se vám toto vzdělávání líbí, pokud jste z něj měli užitek, nebo i když prostě chcete něco vrátit a pomoci ostatním získat toto vzdělávání a pomoci mně a mému týmu v tom pokračovat, dělat to lépe a v širším měřítku, zvažte prosím mou podporu prostřednictvím členství na YouTube nebo ještě lépe měsíčního předplatného na Patreonu. A slovy mých patronů, tady je důvod proč.

• Jsem Andreasovým patronem, protože jsem na internetu narazil na jeho videa a tak jsem se dozvěděl o bitcoinu. Takže takhle jsem se dostal k bitcoinu. - Dnes večer jsem na společenské akci, kterou pořádá Andreas v rámci podpory svých platících patronů. Zrovna jsme si dali pár drinků v centru Londýna, takže to byl opravdu zábavný večer. Měl jsem možnost potkat spoustu podobně smýšlejících lidí. - Měli bychom podporovat práci, kterou Andreas dělá. Dělá toho tolik pro to, aby přivedl nové lidi k bitcoinu a ke vzdělávání o bitcoinu. - Je to skvělý učitel. Dokáže vysvětlit velmi složitá témata snadno srozumitelným způsobem. Je velmi upřímný a velmi přesný. Dokáže být připravený a intelektuálně upřímný. Myslím, že to je jeho nejlepší vlastnost. - Vnáší takovou jasnost do opravdu složitého tématu, kterým je bitcoin a průmysl kolem něj. - Byla to

pro mě velmi, velmi dobrá inspirace a každý bitcoin, který mu dám, bude velmi dobře využit k tomu, aby nám pomohl porozumět bitcoinu. A myslím, že to v určitém okamžiku zlepší svět. - Jako patron se mohu setkávat s Andreasem, a proto jsem rád patronem a budu jím i nadále. - Myslím, že je to prostě dobrá věc. Pokud máte zájem učit se nové věci a zároveň chcete podpořit bitcoinovou komunitu, pak musíte být patronem. - Být patronem ve vás vyvolává pocit výjimečnosti. Můžete se účastnit jeho živých relací otázek a odpovědí. Můžete se s ním setkat na happy hours. Je to opravdu skvělé, naprosto to stojí za to. Jsem velmi, velmi nadšený z toho, že jsem patronem. - Rád bych, aby mohl vytvářet svůj skvělý a hodnotný obsah i v budoucnu bez reklam a prostě

Otázky a odpovědi: přenos telefonních čísel a bezpečnost aplikací (1:31:37)

s pomocí jeho patronů. A proto ho podporuji na Patreonu. (jemná hudba) - Dobrá, než přejdeme k další otázce, mám tu pár skvělých doplňujících komentářů z chatu. Které mi můj producent ochotně zveřejnil. Takže tu máme nejprve doplňující otázku od Lucie: může být jakékoliv telefonní číslo přeneseno k zákaznickému servisu bez lidské obsluhy? Záleží na zemi, ve které jste registrováni. Různé země mají různé zákony o přenositelnosti mezi poskytovateli telekomunikačních služeb. Ale upřímně, většina evropských zemí a určitě Severní Amerika, vím, že to platí ve Spojených státech a Kanadě, nařizují, že operátoři musí žádostem o přenos vyhovět. A to znamená, že při správném postupu můžete své číslo přesunout, nepřijít o něj a přejít k novému operátorovi. A pak byste mohli přejít k operátorovi, který je bez zákaznického

servisu, bez lidské obsluhy. Google Fi je ten, o kterém jsem v této souvislosti slyšel nejvíce. Může jich být mnoho, i dalších, které jsou podobně bezpečné proti útokům na přenos čísla. Jsem pro to, ačkoliv to má ze zřejmých důvodů určitá rizika pro soukromí. Druhá otázka pochází od Bena a Ben se ptá, jak poznat, že vaše aplikace nepropouští tajný klíč. Bene, nemůžete vědět, že vaše aplikace nepropouští tajný klíč. Můžete si jen vybrat aplikace, které používá spousta lidí, které se používají v bezpečnostním prostředí, jsou auditované, recenzované, možná mají auditovaný zdrojový kód, a které byly vytvořeny spolehlivými společnostmi. Které berou bezpečnost vážně a mají dlouhou historii toho, že nic nepokazily. To vyžaduje důvěru v protistranu. Nicméně téměř vše, o čem jsem mluvil, vyžaduje důvěru v protistranu. Takže otázkou pak je, kolik důvěry

vkládáte do protistrany a kdo touto protistranou je? A jaká je alternativa? A pokud je alternativou nepoužívat aplikaci a snažit se spoléhat na paměť, pak je vlastně alternativa horší. A to je ta pečlivá rovnováha, kterou musíte v bezpečnosti najít. Stále častěji vidíme, že se více a více společností snaží implementovat různé mechanismy pro decentralizovanou autentizaci, decentralizovanou identitu (DID), decentralizovanou validaci, které jsou bezpečnější. Multisig na Bitcoinu nebo Ethereu je například často základem takových služeb. Ale prozatím jsou tyto služby poměrně nevyzrálé, nejsou široce nasazené a zatím nejsou pro tyto typy řešení vhodné. Takže do budoucna jsem v této oblasti velmi optimistický. Mezitím byste si měli položit otázku, co je lepší: používat centralizovanou službu, která má dobrou pověst, nebo nepoužívat službu vůbec a snažit se spoléhat na

paměť? A na to mohu s konečnou platností odpovědět, že je lepší používat správce hesel od důvěryhodné společnosti nebo takové, která má dobrou pověst, než správce hesel nepoužívat a snažit se spoléhat na omylnou paměť, omylnou náhodnost a DIY řešení, která mohou přesahovat vaše technické kompetence. Pojďme na další otázku. Je od Trixie: Andreasi, miluju ty brýle. Já taky. Děkuji, Trixie. S nimi vlastně dokážu přečíst, co mám na notebooku. Dělám dva typy živých vysílání. Některá jsou trochu více ad hoc, více založená na otázkách. Nepotřebuji moc číst, co se děje na mém notebooku. Mám tamhle pěkný studiový monitor, který je dostatečně daleko na to, abych ho přečetl i se svým slábnoucím zrakem. A některá, jako to dnešní, jsou trochu složitější. Musím dělat spoustu

Q&A: Převod bankovních SMS na silnější ověřování (1:36:01)

čtení. Mám notebook na stole. A tak tyto věci potřebuji. Ale děkuji, odbočujeme. Zpět k jádru této otázky. Začnu znovu pro našeho editora. Trixie se ptá, existuje způsob, jak mohu převést ty hloupé bankovní textové zprávy na Authy nebo něco podobného? Systém jednorázových hesel založených na čase. Authy je jedním z těch časově založených TOTP, jednorázových hesel založených na čase. Trixie, ne, neexistuje. Pokud vaše banka nemá mechanismus, který podporuje něco jiného než textovou zprávu, nemůžete použít jednorázové heslo založené na čase. Správná odpověď v tomto případě je používat textové zprávy, ale změnit poskytovatele telefonu na takového, který vyžaduje silný mechanismus ověřování, jako je jednorázové heslo založené na čase, nebo ještě lépe univerzální dvoufaktorové ověřování s bezpečnostním klíčem, nebo kde si můžete tyto možnosti nakonfigurovat. Aby vaše číslo nemohlo být přeneseno, protože to vyžaduje silné ověření. A

pokud vaše číslo nelze přenést, pak je vaše bankovní textová zpráva mnohem, mnohem bezpečnější. Takže to byla skvělá otázka od Trixie. Podívejme se, jaké tu máme další otázky. Moc dalších otázek tu nevidím, takže, oh, a je to tady. Oh, moderátoři teď horečnatě, horečnatě vytahují otázky a řadí mi je do fronty, abychom našli nějaké další. Doufám, že si dnešní sezení užíváte. Dovolte mi tedy rychlé shrnutí toho, co jsme se zatím naučili. Bezpečnost není nikdy stoprocentní, bezpečnost je o řízení reálných rizik v rámci vašich technických schopností pomocí nejjednoduššího a nejkonzistentněji aplikovaného řešení, které dokážete najít, a které je vrstveno s dalšími řešeními, aby poskytlo sérii bariér proti odhodlanému útočníkovi. Pokud děláte bezpečnost správně, pak se s těmito opatřeními sžijete. Dokážete je aplikovat konzistentně a máte

dostatek vrstev, které pečlivě odpovídají jak vašim dovednostem, tak vašemu prostředí hrozeb, aby to dopadlo tak, že útočník nebude mít čas, zdroje, rozpočet, ani zájem, vlastně ani odměnu, aby na vás zaútočil. A místo toho zaútočí na někoho, kdo je snadnějším cílem, a o tom v podstatě bezpečnost je. Nemůžete v tom být dokonalí. Ve skutečnosti jste lidé. Takže z definice budete nedokonalí. Musíte být schopni to provádět konzistentně a v rámci úrovně vašich dovedností, což znamená, že to musí být dostatečně jednoduché. Nelze to vyřešit jediným nástrojem, technikou, postupem nebo akcí, takže musíte použít více nástrojů, více technik, více akcí, navrstvených na sebe, nejlépe různorodé bezpečnostní mechanismy, které od útočníků vyžadují různé dovednosti a které chrání před různými hrozbami, abyste je mohli vrstvit a vytvořit komplexní systém. A to vás stále nedostane

ke stoprocentní bezpečnosti, ale víte, pokud to děláte konzistentně, pokud to děláte cílevědomě a pokud to dobře přizpůsobíte jak vašim potřebám v oblasti hrozeb, tak vaší úrovni dovedností, můžete se připojit k elitní skupině lidí, kteří mohou upřímně říct: Už roky mě nikdo nehacknul. To je to nejlepší, co můžete udělat, ale to je obvykle docela dobré. A posune vás to vysoko nad spoustu ostatních lidí. Anonym se ptá: Mohl byste se podělit o nějaké obavy nebo návrhy ohledně správců hesel pro někoho, kdo se ještě nedostal k jejich pečlivému porovnání nebo vyzkoušení? Za ta léta jsem používal mnoho různých správců hesel, jsou tu někteří, kteří se používají velmi, velmi často a nepatří k mým oblíbeným. Které neochotně používám čas od času nebo neustále, v závislosti na zařízení, na kterém zrovna jsem. Jsou tu tací, kteří získali nebo

ztratili na oblibě. A jsou tu nějací noví, kteří se dostávají do popředí. Nemohu vám přesně říct, co pro vás bude to pravé. Mohu vám říct, že pravděpodobně dva nejpopulárnější jsou systém zvaný LastPass a systém zvaný 1Password, jednička jako číslo jedna, následovaná slovem password, všechno jako jedno slovo. 1Password a LastPass jsou pravděpodobně nejznámější. Kromě nich existuje řada dalších systémů s různými schopnostmi a odlišnostmi. Jedním z těch o něco novějších, který se zájmem sleduji, je Bitwarden, protože jde o open-source systém, který je multiplatformní a má docela dobrou architekturu. Ale nakonec, stejně jako jsem dal stejnou radu například ohledně výrobců hardwarových peněženek, dám vám stejnou radu i pro správce hesel. Rozdíly mezi řekněme třemi, čtyřmi nejlepšími,

Otázky a odpovědi: srovnání správců hesel (1:41:43)

pět společností v tomto odvětví, kde jsou mezi produkty jen malé, drobné rozdíly. Všechny jsou docela dobré. Všechny jsou docela bezpečné. Všechny jsou docela konzistentní. Rozdíl mezi jedním ze čtyř nebo pěti nejlepších správců hesel a tím, když nemáte správce hesel vůbec, nebo se snažíte spoléhat na svou paměť, případně si vytvořit vlastní řešení, je obrovský. Takže otázka nezní, kterého z nich bych měl používat? Zní, jestli bych ho měl používat, odpověď je ano, a neztrácejte s tím příliš mnoho času. Jeden ze způsobů, jak o tom přemýšlet, je, co používají ostatní lidé ve vaší rodině? Abyste s nimi mohli snadno sdílet hesla. Většina z těchto věcí jsou uzavřené ekosystémy. Takže pokud mají všichni ve vaší rodině Bitwarden, pak je lepší, když budete používat Bitwarden. Pokud nějakého používá vaše firma nebo zaměstnavatel, pak pro vás bude pravděpodobně

lepší používat ten samý i pro vaše osobní účely, pokud si můžete udržet dva oddělené účty, jen abyste nemuseli mít spuštěno příliš mnoho aplikací a nebylo to příliš složité. Opět, v jednoduchosti je síla. Jediná otázka, kterou byste si měli položit, je, jak rychle mohu jednu z těchto věcí zprovoznit a pak ji správně zabezpečit, a pak jít a změnit všechna hesla na všech webových stránkách, počínaje těmi nejdůležitějšími. Anonym se ptá, zda je počáteční nastavení Google Authenticatoru a implementace symetrického klíče odlišná od Bitcoinu, který používá asymetrické šifrování. Ano, je. A nevím, co je standard T-OTP, protože jsem se na něj nikdy nedíval. Možná to ani není symetrické šifrování. Může to být algoritmus pro prodlužování hesel. Ve skutečnosti je pravděpodobné, že jde o nějakou sekvenci, která je založena na

odvozování pomocí hashů. Ale nevím, nezkoumal jsem to. Není to asymetrické, to vám můžu říct. Takže to není systém soukromého a veřejného klíče. Co je to symetrické šifrování? Co je to asymetrické šifrování? To je další otázka, která padla v chatu. Asymetrické šifrování je, když jsou v páru dva klíče a my je nazýváme soukromý klíč a veřejný klíč, a cokoli je zašifrováno jedním, může být dešifrováno pouze tím druhým a naopak. Takže pokud něco zašifrujete svým soukromým klíčem, může to být dešifrováno pouze vaším soukromým, tedy vaším veřejným klíčem. A pokud něco zašifrujete veřejným klíčem, může to dešifrovat pouze osoba se soukromým klíčem. A kombinace těchto technik se používá pro digitální podpisy. A používá se pro šifrování a dešifrování dat mezi dvěma příjemci. Znamená to však, že

pokud pro mě chcete něco dešifrovat, potřebujete můj veřejný klíč. Pokud to zašifrujete mým veřejným klíčem, který je veřejný a snadno se sdílí, pak to mohu dešifrovat pouze já. Pokud to chcete zašifrovat pro spoustu lidí, potřebujete všechny jejich veřejné klíče a musíte to zašifrovat odděleně pro všechny jejich veřejné klíče. Symetrické šifrování je takové, kde máte jeden klíč, který slouží jak pro šifrování, tak pro dešifrování. A ve skutečnosti až do 70. let 20. století bylo symetrické šifrování jediným šifrovacím mechanismem. Asymetrické šifrování nebylo vynalezeno, myslím, pokud se nemýlím, až do 70. let. Takže to je rozdíl mezi symetrickým a asymetrickým. Podívám se, myslím, že tu mám ještě jednu. Další doplňující otázka od Carlose. Kdy budeme používat bitcoinové podpisy pro autentizaci? Bitcoinové podpisy byste mohli pro autentizaci používat už dnes. Problém je, že musíte být

opatrní v tom, jak to strukturovat, a rozumět tomu, co přesně dokazujete. Bitcoinový podpis a obecně použití digitálních podpisů pro autentizaci dokazuje velmi specifický a velmi úzký okruh věcí. Takže dejme tomu, že mi řeknete, abych podepsal zprávu svým bitcoinovým soukromým klíčem a vytvořil podpis, a pak ho sdílel se světem. No, tady je pár věcí, které tím dokazuji. Dokazuji, že v době vytvoření podpisu jsem měl v držení soukromý klíč. To samozřejmě neznamená, že jsem ten podpis nevytvořil už před lety. Nevíte, kdy byl podpis vytvořen. Další věc je, že aby se to dalo použít v životaschopném schématu, osoba, která o podpis žádá, musí provést takzvanou výzvu a odpověď (challenge-response). Nemůžu jen tak říct, podepiš něco, protože když dostanu

Otázky a odpovědi: Bitcoinové podpisy pro autentizaci (1:47:01)

vybrat zprávu, můžu v podstatě vzít zprávu, kterou někdo jiný podepsal už dávno v minulosti, předložit podpis, který k ní připojil, a říct vám, že jsem to právě udělal já. A vy nemáte jak zjistit, jestli je to pravda, nebo ne. Takže místo toho v takovém scénáři potřebujete výzvu a odpověď (challenge-response). Takže bych řekl: prosím, CarlosM, podepiš zprávu, která říká: Já, CarlosM, dne... kolikátého je dnes, pátého prosince? Ani nevím... dne pátého prosince 2020, ať už je to jakkoli, mám v držení svůj soukromý klíč. A tuto zprávu podepisuji na žádost Andrease. Chápete, co tím chci říct? Tím se to ukotví v čase. Nevěděli byste, o jakou zprávu jde, dokud bych vás nepožádal o podepsání konkrétní zprávy. Spojíte to s konkrétní aktivitou. Požádal jsem

vás, abyste tam vložili informace o čase, kdy jste to podepsali, a o identitě podepisujícího. To to mnohem více ztěžuje, ale stále nevím, jestli to podepsal Carlos. Podobnou konverzaci jsme vedli, když jsme mluvili o podepisování pomocí peněženek, abyste dokázali, že vlastníte adresu kvůli novým cestovním pravidlům (travel rules), která jsou navrhována v USA a již byla implementována v EU. A samozřejmě, pokud by Carlos chtěl dokázat, že vlastní adresu, a já mu dal takovou zprávu, stačilo by mu dát tu zprávu Jimmymu, nechat Jimmyho, aby ji podepsal se slovy „tady Carlos“, vrátit ji Carlosovi, Carlos ji dá mně a já si budu myslet, že to dokazuje, že Carlos má soukromý klíč, i když ho ve skutečnosti má Jimmy a spolupracují. Takže je to složité. Není to

tak jednoduché, jak se na první pohled zdá. Dobrá, podívejme se. Odpovím asi ještě na jednu otázku. Oh, tahle je dobrá. Tahle se mi opravdu líbila. Je to otázka od Jeffa. Jeff Tezos se ptá: co hesla, která musíte ručně zadávat pomocí ovladače na televizi nebo podobně na Amazonu, Netflixu. Jak dlouhá a složitá by měla být? Jeffe, s tímhle jsem taky bojoval. A mám na to svou odpověď, kterou ti za vteřinku řeknu. Představte si ten scénář, o kterém Jeff mluví: použili jste správce hesel k vygenerování unikátního alfanumerického 32znakového klíče se symboly pro váš účet na Netflixu. Nyní ho musíte zadat na klávesnici chytré televize Roku, kde se každé písmeno musí zadat tak, že přesunete malý kurzor na správné písmeno na klávesnici, stisknete enter,

a pak se přesunete zpět a sjedete dolů na caps lock, zapnete caps lock, přesunete se nahoru na velké písmeno, pak caps lock vypnete, přesunete se na symbol a přepnete na numerickou klávesnici. Panebože, to zabere hodiny a hodiny. Takže ano, v těchto případech, stejně jako bych řekl v případech, kdy vaše bezpečnost není tak kritická, musíte udělat něco, kde tento klíč často musíte sdílet s ostatními lidmi. Dobrým příkladem by bylo heslo na vaši Wi-Fi, že? Takže v těchto případech bych udělal to, že bych použil jednoduché číselné nebo abecední heslo. Všechno z jedné třídy znaků a udělal bych ho o něco delší. Takže je mi jedno, jestli se někdo nabourá do mého Netflixu a všimne si, že sleduji Dámský gambit. Samozřejmě, že sleduji Dámský gambit. Všichni

sledují Dámský gambit. Je týden Dámského gambitu. Opravdu mi na tom nezáleží, ačkoli existují určitá bezpečnostní rizika, jako například to, že někdo může zjistit, kde se nacházím, když se na to dívám. Takže heslo stále potřebuji. Ale nemusí být tak dlouhé, protože je nepravděpodobné, že by se ho někdo pokusil prolomit. Skutečným problémem je, jestli jsem nezapomněl resetovat televizi Roku, když jsem odjížděl z Airbnb. Aha. To je dobrá otázka. Takže co dělám? Obvykle si vyberu číselné heslo nebo abecední heslo či heslo z malých písmen a seskupím ho do skupin. Takže klasicky bych udělal 12 čísel oddělených znaky minus nebo pomlčkami. To znamená, že udělám tři skupiny po čtyřech nebo čtyři skupiny po třech číslicích. Takže moje heslo bude něco jako devět tři sedm pomlčka tři jedna dva pomlčka tři

Otázky a odpovědi: hesla pro televizní ovladače a zařízení s nízkým zabezpečením (1:52:10)

tři jedna pomlčka čtyři jedna pět. V tuto chvíli už jen náhodně vybírám čísla. Mimochodem, není to moc dobrá náhodnost. Použil bych generátor náhodných čísel ve svém správci hesel. Řekl bych mu, ať mi dá jen číslice a nastaví délku na 12. A pak bych to zapsal s pomlčkami mezi nimi, rozdělené do pěkných skupin po čtyřech, protože se mi to tak snáze čte z obrazovky a přepisuje na klávesnici. A obvykle jsou čísla a pomlčka na stejné klávesnici a jsou velmi blízko u sebe, takže to mohu udělat rychle, nebo ještě lépe, mnoho dálkových ovladačů umožňuje použít numerickou část klávesnice, která byla pro... Za starých časů jsme měli na televizi kanály a tyto kanály se vybíraly pomocí číselného označení kanálu. Já vím, je to ohromující technologie.

Takže mnoho ovladačů má na sobě numerickou klávesnici. To opět mnohem usnadňuje zadávání přístupového hesla. Děkuji, Jeffe. To byla skvělá otázka. A velmi praktická otázka ohledně vyvažování bezpečnosti. Opravdu, ale opravdu chcete podstupovat všechny ty potíže, abyste ochránili účet, který není tak zabezpečený a kde je větším rizikem, že to heslo zapomenete smazat nebo resetovat, když odjíždíte z Airbnb, a necháte ho tam, aby ho našli ostatní, což už může být trochu nepříjemné. Podobná otázka od Jeffa. Jejda. Ale ne, není to Jeff. Omlouvám se, vteřinku. Tak, už to je. Fungovalo to? Dnes se mi aplikace trochu zasekávají. Jak bezpečné je používat jen čtyřmístný PIN, jako se používá například na všech bankovních kartách, ptá se Mike. Miku, to záleží, to

záleží na tom, kam ten PIN můžete zadat. Důvod, proč je čtyřmístný PIN na bankovních kartách bezpečný, je ten, že ho můžete zadat pouze do bezpečnostního zařízení, jako je platební terminál nebo bankomat. Tato zařízení jsou navržena tak, aby vám zabránila zkoušet to více než určitý početkrát. A pokud se jedná o zařízení pod dohledem, což znamená, že jste na benzínce, u pokladny v supermarketu nebo kdekoli jinde, stojí tam člověk, a kdybyste to zadávali vícekrát, uvidí vás při tom a zavolá ochranku, pokud se pokusíte zadat 4 000 různých kombinací. A když jde o zařízení bez dohledu, kde byste mohli jen tak sedět a zkoušet hodiny a hodiny všechny možné kombinace, ve skutečnosti se zablokuje a spolkne vaši kartu, jak to znáte u bankomatů. Takže

pokud ho zadám čtyřikrát špatně, nebo šestkrát špatně, nebo třikrát špatně, v závislosti na zásadách banky, udělá to chramst a spolkne to mou kartu a nedá mi to další šanci to zkusit. Takže to není jen o PINu, je to o kontextu, jak se ten PIN používá. Kde se zadává, kolikrát to můžete zkusit a co se stane, pokud selžete u těchto vrstvených bezpečnostních mechanismů. Takže ano, čtyřmístný PIN je dostatečně bezpečný v kontextu zařízení s kontrolovaným přístupem, jako jsou bankomaty a platební terminály, kde existují další vrstvy zabezpečení, jako je spolknutí karty, pokud ho zadáte špatně, nebo to, že vám nedovolí zkoušet to příliš mnohokrát. Myslím, že to je dobré. Probrali jsme spoustu témat. Moc vám děkuji za všechny tyto skvělé otázky. Děkuji, že zanecháváte opravdu dobré komentáře. Řekněte mi, co se vám líbilo na

tomto konkrétním sezení. Bylo to trochu jiné než ta ostatní, která jsme dělali. Řekněte mi, o čem dalším byste se chtěli dozvědět, aby vám to pomohlo na této cestě světem bitcoinu a otevřených blockchainů. A nezapomeňte, že nás čeká řada dalších takových sezení. Dovolte mi ukázat vám naše další nadcházející události, kterými jsou Trapné sváteční konverzace, Trapné sváteční konverzace. To je ta další, která nás čeká. Vyzbrojím vás správnými odpověďmi a také k popukání vtipnými historkami od ostatních lidí, kteří v současné době sdílejí v komentářích na Patreonu a dalších platformách své rodinné trapné sváteční konverzace. Většinou o bitcoinu a otevřených blockchainech, někdy o tématech, která to dělají mnohem trapnější, a kterým se v živém vysílání věnovat nebudeme. Pak tu máme naše prosincové Q&A na volné téma, kde se můžete zeptat na jakoukoli otázku a já se možná rozhodnu na ni odpovědět. A

Závěr (1:57:25)

a nakonec tu máme naši akci 2021 Extravaganza. Abyste se dozvěděli, kdy se tyto akce konají, a získali o nich informace, odebírejte prosím můj kanál. Zapněte si upozornění kliknutím na ikonu zvonečku, a tak se o těchto nových akcích dozvíte jako první. Děkuji, že jste se ke mně dnes připojili. Dnes jsme měli na kanálu v živém vysílání více než 300 lidí, kteří s námi strávili tuto téměř dvouhodinovou prezentaci, ale měli jsme toho hodně k probrání. Když jsem to dělal, pravděpodobně jste si všimli, že tu mám hromadu fantasticky barevných knih v různých barvách. A i když byste k vychutnání těchto barev potřebovali tištěnou verzi, obsah si můžete přečíst i jako e-knihu. Tuto e-knihu si můžete pořídit v mém obchodě na antonov.com/shop. Můžete si tam také koupit hrnky, jako je tento. A

mimochodem, tyhle hrnky jsou opravdu fantastické. Jsou velké a těžké. Udržují teplo. Je velmi těžké je rozbít. Vím to, zkoušel jsem to. Několikrát mi upadly a vejde se do nich spousta kávy, kterou budeme všichni potřebovat, abychom zvládli ty trapné sváteční konverzace. Takže až do pondělí, po následující dva dny, tu máme náš sváteční výprodej, který vám dává plošnou slevu 20 %. Jednou z věcí, kterou si také můžete koupit, je workshop Jak si vybrat kryptoměnu. A 20% sleva se vztahuje i na něj. Výprodej holiday 2020 je dostupný v obchodě, jděte na hlavní stránku obchodu, kde najdete kupón: antonov.com/shop. Nezapomeňte pod tímto videem zanechat komentáře. Moc vám děkuji za sledování. Přeji vám krásný víkend. Mějte se všichni hezky.