Na, megnyugodtam. A nálunk szinte céges szinten használt Pass1word nincs a listán. Biztonságban vagyunk
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] Toyota Corolla Touring Sport 2.0 teszt és az autóipar
- [Re:] [callmeakos:] A bukott koncepció, amiért háromszor is fizettem.
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] PLEX: multimédia az egész lakásban
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Hozzászólások
Televan74
nagyúr
Akkor én jobban védve vagyok, Nagybetűs szó aztán még egy,számsor és a végére egy különleges karakter is néha befigyel.
Példa: SzormePapucs5623+ valami ilyesmi általában az enyém.
[ Szerkesztve ]
Amikor nincs remény! Jusson eszedbe nincs isten, csak én!
samujózsi
tag
Én gyorsabb voltam
(Lásd blogom )
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Koszi!
Mar csak a szuletesi eved, a kedvenc zenekarod, a haziallatod neve, az utca neve amin felnottel es edesanyad lanykori neve kellene.
Televan74
nagyúr
Nem nyert! Csak a pass könyvemet találd meg,akkor minden a tied!
Amikor nincs remény! Jusson eszedbe nincs isten, csak én!
arnyekxxx
veterán
Én legtöbbször azt használom, hogy sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 és a végén cserélgetem a számot
Helyes, az már szinte feltörhetetlen.
Thanos was right.
somogyib
őstag
Akkor lenne feltörhetetlen, ha nem írta volna ide.
[ Szerkesztve ]
ó-ó
Thanos was right.
Padree
senior tag
+1
Már csak az van biztonságban ami analóg. "Kockás" notesz, el se kell dugni, legfeljebb a webkamerák elől...
Témához:
Meglepett, hogy a "trustno1" lecsúszott a listáról - hiába, felnőtt egy generáció akik már nem tudják mi is az X-akták...
"I don't give a penny - FCK twenty twenty..."
BonFire
veterán
Nekem meg teljesen tele van a bakancsom a jelszavazással. 108 mentett jelszót tárol a böngésző. Sokkal egyszerűbb a böngésző mesterjelszavát feltörni (amivel hozzáfér az összes userpasshoz), mint egyesével szüttyögni.
Igen ám, de vannak oldalak, amelyekre Facebook, vagy Google fiók összeköttetéssel léptem be. És néha gőzöm sincs, melyik Facebook vagy Google profillal. Ezért egyszerűbbnek tűnik azt a kellően bonyolult mesterjelszót használni, amit a böngészőben is használok.
Van belőle kettő, mindkettő inkább jelmondat. Általában ezeket nem nehéz felidézni, de nem tudom fejben tartani, hogy a 100+ oldalon a kettő közül melyiket használom. Továbbá bonyolítja a helyzetet az, hogy vannak oldalak, amelyek minimum 1 számot is kérnek. Ott is van két variáció. Vagy a születési évem utolsó két számjegye, vagy a személyi számom utolsó négy számjegye, amit anyámon és rajtam kívül senki nem tud. No, ez máris hat variáció, illetve ha beleszámoljuk a számjegy nélkülieket, akkor már nyolc.
Mást se csinálok, főleg mobilon, ahol amúgy is macerás a pötyögés, hogy jelszót reszetelek, frissítek. Mindjárt itt van 2020. Űrtechnika, lassan meghódítjuk a Marsot. Nem hiszem el, hogy nincs értelmesebb módszer a felhasználó azonosítására, mint a jelszó.
A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste. Én a Roboform-ot használom de van más is csak azoknál mondjuk kicsit több beállítás kell mert nem saját szerveren keresztül szinkronizálnak vagy nincs is bennük online szinkronizálás hanem kézzel kell másolgatnod a titkosított jelszó adatbázisod. Ja ott van még a LastPass de asszem az is fizetős.
Thanos was right.
samujózsi
tag
... vagy a Keepass, KeepassX stb.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
BonFire
veterán
"Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste."
Szóval akkor a böngésző beépített jelszókezelőjént, amely hol frissíti a jelszót, hol nem, legyen egy külön applikáció, hogy keresgéljek a döglött jelszavak között? Eleve már az macerás, ha el kell kezdeni turkálni a jelszókezelőben, mert lehet, hogy a jelszavam azóta már megváltoztattam, az újat nem frissítette, és végül mindenképpen resetelnem kell. Kétlépcsős autentikáció megvan, mondjuk telefonra küldött kód SMS-ben, ami olyakor egy óra múva érkezik meg, addigra lejárt az időkorlát, újra kell kezdeni az egészet, és reménykedni, hogy a következő SMS gyorsabb lesz. Aztán jön a captcha, amit nem jól fejtek meg, ezért lehet kezdeni elölről.
Nem egyszer történt meg már velem, hogy fokozott biztonságú fiókba, mint az ügyfélkapu vagy a netbank, 2 óra hosszán át kínlódtam, hogy mi a teendő, végül telefonálni kellett, ott persze nem segít a support, csak széttárják a karjukat, mert nem tudom igazolni, hogy enyém a fiók.
Ez a helyzet tarthatatlan. Ezért használ mindenki MÉG MINDIG ilyen egyszerű és hülye jelszavakat, mert ezekkel sosincs gond.
Kivéve, mikor feltörik a fiókot.
A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
"sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1"
Ez nem elég komplikált jelszó. Nincs benne nagybetű és legalább egy jel hiányzik. Például - vagy . vagy , .
Legyen béke! Menjenek az orosz katonák haza, azonnal!
arnyekxxx
veterán
ráadásul véletlenül el is írtam, nem sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 hanem sdjhpowdf@sdfdlj&édkljfsjbf3453djfhssdfjwsdkj1
Lenry
félisten
mér pont princess és dragon?
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
BonFire
veterán
Mert nyolcévesek a userek.
A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
somogyib
őstag
Azért ügyfélkapu vagy netbank szintű dolgoknál a helpdesknek be kellene tudni azonosítani telefonon is, hogy ki vagy. Szemig szám, számlaszám, anyja neve, meg ilyenek...
Ott se lehet igazolni 100%-ig hogy az aki bemondja az adatokat megegyezik azzal akié az adat.
somogyib
őstag
Engem pl. bármelyik bank hív mindig így azonosít be, és elég bizalmas számlaadatokról is szoktam diskurálni. Nem hiszem, hogy ne lennének biztosak abban, hogy velem beszélnek.
És ha ilyen jelszó gondok vannak, akkor beazonosítás után a telefonomra küldhetnének sms-ben egy ideiglenes jelszót, amit mondjuk csak 5 percig lehetne felhasználni belépéshez.
Szerintem ez így működhetne.
[ Szerkesztve ]
BonFire
veterán
"Azért ügyfélkapu vagy netbank szintű dolgoknál a helpdesknek be kellene tudni azonosítani telefonon is, hogy ki vagy. Szemig szám, számlaszám, anyja neve, meg ilyenek..."
A helpdesk csak akkor azonosít be, amikor ők hívnak engem, és valami ajánlatot akarnak tenni. Ilyenkor megcsörget, felveszem, bemutatkozom, aztán megkérdi az összes adatomat, megmondom, és kész.
Viszont akárki nem hívhatja fel őket, hogy állítsák helyre a jelszavát, mert – nagyon helyesen! – nem lehet benne biztos, hogy a telefon tulajdonosa telefonál. Lehet, hogy leütöttem valakit, elvettem a telefonját és a tárcáját, amiben ott a személyi, meg a lakcímkártya. Ennél több nem is kell.
A beazonosításnak az egyetlen hivatalos módja a tértívevényes levél, mert csak az aláírásommal hitelesített visszaérkezett tértívevény birtokában jelentheti azt, hogy az kapta, akinek küldte.
Amikor a bank telefonos ügyfélszolgálatán érdeklődtem, lehetne-e lakcímváltozást bejelenteni, azt mondták, csak személyesen befáradva a bankfiókba.
A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
somogyib
őstag
De pl. az otp honlapján kérhetsz új jelszót, amit szintén egy beazonosítási folyamat előz meg. Ezért nem értem, hogy ezt miért nem lehet megtenni a helpdesken keresztül.
junior11
veterán
Nem tudom milyen telefont használsz, de pl. egy LastPass vagy Bitwarden jelszókezelő az esetek nagy részében gond nélkül kitölti a bejelentkezést nemcsak a webhelyeken a böngészőben, hanem az alkalmazásokban is (bár az automatikus kitöltést biztonsági okokból nem szokták javasolni). A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni.
Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, a LastPass-t régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk, a Bitwarden nyílt forráskódú, 2018 novemberében ellenőrizték, és még csak pár éve van a piacon, kb egy személy fejleszti, offline jelszókezelőnek pedig ott van a sokak által használt KeePass vagy KeePassXC, igaz, körülményesebb és kevésbé kényelmes a használatuk, mint a felhőt használó jelszókezelőknek).
[ Szerkesztve ]
The Truth Is Out There - Az igazság odaát van
Fecogame
veterán
Engem pl. bármelyik bank hív mindig így azonosít be
Így soha nem adnám ki az adataim. Egyiket se.
Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak
samujózsi
tag
Nem tudom, ez milyen bank, de ha igaz amit írsz, én villámgyorsan menekülnék tőlük. És a bankfelügyeletet(MNB?) is rájuk küldeném.
Én hívom a bankot, az IVR az ügyfélszámom + ügyfélszolgálati PIN kódom alapján azonosít és így lehet bármit intézni. Új jelszót meg kizárólag az azonosítást követően, a náluk regisztrált mobil számra küldenek.
És valójában ezt sem érzem biztonságosnak.
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Azért a hívószám azonosítás sokat lendít a biztonságon.
Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az. Azonosításkor lehet valamit téveszteni, ha nem tűnik fel a beszélgető partnernek, akkor a takarítónő ül a telefon másik végén,
Legyen béke! Menjenek az orosz katonák haza, azonnal!
samujózsi
tag
Az nem olyasmi, mint a MAC addressre alapuló védelem? Biztos, hogy arról a számról hívnak, amit látsz?
Nulla ismerettel rendelkezem e téren, de pár éve olvastam olyat, hogy valahogyan ez is hamisítható, persze nem a szomszéd pistike àltal. Nem tudom, mennyi valóságalapja volt.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
dabadab
titán
"Engem pl. bármelyik bank hív mindig így azonosít be"
Az egyébként rettenetes nagy hülyeség. Tényleg arra kell idomítani az embereket, hogy ha valami random ismeretlen felhívja őket, akkor elmondják neki a mindenféle személyes adataikat?
Mert nálam is szoktak próbálkozni, de amikor visszakérdezek, hogy ők mivel tudják azonosítani magukat, akkor arra soha nincs működő válaszuk, láthatóan a banki biztonságnál erre valahogy nem gondoltak.
DRM is theft
dabadab
titán
"A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni."
Akkor már csak azt kellene tudni, hogy melyik a "megbízható" jelszókezelő.
Az itt emlegetettek közül mondjuk mennyi teljesíti azokat a minimumkövetelményeket, hogy:
1. nyílt forrású
2. a user által kontrollált szervert használ
DRM is theft
dabadab
titán
"Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az."
A hívószámazonosítás nem ér sokat, simán lehet hamisítani mondjuk egy VOIP gatewayjel.
[ Szerkesztve ]
DRM is theft
samujózsi
tag
Ami van linuxra is, az szinte biztosan megfelel az első pontnak. Megfelelően kódolt, jelszóvédett adatbázissal a szervernek nincs jelentősége.
Keepass és variációi talán megfelelőek e célra.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
samujózsi
tag
Köszi, akkor már forrás is van, nem csak UL.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Nem ismerem a böngészők beépített jelszókezelőit de ha mobilon ugyanazt a böngészőt használod és szinkronizálja a jelszavaid akkor az is megoldás, ha pedig belefutsz olyanba, hogy megváltoztattad de nem mentetted az új jelszót akkor szívás, akkor újra megváltoztatod és mented bár engem ilyenekre mindig figyelmezetet a Roboform mert érzékeli a bejelentkezős, jelszó változtatós oldalakat és ha nem egyezik akkor felkínálja az adott oldalhoz tartozó jelszó cseréjét az adatbázisban.
Ez már nem neked szól: nyilván a végtelenségig lehetne fokozni a paranoiát, hogy melyik jelszókezelő megbízható, a választás magánügy, megoldás mindenre van. Pl. Keepass nyílt forráskodú, tud online google drive-ra, dropbox-ra meg ezer más helyre menteni vagy offline exportálni adatbázist, ki mit szeret. Az agyadnál megbízhatóbb megoldás úgy sincs de a legtöbb ember nem fog jelszavak megjegyzésével vesződni.
[ Szerkesztve ]
Thanos was right.
samujózsi
tag
Az agy a legkevésbé megbízható. Nem azért, mert árulkodik, ba leakel akkor meg irány az idegsebészet
Viszont a legtöbb ember feledékeny. Egy-két user-jelszó párost még meg lehet jegyezni, de sokat...
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
somogyib
őstag
Van benne igazság, hogy a bank se tudja magát igazolni telefonon...
Egyszer volt egy kamu hívásom, pénzt akartak kiszedni belőlem, de azokat hamar lelepleztem, gyorsan bontották is a vonalat a másik oldalon.
btprg
senior tag
"Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, ..."
Google? Valaki önszántából a legnagyobb adathalászra bízná a jelszavait is?
"Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)
samujózsi
tag
A jelszavakat nem feltétlenül, de nézz utána, egyilyen jelszó kezelő alkalmazás hogyan, milyen formátumban tárolja az adatbázisát!
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?
A LastPass eseten pl. jelenleg 100100 iteracio a default a PBKDF2 algoritmushoz es ezen meg kezzel novelhetsz, ha szeretned. Ennyi hash-t kell kiszamolnod egyetlen probalkozashoz. Sok sikert a brute force jelszotoreshez.
A biztonsag egy jelentos resze tehat nem abbol ered, hogy rajtad kivul senki nem fer hozza az encrypted vaulthoz (ez is adott persze), hanem abbol, hogy ha hozza is fer, nem tud vele mit kezdeni a kulcs nelkul. A kulcsot meg ugye az emlitett 100100 iteracios PBKDF2 generalja a jelszobol.
"régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk"
Ez rosszul lett anno kommunikalva es nem teljesen ugy tortent, ahogy megirtak a mediaban, de ennel tobbet szerintem nem mondhatok.
Tavis Ormandy amugy nemreg megdicserte a security csapatot. "If you really must use an online one, at least LastPass are responsive to researchers and have a competent security team, I would use them."
[ Szerkesztve ]
Ha meg az online resze zavar, akkor barmikor megnezheted egy local proxy-val, hogy mit kuld a szerver fele meg mit kap vissza.
samujózsi
tag
Szerinted erre hányan képesek a téma iránt érdeklődők közül?
(Tekintettel arra, hogy általában https-t használnak ezek a szarok is)
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Barki kepes ra, akinek ment az erto olvasas altalanos iskolaban meg mondjuk ossze tud rakni egy ikeas butort. Bar ezzel lehet, hogy kizartam a tarsadalom 90%-at.
A HTTPS-nek meg itt nincs jelentosege; a sajat, trusted root CA-val ahhoz generalsz certet, amihez csak szeretnel.
dabadab
titán
"Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?"
De, csak még reggel volt
DRM is theft
samujózsi
tag
Erről beszélek: gyakorlatilag egy MitM támadást kell indítani önmagad ellen. Nulla vagy minimális IT ismerettel ez nehezen megy.
Sőt. Nekem is nehezen megy, bár annak egyéb oka van
Téma iránt érdeklődők alatt a cikket és ezt a topic-ot olvasgatókat értem, nem hobbi hackereket.
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
"gyakorlatilag egy MitM támadást kell indítani önmagad ellen"
Igen , de egyreszt elso sorban dabadab-nak ment a valasz, masreszt feltetelezem, hogy a "tema irant edeklodok" nem nulla vagy minimalis IT ismerettel rendelkeznek. Tenyleg egyszeru igy "meghackelni onmagad".
samujózsi
tag
Basszus... azt hittem, már csak a linux disztribúciók használnak http-t, a repok teerjesztésére, mivel ott úgyis van még egy pgp-s ellenőrzés a letöltés után. Nézem a squid logot, párom vadonatúj mobiljának utolsó bejegyzésében ez van:
http://1.ssiloc.com/p2/22F3
Ez vajon mi? Semmi infó a domainről. Valami bináris szemét, itt-ott kínai vagy koreai karakterekkel, a virustotal szerint tiszta...
Na mindegy, a kérdés költői, csak a http használatán lepődtem meg.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
akaido
addikt
Nálunk a nagy hálózati nyomtató admin jelszava a 12345678, de a kifelé a netfelé nem látható.
Szabad országban, szabad ember, szabad akaratából azt mond és azt tesz...amit szabad. UDS Ignition.
GSP
aktív tag
Sok tökfej meg is érdemli, hogy 'benézzenek' hozzá, ki gondolná hogy valaki még ilyet használ, mint az 123456...
~~~ Ha szereted az életet, ne vesztegesd az időt, mert az idő maga az élet. ~~~
Ejnye, nem illik másnak rosszat kívánni...
Thanos was right.
Mai Hardverapró hirdetések
prémium kategóriában
- GYÖNYÖRŰ iPhone 14 Pro 256GB Space Black - Kártyfüggetlen, 1 ÉV GARANCIA, 100% Akkumulátor
- iPhone XS - 64GB - Space Gray - Független Eladó!
- Bontatlan ÚJ IPHONE 13 mini 128-512Gb gyári független Minden Szín Deák Térnél Azonnal Átvehető.
- ÉRKEZETT Legújabb Bontatlan Új M2 IPAD PRO 2022 11 128GB - 256GB Wi-Fi Azonnal Deák Térnél Átvehető.
- Újszerű, gyártói garanciális ASUS VIVOBOOK S 14 FLIP TN3402/Ryzen 5 7530u/16 GB DDR4/256 SSD/Tablet