Hirdetés
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- iRiver: Prehistorik 2 - Retró Játékpercek! 1. rész
- sziku69: Fűzzük össze a szavakat :)
- joghurt: frenda dsttöytoi
- gerner1
- Fogkefe: elektromos vagy manuális?
- MasterDeeJay: HDD működési idő rekord 29766 nap :)
- Luck Dragon: Utazásra tervezve – Anker Zolo gallium-nitrid töltő
- sziku69: Szólánc.
Új hozzászólás Aktív témák
-
#85
bambano
titán
Foglalt név
#84
bambano
titán
válasz
Foglalt név
#84
üzenetére
amit a magyarok adnak, az miért nem jó?
-
#84
Foglalt név
addikt
sh4d0w
#72
Foglalt név
addikt
Kapna a l*szart. Ha bárki érdekelt lenne a megoldásban, akkor nem egy maroknyi országban lenne e-id.
Érdekes módon pár cég meglépete már, hogy az ottani fiókkal tudod magad más rendszerekbe authentikálni, de miért is szeretném, hogy egy privát szervezet mondhassa meg, hogy én vagyok-e én? 2021-ben szerintem illene, hogy a nyugati világban az észteken túl máshol is kapnék egy online azonosítót, amihez elég egy belépési mechanizmust megjegyeznem és én dönteném el, hogy kinek milyen adatot adok meg (akár semmit) és ettől függetlenül lenne hozzáférésem bármilyen rendszerhez, mert hivatalosan azonosítva vagyok.
Miért kéne nekem 100 fiók(amihez ráadásul ki kell adnom az emailem, telefonszámom), 100 jelszóval, amennyit úgysem tudok megjegyezni? -
#90088192
törölt tag
Az eredeti műsort láttam angolul
Igaz sokkal érdekesebb volt.
A képről nem jött át, mert ugy emlékeztem, csak egy sor volt a polc tetején, a videóból még nem emlékeztem, a cég nevére. Vannak még hülyék na, azt hittem kihalófélben lévő állatfajt képviselek.
Remélem nem veszed rossz néven a megnyilvánulásaimat, csak nekem rossz irányba forog a propeller
-
#90088192
törölt tag
Használom a jelszavakat mert a hardware azonosítás egyenlőre nem megoldott, Bár az ujjlenyomat olvasót már serényen használom, bár tudom, elmarad a logikailag. És pont amiatt, hogy nem kell leírni, fizikailag lehet csak megszerezni, és egyedi, nem küzd a jelszavak problémáival, igaz van helyette másik.
Hardware token ami akár bőr alá építhető, vagy agyhullam mintázat felismerés (nálam nem működne ahogy látod)
Haladunk ebbe az irányba.
Valahol láttam, hogy láva lámpák vannak kamerával megfigyelve egy recepción, az abból bejövő adat ami jelszó generálását lehetővé teszi.
Vagyis a hardware jellegzetességeit/egyediségét próbáljuk lefordítani, ezért is egyszerűbb lenne magát a hardwaret használni direktben. SZVSZ.A jelszó nem támadási felület, hanem védelmi eszköz, de gondolom sem az online bankban, sem az email fiókodban nem használsz jelszavakat/jelmondatokat
Ezzel nagyon vigyázz, mert a kérdés melyik oldalról nézed. A támadónak támadási felület.
-
válasz
#90088192
#70
üzenetére
Szerintem a teljes IT-világ két kézzel kapna egy általános, mindenhol alkalmazható ötletért, amellyel megszabadulna a jelszavaktól, ne tartsd magadban
A jelszó nem támadási felület, hanem védelmi eszköz, de gondolom sem az online bankban, sem az email fiókodban nem használsz jelszavakat/jelmondatokat.
-
#90088192
törölt tag
-
#68
#90088192
törölt tag
Gargouille
#67
#90088192
törölt tag
válasz
Gargouille
#67
üzenetére
Offline élet privatban, és nem kell jelszó. Az a legbiztonságosabb. Vagyis erre kell kötelezni az embereket, hogy garantálni lehessen az adatbiztonsagot.
Megoldottam a problémát, kérem a következőt.
-
#67
Gargouille
őstag
#90088192
#66
Gargouille
őstag
válasz
#90088192
#66
üzenetére
"Ergo a hekkerek sokkal egyszerűbben elérnék a céljukat ha saját magukat támadnák meg."
Helytálló a gondolat, ez így van. Persze azzal a kitétellel, hogy ebben az esetben közvetlenül hozzájuk jutnának el, amikor visszakövetik a láncolatot. Szóval ha az a cél, hogy börtönbe kerüljenek, akkor valóban ez a legkézenfekvőbb módszer elindítani egy támadást.
-
#66
#90088192
törölt tag
Gargouille
#65
#90088192
törölt tag
válasz
Gargouille
#65
üzenetére
Akkor egy lapon vagyunk, köszönöm. :
Különben ez a kit támadunk meg, akár random is lehet, hiszen valami okos mondta (nem tudom pontosan idézni de biztosan rájössz) 5 áttételen keresztül bármihez el lehet jutni, vagy is te ismersz valakit aki ismer valaki mást aki majd ismeri azt az embert aki az Amerikai elnökkel szokott beszélgetni.Ergo a hekkerek sokkal egyszerűbben elérnék a céljukat ha saját magukat támadnák meg.
A kapcsolati háló rájuk is ugyan úgy igaz a fenti megállapítás. Ha jól emlékszem nemrég bizonyították. -
#65
Gargouille
őstag
#90088192
#62
Gargouille
őstag
válasz
#90088192
#62
üzenetére
"Az első résszel arra utaltam, hogy a szotarazos módszer lényege a brute forceal szemben pont az, hogy lényegtelen a jelszó hossza, hiszen a szótárban lévő tartalmakat próbálja végig nemde?
Vagyis ahogy egyre bonyolultabb egy nyelv és egyre több karaktert használ, úgy nő a nehézségi faktor, jelszó hosszától függetlenül."Ez így van. De honnan tudod előre, hogy milyen módszerrel próbálja a támadó visszafejteni? A jelszó összetettsége csak a szótárazás ellen segít, a jelszó hossza viszont nem csak a szótárazás, hanem a bruteforce ellen is véd --> a jelszó hossza adja a védelmet leginkább.
"A másik példa is helytálló, de ne felejtsétek el, egy átlag egyén és környezet Feltörésével a befektetett energia akkor fog csak megtérülni ha van mit ellopni/van következő szint ahová be lehet jutni."
Pont azt próbáltam leírni, hogy ez miért nem jó megközelítés. Fogalmad sincs (és nekem sem), hogy milyen információ fontos egy támadónak, mire és hogyan fogja felhasználni, mi a célja. Ezen szerintem kár is agyalni, mert egy látszólag teljesen értéktelen információ is lehet értékes valaki másnak. Lehet, hogy te nem tudnád mire felhasználni, de egy támadó meg igen. Biztosan emlékszel még réges-régen mikor a Google elkezdte a kereső szolgáltatását és egyben az adatgyűjtést, sokan legyintettek akkoriban is, hogy ugyan mire jó az a sok értelmetlen telemetriai adat, amiket begyűjtenek? Ma már tudjuk, hogy ennél értékesebb kincs kevés van. Bárki és bármi - ami számunkra értéktelen - lehet értékes valaki másnak.
"Vagyis egy átlag embertől hova lehet eljutni?
Aki nem IT Ben dolgozik, mondjuk egy traktoros?"Meglepődnél, hogy mennyi helyre. Egy traktorosnak is lehet felesége, barátai, akiknek lehetnek fontos hozzátartozói, esetleg dolgozhatnak olyan helyen amit érdemes támadni. Ajánlom e témában Kevin Mitnick írásait, aki mint egykori hacker leírja, hogyan is működik ez. Nem a traktoros a fontos, nem ő a célpont, ő csak a belépő pont vagy az ugródeszka valaki más felé.
"Nézzünk körbe, a biztonsági szintek pont egy Piramis módjára épülnek fel, ami az emberi részét képezi, minél lenyegtelenebb egy védeni kívánt létesítmény annál több ember férhet hozzá, és a rá épülő rendszerekben ahogy egyre magasabbra kerülünk, úgy csökken a hozzáférést élvezők száma."
Igen és ez okozza azt, hogy nem a piramis csúcsát kell támadni, hanem az alját, ami védtelenebb és itt bejutva a piramisba, már belülről lehet felfelé haladni. Mivel kívülről várják a támadást, ezért abból az irányból védekeznek, a belülről érkező támadó pedig sokszor észrevétlenül és akadálytalanul éri el a célját. Ez az a bizonyos supply chain attack, amikor a beszállítói lánc egy lényegtelen távoli pontját támadják és innen haladnak a célpont felé lépésről lépésre. Általában a beszállítói láncban szereplő partnerek megbíznak egymásban, így első sorban nem onnan várják a támadást. A Solarwinds ügy remekül rávilágított erre.
"Ennél lenne a védelem lényege, hogy kizárjuk az embereket a kritikus rendszerekből.
SZVSZ nem a jelszó a probléma hanem maga az ember."Ez teljesen igaz, eszembe jut Gál Tamás (MS oktató), aki régen egy ISA szerver (Microsoft tűzfal) oktatáson azt mondta, hogy a legbiztonságosabb az lenne, ha a felhasználó egyáltalán nem is férne hozzá semmihez, csak hát akkor dolgozni sem tudna. Amúgy az ember valóban kritikus pont, az edukáción kívül nem tudsz sok mindent csinálni vele. 100%-os biztonság nincs. De legalább azokat a technikai akadályokat meg kell tenni, amiket meg lehet.
"A jelszó azért létezik mert ember kell a rendszerbe.
És itt el is bukott az egész biztonsági kérdés."Van valami keleti bölcsesség, miszerint: ha erőd elfogy, akkor az út felénél kidőlsz. De azért ne feküdj le az út elején.
-
#90088192
törölt tag
Nem biztos, hogy jól fejeztem ki magam, és lehet ebből nem egyértelmű mire akarok kilyukadni.
Minden kritériumoknak eleget teszünk, mármint amire szükség lehet, megfelelő bonyolultságú/hosszúságú jelszavak, különbözőek minden regisztráció esetében.
Ehhez kelleni fog egy jelszó kezelő, ami valamilyen módon hozzá ferheto az adott egyén számára.Akkor nem az a leggyengébb láncszem?
Mármint a jelszó kezelő is jelszó védett, és ahhoz is generálni kell egy jelszavat amit nem tud megjegyezni az illető. Akkor azt a jelszót tegyük be egy másik jelszó kezelobe és generálni kell hozzá egy újabb jelszót, amit megintcsak nem tud megjegyezni az illető?Csökkent az ugródeszka száma ez tény, de aki pont arra az emberre hajt, annak ez Semmi problémát nem fog jelenteni, ahogy eddig sem jelentett, amíg vannak ujpercek az egyén kezén, addig van újabb probalkozasi lehetőség Brute forceal.
-
#62
#90088192
törölt tag
Gargouille
#61
#90088192
törölt tag
válasz
Gargouille
#61
üzenetére
Az első résszel arra utaltam, hogy a szotarazos módszer lényege a brute forceal szemben pont az, hogy lényegtelen a jelszó hossza, hiszen a szótárban lévő tartalmakat próbálja végig nemde?
Vagyis ahogy egyre bonyolultabb egy nyelv és egyre több karaktert használ, úgy nő a nehézségi faktor, jelszó hosszától függetlenül.A másik példa is helytálló, de ne felejtsétek el, egy átlag egyén és környezet Feltörésével a befektetett energia akkor fog csak megtérülni ha van mit ellopni/van következő szint ahová be lehet jutni.
Pl nálam nincs zár a kerítésen, egy funkciója van, a kutyákat bent tartani. Az ablak sem rácsos, hiszen a tetőt is ki lehet bontani, sőt.
Vagyis egy átlag embertől hova lehet eljutni?
Aki nem IT Ben dolgozik, mondjuk egy traktoros?
Nézzünk körbe, a biztonsági szintek pont egy Piramis módjára épülnek fel, ami az emberi részét képezi, minél lenyegtelenebb egy védeni kívánt létesítmény annál több ember férhet hozzá, és a rá épülő rendszerekben ahogy egyre magasabbra kerülünk, úgy csökken a hozzáférést élvezők száma.
Ennél lenne a védelem lényege, hogy kizárjuk az embereket a kritikus rendszerekből.
SZVSZ nem a jelszó a probléma hanem maga az ember.
A jelszó azért létezik mert ember kell a rendszerbe.
És itt el is bukott az egész biztonsági kérdés.
Ha megnézed 100% a feltört rendszerekben emberi hozzáférés volt biztosítva, függetlenül a védelem formájától.
Ennél nagyobb bizonyíték nincs. -
#61
Gargouille
őstag
#90088192
#48
Gargouille
őstag
válasz
#90088192
#48
üzenetére
No offense, de elég sok mindent "összehordtál" amik nem feltétlenül állják meg a helyüket.
"Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók."
Teljesen mindegy, hogy milyen nyelv a magyar, mert a jelszó hossza az egyik legfontosabb paraméter. Tulajdonképpen ha akármilyen nyelven írsz le egy jó hosszú mondatot, akkor maga a szöveg hossza adja a védettséget, az irreleváns, hogy milyen nyelven írtad.
"Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is."
Ez elsőre logikusnak hangzik, de pont a kevésbé fontos - és ezáltal kevésbé védett - gyenge láncszemek a legjobb belépési pontok (értsd: ugródeszkák) egy támadáshoz. Az összes supply chain attack is pont erre az alapvetésre épül. Senkit sem a fogorvosod érdekel, az viszont - hogy a példádnál maradjak - már érdekes információ lehet mondjuk, hogy mikor fogsz magatehetetlenül ülni a fogorvosi székben 1 órán át és lesz épp üres a lakásod, vagy épp akkor nem fog feltűnni, ha a bankszámládhoz akarnak nyúlni, vagy akár ezen információ alapján hitelesebben megszemélyesíteni téged mikor a nevedben akarnak eljárni máshol...Tulajdonképpen azzal, hogy mindenhol egyedi és erős jelszót használsz, nehezíted egy potenciális támadó dolgát. Érdemes úgy gondolni erre, mint amikor a házad véded. Jó erős biztonsági ajtót szerelsz fel. Elég ez a védelem? Nem vagy védettebb ha egy riasztót is szerelsz fel mellé? És nem még jobb, ha kamera rendszert is raksz? Sőt, ha egy erős kerítést is húzol, talán még jobb, nem? Meg ha mellé még egy jó házőrző kutyát is tartasz a kertbe... persze 100%-ig sosem leszel védett, de minden egyes lépéssel nehezíted, hogy kirabolják a házadat.
Sosem tudhatod mit mire fog tudni felhasználni egy támadó, nem tudsz a fejükkel gondolkodni. Abból érdemes kiindulni, hogy megteszel mindent, hogy megnehezítsd a dolgát. Egy jelszó nem kerül semmibe, akkor ugyan miért ne védjük magunkat minél jobban ha megtehetjük?
"Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek."
Egy generált jelszó például milyen összefüggésben áll a személyiségi profiloddal?
"Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák."
Mindenki abból indul ki, hogy "á én úgysem vagyok érdekes". Sokszor nem te (vagy én) vagy az érdekes, viszont az ismeretségi körödben (vagy az ismerőseid ismerősei közt) lehet olyan aki igen, esetleg a munkáltatód vagy a rokonai, netán az ő munkahelyük stb. így rajtad keresztül közel lehet kerülni a célponthoz. Innen nézve potenciálisan bárki lehet "érdekes".
Az IT biztonságnál sohasem azt kell latolgatni, hogy mekkora az esélye egy adott helyzet bekövetkeztének, hanem azzal kell foglalkozni, hogy mit teszek ha mégis bekövetkezik? Ez nem csak a jelszavakkal van így, hanem a biztonsági mentéstől a katasztrófa helyreállítási tervekig minden esetben.
-
#90088192
törölt tag
Rendben, akkor nézzük fordítva, igen teljesen igazad van, akkor nézzük azt hány embert nyomtak fel gyenge jelszó miatt és hány ember adta ki a jelszavát csalók miatt.
Itt kellene elgondolkozni azon, hogy NEM a jelszó maga a leggyengébb láncszem hanem maga az ember.
Arra milyen titkosítást/generálását javasolt?
2 méter a föld mélyén elég biztonságos?
Mert csak az nyújt kellő védelmet ezek alapján.Ezért írtam, mindent értékében/fontosságában kell védeni, ahol szükség van arra, hogy 256 karakteres jelszó legyen, oda embert nem lehet beengedni semmilyen formában.
Itt bukik el az egész, nem magán a jelszón.
Erre akartam a figyelmet felhívni. -
válasz
#90088192
#48
üzenetére
Szerintem teljesen felesleges belekeverni a magyar nyelvet, a világ túlnyomó többsége az angol abc betűit használja a jelszavakban (egyébként mi van akkor, ha 10 GB a szótár? Hint: semmi.). Úgy érzem, azt gondolod, hogy vmi mást állítasz, amikor a jelmondatokra hivatkozol, mint én, holott én a bejegyzésben is azt szorgalmaztam, hogy legalább 12 karakter legyen a jelszó az eddigi 8 helyett.
Szakmai kérdésekben ne hozzunk ide mindenféle Hollywoodi sorozatokat, próbáljuk meg megőrizni a diskurzus színvonalát valamilyen magasabb szinten. (Fent vagyok Facebookon, sok sikert a profil által kitalálni a jelszavaimat.)
"...Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént. ..."
Ez konkrétan azt mutatja, hogy nem vehető teljesen komolyan, amit írsz. Van egy metrika, amit ROI-nak hívnak - nem írom ide mit jelent, nézz utána, légyszíves.
"...Az hogy mindenhol más jelszót használunk, logikai banalitas..."
Semmiféle banalitás nincs benne, leszoktat arról, hogy újra felhasználd a jelszavaidat.
-
#90088192
törölt tag
Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók. Vagyis ha én komplett mondatokat használok jelszónak, amiben van egy szám még egy spec karakter, akkor ahhoz nem 10Mb szótár kell hanem 10Gb.
A másik, a szótár módszer angol mondatokkal sem fog működni, ha fenti képletet követjük mondat plusz spec karakter random helyen, elszórt nagybetűvel.
Lehet mondani, úgyis a szó eleje lesz nagybetűs, de mi van ha nem?Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is. Kormány hivatal meg ha nem kétlépcsős és korlátozott a próbálkozások száma akkor ott ette meg a fene.
Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek.
Vagyis akinek nincs Facebook és társai, azok kb láthatatlanok.
Ez a személyes védelem, ha a munkahely is ide keveredik, akkor lehet okoskodni még az ügyön.Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák.
Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént.
-
#47
sh4d0w
félisten
st3v3np3t3r
#45
válasz
st3v3np3t3r
#45
üzenetére
Kell a fenét, 10M top jelszót tartalmazó file alig több, mint 8 MB. Letöltheted githubról.
-
#45
st3v3np3t3r
nagyúr
UnA
#43
st3v3np3t3r
nagyúr
Én sehol sem találkoztam még olyan helyzettel, hogy bármilyen magyar betűt elfogadott volna!
De amúgy értettem a lényeget...ezt írtam le én is, hogy szótárat létrehozni, ahhoz bődületesen sok tárhely kell!
amúgy egy profibb wordist generator simán kigenerálja a hsz-ben leírt jelszót -
#43
UnA
Korrektor
st3v3np3t3r
#41
válasz
st3v3np3t3r
#41
üzenetére
"Csak angol ABC betűi" – ez így nem igaz, ez policy kérdése. De nem ez volt a lényeg, talán te is érzed
-
DeFranco
nagyúr
ha már n-faktoros autentikációnál tartunk, akkor a témához értő emberek segítségét szeretném kérni abban, hogy segítsenek értékelni az alábbi helyzetet biztonsági szempontból:
1:
erstés vagyok, eddig úgy működött az internetes kártyás vásárlás, hogy megadtam a kártyaszámom, cvc kódom majd jött egy SMS kód, ezt beírva teljesült a tranzakció, goranga.most, gondolom extra szabályozás okán (n+1 faktor) amellett, hogy megadom a kártyaszámot, egyéb infókat (név, lejárat, cvc) meg kell adnom a netbanki belépő jelszavamat is, majd SMS kód (vagy appos jóváhagyás).
kérdésem, hogy az milyen módon növeli a biztonságot, hogy én lépten-nyomon megadogatom az egyetlen korbendallas ebankos jelszavamat minden tranzakciónál, amivel egyébként (egyéb faktorokkal védve ugyan, de ezek a faktorok vannak a vásárlásnál is) teljes hozzáférésem van az összes bankszámlám összes forintjához?
számomra, laikusként ez pont a biztonság csökkenésének az érzetét kelti, hiszen mindeddig az volt a mantra, hogy a netbank jelszót soha semmilyen körülmények között, csak az egyszent banki honlapon sehol máshol.
- értem hogy van még n faktor
- értem hogy nézzem meg az oldal tanúsítványát (laikus vagyok, azt írnak oda amit akarnak)
- értem hogy telepítsek appot (erről majd később)de mi az öreg ürdüngért nem lehet akár erre egy külön vásárláskorbendallas jelszót definiálni az egyszentbankhozzáférős helyett, és miért kellene ettől nekem nagyobb jót éreznem mint eddig?
2:
netbank app megy, george (gyuri) app jön. nagyszerű.george app by design két alap módon hozzáférhető, művelhetó:
a) megadok egy n jegyű számsort a bazi nagy jól látható billentyűzeten minden lépésnél (belépés, jóváhagyás, aláírás, megtekintés) hogy aki elsőre nem tudta lelesni, biztos legyen lehetősége javítani
b) biometrikusan azonosítom magam ujjlenyomattal (más mókusok arccal)
előbbi eset értelemszerűen nem tetszik, utóbbit választottam, még ha nem is szeretem megadni a biometrikát mindenre, de gyuri okos app, biztos jól vigyáz rá.
ugyanakkor a véletlen rányomás elkerülése, illetve a telefon egyéb biometrikus azonosításától való elhatárolás miatt úgy próbáltam megadni az ujjlenyomatom gyurinak, hogy ne az általánosan használt (mutató)ujjam azonosítson gyurinál, hanem egy másik, amit egyébként nem használok és nem is regisztrálok a telefonon másra.
igen ám, de ezt nem lehet, ugyanis gyuri csak a telefonon regisztrált ujjlenyomatokat fogadja el, mást, újat megadni nem lehet, sőt, ha több ujj azonosítva van a telefonban akkor mindre ugrik, korlátozni sem lehet mondjuk a bal kéz középső ujjára.
nem tudom van-e technikai akadálya annak hogy a telefonon egy globálistól eltérő biometrikus azonosítást felvegyünk külön egy-egy appnak.
ha van, akkor értem miért a limitáció, viszont akkor nem világos, hogy miért csak ez a két, számomra erősen támadhatónak tűnő opció létezik az app autentikációjára, miért nem lehet kérni adott esetben legalább egy hagyományos SMS alapú kódot az egyes lépésekre (akár műveletenként differenciálva, pl. belépés kódsor, jóváhagyás biometrikus, utalás SMS)
miért kéne a fenti változtatások miatt erősebb biztonságban éreznem magam?
-
#39
Gargouille
őstag
Gargouille
őstag
A kétfaktoros - ideális esetben - mindenképp emel a biztonságon, de nem csodaszer sajnos. Ahogy többen is írták megfelelő trükközéssel megkerülhető, erre nem olyan régen volt hazai példa is. Persze itt hibázott az áldozat, hibázott a Telenor ügyintéző, de hát ilyen a való élet.
Meg persze lehet hibás maga a megvalósítás is és akkor pedig azért megkerülhető (legutóbb talán QNAP-nál olvastam ilyenről). Ebben az esetben meg inkább csökkenti a biztonságot, mert abban tudatban, hogy megvéd az MFA, hajlamos az ember eleve gyengébb jelszavakat használni.
Szóval jó és fontos dolog a kétfaktoros, de nem csodaszer.
-
#38
st3v3np3t3r
nagyúr
Joci93
#33
st3v3np3t3r
nagyúr
Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.
Konkrétan erre gondoltam, mikor azt írtam, hogy ez így nem feltétlenül állja meg a helyét. Ugyanis sok felhasználó a könnyebb ügy érdekében nagyon sok esetben ugyan azt a jelszót használja szinte mindenhova, mert így nem kell sok jelszót fejben tartani. Egy 2faktoros azonosítás csak azon az oldaakon véd, ahol van is, ahol nincs ott a kitalált jelszóval szabadon lehet garázdálkodni.Sajnos amerikában nagyon elterjedt az úgymond sim csere csalás, aminek révén a 2faktoros sms kódokat meg lehet szerezni, így ugye feltételes módba kerül a 2fa, de vannak a kódgenerátorok, azok egy fokkal jobbak, mint az sms kódok.Itthon ez a sim csere csalás azért nem működik, mert csak személyes ügyintézéssel cserélnek fizikai kártyát és személyigazolvány/lakcím kártya kell hozzá, amerikában meg úgy hallottam/meg olvastam, hogy simán levélként is lehet kérni.
-
Snoop-y
veterán
Jelszavakat ma mar nem bruteforceolnak hanem dictionary attack-al tornek.
Ezert ertekesek a kiszivargott jelszo adatbazisok mert nem feltetlenul az a lenyeg, hogy john11-nek Apple3honeyfuck3R a jelszava hanem, hogy valos jelszavakat tartalmaz amit szepen be lehet nyomni egy szotarba es hash alapjan tudnak kesobb rendszereket tamadni vele.
-
#33
Joci93
senior tag
st3v3np3t3r
#26
Joci93
senior tag
válasz
st3v3np3t3r
#26
üzenetére
Lehet törni 2 faktort is? Nem hiszem, hogy brute force védelemre ne gondoltak volna. Vagy mire gondolsz az alatt, hogy ez így nem feltétlenül állja meg a helyét? Nem kötekedni akarok, csak érdekel a téma.
-
rgqjx
aktív tag
Szerintem egy ilyesmi már jó kezdet lehet. Akár céges környezetben is, szétosztva a júzereknek, tudatosítva felük a fiókjuk biztonságának fontosságát.
Létezik ezeknek open source alternatívája is például ez, vagy ez.
Személy szerint én elvagyok a bitwardennel. Épp agyalok az előfizetéses rendszerükön, mivel a 10$/év nem egy hatalmas összeg és akkor már a nemrég megérkezett yubikeyem is tudnám vele használni.
-
#28
muszurkefal
aktív tag
muszurkefal
aktív tag
Vágom, hogy megjósolható, mint pl. C#-nál is a processzor működése alapján generálódnak a random számok. Na de ha én ezt teljesen offline csinálom ki a rák fog rájönni, hogy éppen melyik 64 karakteres sorozatot generáltam le az összes betűből, számból és különleges karakterből?
-
Nos, nem tudom, megnézted-e az általad linkelt videót, de ott kompletten a password policy-ről van szó, én viszont a lehetséges implementációs hibákra hívtam fel a figyelmet. (Nem mellesleg szerintem van baj a NIST publikációval - lehet, hogy copy-paste probléma -, de a 8 karakteres jelszó az, amit reggeli előételnek fogyasztanak a mai rendszerek. Mindemellett még csökkenti is a karakter setet is az ajánlás, hogy még könnyebben menjen a brute force.)
-
-
#24
st3v3np3t3r
nagyúr
bambano
#20
st3v3np3t3r
nagyúr
Attól függ, honnan nézzük.
Valahol mindig lesz egy "kis rés a pajzson" ... vagy a jelszó bonyolultsága miatt vagy az egyszerűbbsége miatt. a kettő együtt nem fér össze véleményem szerint.
Sok helyen megkövetelik már a legalább 8karaktert és ebbe kell férnie kis betűnek,nagy betűknek,számoknak, valahol még a speciális karaktert is kérnek. Mondjuk még a 8 karakter könnyen megjegyezhető, de ha erős jelszó kell beállítani, akkor ezeket nagyon K0mB1n@1N!(kombinálni) kell, ami már lehet nehezíti a megjegyezhetőséget. -
Mivel a Bitwardent magadnak is hostolhatod, nem egészen értem a 0$-os problémát (egyébként meg ha nagyon akarsz, fizethetsz érte): a hálózati kommunikációt úgy korlátozod magadnak, ahogy akarod. A cég meg nem a 0$-osokból él, hanem a fizetős ügyfelekből, legyen az magán, vagy céges.
Attól, hogy valami ingyenes, nem biztos, hogy rossz.
-
#21
Kendek
MODERÁTOR
Gargouille
#15
válasz
Gargouille
#15
üzenetére
Én azért használok csak 16 karakteres a-zA-Z0-9 jelszavakat, mert adott esetben nincs más lehetőségem, mint a kézzel való beírás. Ez még az a szint ami abszolválható, na de 48, különlegesebb karakterrel már nem igazán.
-
#20
bambano
titán
st3v3np3t3r
#18
bambano
titán
válasz
st3v3np3t3r
#18
üzenetére
a minden karakter használatával az a gond, hogy nehéz megjegyezni. max. akkor engedélyezhető, ha jelszókezelő programot használsz. egyéb esetekben az lesz a vége, hogy a júzer leírja a jelszót, ami ugyanúgy biztonsági rés.
-
#18
st3v3np3t3r
nagyúr
UnA
#12
st3v3np3t3r
nagyúr
Biztos ami biztos alapon, javasolt a minden engedélyezett karakter használata. Amúgy én az iPhone Kulcskarikát használom mint jelszókezelő.
Anno elkezdtem tesztelgetni ezeket a jelszavas dolgokat, nálam a tapasztalat azt mutatta, hogy minél bonyolultabb egy jelszó, annál nehezebb feltörni, mivel a variációk száma jóval nagyobb így még BruteForce módszerrel is elég sokáig tarthat, wordlist-es megoldással meg hát az atyaúristen tárhelye nem lenne elég ha 8-tól 16 karakterig legenerálja valaki az összes jelszókombinációt
De hát, nincs 100%-kos biztonság, inkább törekedni kell arra, hogy minél közelebb a 100%-hoz
-
#17
Gargouille
őstag
zzolika
#10
Gargouille
őstag
"Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele?"
Gondolhatod, hogy nem arra utaznak, hogy a nevedben hülyeségeket irkáljanak egy fórumba, viszont általános gyakorlat a userek közt, hogy ugyanazt az egy jelszót (amit egyszer sikerült megjegyezni) használják az email fiókjukhoz, a fórumokon, a webáruházban meg a bankban is, meg mondjuk a céges felhasználójuknál is. Így ha valahol kompromittálódik a jelszó, akkor a támadó szépen végig tudja próbálni mindenhol és előbb-utóbb profitálni fog belőle.
-
#15
Gargouille
őstag
Gargouille
őstag
Általánosságban az a jelszó "amit meg tudsz jegyezni" szinte biztos, hogy nem biztonságos (most az extrém eseteket leszámítva). Mivel alapvetés, hogy jelszavakat nem hasznosítunk újra, ezért mindenhol különböző jelszót használ az ember, ez pedig elég rövid úton elvezet oda, hogy sem megjegyezni nem fogod tudni a sok jelszót, és emellett tapasztalat, hogy nagyon hasonlítani fognak egymásra (a logika ami alapján kitalálod fejben) és ez sem előnyös.
Elég kézenfekvő inkább egy célprogramot használni rá és sokkal gyorsabb is mint agyalni egy újabb "jó" jelszón. Én például a Password Tech jelszó generátorát használom. Gyakori, hogy a legenerált jelszóba még kézzel is belemódosítok.
Egy ideje már 48 karakteres jelszavakat szoktam használni, a legtöbb eszköz/szoftver már képes ezeket kezelni és ha úgy sem kell fejben megjegyeznem, akkor tök mindegy a hossza nekem, viszont akkor már legyen irreálisan hosszú, legalább brute force ellen védett, meg erre hosszra azért még jó ideig nem lesznek szivárvány táblák sem szerintem.
Szóval röviden azért van értelme jelszó generátort használni, mert sokkal egyszerűbb vele, mint "fejben dolgozni". Egyébként meg tényleg van olyan, aki "nem tud mit kitalálni", ha megnézed a legnépszerűbb jelszavak listáját, meglepően sokan vannak.
-
Tegyük fel, hogy frissen regisztrálsz valahova ahol majd érzékeny adatokat is meg kell adnod, ezért a legbiztonságosabb jelszóra van szükséged. Egy iránymutató példaként le tudnád nekünk írni, hogy miként szoktad ezt megoldani? Vagyis hogyan képződik a jó jelszó, és azt milyen formában és hol érdemes tárolni?
-
#12
UnA
Korrektor
st3v3np3t3r
#7
válasz
st3v3np3t3r
#7
üzenetére
Ezt az oldalt én is kedvelem, de ahogy sh4d0w is írta, a speciális karakterek használata felesleges, sőt én még a kis / nagybetű vegyes használatát is ki szoktam kapcsolni. A kutatások egyértelműen azt mutatják, hogy a jelszó hossza számít igazán, a többivel inkább magadat szivatod.
-
#90088192
törölt tag
Különben mindkettőtők igazat mond, de a valóság még ennél is cifrabb.
Azt mondják az okosok, a jelszó lehet akár 256 karakter is, és nem kell jelszó kezelő sem.
Mert az hogy fizikailag hozzáférjen valaki egy leírt jelszohoz amit egy relatíve biztonságos helyen tartasz otthon annak annyi az esély mint Nap és Alfa Centauri ütközésének a holnapi napon.
Így nincs rés a pajzson, csak a webkamera/telefon kamera/kamera amit hanyagolni kell. -
zzolika
aktív tag
ha a termékük rosszalkodik, az egész üzletnek annyi
Ugye a windowsban/androidban sincs beépített telemetria? Tudja valaki biztosan mit, hova küld? Annyi lett? Hát nem...
A 0$/month ártól még nem érzem magam biztonságban. Miért kapsz valamit ingyen egy profitra épülő cégtől? Valahogy mindig fizetsz, ha nem $-al, akkor az adataiddal. Nem jótékonyságból dolgoznak ők sem.
Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele? Beírnak a PH fórumba, vagy az xxx webshopban rendelnek valamit helyettem utánvéttel amit nem veszek át mert nem én rendeltem?
Kicsit túl van lihegve a probléma, mint a spectre/meltdown, amivel senki sem találkozott még, de van rá 0,01% lehetőség, ha valaki még pluszban root passworddel pendriveról telepít valami kártékony programot.
Sokkal nagyobb szopatás, amikor pl a wifi jelszó (jó biztonságos, mint a #7-ben) beírása egy új ügyfélnek 2-5 perc, mert valamit úgyis elüt. És utána úgysem használja többet. Aki rendszeresen rajta van, az itt dolgozik, max 5 méterre tőlem, mert messzebb úgysem ér el a hatótáv.
Persze ha komoly, pl kormányzati helyekre való jelszóról beszélünk az más szitu, de oda is bejut aki nagyon akarja (az orosz hackerek az usa választásba?) -
A megoldás egyszerű: vannak cégek, akik jelszómenedzserből élnek, ha a termékük rosszalkodik, az egész üzletnek annyi. Például van termék, amit kompletten hostolhatsz magadnak ingyen, kliensoldali a titkosítás, ha elfelejted a master passwordöt, akkor minden információnak annyi - lásd Bitwarden. Sokkal kisebb kockázat, mint egy gyenge jelszó, amit egy mai modern PC-vel órák alatt meg lehet törni.
-
zzolika
aktív tag
Ezzel nem teljesen értek egyet. Mondjuk pl az Als0G@ty@0523 jelszót pl még meg lehet jegyezni
jobban mint a random jelszavakat, és nem hiszem hogy szótárban benne van.
A cikkben írt 50K szám generálása esetén csökken 50% környékére, 10K körül még 95%, na ez is van ennyire biztonságos.
Az olyan oldalakon, ahol úgysem adok meg semmi privátot, csak be kell lépni valahogy, az 123 jelszó is megteszi, azt nem felejtem el, ha ellopták is visszaélni nem tudnak mivel.
Természetesen a bankoláshoz, emilhez ettől komolyabb jelszavam van, és a telefonra sms-ben küldött azonosító szerintem elég biztonságot ad.
De láttam olyat is, hogy a 30 karakteres, kis/nagybetű/szám kombós, megjegyezhetetlen jelszó (azt hiszem pont a banki belépéshez), a monitorra volt ragasztva egy postit-tel, hogy el ne felejtsék, na ez az igazi biztonság
Igazad van, az emberi hülyeség, hanyagság ellen sosem lesz elég erős védelem. Ebből van a legtöbb virus/zsarolóvirus bekapása is, amikor a felhasználó nem tudja hogy mi az, de önként kattint rá a telepítésére.#6: Sokfelé kell jelszó, a fontos helyekre van 1 külön, a többire 3-4-et variálok, ennyit még megjegyzem. A nem fontosra (webshop, fórum) mehet akár az 123 is, vagy megjegyzi a böngésző.
A jelszókezelőkben nem tudom mennyire lehet megbízni, vannak fenntartásaim. Azt honnan tudod azokban milyen generátor van? És ha még tényleg random is, attól még jelenthetnek kifelé bármit... Az összes jelszavad tudják egy helyen (főleg egy ingyenes program, ad valamit ingyen?), ez szerintem sokkal nagyobb biztonsági kockázat, mintha nem elég erős a jelszavad. -
#7
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
Én erre a célra ezt az oldalt használom:
https://passwordsgenerator.net/
Általában max.16-17 karakterig, de mint látható, 128karakterig képes jelszót generálni.
-
Amit te találsz ki jelszót és meg tudod jegyezni, az nem túl biztonságos. A lényeg, hogy legyen hosszú és ránézésre teljesen véletlenszerű-értelmetlen, és a legfontosabb, hogy mindenhol más jelszót használj.
tr -dc a-zA-Z0-9 </dev/urandom | head -c 16
Én így szoktam generálni, és még ha van is benne bármilyen szintű megjósolhatóság, annak a kiszámításához nem lesz fogódzó. Nem lehet kiszótárazni, és ha mégis ellopják mert valahol sima szövegként tárolták, akkor sem lehet felhasználni máshol.
A kétlépcsős hitelesítésre is leginkább ezért van szükség, mert a jelszavak gyakran túl gyengék az emberi hanyagság miatt. -
zzolika
aktív tag
Bocs, lehet én nem értek valamit, de mi szükség van egyáltalán jelszó generálásra???
Egy weboldalon, fórumban, banki belépésnél, ahol regisztráció szükséges, én adom meg a jelszót. Nem automatán az oldal üzemeltetője (vagy akkor az első belépésnél kötelező lecserélni, pl elfelejtett jelszó).
Vagy van olyan aki nem tud mit kitalálni, amit meg is tud jegyezni, hanem e helyett egy random generátorral csinál magának jelszót? -
#3
sh4d0w
félisten
Krugszvele
#2
válasz
Krugszvele
#2
üzenetére
Ez örök probléma, a megoldása pedig nagyban függ a metódustól, ahogyan megjegyzed a jelszavaidat. Ha nem vagy képes rá, vagy kényelmesebb, használj jelszómenedzsert, ha meg tudod jegyezni, akkor figyelj oda arra, hogy ne legyenek támadhatók szótárakkal.
-
#2
Krugszvele
senior tag
Krugszvele
senior tag
és az ilyen jelszavakat hogy lehet megjegyezni?
Amennyiben több eszközön szeretnéd használni, akkor jelszómenedzserre lesz szükség.
Nem túl nagy - nagyobb - biztonsági kockázat jelszókezelőt használni, mint inkább normális, megjegyezhető jelszavakat minden weboldalhoz?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Apple Watch Series 10 46MM 2025.05.08-ig iStyle Garancia Makulátlan Karcmentes Állapotban
- PlayStation 5 Slim Digital Edition
- HP EliteBook 2540p 12.1" 1280 x 800 Dual Core i5 540M (2.53 GHz) 4GB RAM 60GB SSD +240GB HDD
- Komplett simrig eladó (igény esetén PC-vel is akár)
- EarFun Air Pro 4 TWS Kék bontott szinte új fülhallgató 2év garanciával eladó
- BESZÁMÍTÁS! ASRock B550M R5 5600 16GB DDR4 512GB SSD RX 6600 XT 8GB Kolink Observatory LM RGB 600W
- Csere-Beszámítás! Playstation 4 Slim 1TB + 2 Joystick! Olvass!
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7600X 16/32/64GB RAM RX 7700XT 12GB GAMER PC termékbeszámítással
- Telefon felvásárlás!! Apple Watch Series 9/Apple Watch Ultra/Apple Watch Ultra 2
- Bomba ár! HP ProBook 430 G3 - i5-6GEN I 8GB I 256SSD I HDMI I 13,3" HD I Cam I W10 I Garancia!
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest