Password1

Never let your sense of morals prevent you from doing what's right.

A megoldást nem szeretnéd...?

https://www.coreinfinity.tech

(#2) rt06: Minek?

[ Szerkesztve ]

Szerintem megfejtettem,

a 12. sorban ott a bűvös kód, n7, biztosan Shepard lesz a jelszó a Mass Effectből...

[ Szerkesztve ]

Live fast - On high - Repentless - Let it ride

Átjövök ide, kevésbé moderálják remélem. A másik topikban már rég nagyon eltértünk a témától.

"nem ertelek az egesz abbol indult, hogy tobbetek szerint azert szar az AD, mert alapertelmezeskent enged gyenge jelszot valasztani"

Akkor nem velem kellene vitatkoznod a jelszókártyáról, hanem azzal, aki az AD-s hozzászólást elkövette.

"erre most ott tartunk, hogy milyen jol meg lehet bonyolitani a jelszovalasztast, meg lehet kovetelni a valtozatos, osszetett jelszot, es valahogy ezt sikerul osszekapcsolnod azzal, hogy emiatt jo a kartya (elarulom, errol a kartyarol szinte barmily egyszeru modon valasztok jelszot, meg fog felelni a kovetelmenyeidnek es megsem lesz tul eros a kartya kikerulese utan)"

Elárulom, hogy ott a jelszóhash, ott a kártya, de még megoldást nem láttam tőled.

"nem, viszont ha lenne minimalis fogalmad arrol, amirol beszelsz, belathatnad, hogy ugyanazon kulonbseg miatt kell megkulonboztetni a szamot a szamjegytol mindket esetben"

Átlagembernek a szémjegy helyett is a számot használja, mert lusta. Aki ebbe beleköt, szőrszálhasogató programozó, aki az ilyeneken lovagol ahelyett, hogy a fenti feladványon törné a fejét.

"nem, p*nat"

Akkor a jelszavad is mindenhol Password1?

"ez viszont nem valtoztat azon, hogy egyetlen elfogadhato ervet nem tudtal meg felmutatni, s nem tudtal egyetlen allitasra sem tisztes cafolatot hozni (az, hogy letezhet megfelelo jelszo, nem cafolata annak, hogy konnyeden generalhatoak gyenge jelszavak, melyek hamis biztonsagerzetet keltenek)"

Ha te nem vagy képes belátni, hogy nem csak 140-párezer lehetőség van, hogy megfelelő szabályokkal kikényszeríthető a megfelelő jelszó, és kizárható a gyenge jelszó használata, az meg nem az én hibám. Ne nézz tévét, inkább olvass, az jobban fejleszti a képzelőerőt...

"ez viszont nem valtoztat azon, hogy egyetlen elfogadhato ervet nem tudtal meg felmutatni"

A fenti feladvány az érvem. Ha megfejted (mint a tehenet), akkor elismerem, hogy nem elég jó megoldás a jelszókártya.

"milyen hash algoritmust hasznal a rendszer"

SHA512.

[ Szerkesztve ]

"[link]"

Hol van ebben az AD?

"addig meg oromkodhetsz, hogy mekkora az e-peniszed, senki nem tudja feltorni a jelszavad"

Szóval egy egyszerű nem ide-oda ugrálós módszerrel kiválasztott, cicisGizi által is simán megalkotható jelszóba is beletörik a bicskád?

"ha ilyen jellegu vitaba belemesz, akkor illene erteni hozza"

Sehol sem állítottam, hogy értek hozzá.

"akik meg nalad is sokkal magasabb lorol beszelnek"

Mint például te?

"ha te sokadjara vagy kepes felfogni, hogy nem ezt irtam, akkor felmerul a kerdes, hogy nem erted, amit leirnak neked, vagy szimplan nem foglalkozol vele, hatha mas is elhiszi rajtad kivul, hogy igazad van"

Azt írtad, hogy a kártyáról egyszerű szabállyal választott jelszavak nem eléggé biztonságosak, mert a kártya kikerülése esetén könnyen törhetőek. Erre válaszoltam, hogy ugyanúgy, ahogy a szótárban megtalálható szavakat, az egyszerű szabállyal a kártyáról összeszedett jelszavak használatát is meg lehet tiltani. A rendszer megfelelő beállításával. Ha úgy jobban tetszik, az általad kiszámolt 140-párezer jelszó NEM használható.
Tényleg én vagyok a hülye?

"az emlitett file-okban kizarolag azt fogom latni, milyen hash algoritmust hasznal a rendszer, de nem is emiatt kerdem, pusztan az erdekesseg kedveert"
"ez eddig is egyertelmu volt"

Akkor minek kérdezted? És mostmár duplán áll a kérdés: tényleg én vagyok a hülye?

arról ugye nem feledkeztünk meg, hogy a kódolás sajátossága miatt több karaktersorozatnak is lehet ugyanaz a hash-je, tehát nem a jelszót lehet megtalálni, hanem egy stringet, amivel be lehet jelentkezni?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"jahbocs - igy csak az a kerdes marad, minek okoskodsz bele az ad-s hir topic-jaba"

Egy fórumtársnak válaszoltam...

"csak kezded kapisgalni, mi a gond"

Egészen az elejétől értettem, mi volt a gondod, te nem érte(tte)d, hogy mi a megoldás rá.

"erdekelne, hogy ezt mikent kivanod megvalositai"

Vajon a szótáras szavakat hogyan szűri ki a rendszer? (Te most komolyan ennyire buta vagy, vagy csak tetteted?)

"azok utan, hogy be is idezed, minek kerdeztem, a kerdes, hogy tenyleg te vagy-e a hulye, annyira magas labda, hogy csak szanalombol nem utom le"

A 2 komment között szép nagy ellentmondás volt, de ezexerint nem esett le ez sem.
Csapd le nyugodtan. Azaz próbáld meg lecsapni. A helyedben inkább szép csendben elkullognék, mert csak égeted itt magad.

(#11) bambano: Nekem 8. Ha be tudok lépni vele a gépre, akkor elfogadom, és megkapod a jutalmat.

[ Szerkesztve ]

Miről is szól ez a játék?

AE

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

Találd meg a jelszót. Fent ott a hash, a kártyáról választotta MacCaine a jelszót.

https://www.coreinfinity.tech

Van egy jelszókártya nevű eszköz, amivel biztonságos jelszavakat lehet generálni. Egyesek állítása szerint könnyen kitalálható a jelszó, mert függőlegesen, vízszintesen, átlósan, lóugrásban meg csigavonalban tud csak az egységsugaró user gondolkozni. Úgyhogy csináltam egy jelszót, ami könnyen megjegyezhető (leolvasható a kártyáról) még cicisGiziatitkárnő számára is, majd beállítottam egy linuxon az egyik user jelszavának. A feladat: fel kell törni a jelszót. "Elvileg" nem nehéz, brute-force sem kell hozzá.

UP, hogy visszataláljak, mert érdekel a megfejtés, és a mikéntje is. Nekem ez a jelszókártya is túl bonyolult...

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

Érdekes dolog ez a kártya, de hogy tudsz ezzel megjegyezni 30-50 jelszót?

Never let your sense of morals prevent you from doing what's right.

Akkor inkább KeePass. Ahhoz is egy jelszó kell, van benne jelszógenerátor, böngészőkhöz beépülő modul stb.

Never let your sense of morals prevent you from doing what's right.

"rad bizom, valassz egyet"

Tetteted, különben már nem tudnál mit válaszolni.

"viszont kerlek utana vilagosits fel, hogy mikent kivanod megvalositani"

Gondolom a szótári szavakat egy file-ban tárolja. Hozzá kell fűzni a kártya egyszerű jelszavait a szótárfájlhoz.

"kezdem azt hinni ugyanis, hogy a leghalvanyabb fogalmad sics arrol, amirol beszelsz (persze melle sorban dobalod a lehulyezeseket, es egetni is en egetem magam)"

Egyrészt már írtam, hogy nem vagyok rendszergazda, így csak elképzeléseim vannak ezekről a dolgokról. Másrészt mivel az utóbbi 30-40-50 hozzászólásodban gyakrabban szerepelt az, hogy téged fel kell világosítani, meg e-pénisz, mint valami konkrét szakmai érv, így szerintem te sem értesz jobban hozzá, mint én. Harmadrészt nem én mondtam ellent magamnak 2 egymást követő hozzászólásomban...

Komolyan mondom, ha nem vagy képes a fenti feladatra megoldást találni, akkor hagyjuk abba a vitát, mert ezzel csak tovább tépázod az egyébként sem túl fényes "jóhíredet".

(#19) Syl: szerintem megoldható, ha majdnem ugyanaz a "sorminta". Nekem mondjuk még sosem volt szükségem 50 különböző jelszóra...

[ Szerkesztve ]

Biztos, hogy ebből a táblából van a kódod?
Ja persze gondolom, csak nem valami "egyértelmű" procedúra alapján...

AE

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

"a gond itt van, ugyanis mikent fuzod hozza a file-hoz tetszoleges, ismeretlen modon generalt kartyan talalhato szavakat?"

cat generált file >> szótárfájl

"vagy mikent garantalod, hogy a PXukpCU9ER1XKP (a te kartyadrol valasztottam, siman balrol jobbra olvasva) csak ilyen, egyszeru modon allithato elo, s masik kartyaval, vagy random jelszogeneratorral nem johet letre?"

Minek kellene ezt garantálni? Ha a user választ a kártyáról, vagy akár egy online generátorral pont ezt generálja, azt nem fogadja el a rendszer, mert a jelszókártya kikerülése esetén könnyen kitalálható a jelszó. A user válasszon / generáljon másikat.

"az egy dolog, hogy nem vagy rendszergazda, egy masik meg az, hogy ennek ellenere olyan hevvel ir valaki teljesen legbolkapott, megalapozatlan dolgokat, mint teszed azt te"

Valaki meg tökéletes logikával, tökéletes szakmai érvekkel (mint pl. az e-pénisz) minden légbőlkapott dolgomat megcáfolja. Annyira szerencsések vagyunk, hogy vagy nekünk.

"mondjuk mutasd mar meg, hol, s mirol kellett felvilagositani?"

(#18). Az e-pénisz kicsit többször fordult elő...

"hogy ha szamszerusitve leirjak, mi a gond, elsore fel sem fogod, miutan elmagyarazzak, siman leszarod"

Arra a nehezen komolyan vehető 148480-as számra gondolsz? Ez az érved? Tényleg még egyszer le kell írjam a megoldást? Elsőre is megértettem a problémát (ellentétben veled), és elsőre mondtam is rá megoldást. Ha te nem fogod fel, az nem engem minősít.

"neked ehhez egy hozzaszolas sem kellett"

Pl?

"mellesleg igazan elarulhatnad, mire is gondolsz itt"

(#6) rt06 "az emlitett file-okban kizarolag azt fogom latni, milyen hash algoritmust hasznal a rendszer"

(#8) rt06 "ez eddig is egyertelmu volt"

Ha egyértelmű volt, akkor miért kérdezted?

"szerintem majd akkor kerj szamon barkin barmit is, ha minimalisan kepben leszel abban, amirol oly fennhangon irsz"

Szerintem akkor vitázz napokon keresztül egy hozzá nem értővel, ha te szakmailag jobban képzett vagy nála.

"ugyan nem programozoi, de megoldas: felmutatsz valami ertekelhetot, amivel eltereled annak gyanujat, hogy a kifogasolt feltetelezesem igaz"

Ott van felül egy feladat. Majd ha megoldottad, elhiszem, hogy a feltételezésed igaz. Addig csak az időmet pazarlod...

Igen.

Nem egyértelmű, de elég egyszerű procedúra.

"hogyan kivanod eloallitani a hozzafuzendo file tartalmat"

Ugyanúgy, ahogyan te. Azt kifogásoltad, hogy a kártyáról egy algoritmussal könnyen generálható az a 148480 jelszó, amit az egyszeri user választana. Legenerálod, mi meg hozzáfűzzük a szótárfájlhoz.

"mas, aki masik kartyat hasznal, vagy random generalja a jelszavat, miert ne hasznalhatna ezt a jelszot?"

Miért kellene másik kártya? Elég sok a lehetőség. Egyébként meg az is megoldható akár scriptből is, hogy a user először legenerál egy kártyát, majd ebből a te algoritmusoddal legenerálja a gyenge jelszavas fájlt, majd hozzáfűzi a szótárhoz.

"igen, megegyszer le kell irnod (megintcsak, lasd a post elso reszet)"

1., 2., 3., 4.

"pusztan az erdekesseg kedveert"
"de hogy tiszta legyen a dolog, a jelszavak erossegere vonatkozo informaciot lehet kapni a /etc/pam.d/ egyes file-jaibol: minimalis jelszohossz, megkozetelt karaktertipusok"

Szóval mégsem csak az érdekesség kedvéért...

"tobbszor leirtam, hogy ez egesz addig nem fog megtortenni, amig nem kapok 100+ kartyat 1000+ jelszo hash-sel (felreertesek elkerulese vegett: a tesztbe be nem avatott 100+ kulonbozo ember 1000+ kulonbozo jelszavarol van szo, melyeket tetszoleges idopontban reprodukalni is tudnak)"

Egy rendszer egy jelszavának a feltöréséhez nem kell 100 kártya meg 1000 jelszó. Általában tetszőleges időpontban sem kell reprodukálni a jelszavakat, csak addig, amíg érvényben vannak. Gondolom te sem emléxel a tavalyelőtti jelszavaidra. Találj ki olyan feltételeket, amik nem nyilvánvalóan a feladat megoldásának az elkerülését szolgálják. Ez kb. olyan lenne, mintha azt mondanám, hogy itt vannak a kártyák emg a hash-ek, van 45 perceda törésre.
Én minden kérdésedre válaszoltam, minden felvetett problémádra adtam egy lehetséges megoldást. Kettőnk közül te vagy az, aki önmagát ismételgetve gerjeszti tovább a vitát és lehetetlen feltételeket szabva próbál meg kibújni a feladat alól.
Nagyon kíváncsi vagyok, milyen álproblémát találsz ki következőre. Kicsit igyekezhetnél, mert az eddigi érveid elég haloványak voltak...

Egyébként meg ígértél egy olyan számot, amit nem tudok jelszónak megadni és ígértél egy olyan szót is, ami benne van a szótárban, de nem tudom jelszónak megadni.

rt06: nem neked, csak mellékattintottam

Hát ez kb majdnem bruteforce (lehet, hogy azzal gyorsabban is menne - remélem a hash legalább jó, amit adtál)...

AE

[ Szerkesztve ]

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

"Hát ez kb majdnem bruteforce (lehet, hogy azzal gyorsabban is menne - )..."

Hát ja.

"remélem a hash legalább jó, amit adtál"

Azért remélem a ctrl-c ctrl-v-t nem rontottam el...

A sorok, oszlopok, álósan nem jött be, most kb random üzemmódban (na jó csak majdnem) megy... Mondjuk tényleg érdemes volna tudni a minimális jelszó erősséget

AE

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

Könnyítésként akár a pontos hosszát is elárulom a jelszónak: 16 karakter.
9-10-12 karaktereset akartam, de túlságosan belejöttem, és későn vettem észre, hogy már ennyinél tartok...

Jól párhuzamosítható a felaqdat - videokártyán szerintem már meg is lenne. De nekem most csak egy java-s implementációra futotta - nem volt kedvem még egy bgworkert se csinálni belőle, hogy legalább a két magot kihasználjam

Mondjuk 16 karakter nem egy olyan feladat, amit egy titkárnő átlagos kolléga minden reggel abszolválni tud. Nálunk vannak olyanok akik a napi használatban levő jelszót képesek minden nap 1-2 alkalommal elrontani. Na rajtuk nem segítene egy kódkártya 16 karakteres jelszó mellett...

AE

[ Szerkesztve ]

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

"Jól párhuzamosítható a felaqdat - videokártyán szerintem már meg is lenne. De nekem most csak egy java-s implementációra futotta - nem volt kedvem még egy bgworkert se csinálni belőle, hogy legalább a két magot kihasználjam"

De sok időd van...

"Mondjuk 16 karakter nem egy olyan feladat, amit egy titkárnő átlagos kolléga minden reggel abszolválni tud. Nálunk vannak olyanok akik a napi használatban levő jelszót képesek minden nap 1-2 alkalommal elrontani. Na rajtuk nem segítene egy kódkártya 16 karakteres jelszó mellett.."

Rajtuk egy gyors-, és gépíró tanfolyam segítene, nem?

Valaki linkelt egy index-es cikket ahol azt írják, hogy van valami ingyenes szótár amivel hash alapján másodpercek alatt megvan. Természetesen extra karakterek nincsenek benne meg limitált a hossz is. De akinek megvan a fullos fizetős, 9 gigás szótár az jó eséllyel indul.

Nem, mivel ez nem MD5, hanem SHA1, ráadásul salt is van benne. Ami az előre elkészített u.n. rainbow tábláknak is az elejét veszi.

AE

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

Amiben benne van minden karakter, az inkább párszáz gigabyte... A 9GB az kb. az angol abc kis-, és nagybetűi, meg a számok 0-9 között.

Ebben benne vannak a spec karakterek is ahogy láttam, de csak XP jelszóra jó. Szóval erre nem.

Minden karakter?
Link?

Gondolom inkább csak LM hash-re...

AE

Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

[link]

[ Szerkesztve ]