[link]
Egy gyakorlati példa arra, hogy hogyan ne generáljunk jelszavakat. "Apró" szépséghiba, hogy ezt egy jelszókezelő alkalmazásban sikerült elkövetni

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

és az ilyen jelszavakat hogy lehet megjegyezni?
Amennyiben több eszközön szeretnéd használni, akkor jelszómenedzserre lesz szükség.
Nem túl nagy - nagyobb - biztonsági kockázat jelszókezelőt használni, mint inkább normális, megjegyezhető jelszavakat minden weboldalhoz?

Ez örök probléma, a megoldása pedig nagyban függ a metódustól, ahogyan megjegyzed a jelszavaidat. Ha nem vagy képes rá, vagy kényelmesebb, használj jelszómenedzsert, ha meg tudod jegyezni, akkor figyelj oda arra, hogy ne legyenek támadhatók szótárakkal.

https://www.coreinfinity.tech

Bocs, lehet én nem értek valamit, de mi szükség van egyáltalán jelszó generálásra???
Egy weboldalon, fórumban, banki belépésnél, ahol regisztráció szükséges, én adom meg a jelszót. Nem automatán az oldal üzemeltetője (vagy akkor az első belépésnél kötelező lecserélni, pl elfelejtett jelszó).
Vagy van olyan aki nem tud mit kitalálni, amit meg is tud jegyezni, hanem e helyett egy random generátorral csinál magának jelszót?

Amit te találsz ki jelszót és meg tudod jegyezni, az nem túl biztonságos. A lényeg, hogy legyen hosszú és ránézésre teljesen véletlenszerű-értelmetlen, és a legfontosabb, hogy mindenhol más jelszót használj.

tr -dc a-zA-Z0-9 </dev/urandom | head -c 16

Én így szoktam generálni, és még ha van is benne bármilyen szintű megjósolhatóság, annak a kiszámításához nem lesz fogódzó. Nem lehet kiszótárazni, és ha mégis ellopják mert valahol sima szövegként tárolták, akkor sem lehet felhasználni máshol.
A kétlépcsős hitelesítésre is leginkább ezért van szükség, mert a jelszavak gyakran túl gyengék az emberi hanyagság miatt.

<-ƘƘ->

Vannak, akik generalnak jelszavakat. Amikor sok rendszerhez van hozzaferesed, egy ido utan keptelenseg minden jelszot fejben tartani, igy jobb, ha hasznalsz jelszokezelot - ezekben pedig van generator is.

https://www.coreinfinity.tech

Én erre a célra ezt az oldalt használom:
https://passwordsgenerator.net/

Általában max.16-17 karakterig, de mint látható, 128karakterig képes jelszót generálni.

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Ezzel nem teljesen értek egyet. Mondjuk pl az Als0G@ty@0523 jelszót pl még meg lehet jegyezni jobban mint a random jelszavakat, és nem hiszem hogy szótárban benne van.
A cikkben írt 50K szám generálása esetén csökken 50% környékére, 10K körül még 95%, na ez is van ennyire biztonságos.
Az olyan oldalakon, ahol úgysem adok meg semmi privátot, csak be kell lépni valahogy, az 123 jelszó is megteszi, azt nem felejtem el, ha ellopták is visszaélni nem tudnak mivel.
Természetesen a bankoláshoz, emilhez ettől komolyabb jelszavam van, és a telefonra sms-ben küldött azonosító szerintem elég biztonságot ad.
De láttam olyat is, hogy a 30 karakteres, kis/nagybetű/szám kombós, megjegyezhetetlen jelszó (azt hiszem pont a banki belépéshez), a monitorra volt ragasztva egy postit-tel, hogy el ne felejtsék, na ez az igazi biztonság
Igazad van, az emberi hülyeség, hanyagság ellen sosem lesz elég erős védelem. Ebből van a legtöbb virus/zsarolóvirus bekapása is, amikor a felhasználó nem tudja hogy mi az, de önként kattint rá a telepítésére.

#6: Sokfelé kell jelszó, a fontos helyekre van 1 külön, a többire 3-4-et variálok, ennyit még megjegyzem. A nem fontosra (webshop, fórum) mehet akár az 123 is, vagy megjegyzi a böngésző.
A jelszókezelőkben nem tudom mennyire lehet megbízni, vannak fenntartásaim. Azt honnan tudod azokban milyen generátor van? És ha még tényleg random is, attól még jelenthetnek kifelé bármit... Az összes jelszavad tudják egy helyen (főleg egy ingyenes program, ad valamit ingyen?), ez szerintem sokkal nagyobb biztonsági kockázat, mintha nem elég erős a jelszavad.

A megoldás egyszerű: vannak cégek, akik jelszómenedzserből élnek, ha a termékük rosszalkodik, az egész üzletnek annyi. Például van termék, amit kompletten hostolhatsz magadnak ingyen, kliensoldali a titkosítás, ha elfelejted a master passwordöt, akkor minden információnak annyi - lásd Bitwarden. Sokkal kisebb kockázat, mint egy gyenge jelszó, amit egy mai modern PC-vel órák alatt meg lehet törni.

https://www.coreinfinity.tech

ha a termékük rosszalkodik, az egész üzletnek annyi
Ugye a windowsban/androidban sincs beépített telemetria? Tudja valaki biztosan mit, hova küld? Annyi lett? Hát nem...
A 0$/month ártól még nem érzem magam biztonságban. Miért kapsz valamit ingyen egy profitra épülő cégtől? Valahogy mindig fizetsz, ha nem $-al, akkor az adataiddal. Nem jótékonyságból dolgoznak ők sem.
Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele? Beírnak a PH fórumba, vagy az xxx webshopban rendelnek valamit helyettem utánvéttel amit nem veszek át mert nem én rendeltem?
Kicsit túl van lihegve a probléma, mint a spectre/meltdown, amivel senki sem találkozott még, de van rá 0,01% lehetőség, ha valaki még pluszban root passworddel pendriveról telepít valami kártékony programot.

Sokkal nagyobb szopatás, amikor pl a wifi jelszó (jó biztonságos, mint a #7-ben) beírása egy új ügyfélnek 2-5 perc, mert valamit úgyis elüt. És utána úgysem használja többet. Aki rendszeresen rajta van, az itt dolgozik, max 5 méterre tőlem, mert messzebb úgysem ér el a hatótáv.
Persze ha komoly, pl kormányzati helyekre való jelszóról beszélünk az más szitu, de oda is bejut aki nagyon akarja (az orosz hackerek az usa választásba?)

Különben mindkettőtők igazat mond, de a valóság még ennél is cifrabb.
Azt mondják az okosok, a jelszó lehet akár 256 karakter is, és nem kell jelszó kezelő sem.
Mert az hogy fizikailag hozzáférjen valaki egy leírt jelszohoz amit egy relatíve biztonságos helyen tartasz otthon annak annyi az esély mint Nap és Alfa Centauri ütközésének a holnapi napon.
Így nincs rés a pajzson, csak a webkamera/telefon kamera/kamera amit hanyagolni kell.

Ezt az oldalt én is kedvelem, de ahogy sh4d0w is írta, a speciális karakterek használata felesleges, sőt én még a kis / nagybetű vegyes használatát is ki szoktam kapcsolni. A kutatások egyértelműen azt mutatják, hogy a jelszó hossza számít igazán, a többivel inkább magadat szivatod.

a gond ezekkel a feltételekkel az, hogy már évek óta meghaladta a szakma.
tehát a poszt arra jó, hogy megmutassa, hogyan ne generáljunk jelszót.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tegyük fel, hogy frissen regisztrálsz valahova ahol majd érzékeny adatokat is meg kell adnod, ezért a legbiztonságosabb jelszóra van szükséged. Egy iránymutató példaként le tudnád nekünk írni, hogy miként szoktad ezt megoldani? Vagyis hogyan képződik a jó jelszó, és azt milyen formában és hol érdemes tárolni?

<-ƘƘ->

Általánosságban az a jelszó "amit meg tudsz jegyezni" szinte biztos, hogy nem biztonságos (most az extrém eseteket leszámítva). Mivel alapvetés, hogy jelszavakat nem hasznosítunk újra, ezért mindenhol különböző jelszót használ az ember, ez pedig elég rövid úton elvezet oda, hogy sem megjegyezni nem fogod tudni a sok jelszót, és emellett tapasztalat, hogy nagyon hasonlítani fognak egymásra (a logika ami alapján kitalálod fejben) és ez sem előnyös.

Elég kézenfekvő inkább egy célprogramot használni rá és sokkal gyorsabb is mint agyalni egy újabb "jó" jelszón. Én például a Password Tech jelszó generátorát használom. Gyakori, hogy a legenerált jelszóba még kézzel is belemódosítok.

Egy ideje már 48 karakteres jelszavakat szoktam használni, a legtöbb eszköz/szoftver már képes ezeket kezelni és ha úgy sem kell fejben megjegyeznem, akkor tök mindegy a hossza nekem, viszont akkor már legyen irreálisan hosszú, legalább brute force ellen védett, meg erre hosszra azért még jó ideig nem lesznek szivárvány táblák sem szerintem.

Szóval röviden azért van értelme jelszó generátort használni, mert sokkal egyszerűbb vele, mint "fejben dolgozni". Egyébként meg tényleg van olyan, aki "nem tud mit kitalálni", ha megnézed a legnépszerűbb jelszavak listáját, meglepően sokan vannak.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

le tudnám, de nem írom, mert az biztonsági probléma lenne.
de itt egy videó: [link]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele?"

Gondolhatod, hogy nem arra utaznak, hogy a nevedben hülyeségeket irkáljanak egy fórumba, viszont általános gyakorlat a userek közt, hogy ugyanazt az egy jelszót (amit egyszer sikerült megjegyezni) használják az email fiókjukhoz, a fórumokon, a webáruházban meg a bankban is, meg mondjuk a céges felhasználójuknál is. Így ha valahol kompromittálódik a jelszó, akkor a támadó szépen végig tudja próbálni mindenhol és előbb-utóbb profitálni fog belőle.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Biztos ami biztos alapon, javasolt a minden engedélyezett karakter használata. Amúgy én az iPhone Kulcskarikát használom mint jelszókezelő.

Anno elkezdtem tesztelgetni ezeket a jelszavas dolgokat, nálam a tapasztalat azt mutatta, hogy minél bonyolultabb egy jelszó, annál nehezebb feltörni, mivel a variációk száma jóval nagyobb így még BruteForce módszerrel is elég sokáig tarthat, wordlist-es megoldással meg hát az atyaúristen tárhelye nem lenne elég ha 8-tól 16 karakterig legenerálja valaki az összes jelszókombinációt

De hát, nincs 100%-kos biztonság, inkább törekedni kell arra, hogy minél közelebb a 100%-hoz

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Valójában az egész jelszavasdi már eléggé idejétmúlt és ki kellene ebrudalni mindenhonnan, de még senki nem volt képes egy átfogó, mindenhol alkalmazható másik megoldást letenni az asztalra.

https://www.coreinfinity.tech

a minden karakter használatával az a gond, hogy nehéz megjegyezni. max. akkor engedélyezhető, ha jelszókezelő programot használsz. egyéb esetekben az lesz a vége, hogy a júzer leírja a jelszót, ami ugyanúgy biztonsági rés.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Én azért használok csak 16 karakteres a-zA-Z0-9 jelszavakat, mert adott esetben nincs más lehetőségem, mint a kézzel való beírás. Ez még az a szint ami abszolválható, na de 48, különlegesebb karakterrel már nem igazán.

<-ƘƘ->

Mivel a Bitwardent magadnak is hostolhatod, nem egészen értem a 0$-os problémát (egyébként meg ha nagyon akarsz, fizethetsz érte): a hálózati kommunikációt úgy korlátozod magadnak, ahogy akarod. A cég meg nem a 0$-osokból él, hanem a fizetős ügyfelekből, legyen az magán, vagy céges.

Attól, hogy valami ingyenes, nem biztos, hogy rossz.

https://www.coreinfinity.tech

Én is Bitwarden-t használok, teljesen megvagyok vele elégedve.

A legjobb megoldás szerintem a kétfaktoros azonosítás. Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

Attól függ, honnan nézzük.

Valahol mindig lesz egy "kis rés a pajzson" ... vagy a jelszó bonyolultsága miatt vagy az egyszerűbbsége miatt. a kettő együtt nem fér össze véleményem szerint.
Sok helyen megkövetelik már a legalább 8karaktert és ebbe kell férnie kis betűnek,nagy betűknek,számoknak, valahol még a speciális karaktert is kérnek. Mondjuk még a 8 karakter könnyen megjegyezhető, de ha erős jelszó kell beállítani, akkor ezeket nagyon K0mB1n@1N!(kombinálni) kell, ami már lehet nehezíti a megjegyezhetőséget.

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

A kétlépcsős hitelesítés az nagyon jó, de nem azt jelenti, hogy akkor már mindegy, hogy milyen jelszót használsz. Az átlagember ugyanazt a gyenge jelszót adja meg sok helyen, és ha valahol kitudódik, akkor nem lesz mindenhol extra védelmi faktor.

[ Szerkesztve ]

<-ƘƘ->

Ez így nem feltétlenül álja meg így a helyét... de tény, hogy 2faktoros azonosítás növelheti a biztonságot.

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Nos, nem tudom, megnézted-e az általad linkelt videót, de ott kompletten a password policy-ről van szó, én viszont a lehetséges implementációs hibákra hívtam fel a figyelmet. (Nem mellesleg szerintem van baj a NIST publikációval - lehet, hogy copy-paste probléma -, de a 8 karakteres jelszó az, amit reggeli előételnek fogyasztanak a mai rendszerek. Mindemellett még csökkenti is a karakter setet is az ajánlás, hogy még könnyebben menjen a brute force.)

[ Szerkesztve ]

https://www.coreinfinity.tech

Vágom, hogy megjósolható, mint pl. C#-nál is a processzor működése alapján generálódnak a random számok. Na de ha én ezt teljesen offline csinálom ki a rák fog rájönni, hogy éppen melyik 64 karakteres sorozatot generáltam le az összes betűből, számból és különleges karakterből?

Ami rendszerbe be lehet jutni brute force-al, ott nem a jelszavam bonyolultsága lesz a legnagyobb biztonsági rés, valljuk be.

...csak én vagyok helikopter?

Akkor ezek szerint ez újdonság lesz számodra, hogy minden jelszó törhető brute force-szal. Nagyon sok web alkalmazás van, ahol sem lockout, sem throttling policy nincs implementálva.

[ Szerkesztve ]

https://www.coreinfinity.tech

Szerintem egy ilyesmi már jó kezdet lehet. Akár céges környezetben is, szétosztva a júzereknek, tudatosítva felük a fiókjuk biztonságának fontosságát.

Létezik ezeknek open source alternatívája is például ez, vagy ez.

Személy szerint én elvagyok a bitwardennel. Épp agyalok az előfizetéses rendszerükön, mivel a 10$/év nem egy hatalmas összeg és akkor már a nemrég megérkezett yubikeyem is tudnám vele használni.

Ez egy nagyon jol torheto jelszo

How to choose a password?

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Lehet törni 2 faktort is? Nem hiszem, hogy brute force védelemre ne gondoltak volna. Vagy mire gondolsz az alatt, hogy ez így nem feltétlenül állja meg a helyét? Nem kötekedni akarok, csak érdekel a téma.

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

Jelszavakat ma mar nem bruteforceolnak hanem dictionary attack-al tornek.

Ezert ertekesek a kiszivargott jelszo adatbazisok mert nem feltetlenul az a lenyeg, hogy john11-nek Apple3honeyfuck3R a jelszava hanem, hogy valos jelszavakat tartalmaz amit szepen be lehet nyomni egy szotarba es hash alapjan tudnak kesobb rendszereket tamadni vele.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Ha a dictionary - és semmi más - nem működik, marad a brute force - ez persze nem jelenti azt, hogy nincs igazad, de garantált az eredmény.

https://www.coreinfinity.tech

Rossz 2FA-t lehet törni, vagyis inkább megkerülni, ezért nem ajánlott az SMS, mint 2nd factor.

https://www.coreinfinity.tech

és azoknál nem is vagy ügyfél ügye? Vagy legalábbis semmi szenzitív adatod nem bízod rájuk?

...csak én vagyok helikopter?

A kétfaktoros - ideális esetben - mindenképp emel a biztonságon, de nem csodaszer sajnos. Ahogy többen is írták megfelelő trükközéssel megkerülhető, erre nem olyan régen volt hazai példa is. Persze itt hibázott az áldozat, hibázott a Telenor ügyintéző, de hát ilyen a való élet.

Meg persze lehet hibás maga a megvalósítás is és akkor pedig azért megkerülhető (legutóbb talán QNAP-nál olvastam ilyenről). Ebben az esetben meg inkább csökkenti a biztonságot, mert abban tudatban, hogy megvéd az MFA, hajlamos az ember eleve gyengébb jelszavakat használni.

Szóval jó és fontos dolog a kétfaktoros, de nem csodaszer.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

ha már n-faktoros autentikációnál tartunk, akkor a témához értő emberek segítségét szeretném kérni abban, hogy segítsenek értékelni az alábbi helyzetet biztonsági szempontból:

1:
erstés vagyok, eddig úgy működött az internetes kártyás vásárlás, hogy megadtam a kártyaszámom, cvc kódom majd jött egy SMS kód, ezt beírva teljesült a tranzakció, goranga.

most, gondolom extra szabályozás okán (n+1 faktor) amellett, hogy megadom a kártyaszámot, egyéb infókat (név, lejárat, cvc) meg kell adnom a netbanki belépő jelszavamat is, majd SMS kód (vagy appos jóváhagyás).

kérdésem, hogy az milyen módon növeli a biztonságot, hogy én lépten-nyomon megadogatom az egyetlen korbendallas ebankos jelszavamat minden tranzakciónál, amivel egyébként (egyéb faktorokkal védve ugyan, de ezek a faktorok vannak a vásárlásnál is) teljes hozzáférésem van az összes bankszámlám összes forintjához?

számomra, laikusként ez pont a biztonság csökkenésének az érzetét kelti, hiszen mindeddig az volt a mantra, hogy a netbank jelszót soha semmilyen körülmények között, csak az egyszent banki honlapon sehol máshol.

- értem hogy van még n faktor
- értem hogy nézzem meg az oldal tanúsítványát (laikus vagyok, azt írnak oda amit akarnak)
- értem hogy telepítsek appot (erről majd később)

de mi az öreg ürdüngért nem lehet akár erre egy külön vásárláskorbendallas jelszót definiálni az egyszentbankhozzáférős helyett, és miért kellene ettől nekem nagyobb jót éreznem mint eddig?

2:
netbank app megy, george (gyuri) app jön. nagyszerű.

george app by design két alap módon hozzáférhető, művelhetó:

a) megadok egy n jegyű számsort a bazi nagy jól látható billentyűzeten minden lépésnél (belépés, jóváhagyás, aláírás, megtekintés) hogy aki elsőre nem tudta lelesni, biztos legyen lehetősége javítani

b) biometrikusan azonosítom magam ujjlenyomattal (más mókusok arccal)

előbbi eset értelemszerűen nem tetszik, utóbbit választottam, még ha nem is szeretem megadni a biometrikát mindenre, de gyuri okos app, biztos jól vigyáz rá.

ugyanakkor a véletlen rányomás elkerülése, illetve a telefon egyéb biometrikus azonosításától való elhatárolás miatt úgy próbáltam megadni az ujjlenyomatom gyurinak, hogy ne az általánosan használt (mutató)ujjam azonosítson gyurinál, hanem egy másik, amit egyébként nem használok és nem is regisztrálok a telefonon másra.

igen ám, de ezt nem lehet, ugyanis gyuri csak a telefonon regisztrált ujjlenyomatokat fogadja el, mást, újat megadni nem lehet, sőt, ha több ujj azonosítva van a telefonban akkor mindre ugrik, korlátozni sem lehet mondjuk a bal kéz középső ujjára.

nem tudom van-e technikai akadálya annak hogy a telefonon egy globálistól eltérő biometrikus azonosítást felvegyünk külön egy-egy appnak.

ha van, akkor értem miért a limitáció, viszont akkor nem világos, hogy miért csak ez a két, számomra erősen támadhatónak tűnő opció létezik az app autentikációjára, miért nem lehet kérni adott esetben legalább egy hagyományos SMS alapú kódot az egyes lépésekre (akár műveletenként differenciálva, pl. belépés kódsor, jóváhagyás biometrikus, utalás SMS)

miért kéne a fenti változtatások miatt erősebb biztonságban éreznem magam?

"Csak angol ABC betűi" – ez így nem igaz, ez policy kérdése. De nem ez volt a lényeg, talán te is érzed

Én sehol sem találkoztam még olyan helyzettel, hogy bármilyen magyar betűt elfogadott volna!

De amúgy értettem a lényeget...ezt írtam le én is, hogy szótárat létrehozni, ahhoz bődületesen sok tárhely kell!
amúgy egy profibb wordist generator simán kigenerálja a hsz-ben leírt jelszót

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Kell a fenét, 10M top jelszót tartalmazó file alig több, mint 8 MB. Letöltheted githubról.

[ Szerkesztve ]

https://www.coreinfinity.tech

Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók. Vagyis ha én komplett mondatokat használok jelszónak, amiben van egy szám még egy spec karakter, akkor ahhoz nem 10Mb szótár kell hanem 10Gb.
A másik, a szótár módszer angol mondatokkal sem fog működni, ha fenti képletet követjük mondat plusz spec karakter random helyen, elszórt nagybetűvel.
Lehet mondani, úgyis a szó eleje lesz nagybetűs, de mi van ha nem?

Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is. Kormány hivatal meg ha nem kétlépcsős és korlátozott a próbálkozások száma akkor ott ette meg a fene.
Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek.
Vagyis akinek nincs Facebook és társai, azok kb láthatatlanok.
Ez a személyes védelem, ha a munkahely is ide keveredik, akkor lehet okoskodni még az ügyön.

Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák.

Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént.

Szerintem teljesen felesleges belekeverni a magyar nyelvet, a világ túlnyomó többsége az angol abc betűit használja a jelszavakban (egyébként mi van akkor, ha 10 GB a szótár? Hint: semmi.). Úgy érzem, azt gondolod, hogy vmi mást állítasz, amikor a jelmondatokra hivatkozol, mint én, holott én a bejegyzésben is azt szorgalmaztam, hogy legalább 12 karakter legyen a jelszó az eddigi 8 helyett.

Szakmai kérdésekben ne hozzunk ide mindenféle Hollywoodi sorozatokat, próbáljuk meg megőrizni a diskurzus színvonalát valamilyen magasabb szinten. (Fent vagyok Facebookon, sok sikert a profil által kitalálni a jelszavaimat.)

"...Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént. ..."

Ez konkrétan azt mutatja, hogy nem vehető teljesen komolyan, amit írsz. Van egy metrika, amit ROI-nak hívnak - nem írom ide mit jelent, nézz utána, légyszíves.

"...Az hogy mindenhol más jelszót használunk, logikai banalitas..."

Semmiféle banalitás nincs benne, leszoktat arról, hogy újra felhasználd a jelszavaidat.

https://www.coreinfinity.tech

na, pont ezért írtam, mint általános password policy betű karakter.

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

No offense, de elég sok mindent "összehordtál" amik nem feltétlenül állják meg a helyüket.

"Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók."

Teljesen mindegy, hogy milyen nyelv a magyar, mert a jelszó hossza az egyik legfontosabb paraméter. Tulajdonképpen ha akármilyen nyelven írsz le egy jó hosszú mondatot, akkor maga a szöveg hossza adja a védettséget, az irreleváns, hogy milyen nyelven írtad.

"Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is."

Ez elsőre logikusnak hangzik, de pont a kevésbé fontos - és ezáltal kevésbé védett - gyenge láncszemek a legjobb belépési pontok (értsd: ugródeszkák) egy támadáshoz. Az összes supply chain attack is pont erre az alapvetésre épül. Senkit sem a fogorvosod érdekel, az viszont - hogy a példádnál maradjak - már érdekes információ lehet mondjuk, hogy mikor fogsz magatehetetlenül ülni a fogorvosi székben 1 órán át és lesz épp üres a lakásod, vagy épp akkor nem fog feltűnni, ha a bankszámládhoz akarnak nyúlni, vagy akár ezen információ alapján hitelesebben megszemélyesíteni téged mikor a nevedben akarnak eljárni máshol...

Tulajdonképpen azzal, hogy mindenhol egyedi és erős jelszót használsz, nehezíted egy potenciális támadó dolgát. Érdemes úgy gondolni erre, mint amikor a házad véded. Jó erős biztonsági ajtót szerelsz fel. Elég ez a védelem? Nem vagy védettebb ha egy riasztót is szerelsz fel mellé? És nem még jobb, ha kamera rendszert is raksz? Sőt, ha egy erős kerítést is húzol, talán még jobb, nem? Meg ha mellé még egy jó házőrző kutyát is tartasz a kertbe... persze 100%-ig sosem leszel védett, de minden egyes lépéssel nehezíted, hogy kirabolják a házadat.

Sosem tudhatod mit mire fog tudni felhasználni egy támadó, nem tudsz a fejükkel gondolkodni. Abból érdemes kiindulni, hogy megteszel mindent, hogy megnehezítsd a dolgát. Egy jelszó nem kerül semmibe, akkor ugyan miért ne védjük magunkat minél jobban ha megtehetjük?

"Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek."

Egy generált jelszó például milyen összefüggésben áll a személyiségi profiloddal?

"Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák."

Mindenki abból indul ki, hogy "á én úgysem vagyok érdekes". Sokszor nem te (vagy én) vagy az érdekes, viszont az ismeretségi körödben (vagy az ismerőseid ismerősei közt) lehet olyan aki igen, esetleg a munkáltatód vagy a rokonai, netán az ő munkahelyük stb. így rajtad keresztül közel lehet kerülni a célponthoz. Innen nézve potenciálisan bárki lehet "érdekes".

Az IT biztonságnál sohasem azt kell latolgatni, hogy mekkora az esélye egy adott helyzet bekövetkeztének, hanem azzal kell foglalkozni, hogy mit teszek ha mégis bekövetkezik? Ez nem csak a jelszavakkal van így, hanem a biztonsági mentéstől a katasztrófa helyreállítási tervekig minden esetben.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Az első résszel arra utaltam, hogy a szotarazos módszer lényege a brute forceal szemben pont az, hogy lényegtelen a jelszó hossza, hiszen a szótárban lévő tartalmakat próbálja végig nemde?
Vagyis ahogy egyre bonyolultabb egy nyelv és egyre több karaktert használ, úgy nő a nehézségi faktor, jelszó hosszától függetlenül.

A másik példa is helytálló, de ne felejtsétek el, egy átlag egyén és környezet Feltörésével a befektetett energia akkor fog csak megtérülni ha van mit ellopni/van következő szint ahová be lehet jutni.
Pl nálam nincs zár a kerítésen, egy funkciója van, a kutyákat bent tartani. Az ablak sem rácsos, hiszen a tetőt is ki lehet bontani, sőt.
Vagyis egy átlag embertől hova lehet eljutni?
Aki nem IT Ben dolgozik, mondjuk egy traktoros?
Nézzünk körbe, a biztonsági szintek pont egy Piramis módjára épülnek fel, ami az emberi részét képezi, minél lenyegtelenebb egy védeni kívánt létesítmény annál több ember férhet hozzá, és a rá épülő rendszerekben ahogy egyre magasabbra kerülünk, úgy csökken a hozzáférést élvezők száma.
Ennél lenne a védelem lényege, hogy kizárjuk az embereket a kritikus rendszerekből.
SZVSZ nem a jelszó a probléma hanem maga az ember.
A jelszó azért létezik mert ember kell a rendszerbe.
És itt el is bukott az egész biztonsági kérdés.
Ha megnézed 100% a feltört rendszerekben emberi hozzáférés volt biztosítva, függetlenül a védelem formájától.
Ennél nagyobb bizonyíték nincs.

Nem biztos, hogy jól fejeztem ki magam, és lehet ebből nem egyértelmű mire akarok kilyukadni.

Minden kritériumoknak eleget teszünk, mármint amire szükség lehet, megfelelő bonyolultságú/hosszúságú jelszavak, különbözőek minden regisztráció esetében.
Ehhez kelleni fog egy jelszó kezelő, ami valamilyen módon hozzá ferheto az adott egyén számára.

Akkor nem az a leggyengébb láncszem?
Mármint a jelszó kezelő is jelszó védett, és ahhoz is generálni kell egy jelszavat amit nem tud megjegyezni az illető. Akkor azt a jelszót tegyük be egy másik jelszó kezelobe és generálni kell hozzá egy újabb jelszót, amit megintcsak nem tud megjegyezni az illető?

Csökkent az ugródeszka száma ez tény, de aki pont arra az emberre hajt, annak ez Semmi problémát nem fog jelenteni, ahogy eddig sem jelentett, amíg vannak ujpercek az egyén kezén, addig van újabb probalkozasi lehetőség Brute forceal.

"Az első résszel arra utaltam, hogy a szotarazos módszer lényege a brute forceal szemben pont az, hogy lényegtelen a jelszó hossza, hiszen a szótárban lévő tartalmakat próbálja végig nemde?
Vagyis ahogy egyre bonyolultabb egy nyelv és egyre több karaktert használ, úgy nő a nehézségi faktor, jelszó hosszától függetlenül."

Ez így van. De honnan tudod előre, hogy milyen módszerrel próbálja a támadó visszafejteni? A jelszó összetettsége csak a szótárazás ellen segít, a jelszó hossza viszont nem csak a szótárazás, hanem a bruteforce ellen is véd --> a jelszó hossza adja a védelmet leginkább.

"A másik példa is helytálló, de ne felejtsétek el, egy átlag egyén és környezet Feltörésével a befektetett energia akkor fog csak megtérülni ha van mit ellopni/van következő szint ahová be lehet jutni."

Pont azt próbáltam leírni, hogy ez miért nem jó megközelítés. Fogalmad sincs (és nekem sem), hogy milyen információ fontos egy támadónak, mire és hogyan fogja felhasználni, mi a célja. Ezen szerintem kár is agyalni, mert egy látszólag teljesen értéktelen információ is lehet értékes valaki másnak. Lehet, hogy te nem tudnád mire felhasználni, de egy támadó meg igen. Biztosan emlékszel még réges-régen mikor a Google elkezdte a kereső szolgáltatását és egyben az adatgyűjtést, sokan legyintettek akkoriban is, hogy ugyan mire jó az a sok értelmetlen telemetriai adat, amiket begyűjtenek? Ma már tudjuk, hogy ennél értékesebb kincs kevés van. Bárki és bármi - ami számunkra értéktelen - lehet értékes valaki másnak.

"Vagyis egy átlag embertől hova lehet eljutni?
Aki nem IT Ben dolgozik, mondjuk egy traktoros?"

Meglepődnél, hogy mennyi helyre. Egy traktorosnak is lehet felesége, barátai, akiknek lehetnek fontos hozzátartozói, esetleg dolgozhatnak olyan helyen amit érdemes támadni. Ajánlom e témában Kevin Mitnick írásait, aki mint egykori hacker leírja, hogyan is működik ez. Nem a traktoros a fontos, nem ő a célpont, ő csak a belépő pont vagy az ugródeszka valaki más felé.

"Nézzünk körbe, a biztonsági szintek pont egy Piramis módjára épülnek fel, ami az emberi részét képezi, minél lenyegtelenebb egy védeni kívánt létesítmény annál több ember férhet hozzá, és a rá épülő rendszerekben ahogy egyre magasabbra kerülünk, úgy csökken a hozzáférést élvezők száma."

Igen és ez okozza azt, hogy nem a piramis csúcsát kell támadni, hanem az alját, ami védtelenebb és itt bejutva a piramisba, már belülről lehet felfelé haladni. Mivel kívülről várják a támadást, ezért abból az irányból védekeznek, a belülről érkező támadó pedig sokszor észrevétlenül és akadálytalanul éri el a célját. Ez az a bizonyos supply chain attack, amikor a beszállítói lánc egy lényegtelen távoli pontját támadják és innen haladnak a célpont felé lépésről lépésre. Általában a beszállítói láncban szereplő partnerek megbíznak egymásban, így első sorban nem onnan várják a támadást. A Solarwinds ügy remekül rávilágított erre.

"Ennél lenne a védelem lényege, hogy kizárjuk az embereket a kritikus rendszerekből.
SZVSZ nem a jelszó a probléma hanem maga az ember."

Ez teljesen igaz, eszembe jut Gál Tamás (MS oktató), aki régen egy ISA szerver (Microsoft tűzfal) oktatáson azt mondta, hogy a legbiztonságosabb az lenne, ha a felhasználó egyáltalán nem is férne hozzá semmihez, csak hát akkor dolgozni sem tudna. Amúgy az ember valóban kritikus pont, az edukáción kívül nem tudsz sok mindent csinálni vele. 100%-os biztonság nincs. De legalább azokat a technikai akadályokat meg kell tenni, amiket meg lehet.

"A jelszó azért létezik mert ember kell a rendszerbe.
És itt el is bukott az egész biztonsági kérdés."

Van valami keleti bölcsesség, miszerint: ha erőd elfogy, akkor az út felénél kidőlsz. De azért ne feküdj le az út elején.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Akkor egy lapon vagyunk, köszönöm. :
Különben ez a kit támadunk meg, akár random is lehet, hiszen valami okos mondta (nem tudom pontosan idézni de biztosan rájössz) 5 áttételen keresztül bármihez el lehet jutni, vagy is te ismersz valakit aki ismer valaki mást aki majd ismeri azt az embert aki az Amerikai elnökkel szokott beszélgetni.

Ergo a hekkerek sokkal egyszerűbben elérnék a céljukat ha saját magukat támadnák meg.
A kapcsolati háló rájuk is ugyan úgy igaz a fenti megállapítás. Ha jól emlékszem nemrég bizonyították.

[ Szerkesztve ]

"Ergo a hekkerek sokkal egyszerűbben elérnék a céljukat ha saját magukat támadnák meg."

Helytálló a gondolat, ez így van. Persze azzal a kitétellel, hogy ebben az esetben közvetlenül hozzájuk jutnának el, amikor visszakövetik a láncolatot. Szóval ha az a cél, hogy börtönbe kerüljenek, akkor valóban ez a legkézenfekvőbb módszer elindítani egy támadást.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Offline élet privatban, és nem kell jelszó. Az a legbiztonságosabb. Vagyis erre kell kötelezni az embereket, hogy garantálni lehessen az adatbiztonsagot.

Megoldottam a problémát, kérem a következőt.

Az az érzésem, nem olvastad el az írást, vagy nem értetted meg. Leírom még egyszer: implementációs problémára hívtam fel a figyelmet, nem password policy-t vitatunk meg.

https://www.coreinfinity.tech

Én az implementalas létezésének jogát kerdojelezem meg, hiszen az adatok alá támasztják, a jelszó maga a támadási felület, ezért bármilyen implementacio egy biztonsági rést eredményez.
Pont ez lenne a lényeg a jelszó nem védelmet nyújt hanem támadási felületet.

Szerintem a teljes IT-világ két kézzel kapna egy általános, mindenhol alkalmazható ötletért, amellyel megszabadulna a jelszavaktól, ne tartsd magadban

A jelszó nem támadási felület, hanem védelmi eszköz, de gondolom sem az online bankban, sem az email fiókodban nem használsz jelszavakat/jelmondatokat.

https://www.coreinfinity.tech

Használom a jelszavakat mert a hardware azonosítás egyenlőre nem megoldott, Bár az ujjlenyomat olvasót már serényen használom, bár tudom, elmarad a logikailag. És pont amiatt, hogy nem kell leírni, fizikailag lehet csak megszerezni, és egyedi, nem küzd a jelszavak problémáival, igaz van helyette másik.

Hardware token ami akár bőr alá építhető, vagy agyhullam mintázat felismerés (nálam nem működne ahogy látod)

Haladunk ebbe az irányba.

Valahol láttam, hogy láva lámpák vannak kamerával megfigyelve egy recepción, az abból bejövő adat ami jelszó generálását lehetővé teszi.
Vagyis a hardware jellegzetességeit/egyediségét próbáljuk lefordítani, ezért is egyszerűbb lenne magát a hardwaret használni direktben. SZVSZ.

A jelszó nem támadási felület, hanem védelmi eszköz, de gondolom sem az online bankban, sem az email fiókodban nem használsz jelszavakat/jelmondatokat

Ezzel nagyon vigyázz, mert a kérdés melyik oldalról nézed. A támadónak támadási felület.

[ Szerkesztve ]

Haladunk, lassan tényleg eljutsz odáig, hogy elolvasd az írást

https://www.coreinfinity.tech

Az eredeti műsort láttam angolul

Igaz sokkal érdekesebb volt.

A képről nem jött át, mert ugy emlékeztem, csak egy sor volt a polc tetején, a videóból még nem emlékeztem, a cég nevére. Vannak még hülyék na, azt hittem kihalófélben lévő állatfajt képviselek.

Remélem nem veszed rossz néven a megnyilvánulásaimat, csak nekem rossz irányba forog a propeller

[ Szerkesztve ]

Dehogy, szerintem értelmes a diskurzus.

https://www.coreinfinity.tech

Sárga cetlikre felírod. Ma már mindenki online támad, arra nem számítanak, h valaki felírja egy darab papperra.

ravasz

A ravasznak(elsütő billentyű leánykori nevén) igen kicsi a felülete ahova írni lehet, nem hiszem, hogy egy 256 karakteres jelszó elférne rá, úgy hogy szabad szemmel olvasható maradjon.

11-es hozzászólást látta-e kend?

Csak nehogy eppen TV interjut adjal es eloben mutassak a felragasztott cetlidet

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Kapna a l*szart. Ha bárki érdekelt lenne a megoldásban, akkor nem egy maroknyi országban lenne e-id.
Érdekes módon pár cég meglépete már, hogy az ottani fiókkal tudod magad más rendszerekbe authentikálni, de miért is szeretném, hogy egy privát szervezet mondhassa meg, hogy én vagyok-e én? 2021-ben szerintem illene, hogy a nyugati világban az észteken túl máshol is kapnék egy online azonosítót, amihez elég egy belépési mechanizmust megjegyeznem és én dönteném el, hogy kinek milyen adatot adok meg (akár semmit) és ettől függetlenül lenne hozzáférésem bármilyen rendszerhez, mert hivatalosan azonosítva vagyok.
Miért kéne nekem 100 fiók(amihez ráadásul ki kell adnom az emailem, telefonszámom), 100 jelszóval, amennyit úgysem tudok megjegyezni?

[ Szerkesztve ]

amit a magyarok adnak, az miért nem jó?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mert nem tudok belépni vele ide pl.