Na, megnyugodtam. A nálunk szinte céges szinten használt Pass1word nincs a listán. Biztonságban vagyunk

Akkor én jobban védve vagyok, Nagybetűs szó aztán még egy,számsor és a végére egy különleges karakter is néha befigyel.

Példa: SzormePapucs5623+ valami ilyesmi általában az enyém.

[ Szerkesztve ]

Amikor nincs remény! Jusson eszedbe nincs isten, csak én!

Koszi!
Mar csak a szuletesi eved, a kedvenc zenekarod, a haziallatod neve, az utca neve amin felnottel es edesanyad lanykori neve kellene.

Nem nyert! Csak a pass könyvemet találd meg,akkor minden a tied!

Amikor nincs remény! Jusson eszedbe nincs isten, csak én!

Én legtöbbször azt használom, hogy sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 és a végén cserélgetem a számot

Helyes, az már szinte feltörhetetlen.

Thanos was right.

Akkor lenne feltörhetetlen, ha nem írta volna ide.

[ Szerkesztve ]

ó-ó

Thanos was right.

+1
Már csak az van biztonságban ami analóg. "Kockás" notesz, el se kell dugni, legfeljebb a webkamerák elől...

Témához:
Meglepett, hogy a "trustno1" lecsúszott a listáról - hiába, felnőtt egy generáció akik már nem tudják mi is az X-akták...

"I don't give a penny - FCK twenty twenty..."

Nekem meg teljesen tele van a bakancsom a jelszavazással. 108 mentett jelszót tárol a böngésző. Sokkal egyszerűbb a böngésző mesterjelszavát feltörni (amivel hozzáfér az összes userpasshoz), mint egyesével szüttyögni.

Igen ám, de vannak oldalak, amelyekre Facebook, vagy Google fiók összeköttetéssel léptem be. És néha gőzöm sincs, melyik Facebook vagy Google profillal. Ezért egyszerűbbnek tűnik azt a kellően bonyolult mesterjelszót használni, amit a böngészőben is használok.

Van belőle kettő, mindkettő inkább jelmondat. Általában ezeket nem nehéz felidézni, de nem tudom fejben tartani, hogy a 100+ oldalon a kettő közül melyiket használom. Továbbá bonyolítja a helyzetet az, hogy vannak oldalak, amelyek minimum 1 számot is kérnek. Ott is van két variáció. Vagy a születési évem utolsó két számjegye, vagy a személyi számom utolsó négy számjegye, amit anyámon és rajtam kívül senki nem tud. No, ez máris hat variáció, illetve ha beleszámoljuk a számjegy nélkülieket, akkor már nyolc.

Mást se csinálok, főleg mobilon, ahol amúgy is macerás a pötyögés, hogy jelszót reszetelek, frissítek. Mindjárt itt van 2020. Űrtechnika, lassan meghódítjuk a Marsot. Nem hiszem el, hogy nincs értelmesebb módszer a felhasználó azonosítására, mint a jelszó.

A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.

Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste. Én a Roboform-ot használom de van más is csak azoknál mondjuk kicsit több beállítás kell mert nem saját szerveren keresztül szinkronizálnak vagy nincs is bennük online szinkronizálás hanem kézzel kell másolgatnod a titkosított jelszó adatbázisod. Ja ott van még a LastPass de asszem az is fizetős.

Thanos was right.

"Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste."

Szóval akkor a böngésző beépített jelszókezelőjént, amely hol frissíti a jelszót, hol nem, legyen egy külön applikáció, hogy keresgéljek a döglött jelszavak között? Eleve már az macerás, ha el kell kezdeni turkálni a jelszókezelőben, mert lehet, hogy a jelszavam azóta már megváltoztattam, az újat nem frissítette, és végül mindenképpen resetelnem kell. Kétlépcsős autentikáció megvan, mondjuk telefonra küldött kód SMS-ben, ami olyakor egy óra múva érkezik meg, addigra lejárt az időkorlát, újra kell kezdeni az egészet, és reménykedni, hogy a következő SMS gyorsabb lesz. Aztán jön a captcha, amit nem jól fejtek meg, ezért lehet kezdeni elölről.

Nem egyszer történt meg már velem, hogy fokozott biztonságú fiókba, mint az ügyfélkapu vagy a netbank, 2 óra hosszán át kínlódtam, hogy mi a teendő, végül telefonálni kellett, ott persze nem segít a support, csak széttárják a karjukat, mert nem tudom igazolni, hogy enyém a fiók.

Ez a helyzet tarthatatlan. Ezért használ mindenki MÉG MINDIG ilyen egyszerű és hülye jelszavakat, mert ezekkel sosincs gond.

Kivéve, mikor feltörik a fiókot.

A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.

"sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1"

Ez nem elég komplikált jelszó. Nincs benne nagybetű és legalább egy jel hiányzik. Például - vagy . vagy , .

Legyen béke! Menjenek az orosz katonák haza, azonnal!

ráadásul véletlenül el is írtam, nem sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 hanem sdjhpowdf@sdfdlj&édkljfsjbf3453djfhssdfjwsdkj1

mér pont princess és dragon?

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Mert nyolcévesek a userek.

A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.

Azért ügyfélkapu vagy netbank szintű dolgoknál a helpdesknek be kellene tudni azonosítani telefonon is, hogy ki vagy. Szemig szám, számlaszám, anyja neve, meg ilyenek...

Ott se lehet igazolni 100%-ig hogy az aki bemondja az adatokat megegyezik azzal akié az adat.

Engem pl. bármelyik bank hív mindig így azonosít be, és elég bizalmas számlaadatokról is szoktam diskurálni. Nem hiszem, hogy ne lennének biztosak abban, hogy velem beszélnek.

És ha ilyen jelszó gondok vannak, akkor beazonosítás után a telefonomra küldhetnének sms-ben egy ideiglenes jelszót, amit mondjuk csak 5 percig lehetne felhasználni belépéshez.

Szerintem ez így működhetne.

[ Szerkesztve ]

"Azért ügyfélkapu vagy netbank szintű dolgoknál a helpdesknek be kellene tudni azonosítani telefonon is, hogy ki vagy. Szemig szám, számlaszám, anyja neve, meg ilyenek..."

A helpdesk csak akkor azonosít be, amikor ők hívnak engem, és valami ajánlatot akarnak tenni. Ilyenkor megcsörget, felveszem, bemutatkozom, aztán megkérdi az összes adatomat, megmondom, és kész.

Viszont akárki nem hívhatja fel őket, hogy állítsák helyre a jelszavát, mert – nagyon helyesen! – nem lehet benne biztos, hogy a telefon tulajdonosa telefonál. Lehet, hogy leütöttem valakit, elvettem a telefonját és a tárcáját, amiben ott a személyi, meg a lakcímkártya. Ennél több nem is kell.

A beazonosításnak az egyetlen hivatalos módja a tértívevényes levél, mert csak az aláírásommal hitelesített visszaérkezett tértívevény birtokában jelentheti azt, hogy az kapta, akinek küldte.

Amikor a bank telefonos ügyfélszolgálatán érdeklődtem, lehetne-e lakcímváltozást bejelenteni, azt mondták, csak személyesen befáradva a bankfiókba.

A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.

De pl. az otp honlapján kérhetsz új jelszót, amit szintén egy beazonosítási folyamat előz meg. Ezért nem értem, hogy ezt miért nem lehet megtenni a helpdesken keresztül.

Nem tudom milyen telefont használsz, de pl. egy LastPass vagy Bitwarden jelszókezelő az esetek nagy részében gond nélkül kitölti a bejelentkezést nemcsak a webhelyeken a böngészőben, hanem az alkalmazásokban is (bár az automatikus kitöltést biztonsági okokból nem szokták javasolni). A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni.
Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, a LastPass-t régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk, a Bitwarden nyílt forráskódú, 2018 novemberében ellenőrizték, és még csak pár éve van a piacon, kb egy személy fejleszti, offline jelszókezelőnek pedig ott van a sokak által használt KeePass vagy KeePassXC, igaz, körülményesebb és kevésbé kényelmes a használatuk, mint a felhőt használó jelszókezelőknek).

[ Szerkesztve ]

The Truth Is Out There - Az igazság odaát van

Engem pl. bármelyik bank hív mindig így azonosít be

Így soha nem adnám ki az adataim. Egyiket se.

Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak

Azért a hívószám azonosítás sokat lendít a biztonságon.

Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az. Azonosításkor lehet valamit téveszteni, ha nem tűnik fel a beszélgető partnernek, akkor a takarítónő ül a telefon másik végén,

Legyen béke! Menjenek az orosz katonák haza, azonnal!

"Engem pl. bármelyik bank hív mindig így azonosít be"

Az egyébként rettenetes nagy hülyeség. Tényleg arra kell idomítani az embereket, hogy ha valami random ismeretlen felhívja őket, akkor elmondják neki a mindenféle személyes adataikat?

Mert nálam is szoktak próbálkozni, de amikor visszakérdezek, hogy ők mivel tudják azonosítani magukat, akkor arra soha nincs működő válaszuk, láthatóan a banki biztonságnál erre valahogy nem gondoltak.

DRM is theft

"A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni."

Akkor már csak azt kellene tudni, hogy melyik a "megbízható" jelszókezelő.
Az itt emlegetettek közül mondjuk mennyi teljesíti azokat a minimumkövetelményeket, hogy:
1. nyílt forrású
2. a user által kontrollált szervert használ

DRM is theft

"Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az."

A hívószámazonosítás nem ér sokat, simán lehet hamisítani mondjuk egy VOIP gatewayjel.

[ Szerkesztve ]

DRM is theft

Nem ismerem a böngészők beépített jelszókezelőit de ha mobilon ugyanazt a böngészőt használod és szinkronizálja a jelszavaid akkor az is megoldás, ha pedig belefutsz olyanba, hogy megváltoztattad de nem mentetted az új jelszót akkor szívás, akkor újra megváltoztatod és mented bár engem ilyenekre mindig figyelmezetet a Roboform mert érzékeli a bejelentkezős, jelszó változtatós oldalakat és ha nem egyezik akkor felkínálja az adott oldalhoz tartozó jelszó cseréjét az adatbázisban.

Ez már nem neked szól: nyilván a végtelenségig lehetne fokozni a paranoiát, hogy melyik jelszókezelő megbízható, a választás magánügy, megoldás mindenre van. Pl. Keepass nyílt forráskodú, tud online google drive-ra, dropbox-ra meg ezer más helyre menteni vagy offline exportálni adatbázist, ki mit szeret. Az agyadnál megbízhatóbb megoldás úgy sincs de a legtöbb ember nem fog jelszavak megjegyzésével vesződni.

[ Szerkesztve ]

Thanos was right.

Van benne igazság, hogy a bank se tudja magát igazolni telefonon...

Egyszer volt egy kamu hívásom, pénzt akartak kiszedni belőlem, de azokat hamar lelepleztem, gyorsan bontották is a vonalat a másik oldalon.

"Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, ..."

Google? Valaki önszántából a legnagyobb adathalászra bízná a jelszavait is?

"Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)

Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?
A LastPass eseten pl. jelenleg 100100 iteracio a default a PBKDF2 algoritmushoz es ezen meg kezzel novelhetsz, ha szeretned. Ennyi hash-t kell kiszamolnod egyetlen probalkozashoz. Sok sikert a brute force jelszotoreshez.
A biztonsag egy jelentos resze tehat nem abbol ered, hogy rajtad kivul senki nem fer hozza az encrypted vaulthoz (ez is adott persze), hanem abbol, hogy ha hozza is fer, nem tud vele mit kezdeni a kulcs nelkul. A kulcsot meg ugye az emlitett 100100 iteracios PBKDF2 generalja a jelszobol.

"régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk"
Ez rosszul lett anno kommunikalva es nem teljesen ugy tortent, ahogy megirtak a mediaban, de ennel tobbet szerintem nem mondhatok.

Tavis Ormandy amugy nemreg megdicserte a security csapatot. "If you really must use an online one, at least LastPass are responsive to researchers and have a competent security team, I would use them."

[ Szerkesztve ]

Ha meg az online resze zavar, akkor barmikor megnezheted egy local proxy-val, hogy mit kuld a szerver fele meg mit kap vissza.

Barki kepes ra, akinek ment az erto olvasas altalanos iskolaban meg mondjuk ossze tud rakni egy ikeas butort. Bar ezzel lehet, hogy kizartam a tarsadalom 90%-at.
A HTTPS-nek meg itt nincs jelentosege; a sajat, trusted root CA-val ahhoz generalsz certet, amihez csak szeretnel.

"gyakorlatilag egy MitM támadást kell indítani önmagad ellen"

Igen , de egyreszt elso sorban dabadab-nak ment a valasz, masreszt feltetelezem, hogy a "tema irant edeklodok" nem nulla vagy minimalis IT ismerettel rendelkeznek. Tenyleg egyszeru igy "meghackelni onmagad".

Nálunk a nagy hálózati nyomtató admin jelszava a 12345678, de a kifelé a netfelé nem látható.

Szabad országban, szabad ember, szabad akaratából azt mond és azt tesz...amit szabad. UDS Ignition.