HB esetén (hamár ezzel hozták összefüggésbe) hótnyóc' milyen komplex jelszavad volt
Hacsak a felmérés kedvéért készült ilyesfajta statisztika, akkor igazán beleírhatták volna azt is, hogy az esetek hány százalékában jutnak be illetéktelenek szótáras vagy sima bruteforce módszerrel, mások védett dolgaihoz.

A jelszó komplexitásában egy csomó kikötés, ami a felhasználóra van erőltetve csak bizonyos (kb az említett) módszereket lassít le.

Az, hogy kiszolgálóoldalon mi történik az is megérhetne egy mesét. Például, hogy 24órán belüli 3 sikertelen próba után blokkolja a felhasználót a rendszer, értesítő emailt küld, satöbbi...

Nameg az osztott accountok, trójaik keyloggerek MIM-támadások, titkosítatlan kapocsolatok plaintext POSTtal, stb...
Egy részét le lehet verni a felhasználón, de az üzemeltetőknek sem annyit kellene tenni, hogy megkérdőjelezhető feltételeket szabnak. Persze nem azt mondom, hogy az egykarakteres jelszó oké, illetve a qwe123 sem az.

Ez amugy egy Apple fizetett hirdetés volt? Bár akkor az MS hátrébb végzett volna.

[ Szerkesztve ]

''Milliárdnyi meggyilkolt csillag sikolya elhal az éj békéjében, és a kétségbeesésnek csak néhány, törékeny, kőbevésett szó áll ellen.''

Illetve hiányolom azokat a pontokat, hogy:

zárt forrású jelszókezelő használata: -1000 pont
ugyanez, felhőben tárolt adatokkal: -10000 pont

DRM is theft

Amikor egy gépterem esetén a bejelentkezési jelszó plain textként megy tovább a központba, már meg sem lepődök semmin. Ez azért ciki, mert a géptermi jelszó mindenképpen egyezik az emailed jelszavával.

"Egy mosolynál jobb a több"

Ez a szám és speciális karakter csak nyűg, igazából tök felesleges. Ma már egy 4-5-6 karakteres jelszó feltörése nem okoz gondot, de a 8+ megfelelően tárolva (mondjuk hash + salt) már jó. A lehetőség adott mindenféle karakterre (csak aztán nehogy a karakter kódolás megvicceljen), de ha van egy 10 karakteres csak betűket tartalmazó jelszavad, ami nem megy át a hálózaton sima szövegként, akkor nyugodt lehetsz. A tárolás mellett nem árt, ha van a rendszerbe csillapítás is építve: próbálkozások közötti minimum idő, max próbák száma, stb.

(#2) dabadab:
Pont egy moderátor flame keltő...
Mi a baj a zárt forrású jelszó kezelőkkel? A Hearthbleed vagy épp a régi PlayStation jó példái, hogy hiába nyílt forrású valami, évekig lehet benne súlyos hiba... (nem szeretnék nyílt vs zárt vitát kezdeni/folytatni, nem kell válaszolni, csak megjegyzés volt)
A felhőben tárolt adatok is köszönik szépen nagyon jól vannak... Már ha felhőről beszélünk, és nem egy online adattárról vagy hosting cégről. Már a hócipőm televan, hogy minden sz@rra ráaggatják a felhő szót, mert az most menő, pedig semmi köze hozzá.

Nem flamekeltő és nem azért kell a nyíltság, hogy a hibák hamarabb kiderüljenek, hanem azért mert zárt kódba sok turpisságot lehet rakni, amivel mondjuk a jelszavakat illetéktelenek betudják gyűjteni.

tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!

"Mi a baj a zárt forrású jelszó kezelőkkel?"

Az, hogy fogalmad sincs arrol, hogy mit is csinal.
A nyilt forras sem garancia semmire (ahogy semmi egyeb se), viszont biztonsagi szoftvereknel a zart forras tulajdonkeppen alabol kizaro ok.

"A felhőben tárolt adatok is köszönik szépen nagyon jól vannak..."

Nyilvan az is remek otlet, hogy a sajat szenzitiv adataidat odaadod masnak, akinek alkalomadtan ki kell szolgaltatnia ezeket az adatokat harmadik felnek (es tilos errol ertesitenie teged) illetve egyaltalan tok idegen emberek kezelik, akik idonkent visszaelnek a helyzetukkel.

DRM is theft

Értem én ezt a ki tudja mit csinál dolgot, de legjobb tudomásom szerint (és persze lehet, hogy nincs igazam), de az ismertebb titkosító megoldások (RSA és társai) bár nyíltak, de a kulcs generátoruk titkos, tehát részben zárt. Ha a kulcs generátor nyílt, akkor megette a fene, könnyebb visszaélni vele. Szóval nem ellene vagyok a nyílt forrásnak, csak nem pártolom a "háborúját".

Nem adok ki magamról bizonyos adatokat, Facebookom sincs, máshol sem posztolok semmit, nem Instagramozok és hasonlók. A fényképeimet a telefon OneDrivera szinkronizálja, de ott is csak én látom. Semmi olyat nem fényképezek, amit amúgy rejtegetnem kéne, na meg nem is nagyon szoktam. Barlangban sem élek, fizettem már online bankkártyával, ami azért odafigyelést igényel biztonságilag.
A felhőben, ahol minden adatod titkosan van tárolva, nem tud az üzemeltető jómunkás ember visszaélni semmivel. Egy bankfiók vagy automata sokkal veszélyesebb tud lenni adatkezelés és visszaélés szintjén. Ami pedig a szabályozásokat és adatkezelést illeti, jó irányba halad a történet. Mind EU, mint Magyarországon új/pontosabb szabályozások készülnek, amiről szakik mondták nálunk az egyetemen (nem tanárok, hanem az iparban dolgozók), hogy tényleg jó az irány.
Az adatok, amiket ki kell szolgáltatni, nem csak a felhő szolgáltatókra vonatkoznak. Küldözgeti mindenki mindenkinek, csak az a baj, ha el szeretnél intézni valamit, akkor valahogy nem sikerül, olyankor hetekig mászkálhatsz ablakról ablakra...

Te abba a bizonyos 0,0001%-os csoportba tartozol, de hol marad a többi?

Ha mostanában kezdted a NIK-et, akkor készülj a halálra .

tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!

Számomra sokszor nyűg egy hosszú többkarakteres, kisnagybetűket, számokat, karaktereket tartalmazó jelszó. Amiket ilyenekkel védek az a gmail, dropbox, evernote, a többi meg kb 8db x vagy valami hasonló. Ezzel viszont az a baj, hogy sokszor nem a jelszót felejtem el hanem az emailt amivel beregeltem...

"Well, Blizzard is dead. It is a corpse being puppeteered by Activision and Bobby Kotick" DesignerDave

Tudom, és sajnos ez a baj. Ráadásul mindenhol megy a butítás, mert birkák kellenek

2011-ben kezdtem, és jelenleg úgy néz ki, egy félév csúszással hamarosan végzek Annak pedig örülök, hogy nem az új tantervvel kezdtem.

(#11) Szatyor95:
Nálam sincs szuper titkos dolog, de jogaim vannak, és szeretném, hogy maradjanak is. Amit másokkal is meg szeretnék osztani, az fent van OneDrive-on és kapnak linket, vagy ha olyan, odaadom pendrive-on, fizikailag jelszavazás. BitLockert akartam beállítani hardveres kulccsal, de még jó, hogy nem tettem, mert az a pendrive-om mondta nemrég, hogy formázni kéne használathoz, amire tettem volna a "hardver kulcsot". De mivel más kezébe nem kerül a gép, max ha én is ott vagyok, így egyelőre nem érzem életbe vágóan fontosnak.

"az ismertebb titkosító megoldások (RSA és társai) bár nyíltak, de a kulcs generátoruk titkos, tehát részben zárt"

Ez igy nagyon nagy katyvasz. Az RSA meg tarsai algoritmusok, nem konkret implementaciok es ezek ismertek (titkositas teren a titkos algoritmusokat senki se veszi komolyan). Van beloluk tobb implementacio is, zart is, nyilt is.
A kulcsgenerator meg nem igazan titkos, se az, hogy mit csinal (mert az resze az algoritmusnak, ami ismert), se az implementacio, foleg, hogy maga a kulcsgeneralas nem egy kulonosebben izgalmas dolog.

"A felhőben, ahol minden adatod titkosan van tárolva"

Es ebben mi alapjan lehetsz biztos? Pont a Dashlane eseten nagyon is felmerul a gyanu, hogy az amerikai harombetusok megkerestek oket, hogy jo lenne, ha hozza tudnanak ferni a szerveren tarolt jelszavakhoz - marpedig ha ok hozza tudnak ferni, akkor jo esellyel a jomunkasember is.

"Mind EU, mint Magyarországon új/pontosabb szabályozások készülnek, amiről szakik mondták nálunk az egyetemen (nem tanárok, hanem az iparban dolgozók), hogy tényleg jó az irány."

Viszont ezek a szabalyzasok:
1. keszulnek
2. az USA-ra nem vonatkoznak
3. az EU-s titkosszolgalatokra se feltetlenul
4. annyit ernek, amennyire sikerul betartatni oket

DRM is theft

Legyen úgy, nem emlékszem már pontosan, hogy magyarázták, pedig érdekes témák voltak.
Azt pedig könnyen meg lehet oldani, hogy az NSA, FBI, ABC, stb hozzáférhessen olyan adathoz, amihez az üzemeltető nem. Ennyi erővel amúgy ne legyen bank számlád, dolgozz álnéven, minden nap más úton menj haza, ami lehetőleg több városban is van. Ne legyen telefonod, számítógéped. Ahogy írtam, a személyes jogokat pártolom, nagyon remélem, hogy megmaradnak (csökkentve sem lesznek), de ettől még ki fogom használni a technológia nyújtotta lehetőségeket, ahol úgy látom. Az adataimat pedig elsősorban a bűnözőktől szeretném megvédeni, és nem az államtól (attól függetlenül, hogy nem kell mindent tudjanak rólam másodpercre pontosan). A szép ellentmondás a dologban, hogy az NSA állami szervezet, de amit tesznek, kimeríti a bűnözés fogalmát.

A Prohardver! fórum témáit néha sokkal többre értékelem, mint néhány tanórát. Adódik egy jó esetben tartalmas cikk, aztán azt több szemszögből és értelmezésben interpretálva is végig lehet gondolni, meg lehet vitatni - jó esetben - értelmes módon a különböző véleményeket és kérdéseket. Szívesen előírnám az oktatásban, hogy emberek járjanak szakmai fórumokra fizikailag és online is.

A jo titkositas egyik lenyeges eleme, hogy minden reszlete nyilt, dokumentalt, auditalhato es matematikailag vedheto*. A kulcsgenerator alatt a veletlenszam-generatort erted?

*: az asszimetrikus/publikus-privat kulcsra alapulo titkositasoknal a kulcscsere folyamata per pillanat a diszkret logaritmus problema feltetelezett 'nehezsegen' alapul, amit meg 'elvileg' meg lehet oldani, de valoszinuleg nem fog sikerulni. Onnantol, hogy megtortent a kulcscsere, teljesen szabvanyos pszeudorandom-permutatorokat hasznalnak a titkositashoz, es mint szabvanyok, nyilt a dokumentacio es egy csomo implementacio is.

while (!sleep) sheep++;

A nyílt kódba is bele lehet éppen, mert a több szem többet lát nem egyenlő a több szem többet nézzel. Ennél a HB dolognál is felmerült, hogy esetleg az egyik fejlesztőt privátban megkereshették, hogy ugyan vétsen már egy "ártatlan hibát" a kódban. Ami viszont jó a nyílt forrásnál, hogy amint kiderül, úgy bárki csinálhat magának javítást, nem kell arra várni, aki zárt kód tulajdonosa/fejlesztője. Itt is elvileg a fb, google meg a többiek mind saját javítást írtak, hogy minél gyorsabban ki tudják tolni a saját szerverparkukban.

Egyébként tényleg nagy káosz az adatkezelés és adatbiztonság manapság a neten. Még a nagyok közül is alig vannak, akik normális biztonsági előírásokat használnak. Az csak egy dolog, hogy a felhasználó milyen jelszót választ, de még midnig hányszor megesik olyan, hogy sima szöveges fájlban tárolják a szerveren, vagy egy beállítás miatt elfogadja az üres jelszómezőt is jónak a szerver, vagy hasonlók.

Aztán jegyezzen meg minden egyes accountjához 20-30 karakteres jelszavakat az, akinek hat anyja van.
Szerintem sokkal fontosabb a két lépcsős bejelentkezés, meg a titkosított csatorna használata, mint az, hogy épp milyen jelszó van berakva.
(én valahogy nehezen tudom elképzelni, hogy ha valaki fel akar törni egy fiókot, akkor elkezdi végigpróbálgatni egyesével az ábécé betűit. )

Don't sing if you want to live long, they have no use for your song, you're dead, you're dead, you're dead, you're dead and outta this world.

Erre valók a brute force jelszótörők. Meg a szótárak és rainbow tábla.
Amúgy meg a 20-30 karakteres jelszavak kezelésére ott a lastpass vagy keepass.

Azt ha feltöri valaki, rögtön megszerzi minden jelszavam. kb. a kulcscsomó esete.
szóval akkor ugyanott lennék, mintha mindenhol használnék 2-3 könnyen megjegyezhető jelszót, csak ez fizetős is.

Don't sing if you want to live long, they have no use for your song, you're dead, you're dead, you're dead, you're dead and outta this world.

Nem fizetős. Amikor utoljára néztem, akkor nem volt az. Amúgy meg arra az egy helyre használhatsz mondjuk egy 30-40-50 karakteres jelszót (jelmondatot), és akkor csak egy helyen kell megjegyezni. Azt maximum bruteforce segítségével tudnák törni, mert ők leglaább normálisan tárolják a jelszavakat.

A brute force-nak csak akkor kellene mukodokepesnek lennie, ha valahogy megszerzik a titkositott jelszoadatbazist, de sima belepesnel semmikeppen.

szerk: az meg mondjuk teljesen igaz, hogy ezek a jelszokezelok meg amolyan mindent vagy semmi jatekok, ha azokkal van valami, akkor az osszes jelszo kikerul.

[ Szerkesztve ]

DRM is theft

De akárhány karakteres jelszót kitalálhatok, attól még ha valaki fel akarja törni a fiókom, fel is fogja.
max. a két lépcsős bejelentkezés az, ami jó, de szerintem azt is ki lehet játszani.
oda viszont az 123 típusú jelszó is jó.

(egyébként valaki beállítja jelszónak mondjuk azt, hogy „a”. Ki az, aki pont arra fog gondolni, hogy a kovacs2bela@gmail.com jelszava pont ez?)

Don't sing if you want to live long, they have no use for your song, you're dead, you're dead, you're dead, you're dead and outta this world.

Igen, mondjuk általában valóban jelszóadatbázist szokás bruteforceolni, bár hallottam még nem olyan régen olyan szerverről, ami nem tiltott le sikeretelen belépések után.

Amúgy az átlagember számára még mindig jobb, mint a sok 12345 meg password meg hasonló jelszavak használata.

sz.balazs.95: A több lépcsős hitelesítés is jó, de azt is ki lehet éppen játszani (persze nehezebb). Viszont cserébe jó macerás. Egy karakteres jelszót nem adhatsz meg szerintem sehova, de még hármat sem. Különben az adatbázisok bruteforcolásánál elég hamar kijönnek ezek az egyszerű kombinációk, nem kell külön "gondolni rá". Javaslom nézz utána, hogyan szoktak feltörögetni ilyesmiket.

[ Szerkesztve ]

De akárhány karakteres jelszót kitalálhatok, attól még ha valaki fel akarja törni a fiókom, fel is fogja.

Ez egyszerűen nem így van. Legalábbis egy jól megcsinált rendszernél (Google, MS accountok pl. jól vannak implementálva) nem fogják tudni a szolgáltatón keresztül feltörni a fiokod.

[ Szerkesztve ]

while (!sleep) sheep++;