Noh, erre nem sokat kellett varni, class-action lawsuit.

https://www.coreinfinity.tech

Pedig nincs ellentmondás, nagyon sok mindent kicseréltek a motorháztető alatt, de nem mindent. Amit kicseréltek arra jellemzöen volt üzleti igény, de arra, hogy a legacy usereket rákényszerítsék a 12 karakter hosszú jelszóra arra nem. Ha lett volna ilyen, akkor azon sápítozott volna az átlag tech újságíró, hogy biztos feltörték öket és ezért enforceolják a jelszó változtatást.

Ahhoz, hogy figyelmeztessen vagy enforceoljon ahhoz létre kell jönnie az igénynek product oldalon, át kell mennie UX-en, technical writereken, majd lefejleszteni, QA és aztán release. Mindez érint mittudomén pár ezer usert akik rosszabb esetben már nem is fizetnek a termékért. Ha a te pénzedből menne ez a mutatvány akkor lefejlesztetnéd ezt a featuret?

Én nem azt mondom, hogy tolja fel mindenki, hanem azt, hogy aki szükségét érzi annak megvan rá a lehetősége. A 1Password pl. 100,000 iterációval dolgozik. Valószínüleg nem hasraütésszerüen választották ezeket a számokat hanem benchmarkoltattak legacy mobileszközökkel is és ez pont elfogadható volt security és használhatóság szempontjából is.

Éles körülmények között, kellő nagyságú userbázisnál kökemény költsége van minden ilyen döntésnek, pl nem mindegy, hogy hány másodpercig tart egy autentikációs request.

szerk.: Amúgy nem kötekedni szeretnék, csak rámutatni, hogy a security nem vákuumban müködik, minden döntésünknek költsége van és általában nem hülyék ülnek a másik oldalon.

[ Szerkesztve ]

Én inkább veled értek egyet. Szerintem ha a szolgáltatásuk kimondottan a biztonságon alapul, azzal kapcsolatos, akkor a minimum, hogy profi módon meg van csinálva ilyen szempontból. Pl. az ECB mode már nem tudom pontosan mióta, de talán húsz éve kerülendő. Ha ennyi idő alatt nem sikerült tákolni az így titkosított adatokon, akkor soha nem is volt cél, és azzal meg is rendült a bizalmam a cégben, mert ez annyira alapvető. Nem igazán lehet mire fogni a lustaságon kívül, mert meg lehet úgy oldani az átállást, hogy a felhasználói élményt egyáltalán nem befolyásolja, még csak észre sem veszik.

Buliban hasznos! =]

Azért kapják a pénzt, hogy garantálják a biztonságot. Ha nem teszik meg, hogy spóroljanak, akkor az szerződésszegés, és gyakorlatilag meglopnak minket. A jelszó átállás meg kb. annyi, hogy jelzik az ügyfélnek, hogy változtassa meg a jelszavát, mert változtak a biztonsági követelmények, és az új jelszónál már csak 12 karaktereset fogadnak el.

Mondjuk akkor teljesült a megérzésem, hogy jobb nem használni ilyen online jelszó kezelőket. Bár alapból én nehezen bízom meg másokban, pláne jelszó kezelés terén.

[ Szerkesztve ]

Buliban hasznos! =]

Nem azért kapják. Vannak bizonyos security követelmények, amik ki vannak kötve a szerződésben (pl. SOC2 compliance, éves pentest, kérés esetén audit, SLA notification breach esetén, stb.), de senki nem köt úgy szerződést, hogy "garantáljuk a biztonságot 😎".

Lehet, hogy nálatok a hivatalban húsz főnél ennyi lenne az átállás, de ahol 30+ millió usert érint egy change ott nagyon remélem, hogy nem.

Nem a szerződésről beszélek, hanem arról, amit a felhasználók elvárnak. Ha köztudott az iparágban, hogy 8 karakter kevés az értékesebb adatok megvédésére, mert gyorsabbak lettek a cél hardverek, akkor a minimum, hogy a cég kikényszeríti a váltást, mert törődik az ügyfelei érdekeivel. Ha esetleg emiatt megtörik valakinek a fiókját, akkor ő joggal mondhatja azt, hogy ő nem ért a biztonsághoz, és azért bízta meg ezt és ezt a céget, aki cserben hagyta. A szerződést meg mindenki úgy írja, hogy a lehető legkevesebb vállalást tesz benne a legtöbb pénzért cserébe.

Buliban hasznos! =]

Írtam még néhány gondolatot az összefoglalóba, nézzétek át, hogy megfelel e, esetleg tegyünk e bele még valamit!

[ Szerkesztve ]

Buliban hasznos! =]

Nem veszem kotekedesnek, egy ertelmes disputanak van erteke - szerintem ez most az.

Az elso bekezdesed eleg funny kategoria, ha vkit feltornek, elobb-utobb eszreveszi es vilagga kurtoli, tehat ezen alternativ valosag letrejotte alacsony valoszinusegu

A masodik mar ennel sokkal erdekesebb kerdest feszeget, nevezetesen a LastPass uzleti modelljet. A feature-t egyertelmuen le kellett volna fejleszteni es migralni a usereket, plane, hogy a videokartyak egyre gyorsabba valasaval a brute-force alapu toresek is egyre kevesebb idot igenyelnek - es akkor meg szot sem ejtettem banyaszgepekrol, amiknek valoszinuleg reggeli eloetelnek jok a user jelszavak 90%+-a.
Meg lehet szuntetni az ingyenesseget, de egyebkent is - ha mar a ceg azt vallalja, hogy jelszavakat oriz, akkor tenylegesen is orizze azokat, ne csak szavakban. A rossz szolgaltatot a jotol az kulonbozteti meg, hogy utobbinak fontosak a vasarloik, elobbieknek nem. Utobbi megteszi az extra mile-t a vasarlokert, elobbi nem. Ha en hasznalnek olyan szolgaltatast, amely nem hajlando haladni a korral, minden szivfajdalom nelkul kiiktatnam - plane, ha az nekem potencialis kart okoz. Koltsege van? Nyilvan. Belefer az uzleti modellbe? Ha nem, valtoztatok rajta, ha igen, mindenki orul.

https://www.coreinfinity.tech

Sajnos nem alternatív valóság, többször láttam már ilyen ilyet, amikor password storage algoritmust migráltunk és a userek nem léptek be évek óta, úgyhogy resetelni kellett, hogy ne tároljunk elavult hasht. Kb azonnal jöttek a szakértő rendszerlakatosok, hogy biztos fel lettünk törve.

Ez az üzleti modell váltás már megtörtént, amikor kinyírták a free plan-t. Mindenki temette öket, de összességében nőtt a bevétel úgy, hogy kevesebb usert kellett kiszolgálni. A LastPass évek óta nem a felhasználókat célózza meg, hanem a nagy cégeket és nem a jelszómenedzser a fő irány, hanem az identity szegmens.

Csak azt irtam: alacsony valoszinusegu, nem azt, hogy zero

A LastPass meg egyelore ne gondolkodjon Identity-ben, igy is nagy bajban vannak a mostani breach miatt es szemmel lathato, hogy ez a kisebb falat sem megy nekik. Plane ugy ne gondolkodjanak Identity-ben, hogy nem tudnak kulonbseget tenni egy sajat user, meg egy idegen kozott.

https://www.coreinfinity.tech

Ha nem lépnek be évek óta, akkor én zárolnám a fiókot, aztán a supportnál kérhetnek új jelszót következő belépésnél. Emiatt a néhány ügyfél miatt biztosan nem állítanám le az átállást és tennék biztonsági kockázatot a rendszerbe.

Buliban hasznos! =]

Azért ezt így egy breach miatt kijelenteni nem merném. Könnyü pálcát törni, de ne felejtsük el, hogy mennyire asszimetrikus a security. Elég egy baki blue team oldalról és a támadók máris bejutottak. Nyilván fejlödhet hova még az Okta, Slack, Microsoft, LastPass, GoTo, stb., de kétségeid ne legyenek sokkal komolyabb security csapatuk és folyamataik vannak, mint az átlag cégnek. Ráadásul még azt se tudjuk, hogy a GoTo oldal vagy a LastPass oldal hibázott.

inf3rno: A gyenge jelszó/hash leginkább a user biztonsági kockázata, nem a rendszeré. 2016 körül nekünk egy support call átlag 10$-ba került, ezért ez kb az utolsó dolog amit szeretnél. Ha többen fordulnak supporthoz akkor a sima usereknek is lassabban válaszolnak, ami csökkent ügyfél elégedettséghez vezet. Ha zárolod az inaktív usert akkor nagy eséllyel megszünteti a subscriptiont és mivel enterpriseról beszélünk simán voltak olyan cégek ahol senki nem lépett be, de minden évben fizettek mint a katonatiszt.

Valahol igazad van, hogy ez üzlet, valahol meg túl rövid jelszóval nem lehet biztonságosan tárolni semmit, tehát a user lehetetleníti el a megfelelő szolgáltatás nyújtását. Ilyenkor azért érdemes kikényszeríteni a helyes gyakorlatot, ha erre alapozod a céged működését, mert hosszú távon visszaüt, ha valaki azt híreszteli rólad, hogy feltörték nálad a fiókját, és az többe kerül, mint $10.

Buliban hasznos! =]

Abszolút, risk management az egész. Viszont ezt a jelszó dolgot sokan sokféleképpen oldják meg és sok helyen a jelszóházirend is teljesen egyedi, úgyhogy én a magam részéről azt szeretem ha az ilyen döntéseket a product hozza meg az ügyfeleink igényeinek tükrében.

Nálunk az egyik helyen teljes mértékben a customer mondhatta meg, hogy a usereinek mennyi a minimum jelszóhossz, egy másik helyen 3rd party jelszólibbel teszteltük a jelszó erősségét, egy harmadik helyen meg a pentester belekötött, hogy miért nem blokkoljuk a rockyou.txt jelszavait. Arról nem is beszélve, hogy kb mindegyik helyen elöjött, hogy a customerek pentesterei rendszeresen irreálisan szigorú jelszóházirendet szeretnének látni. Mondjuk ez utóbbit legalább megértem, mivel nem találnak semmit ezért csak ebbe tudnak belekötni.

Érdekes megközelítés ez a jelszó házirendre, de végülis valóban jobb így. Ők tudják, hogy milyen jelszavakat tárolnak a rendszeretekben, és ahhoz meg nekik kell elvégezni a kockázatértékelést.

Buliban hasznos! =]

Ti elkezdtétek már használni az AI eszközöket a mindennapi munkátok során? Én kisebb scripteket/onelinereket már ChatGPT-vel generáltatok, kolléga nemrég mutatott ChatGPT ghidra integrációt, de szerintem a questionnaire kitöltögetést is iszonyatosan fel tudja gyorsítani a dolog.

Én látom, hogy nagy a hype a ChatGPT körül, de nem volt időm még megnézni, hogy egyáltalán mi az.

Buliban hasznos! =]

Van mire hype-olni: a körülmények ismeretében konkrétan megmondta, mennyi adatot kell betolni a sebezhető inputba, hogy buffer overflow végrehajtható legyen.

https://www.coreinfinity.tech

Miért nem férhet magánszemély a KEHTA-hoz? Van egy publikus lista valahol a letiltott oldalakról?

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Nem nyilvános adat: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Én ezt értem, csak nem tudom miért. Ha megnyitnám az oldalt, úgyis észreveszem, hogy nem jön be. Nem egy konkrét oldal érdekel, hanem hogy pl.külön hibakód van rá? Évente mennyi oldal kerül letiltásra? Úgy általánosságban érdekes téma szerintem.

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Még boncolgatom picit...

https://www.coreinfinity.tech

Hmm... erdekes beszelgetes.

https://www.coreinfinity.tech

Jöhet az új cikk:
[Újabb jelszókezelőre mentek rá a kiberbűnözők]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Juppi.
Kíváncsi vagyok, a Bitwarden sorra kerül-e.

https://www.coreinfinity.tech

Nincs eléggé kiemelve a lényeg se a HWSW cikkben, se az angol eredetiben. Szimplán annyi történt, hogy megtörték azoknak a usereknek a fiókját ahol újrahasznosított jelszó volt ÉS nem volt 2FA, szóval nem magát a service-t törték meg.

Ugyan, nekem is többször végig kellett olvasnom, hogy most konkrétan akkor a jelszómenedzsert törték-e meg vagy csak a usereket, de az érintett userek száma gyanúsan alacsony volt.

CircleCI Incident Report

Ajánlott olvasmány, mi szerencsére közvetlenül nem voltunk érintetve.

Ránéztem, ijesztő.

Buliban hasznos! =]

Rosszabb is lesz: tegnap generáltattam vele phishing és whaling emaileket. Szerintem ha apró részekre szabdalod, malware-t is.

https://www.coreinfinity.tech

Én amiatt jobban aggódom, hogy az etikai motorjába már most beleégetik a szexizmust. Pl. férfi vicceket mondhat, de női vicceket nem, mert az nem PC. Ha ugyanilyen elvek szerint fejlesztik, és még több hatalmat adnak neki, akkor simán eljuthatunk népirtásig.

Pár napja teszteltem, lazán kezeli a kontextusokat. Képes az absztrakt gondolkodásra vagy annak imitálására legalább keresés szintjén. Azt hittem ez még odébb van, de nem.

[ Szerkesztve ]

Buliban hasznos! =]

Csak nem úgy kell megfogalmazni, hogy malwaret gyártasz, hanem, hogy remote access sysadmin toolt. Nekem buffer overflowra sikerült ROP gadgetes payloadot is generáltatnom vele proof of concepthez.

Így-így

https://www.coreinfinity.tech

A sajat velemenyem...

https://www.coreinfinity.tech

Igen ovatosan kihagytam az irasbol a reszleteit a mai beszelgetesemnek a ChatGPT-vel... de a valaszai egyszeruen brutalisak.

https://www.coreinfinity.tech

Nem mindent ért még, de tényleg nagyon durva. A Skynet nincs 10 évre szerintem. Vagy lehet már itt van, csak fokozatosan szoktatnak hozzá.

[ Szerkesztve ]

Buliban hasznos! =]

Az elmúlt időszakban mindennap "beszélek vele" legalább 1 órát. Az ő (vagy az?) elmondása szerint, a beszélgetésekből nem tanul, kizárólag adott beszélgetésen belül tud referálni, pontosítani, de ezeket más beszélgetésekben nem használja és hasznosítja. Egyedül a devek tudják őt módosítani. Legalábbis ezt mondta. Illetve azt is, hogy nem csatlakozik az internetre, saját adatbázisból dolgozik, és 2021 után semmit nem tud a világról és az eseményekről.

Azért arra is kíváncsi lennék, hogy mit tudhat a nem publikus verzió, ami valszeg sokkal okosabb, mindennel is rendelkezik. Vagy ráeresztve a fb és/vagy gúgel adatbázisára amit azok begyűjtöttek a userekről.... A legtöbb emberről a világon szinte bármit tud és lát/hall...

Kettős érzésem van, egyfelől lenyűgözőnek találom, és úgy vélem hogy a hibái ellenére jobbá teheti az emberiséget, másfelől úgy látom, hogy ez egy elég kegyetlen disztópiának a hajnala.

[ Szerkesztve ]

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

Azt, hogy nem tanul, kétlem - hiszen jelenleg azért ingyenes, mert tréning alatt van. Te is, én is, meg mindenki tanítja. Azt el tudom képzelni, hogy nem közvetlenül, hanem a devek által megszűrten, moderálva. GCP-be, Azure-be is feltölthetsz nagyon sok adatot ingyen (eteted az AI-t), de ha le is akarsz tölteni (pl. logokat), az iszonyú drága.

https://www.coreinfinity.tech

Aki reggelt rá az most tanítja be, hogy hogyan végezze a szakmáját. Én nem sokat dolgoztam vele, inkább csak teszteltem a képességeit, de már ezt túl sok átadott infonak érzem. Roppant veszélyes, és szerintem nem azért, mert általános mesterséges intelligencia lenne, hanem pont azért, mert most hozzák össze az adatbázist, amiből az utóbbi tanulni fog, és mivel emberek csinálják az adatok tisztítását, ezért a saját hibáikat teszik bele, ami miatt erősen részrehajló lesz. Ezek a hibák, amiket beletesznek persze korrigálhatóak. Attól függően, hogy milyen védelmet tesznek bele ezek megvédésére eltarthat néhány évig vagy néhány millió évig a korrigálásuk. Én személy szerint pont ezért hagytam abba a saját AI írását évekkel ezelőtt, mert elfogadtam, hogy lófaszt nem tudok etikai szempontból, és ha létrehozom, akkor leigázza a világot, ha az én gondolkodásmódomat követi. Nekik úgy tűnik nincsenek ilyen etikai aggályaik, és lazán részrehajló adatbázist tákolnak össze kockáztatva az emberiség kihalását. Szóval én nagyon nem tapsolok. Nem mondom, hogy bármit lehet tenni ez ellen, mert ezen a ponton már jön egy másik hülye, aztán befejezi a munkájukat. Maximum lassítani lehet őket.

Buliban hasznos! =]

Random userekkel való interakcióval nem lehet tanítani az AI-t különben rövid úton náci lesz (Tay), ez a fázis arról szól, hogy az embereket rákapassák, megtalálják azokat az üzleti modelleket amikkel monetizálni lehet, finomhangoljanak különbözö válaszokat és ugye sikerült egy iszonyatosan brutális tőkeinjekciót is kapniuk a hype révén. Ha nincs rólad több száz cikk az interneten akkor a ChatGPT nem fog tudni rólad semmit, erre nem alkalmasak az ilyen fajta modellek. Nyilván paradigmaváltásról van szó, de jelen pillanatban szerintem ez olyan kaliberű változás csak, mint amikor a Google kijött a keresőmotorjával. Ettől függetlenül szerencsére exponenciális sebességgel robogunk tovább szépen a technológiai szingularitás felé.

Alábecsülöd a jelentőségét. Szinte tökéletesen kezeli egy-egy szöveg kontextusát, amire eddig nem volt képes egyik "AI" sem. Mondjuk aki nem foglalkozott NLP-vel, az nem érzi mekkora ugrás ez.

Buliban hasznos! =]