Hirdetés

2020. július 4., szombat

Gyorskeresés

Hozzászólások

(#1) Cucuska2


Cucuska2
(őstag)

de a hosszabb jelszó (főleg ha könnyen kitalálható, ismétlődő, etc.) kötve hiszem hogy biztonságosabb, mint egy randomnak tűnő karaktersor

That's where you are wrong, kiddo.

Rock and stone, to the bone! Leave no dwarf behind!

(#2) Silεncε


Silεncε
(őstag)

Pont nemrég vizsgáltam hasonlóból. Ha jól emlékszem, 5 random angol szónak nagyobb az entrópiája mint 12 random karakternek

"God's in his heaven. All's right with the world" - NERV

(#3) crey válasza Silεncε (#2) üzenetére


crey
(MODERÁTOR)
LOGOUT blog

Jó, de két karakter ismételve 10x, az nem 5 random angol szó.

Sarcasm: just one of the many services I offer.

(#4) kemotox


kemotox
(addikt)

Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó

(#5) UnA válasza crey (#3) üzenetére


UnA
(Korrektor)

A hosszabb jelszó mindig jobb, ahogy korábban is írták. Engem pont ezzel a kis-nagybetű / szám / egyéb karakter kötelezettséggel tudnak a sírba vinni. ;)

(#6) Lenry


Lenry
(nagyúr)
LOGOUT blog (1)

azon a képen hangosan felnevettem :DDD

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#7) crey


crey
(MODERÁTOR)
LOGOUT blog

Na jól van, akkor ma is tanultam valamit. Hozhatom Stant ide?

Sarcasm: just one of the many services I offer.

(#8) proci985


proci985
(MODERÁTOR)

kapcsolodo: correcthorsebatterystaple

gyakorlatban egyebkent a minimum ket kis/nagybetu felesleges talan (amig van egy, az is mar kb eleg megfogni az egyszerubb szotaras bruteforceot), egyebkent viszont pl svedeknel banki authenticator van (ld meg google auth vagy blizzard vagy steam), szoval ha feltornek a jelszot se tudnak mit csinalni mert nem tudjak alairni.

a 1337sP34k jelszavakert viszont siman buntibe raknek mindenkit, foleg miota csaladtagnal hard resetelnem kellett a routert a "biztonsagos" exe miatt, csak aztan rendesen felirni a jelszot az mar nem sikerult. ahelyett, hogy beallitotta volna az extrafabouslyhardpasswordiscorrect et.

[ Szerkesztve ]

The first rule of tautology club is the first rule of tautology club. // Social justice in lagom amount.

(#9) Lenry válasza proci985 (#8) üzenetére


Lenry
(nagyúr)
LOGOUT blog (1)

nem csak a svédeknél, nekem amióta van netbankom (13 éve) mindig volt második authentikáció. először SMS, mostanra meg QR kód beolvasós-ujjlenyomatszkennelős Android app.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#10) Victoryus válasza Lenry (#9) üzenetére


Victoryus
(addikt)
LOGOUT blog

Én meg ettől akadok ki... tehát ha elhagyom a telefonom, vagy ellopják, akkor nem tudok hozzáférni a bankszámlámhoz, mondjuk nyaralás alatt külföldön... Utálom, hogy mindig a nyamvadék qr kódot kell neki megadni. Nyilván biztonságosabb így, de ha beüt a gebasz akkor jól meg tud szívatni.

(#11) 7 válasza Victoryus (#10) üzenetére


7
(addikt)

Ezért jó, ha több cuccot is használsz, ami tud TOTP-t kezelni, így ha az egyik összefossa magát, még mindig ott van a másik.

Apropó: jelszókezelőt nem használ itt senki? Szerintem körültekintően kiválasztva komoly pluszbiztonságot ad, és még kényelmes is.

[ Szerkesztve ]

(#12) Lenry válasza Victoryus (#10) üzenetére


Lenry
(nagyúr)
LOGOUT blog (1)

na jó, de ha elhagyod a telefont, akkor pl SMS authentikációd sem lesz, illetve egy nyaralás alatt kb 0%, hogy bármi más, 2FA-ra alkalmas akármi legyen nálad, szóval így is, úgy is szopó.

bár nem egy 2FA ad lehetőséget egyszer használatos jelszavak beállítására, amit akár egy cetlin is magadnál tarthatsz vész esetére, ilyen mondjuk jól jöhetne (a cetlire nyilván azt nem írod rá, hogy "Banki jelszavak" :D)

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13) Silεncε válasza proci985 (#8) üzenetére


Silεncε
(őstag)

Pont erre az xkcd-re gondoltam fontebb

"God's in his heaven. All's right with the world" - NERV

(#14) Zsolt_72 válasza 7 (#11) üzenetére


Zsolt_72
(MODERÁTOR)

"Apropó: jelszókezelőt nem használ itt senki? Szerintem körültekintően kiválasztva komoly pluszbiztonságot ad, és még kényelmes is."

Jelen. :) Az iOS Kulcskarikát választottam, számomra teljesen bevált, pont azok miatt, amiket említettél: kényelmes és biztonságos.

(#15) DraXoN


DraXoN
(őstag)
LOGOUT blog

A saját rendszeremben egy pontozós módszerrel döntöm el, hogy "megfelel-e" a jelszó.

Pl. 20 pontot kell elérni (nem feltétlen pont ezek az értékek, csak példaképp).
minden karakter 1 pont.
ha kap számot akkor kap mondjuk +4 pontot.
a kis és nagybetűk használata megint +4pont
különleges karakter +4pont..

azt ha eléri a 20 pontot átmegy a jelszó ... így lehet akár csak kisbetűs mondat, de jó hosszú, de lehet rövidebb de akkor "extra" elemeket kell tartalmazzon... de nem kényszerítek feltétlen minden "spell" és szűzlányvér használatára jelszóhoz.

jelszókezelőt meg használok.. saját android appot írtam ... fapad de rajtam kívül senki se hallgatja le ;] ... tárolni meg egy titkosított gdocba megy a felhőbe...

[ Szerkesztve ]

The human head cannot turn 360 degrees... || FX8320; Rx470; 16GB; 240GB; 2x1TB || LG v20@4100mAh

(#16) JoeCockBill válasza Victoryus (#10) üzenetére


JoeCockBill
(senior tag)

pontosan. jártam így, nem kicsit volt kellemetlen

új dalunk: https://youtu.be/QRxuozDls_0

(#17) UnA válasza Zsolt_72 (#14) üzenetére


UnA
(Korrektor)

Nálam Bitwarden teszi a dolgát.

(#18) Silεncε válasza 7 (#11) üzenetére


Silεncε
(őstag)

KeePassXC-ben van majdnem minden jelszavam, a kulcsfájlt kézzel szórom szét oda ahol kell (frissítéskor kényelmetlen, de legalább maximálisan biztonságos)

"God's in his heaven. All's right with the world" - NERV

(#19) Lenry válasza 7 (#11) üzenetére


Lenry
(nagyúr)
LOGOUT blog (1)

én rábíztam a gúgelre. valószínűleg egyébként is tudják, akkor meg nekem is legyen hasznom belőle

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#20) korcsi


korcsi
(veterán)

Tudom, barlangrajz, de ez ugrott be:
"
- Kérem, adja meg jelszavát!
- Alma
- Sajnálom, a jelszónak legalább 8 karakterből kell állnia!
- Reszeltalma
- Sajnálom, a jelszónak tartalmaznia kell legalább 1számot!
- 50reszeltalma
- Sajnálom, a jelszónak legalább 1nagybetűt kell tartalmaznia!
- 50KIBASZOTTreszeltalma
- Sajnálom, a jelszóban nem követhetik egymást nagybetűk!
- 50,Kibaszott,Reszelt,Alma,Feldugva,A,Seggedbe!
- Sajnálom, a jelszó nem tartalmazhat írásjeleket!
- 50KibaszottReszeltAlmaRohaggymegHaNemFogadodElEztSe.
- Sajnálom, a jelszó már foglalt!
"

42

(#21) twollah1976 válasza korcsi (#20) üzenetére


twollah1976
(őstag)

EPIC

\m/ Minden lehetséges, kivéve forgóajtón átsíelni... \m/

(#22) rosejbli


rosejbli
(senior tag)

Az ügyfélkapu jelszó mizériáját sikerült párommal átélni múlt héten.
Jött neki is az email, hogy ideje megváltoztatni. Emailben link, át is dobott a megfelelő felületre.
Mivel esélytelen, hogy a mai világban megjegyeznél ennyi jelszót, főleg ha sűrűn kell cserélni rányomott arra, hogy ajénljon neki egy jelszót. Ilyenkor egy pop-upban feldob 3 lehetőséget, ami közül tudsz választani egyet és azt be is írja neked. Igen ám, de amit felajánl jelszavakat azt nem fogadja el a rendszer! Kb 30 javaslatot próbáltunk de egyik sem volt jó. A pláne az, hogy amikor saját jelszót próbáltunk nekünk ki se írta, hogy mit kellene módosítani.
Összességében úgy sz*r az egész, ahogy van.

(#23) cskamacska válasza korcsi (#20) üzenetére


cskamacska
(addikt)

Nálam pont ezt játszotta el RobotCache.com fiók nyitásnál.

Már készültem hogy egy gagyi PC-s kliens gagyi oldala, de mikor nem engedett 12-15? karakternél hosszabb jelszót, de azt 2 számmal, nagy és kisbetűvel, 2 speciális karakterrel kellett kötelezően megfejelni, és ezt csak egyenként olvasta mind a fejemre, akkor kínomban már csak azt tudtam elképzelni, hogy ezek tényleg az XKCD stripet akarják élőben kifigurázni, nem lehetnek ennyire nyomik. :))

"Para mis amigos todo, para mis enemigos la ley"

(#25) lomposfarkas válasza rosejbli (#22) üzenetére


lomposfarkas
(tag)

Nemrég szoptam ezt végig, hogy megnézzem az 1%-ot. Nem lehet belépni a Kaü-n, új jelszót csináltattam, azt meg nem veszi be. A lényeg, hogy a böngészőből törölni kell a kukikat, utána már jó (vagy inkognitót használni) De hogy a feljesztők kurvára csuklanak emiatt, az hétszentség. És meg is érdemlik.

(#26) dabadab válasza kemotox (#4) üzenetére


dabadab
(titán)

Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó

Ez nem igaz. Ennyire brute force-olni nem lehet, mert akkor soha nem érne a végére, mindenki dictionaryket használ.

DRM is theft

(#27) Joci93 válasza 7 (#11) üzenetére


Joci93
(senior tag)

Keepass, keeweb, lastpass. A keeweb tetszik a legjobban a letisztult felületével.
Én mindig 15 - 20 karakteres random jelszavakat generálok, így esélytelen hogy megjegyezzem őket. Keeweb nálam szinkronizált drivera + megára így bármikor elérhetem a jelszavakat.

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

(#28) 7 válasza UnA (#17) üzenetére


7
(addikt)

Bitwarden szintén, pacsi

(#29) dabadab válasza 7 (#28) üzenetére


dabadab
(titán)

Szintén Bitwarden.
Self-hosted, szintén? :)

DRM is theft

(#30) Lenry válasza dabadab (#29) üzenetére


Lenry
(nagyúr)
LOGOUT blog (1)

self-hosted jelszó manager?
elérem bárhonnan? van hozzá app?
mert akkor lehet hogy rápillantanék

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#31) 7 válasza dabadab (#29) üzenetére


7
(addikt)

Self-hosthoz nincs megbízható infrastruktúrám, úgyhogy marad a BW saját vaultja.

@Lenry: Keress rá a Bitwardenre: [link]. Van egyébként egy nemhivatalos forkja is self hostra, bitwarden_rs néven fut.

[ Szerkesztve ]

(#32) UnA válasza Lenry (#30) üzenetére


UnA
(Korrektor)

Teljesen nyílt forrású, nem csak a kliensek, de a szerver is.

(#33) dabadab válasza Lenry (#30) üzenetére


dabadab
(titán)

Teljesen nyílt forrású, felteheted saját szerverre vagy használhatod az ő szerverüket is, van hozzá app meg chrome extension is.

bitwarden.com

[ Szerkesztve ]

DRM is theft

(#34) AtHoS


AtHoS
(nagyúr)

A sok bitwarden ajánlás után ismét rá kell néznem erre a programra, milyen fejlesztésen ment keresztül 1,5 év alatt. Korábbi gyorsteszt tapasztalatok: [link]

A jelszavas témához kapcsolódva: nemrég facen olvastam jelszó változtatási történetet:
- jelszava lejárt, meg kell adnia új jelszót!
- mi van? áhh, mi is legyen az új jelszó? Megvan: f.szom
- Sajnáljuk, de túl rövid!

Vistaboy: "Nem kell, ugyanis nem lesz DNF-em. A demó alapján felejtős" válasz rá KKaresz45-től: "Ez van, ha gyorsan összecsapnak valamit"

(#35) UnA válasza dabadab (#33) üzenetére


UnA
(Korrektor)

:K ... és Firefox extension is.

(#36) AtHoS válasza AtHoS (#34) üzenetére


AtHoS
(nagyúr)

Rálestem az wines Bitwarden 1.17.2 portable verziójára és összehasonlítottam a linkelt korábbi tapasztalataimmal.

Ami változott, hogy a wines applikáció net nélkül is hajlandó elindulni és hozzá lehet férni a mentett adatokhoz ilyenkor is, de az adatok változtatása, új adat felvitele viszont net nélkül még mindig nem lehetséges

Auto kitöltés olyan bejelentkezési megoldással rendelkező oldalakon, mint a prohardver (oldal betöltése után kattintásra felugróban nyílik meg a login rész) nem működött és az auto mentés sem kínálta ilyenkor a bevitt adatok elmentését.

Vistaboy: "Nem kell, ugyanis nem lesz DNF-em. A demó alapján felejtős" válasz rá KKaresz45-től: "Ez van, ha gyorsan összecsapnak valamit"

(#37) Joci93


Joci93
(senior tag)

Átálltam LastPass-ről Bitwarden-re. Sokkal jobban tetszik, mint az előző, + 10 pont a self hosted verzióért.

[ Szerkesztve ]

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

(#38) 7 válasza AtHoS (#36) üzenetére


7
(addikt)

Nekem gond nélkül megy PH-n a belépés. 2 site van, ahol problémák adódnak az automatikus kitöltéssel: PayPal és Epic. A többi mind problémamentesen működik.

[ Szerkesztve ]

(#39) Egon válasza dabadab (#26) üzenetére


Egon
(nagyúr)

Hogyne lenne igaz. Általánosságban tök igaza van.
Amúgy meg a közelmúltban törtünk fel brute force-szal egy wifi sérülékenység vizsgálatnál céges jelszót, mivel a policy megengedte a 8 karakter használatát. De te nyilván jobban tudod, hiszen egészen biztosan etikus hackerként dolgozol, netalántán ilyen csapatot vezetsz... :U

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#40) Egon válasza crey (#3) üzenetére


Egon
(nagyúr)

Valami eszméletlen ostoba konstrukció lehet, ami miatt nem fogadja el a 11 karakteres jelszót - ugyanakkor a leet abc ugyanúgy szótárazható, én kifejezetten ellenzem a használatát jelszóképzésre.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#41) AtHoS válasza 7 (#38) üzenetére


AtHoS
(nagyúr)

A belépés nekem is gond nélkül megy csak nem töltötte ki automatán a bejelentkezési mezőket - a böngésző ikonján kattintva persze megtette - ezért gondolom azt, hogy felugrós bejelentkezési mezős oldalakon nem automata a kitöltés. Igaz, más ilyen stílusú oldalt nem néztem meg, mivel "csak" gyorsteszteltem mi változott a korábbiakhoz képest és közben ph!-n is változott a design, így ez tűnt még "újdonság"-nak, ami előző tesztnél biztosan kimaradt.

Persze aki napi szinten használja - mint pl. Te - gyorsan meg tudja cáfolni/erősíteni ezt a max fél óra alatt megszerzett tapasztalatomat :B

Vistaboy: "Nem kell, ugyanis nem lesz DNF-em. A demó alapján felejtős" válasz rá KKaresz45-től: "Ez van, ha gyorsan összecsapnak valamit"

(#42) dabadab válasza Egon (#39) üzenetére


dabadab
(titán)

Általánosságban a mostani hashek túl erősek a sima brute force-hoz. Nem tudom, hogy milyen jelszóra gondolsz, de gyorsan utanászámolva egy sima nyolckarakteres, csak betűket és számokat tartalmazó WPA2 jelszó feltörése se triviális, mert így is 62^8 lehetőség van, a hashcat meg legjobb GPU-kon is csak pár millió hash/secet hoz - ha kétmillióval számolok, az akkor is 3,5 év.

Ezen túl ráadásul egy csomó esetben amúgy is nem irányított támadás van, a támadók bőven megelégednek azzal, ha a berzett jelszavak egy részét fel tudják törni és a dictionarykkel meg mintákkal viszonylag gyorsan törhető 123456, p4ssw0rd, ItsASecret bőven elég nekik, nem fogják a KCGa4Ggu-t is megtörni, ahogy az látható az időnként előkerülő jelszóadatbázisokban is.

DRM is theft

(#43) Egon válasza dabadab (#42) üzenetére


Egon
(nagyúr)

Rogue AP-t használtunk, Radius szerveres authentikáció volt, Windows-os, AD authentikált. NTLM v1 jelszó volt, egy jobb GPU 5-6 óra alatt megtörte (3 óra alatt lett kész Hashcat-tel). Egy teszt user lett megtörve a megállapodásnak megfelelően, direkt képzett jelszóval, ami teljesen random volt (kis- és nagybetűt, valamint számot is tartalmazott) - annyit "csaltunk", hogy csak a fenti 3 összetevőt állítottuk be a törő programba, speciális karaktert nem (mivel az adott cég vpn-je nem szerette a speciális karaktereket, ezért azt hanyagolták jelszóképzésnél).
Egyéb okoskodás? :U

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#44) dabadab válasza Egon (#43) üzenetére


dabadab
(titán)

Egyéb okoskodás?

Mármint azon túl, hogy az NTLMv1-nek az MD4 alapú hashe az így 2020 táján nagyjából annyira számít biztonságosnak, mint a ROT13? Azt persze, hogy meg tudtátok brute force-olni, de ennek bármi normális hashalgoritmust érintő revelanciája nincs.

[ Szerkesztve ]

DRM is theft

(#45) Egon válasza dabadab (#44) üzenetére


Egon
(nagyúr)

Tudtam, hogy nem állod meg. :P
1. Az számít, hogy mi fordul elő a gyakorlatban. Az elmélet meg egy másik dolog. Konkrét eseten talántunk a fenti konfigurációval, ami biztos vagyok benne, hogy nem egyedi.
2. Az alap állítás az volt, hogy "Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó". Ez általánosságban teljes mértékben igaz, hiszen brute force törés ugyanannyi idő alatt talál meg egy értelmes jelszót, mint egy értelmetlent. Ebbe az evidenciába sikerült belekötnöd. Az másodlagos, hogy hány karakterig van értelme így törni: az alap állítás általánosságban igaz volt (persze rontana a tévedhetetlen önimázsodon ezt beismerned - inkább kötöd az ebet a karóhoz, egyre jobban beégetve magad... :C ).
3. Hány darab sérülékenység vizsgálatban vettél részt életedben? Én már túlvagyok páron... :U

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#46) UnA válasza Egon (#43) üzenetére


UnA
(Korrektor)

Ez nagyon klassz teszt esetnek tűnik, de... egy rendes céges környezetben 3-5 sikertelen próbálkozás után lockolni kellene a logint (legalább ideiglenesen). Ezek után nem is igazán értem egy ilyen teszt életszerűségét.

(#47) dabadab válasza UnA (#46) üzenetére


dabadab
(titán)

Az NTLMv1-nek olyan remekül sikerült a handshake-e, hogy offline is lehet jelszót törni.

[ Szerkesztve ]

DRM is theft

(#48) Egon válasza UnA (#46) üzenetére


Egon
(nagyúr)

LOL... :W

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#49) UnA válasza Egon (#48) üzenetére


UnA
(Korrektor)

LOL... :)

(#50) Egon válasza UnA (#49) üzenetére


Egon
(nagyúr)

Ha fogalmad sincs, hogy miről szól egy ilyen történet, minek okoskodsz bele? :U
Jelszóhash törés történik, az ilyen ellen nem véd a próbálkozások számának csillapítása, csaxólok... :U

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Copyright © 2000-2020 PROHARDVER Informatikai Kft.