ha te, mint isp, nem akarsz indokolatlanul kitolni magaddal, akkor clear textben tárolod az ügyfél jelszavait.
tudom, hogy ez teljesen ellentétes azzal, amit a magukat security guruknak képzelők mondanak, de valójában nincs értelmes indok a titkosított jelszavakra, főleg, ha a szolgáltató adja ki, ezzel szemben több indok is van ellene.

ha a digi a ppp jelszavaidat clear textben tárolja, akkor jól teszi.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

a 72 órás jelszó reset kicsit combosnak tűnik, illetve arra is van esély, hogy találok hozzá olyan jogszabályt, amit sért. hogy nem realtime cserélik a jelszót, azt bizonyos fokig megértem. persze a digi megoldhatná jobban is, csak az bonyolultabb és drága.

az, hogy tárolják a jelszót (titkosítási fokozattól függetlenül), az kényszer, "- Tárolják a jelszavakat?" ez egy hülye kérdés volt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A hozzaszolas a hulye. Semmi indokot nem irtal a jelszo tarolas mellett, mikozben szerinted van tobb is.

En irok ellene:

A securiti guruk szerint valamilyen (salted) hash-t szokas tarolni.
A 72 ora vicc, 72 masodperc is sok. Sokkal nagyobb meretben is mukodik az azonnali csere, pl. egy LDAP-ban. Ez nem gond evtizedek ota es

Bonyolultabb es draga:
Egy LDAP adatbazis nem draga, a legtobb ilyen cucc abbol azonosit. Ebben cserelni egy gombnyomas, ha nem sajnaljak azt a par tucat sort az ugyfelszolgalat kodjabol.

ncc1701: Ez az email jelszavad is. Tegyuk fel oda kapod a jelszo reseteket tobb helyrol is...

https://frescho.hu

az is indok, csak elkerülte a figyelmed, hogy nem tolsz ki magaddal, mint isp.
ha tudod a cleartext jelszót, akkor az ügyfélszolgálat sokkal hatékonyabban tudja végezni a munkáját.
a titkosított jelszó mellett az lehetne egy halovány érv, hogy ne használd máshol is ugyanazt. de ha az isp adja a jelszót, akkor annak esélye, hogy máshol is használod ugyanazt, nulla.

"A securiti guruk szerint valamilyen (salted) hash-t szokas tarolni.": ez az állítás tökéletesen igaz, csak nem ide tartozik. ugyanis nem az a kérdés, hogy hogyan szokás, hanem az, hogy hogyan érdemes. az állításban burkoltan megjelenik az az állítás is, hogy a security guruknak mindig igaza van. az utóbbi időkben történtek legalábbis felvetik ennek vitathatóságát.

"Egy LDAP adatbazis nem draga, a legtobb ilyen cucc abbol azonosit.": ahhoz képest, hogy nincs ldap, ahhoz képest drága és üzemeltetésigényes. belefut az ember abba a hibába, hogy attól, hogy kifejlesztettek egy új technológiát, akkor már kötelező alkalmazni is.

"Ez az email jelszavad is. Tegyuk fel oda kapod a jelszo reseteket tobb helyrol is...": ezt nyugodtan zárd ki. a digi saját maga generálta véletlenszerű jelszavakat oszt a ppp-hez. másrészt fogadd el tőlem bizonyítás nélkül a következő állítást: a hozzáférési szolgáltató által osztogatott emailcím rohamos tempóban megy ki a divatból.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Miert lenne az ugyfelszolgalatnak konyebb a dolga? Max a helyszinra kiszallot technikusnak kellhet egy jelszo, de teszteleshez lehet egy kulon account, ergo neki sem kell, maximum amikor be kell allitani az ugyfelnel a gepet. De ilyenkor ott van a lap, amit kapott az ugyfel, vagy lehet resetelni, ergo ismet nincs ra szukseg.

Peldat mondj, amitol konnyebb az ugyfelszolgalatos dolga.

A security guruknak ebben igaza van. Jelszo, amihez tobben hozzafernek nem sokat er.

Nem 1990-ben vagyunk. Ennyi erovel semmi uj technologiat ne hasznaljunk. Az openldap ingyenes, eroforras igenye eleg kicsi es elterjedt. Az tuti, hogy az Digi eszkozei valamilyen kozponti adatbazisbol azonositanak, volt kollegaktol meg is tudom kerdezni, hogy pontosan mit hasznalnak. (Ha az eszkozon localis a jelszo adatbazis, akkor is valamivel teritik, puppet, schef, rex vagy akar csak egy automatikus git pull.) Csak azt a resetelo gombot kellene ravarazsolni a telefonosok szoftverere. Szimplan az OPEX koltsege sokkal magasabb ekkora meretben, mint egy normalis megoldas.

Az hogy kimegy a divatbol nem azt jelenti, hogy nem fogjak hasznalni. Idos rokonnal voltam ma es beallittatta velem, mert "azon keresztul tud levelezni a szolgaltatoval" Tudom, hogy magyarazhatnam neki, hogy miert jo mas is, de eleg volt az ugyfelszolgalattal kuzdeni.

[ Szerkesztve ]

https://frescho.hu

például azért, mert logolhatod a jelszavakat, és akkor látod, hogy az ügyfél elgépelte a jelszót vagy más baj van.
például azért, mert ha felhívnak (és tényleg 72 óra az update), akkor egyszerűbb a régi jelszót lediktálni az ügyfélnek, mint beállítani egy újat, és dekkolni 3 napot, hogy elinduljon.

"Max a helyszinra kiszallot technikusnak kellhet egy jelszo, de teszteleshez lehet egy kulon account,": az ügyfél nem a technikus teszt accountjának működőképessége iránt érdeklődik (fizet), hanem a sajátja iránt.

"Ennyi erovel semmi uj technologiat ne hasznaljunk.": a tapasztalat azt mutatja, hogy minél kevesebb technológiát használsz, minél jobban akadályozod a világmegváltó újdonságok terjedését a saját rendszeredben, annál stabilabb lesz a szolgáltatás és annál elégedettebb az ügyfél. az ldap, pláne, ha biztonságosan duplikálva akarod üzemeltetni, csak felesleges bonyolítás.

Azt nem vitatom, hogy a 72 óra az sok. Ezirányú győzködés felesleges. A saját privát magánvéleményem szerint 20 perc körüli frissítés az, ami minden szempont szerint optimális.

"Az hogy kimegy a divatbol nem azt jelenti, hogy nem fogjak hasznalni.": amit írtam, az nem ezt jelenti. Azt jelenti, hogy új ügyfelek már nem kérnek szolgáltatói emailt és a régiek is egyre többen hanyagolják.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Gyerekek min vitatkoztok? Gáz, hogy 2015-ben txt-ben tárolják a jelszavakat, még ha sima PPPoE jelszó is. Erre ott a keepass. Akkor is tudják a jelszavakat, csak legalább biztonságosan van tárolva bármilyen behatolás esetén is.

szerintem ha utánagondolsz, hogy mire javaslod ezt a programot, rájössz, hogy méggázabb javaslat.

szerk: és nem, nem gáz 2015-ben jelszót cleartextben tárolni.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Muszakilag nem indokolt. Ha debugolni akarsz, akkor a hash ugyanugy logolhato. Jelszo reset masodpercekig kellene, hogy tartson. Az altalad emlitett 20 perc mar elkezdi surolni az elfogadhato hatart, ahhoz nem kell csucstechnika, hogy akar cronbol frissitsek a gepeket. Ez elmegy egy kis helyi szolgaltatonal, ami egy jarasban, kisvarosban megy.

Nem vilagmegvalto dologrol van itt szo. Evtizedes technologiarol beszelunk, gondolj csak a Novell, NIS, active directory harmasra. Az ldap osszerakasa es uzemeltetese nem okozhat gondot egy digi meretu cegnek. De egy kis szolgaltatonal sem szabad, hogy kihivas legyen.

A vonal vizsgalatara tokeletesen alkalmas a technikusi account. Az ugyfelnek meg megvan a jelszava, ergo akkor tudja hasznalni a technikus. Szoval nem kell a kozpontban tarolni.

Nem kertek, hanem adtak. En is szivesebben ajanlok egy gmail-t meg ha statisztikazzak is a mail-t, mert megbizhatobbnak bizonyult hosszu tavon.

Vadi uj technologiakrol: openstacket nagyon toljak, tesztelgetem, de eleg sok kihivassal kuzd. DevOPs és continuous delivery koncepcioval is van kis tapasztalatom. Jo is, rossz is, de inkabb csak azt mondanam, hogy bizonyos gondokat felcserel masokkal. Cserebe sokkal gyorsabban tud reagalni a ceg.

https://frescho.hu

"Az ldap osszerakasa es uzemeltetese nem okozhat gondot egy digi meretu cegnek.": azt kellene megérteni, hogy nem az a kérdés, össze tud-e rakni valaki egy ldap szervert, hanem az, hogy minek.
másrészt meg elkezdődik, hogy ldap, de akkor legyen már biztonságos, akkor már kell kulcsmenedzsment, amit a diginél sokkal nagyobb szolgáltatók is el tudnak rontani... míg ha nincs ldap, nincs probléma.

"Az ugyfelnek meg megvan a jelszava, ergo akkor tudja hasznalni a technikus.": te se láttál még élő ügyfelet. honnan is tudná, hogy hol a jelszava?

"En is szivesebben ajanlok egy gmail-t meg ha statisztikazzak is a mail-t, mert megbizhatobbnak bizonyult hosszu tavon.": ez mondjuk pont nem jött be, de mindegy. a gmail rendelkezésre állása a tapasztalatok szerint lényegesen rosszabb, mint amit pl. én megcsináltam.

openstack meg devops egy access szolgáltatónál??? mi a fenének? jobb esetben dhcp+tftp+dns legyen, rosszabb esetben ppp+pppoe+radius+dns. ennyi. devops meg openstack??? doktorbácsi kikezeli, csak menj el hozzá időben.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"hanem az, hogy minek." Azert, hogy legyen honnan authenticalni. Aki keptelen rendesen managelni az ne alapitson szolgaltatot.

Igen, lattam elo ugyfelet. Tobb, mint eleget, szerencsere ket eve mar csak belso ugyfelek vannak. A szerzodes melle kapott lapon van a jelszava. Ha nem tudja eloasni, akkor jon a reset es az uj jelszo.

A gmail-nal jobbat? Akkor mi a kihivas egy ldap-ban?

"ppp+pppoe+radius+dns" Ezek kozul melyik az uj technologia? Mind a mult evezredbol maradt rank. Uj technologia bevezeteset irtad, ezekre irtam peldat, amivel sikerult osszefutnom. De van olyan, ami nallatok is elofordulhatna. Uj v3-mas Xeon, DDR4, PCIe NVMe SSD. Ezek mind uj cuccok. Rajta meg virtualizacio: ovirt (redhat virtualizacio) CentOS 7.1-el (systemd) amiken fut sok legacy cucc (LVS, web szerver (nginx, apache), DB (mysql)) Ez mind viszonylag uj, megis regi technologia.

https://frescho.hu

Sziasztok, kicsit el van tévedve a világ. Szerencsétlen ügyfélszolgálatos csak egy bábu diktálja amit a rendszerben lát. Az ha te nem tudod beírni a felhasználóneved vagy jelszavad neki csak azt jelzi a rendszer, hogy valamit elírtál. Nem tud ennél többet mondani. Az, hogy miben tárolják a jelszavakat szintén felesleges kérdés mert elhiheted, hogy a több ezer emberből nem pont a tiedet fogják ellopni, sőt ha valaki éppen használja is az adataid akkor a rendszerben ők is látják hogy valaki használja, akkor azt mondta volna neked, hogy élő csatlakozást lát azért nem tudsz belépni. Ahogy feljebb is írták az operátornak nincs lehetősége jelszót törölni és újat adni ezért erre bejelentést kell felvenni amit a társosztály dolgoz fel. Elhiheted hogy nem te vagy az egyetlen ember akinek valami baja van. Mindenki azt akarja hogy övé legyen az első amit feldolgoznak. Így sorba kell haladni. Amint te jössz megkapod az új jelszót! valamint a sok felesleges bejelentés ha nem lenne akkor sokkal gyorsabb lenne a feldolgozás is, mert rengetegen saját alkalmatlanságuk miatt nem tudnak egy egyszerű feladatot megoldani. Sziasztok

Bocsi az kimaradt, hogy ha nem tárolnák a jelszavakat akkor, hogyan tudnák megoldani azt, hogy egyeztessenek a betelefonálókkal, legyen az router hiba vagy csak elfelejtett elveszett jelszó. Úgy mindenki resetet kérne amitől még tovább tartana minden segítség is. Örüljünk, hogy sokan segítőkészek és próbálnak megoldást találni a hibákra.

"Azert, hogy legyen honnan authenticalni.": ha van sokkal egyszerűbb módja az autentikációnak, akkor minek bonyolítani ldap-vel?

"Aki keptelen rendesen managelni az ne alapitson szolgaltatot.": ezt nyilván nem egy külsős fogja megítélni.

"Akkor mi a kihivas egy ldap-ban": meg kellene végre érteni, hogy nem azért nincs ldap, mert nem tudnám megcsinálni, hanem azért, mert felesleges. kilószám vannak szolgáltatások, protokollok, amiket meg lehetne csinálni, de minek, ha az ügyfél számára nem nyújt semmit? rosszabb esetben ront a helyzeten?

""ppp+pppoe+radius+dns" Ezek kozul melyik az uj technologia?": erről beszélek, csak nehezen megy az értő olvasás. az volt a kiinduló állításom, hogy tapasztalatom szerint jobb, ha az új technológiákat akadályozza az ember. tehát ha az újakat akadályozom, maradnak a régiek. ezzel összecseng, hogy szerinted azok a protokollok régiek. semmi ellentmondás nincs itt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Megforditanam: Miert bonyolitani a jelszo adatbazis adminisztraciojat, ha egy helyen is lehet tarolni, adminisztralni? Fokent, ha van ra jol bevalt evtizedes technologia gyakorlatilag minden eszkozre, OS-re.

Nem vagyok kulsos, eleg nagy szolgaltatokkal dolgoztam egyutt tobb, mint egy evtizedig. Volt kozos projekt a Digi masik reszelegevel is. Az lepett meg, hogy a Digi kb. egy helyi kis szolgaltato szintjen ragadt meg. Megmondanad, hogy mekkora meretu szolgaltatonak dolgozol?

Meg kellene erteni, hogy egy meret felett (es a digi mar elerte ezt reg) ezek a technologiak tobb idot es penzt sporolnak, mint amennyit az uzemeltetesuk elvisz.

Igen, nehezen erted meg, hogy mit irok: Uj technologiakat, trendeket emlegettel, amire irtam peldat. Majd felhozod, hogy az ujakat blokkolod. De a kozponti authenticalas evtizedes. Talan meg az uj alaplapban olvastam eloszor single sign on- rol, ami tobb, mint 20 eve volt.

A szemelyeskedest meg kerlek hagyd abba, erveket hozz fel. nincs szuksegem sem doktorra sem pedig arra, hogy megkerdojelezd, hogy ertem-e amit leirsz.

markose: Kezdjuk azzal, hogy en jeleztem az ugyfelszolgalatosnak, mert meg egy nyamvadt hibakodot sem volt kepes kiolvasni. Ezt kovetoen felolvasta a jelszot, hogy ellenorizzem. Ez volt a papiron az asztalon elottem es a gepbe beirva is. Szoval vicc volt az egesz, tudom, hogy szegeny egy limitalt tudasu droid, aki minimalisan fer hozza a rendszerhez, de pont ezert nem adnek ki neki jelszot.

Jelszo resetnek kb. annyi ideig kellene tartnai, mint amennyi ido alatt jelszot cserelsz Windows alatt. Egy ceges windows mogott jo esetben van valami active directory, ami szinten LDAP alapu. Konnyen megvalosithato, olcso linuxos alternativak leteznek es az ugyfeles elott levo terminalon csak egy plusz ful, vagy gomb kellene az adott oldalra. Nem kellene sorba haladni, plusz embert foglalkoztatni. Szoval kozep tavon is sporolas egy ekkora meretu cegnel. Ezzel az elfelejtett vagy rossz jelszonal nem kell a regit latni. Az ugyfeles ember csak azt az egyet tudna ellponi, mert miutan lezarta az esetet nem lathatna tobbet. Most igy az osszeset el lehet lopni.

Gondolkozz el a kovetkezon, ha mar azt emlitetted, hogy miert pont az enymet lopnak el: Ha ellopjak a jelenlegi adatbazisukat, akkor kompletten viszik az egeszet az enyemmel egyutt. Akkor hogyan fogjak megoldani a cseret es kiertesitest tobb 10.000 elofizetonel? Hetekig nem lesz szolgaltatas, vagy ellopott jelszot hasznalhat majd mindenki?

https://frescho.hu

"Miert bonyolitani a jelszo adatbazis adminisztraciojat, ha egy helyen is lehet tarolni, adminisztralni": ez egy jó gondolat, már csak azt kellene belátni, hogy az ldap nem felel meg ennek a kritériumnak. Ügyfél adatot muszáj tárolni, ha másért nem, azért, mert törvény kötelez rá. Tehát lesz egy sql adatbázisod. akkor minek mellé még egy "adatbáziskezelő", ha szerinted is egy helyen kell tárolni mindent?

"Megmondanad, hogy mekkora meretu szolgaltatonak dolgozol?" nem, két ok miatt.
- amit tudok, nem csak ott szedtem fel, ahol most dolgozom
- ha el kell döntenem, hogy hülyének nézz vagy ennek elkerülése céljából felfedem a kilétem, akkor a nézz hülyének pontot választom.

"Meg kellene erteni, hogy egy meret felett (es a digi mar elerte ezt reg) ezek a technologiak tobb idot es penzt sporolnak, mint amennyit az uzemeltetesuk elvisz.": ez a fajta érvelés lepereg rólam. miért kellene bármit is megérteni bemondásra? én azt tapasztaltam, hogy a túlbonyolítás mindig bajt hoz, aminek pazarlás is a vége (meg ügyfél elégedetlenség, stb). láttam szakértők által megtervezett kábeltv-s szolgáltatót is, akik minden modern technológiát beleraktak. sose működött rendesen. a háromnegyedét kidobtam és nem volt gond.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ha van egy sql DB (mysql, postgres, DB2...), akkor abból is lehet authenticalni. Az ldap-al kapcsolatos elso reszt: "pl. egy LDAP-ban" Ajanlanam figyelmedbe az altalad ajanlott erto olvasast. A pl. azt jelenti, hogy például.

Magadbol indulsz ki. Komolyan erdekel, hogy milyen meretu rendszerekkel volt eddig dolgod.

Pont egyszerusites, ha nem kell 2 ember ahhoz, hogy egy jelszot megvaltoztassanak. Tegyuk fel egy sima text file-ban van a jelszo. Ezt csak olvasni tudja az ugyfeles. Nyit egy belso jegyet (ir egy levelet, felragaszt egy post-it-et...) Ezt a masik kollega kezeli, majd valaszol, hogy megvan. Az uj jelszoval az ugyfeles visszahivja az ugyfelet. A technika egyszerusitheti az egesz procedurat: egy gombnyomasra general egy uj jelszot, amit rogton meg tud adni az ugyfelnek masodperceken belul.

https://frescho.hu