ha te, mint isp, nem akarsz indokolatlanul kitolni magaddal, akkor clear textben tárolod az ügyfél jelszavait.
tudom, hogy ez teljesen ellentétes azzal, amit a magukat security guruknak képzelők mondanak, de valójában nincs értelmes indok a titkosított jelszavakra, főleg, ha a szolgáltató adja ki, ezzel szemben több indok is van ellene.

ha a digi a ppp jelszavaidat clear textben tárolja, akkor jól teszi.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

a 72 órás jelszó reset kicsit combosnak tűnik, illetve arra is van esély, hogy találok hozzá olyan jogszabályt, amit sért. hogy nem realtime cserélik a jelszót, azt bizonyos fokig megértem. persze a digi megoldhatná jobban is, csak az bonyolultabb és drága.

az, hogy tárolják a jelszót (titkosítási fokozattól függetlenül), az kényszer, "- Tárolják a jelszavakat?" ez egy hülye kérdés volt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A hozzaszolas a hulye. Semmi indokot nem irtal a jelszo tarolas mellett, mikozben szerinted van tobb is.

En irok ellene:

A securiti guruk szerint valamilyen (salted) hash-t szokas tarolni.
A 72 ora vicc, 72 masodperc is sok. Sokkal nagyobb meretben is mukodik az azonnali csere, pl. egy LDAP-ban. Ez nem gond evtizedek ota es

Bonyolultabb es draga:
Egy LDAP adatbazis nem draga, a legtobb ilyen cucc abbol azonosit. Ebben cserelni egy gombnyomas, ha nem sajnaljak azt a par tucat sort az ugyfelszolgalat kodjabol.

ncc1701: Ez az email jelszavad is. Tegyuk fel oda kapod a jelszo reseteket tobb helyrol is...

https://frescho.hu

az is indok, csak elkerülte a figyelmed, hogy nem tolsz ki magaddal, mint isp.
ha tudod a cleartext jelszót, akkor az ügyfélszolgálat sokkal hatékonyabban tudja végezni a munkáját.
a titkosított jelszó mellett az lehetne egy halovány érv, hogy ne használd máshol is ugyanazt. de ha az isp adja a jelszót, akkor annak esélye, hogy máshol is használod ugyanazt, nulla.

"A securiti guruk szerint valamilyen (salted) hash-t szokas tarolni.": ez az állítás tökéletesen igaz, csak nem ide tartozik. ugyanis nem az a kérdés, hogy hogyan szokás, hanem az, hogy hogyan érdemes. az állításban burkoltan megjelenik az az állítás is, hogy a security guruknak mindig igaza van. az utóbbi időkben történtek legalábbis felvetik ennek vitathatóságát.

"Egy LDAP adatbazis nem draga, a legtobb ilyen cucc abbol azonosit.": ahhoz képest, hogy nincs ldap, ahhoz képest drága és üzemeltetésigényes. belefut az ember abba a hibába, hogy attól, hogy kifejlesztettek egy új technológiát, akkor már kötelező alkalmazni is.

"Ez az email jelszavad is. Tegyuk fel oda kapod a jelszo reseteket tobb helyrol is...": ezt nyugodtan zárd ki. a digi saját maga generálta véletlenszerű jelszavakat oszt a ppp-hez. másrészt fogadd el tőlem bizonyítás nélkül a következő állítást: a hozzáférési szolgáltató által osztogatott emailcím rohamos tempóban megy ki a divatból.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Miert lenne az ugyfelszolgalatnak konyebb a dolga? Max a helyszinra kiszallot technikusnak kellhet egy jelszo, de teszteleshez lehet egy kulon account, ergo neki sem kell, maximum amikor be kell allitani az ugyfelnel a gepet. De ilyenkor ott van a lap, amit kapott az ugyfel, vagy lehet resetelni, ergo ismet nincs ra szukseg.

Peldat mondj, amitol konnyebb az ugyfelszolgalatos dolga.

A security guruknak ebben igaza van. Jelszo, amihez tobben hozzafernek nem sokat er.

Nem 1990-ben vagyunk. Ennyi erovel semmi uj technologiat ne hasznaljunk. Az openldap ingyenes, eroforras igenye eleg kicsi es elterjedt. Az tuti, hogy az Digi eszkozei valamilyen kozponti adatbazisbol azonositanak, volt kollegaktol meg is tudom kerdezni, hogy pontosan mit hasznalnak. (Ha az eszkozon localis a jelszo adatbazis, akkor is valamivel teritik, puppet, schef, rex vagy akar csak egy automatikus git pull.) Csak azt a resetelo gombot kellene ravarazsolni a telefonosok szoftverere. Szimplan az OPEX koltsege sokkal magasabb ekkora meretben, mint egy normalis megoldas.

Az hogy kimegy a divatbol nem azt jelenti, hogy nem fogjak hasznalni. Idos rokonnal voltam ma es beallittatta velem, mert "azon keresztul tud levelezni a szolgaltatoval" Tudom, hogy magyarazhatnam neki, hogy miert jo mas is, de eleg volt az ugyfelszolgalattal kuzdeni.

[ Szerkesztve ]

https://frescho.hu

például azért, mert logolhatod a jelszavakat, és akkor látod, hogy az ügyfél elgépelte a jelszót vagy más baj van.
például azért, mert ha felhívnak (és tényleg 72 óra az update), akkor egyszerűbb a régi jelszót lediktálni az ügyfélnek, mint beállítani egy újat, és dekkolni 3 napot, hogy elinduljon.

"Max a helyszinra kiszallot technikusnak kellhet egy jelszo, de teszteleshez lehet egy kulon account,": az ügyfél nem a technikus teszt accountjának működőképessége iránt érdeklődik (fizet), hanem a sajátja iránt.

"Ennyi erovel semmi uj technologiat ne hasznaljunk.": a tapasztalat azt mutatja, hogy minél kevesebb technológiát használsz, minél jobban akadályozod a világmegváltó újdonságok terjedését a saját rendszeredben, annál stabilabb lesz a szolgáltatás és annál elégedettebb az ügyfél. az ldap, pláne, ha biztonságosan duplikálva akarod üzemeltetni, csak felesleges bonyolítás.

Azt nem vitatom, hogy a 72 óra az sok. Ezirányú győzködés felesleges. A saját privát magánvéleményem szerint 20 perc körüli frissítés az, ami minden szempont szerint optimális.

"Az hogy kimegy a divatbol nem azt jelenti, hogy nem fogjak hasznalni.": amit írtam, az nem ezt jelenti. Azt jelenti, hogy új ügyfelek már nem kérnek szolgáltatói emailt és a régiek is egyre többen hanyagolják.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Gyerekek min vitatkoztok? Gáz, hogy 2015-ben txt-ben tárolják a jelszavakat, még ha sima PPPoE jelszó is. Erre ott a keepass. Akkor is tudják a jelszavakat, csak legalább biztonságosan van tárolva bármilyen behatolás esetén is.

szerintem ha utánagondolsz, hogy mire javaslod ezt a programot, rájössz, hogy méggázabb javaslat.

szerk: és nem, nem gáz 2015-ben jelszót cleartextben tárolni.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis