[link]
Egy gyakorlati példa arra, hogy hogyan ne generáljunk jelszavakat. "Apró" szépséghiba, hogy ezt egy jelszókezelő alkalmazásban sikerült elkövetni
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
[link]
Egy gyakorlati példa arra, hogy hogyan ne generáljunk jelszavakat. "Apró" szépséghiba, hogy ezt egy jelszókezelő alkalmazásban sikerült elkövetni
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
(#2) Krugszvele
és az ilyen jelszavakat hogy lehet megjegyezni?
Amennyiben több eszközön szeretnéd használni, akkor jelszómenedzserre lesz szükség.
Nem túl nagy - nagyobb - biztonsági kockázat jelszókezelőt használni, mint inkább normális, megjegyezhető jelszavakat minden weboldalhoz?
Ez örök probléma, a megoldása pedig nagyban függ a metódustól, ahogyan megjegyzed a jelszavaidat. Ha nem vagy képes rá, vagy kényelmesebb, használj jelszómenedzsert, ha meg tudod jegyezni, akkor figyelj oda arra, hogy ne legyenek támadhatók szótárakkal.
https://www.coreinfinity.tech
Bocs, lehet én nem értek valamit, de mi szükség van egyáltalán jelszó generálásra???
Egy weboldalon, fórumban, banki belépésnél, ahol regisztráció szükséges, én adom meg a jelszót. Nem automatán az oldal üzemeltetője (vagy akkor az első belépésnél kötelező lecserélni, pl elfelejtett jelszó).
Vagy van olyan aki nem tud mit kitalálni, amit meg is tud jegyezni, hanem e helyett egy random generátorral csinál magának jelszót?
Amit te találsz ki jelszót és meg tudod jegyezni, az nem túl biztonságos. A lényeg, hogy legyen hosszú és ránézésre teljesen véletlenszerű-értelmetlen, és a legfontosabb, hogy mindenhol más jelszót használj.
tr -dc a-zA-Z0-9 </dev/urandom | head -c 16
Én így szoktam generálni, és még ha van is benne bármilyen szintű megjósolhatóság, annak a kiszámításához nem lesz fogódzó. Nem lehet kiszótárazni, és ha mégis ellopják mert valahol sima szövegként tárolták, akkor sem lehet felhasználni máshol.
A kétlépcsős hitelesítésre is leginkább ezért van szükség, mert a jelszavak gyakran túl gyengék az emberi hanyagság miatt.
<-ƘƘ->
Vannak, akik generalnak jelszavakat. Amikor sok rendszerhez van hozzaferesed, egy ido utan keptelenseg minden jelszot fejben tartani, igy jobb, ha hasznalsz jelszokezelot - ezekben pedig van generator is.
https://www.coreinfinity.tech
Én erre a célra ezt az oldalt használom:
https://passwordsgenerator.net/
Általában max.16-17 karakterig, de mint látható, 128karakterig képes jelszót generálni.
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
Ezzel nem teljesen értek egyet. Mondjuk pl az Als0G@ty@0523 jelszót pl még meg lehet jegyezni jobban mint a random jelszavakat, és nem hiszem hogy szótárban benne van.
A cikkben írt 50K szám generálása esetén csökken 50% környékére, 10K körül még 95%, na ez is van ennyire biztonságos.
Az olyan oldalakon, ahol úgysem adok meg semmi privátot, csak be kell lépni valahogy, az 123 jelszó is megteszi, azt nem felejtem el, ha ellopták is visszaélni nem tudnak mivel.
Természetesen a bankoláshoz, emilhez ettől komolyabb jelszavam van, és a telefonra sms-ben küldött azonosító szerintem elég biztonságot ad.
De láttam olyat is, hogy a 30 karakteres, kis/nagybetű/szám kombós, megjegyezhetetlen jelszó (azt hiszem pont a banki belépéshez), a monitorra volt ragasztva egy postit-tel, hogy el ne felejtsék, na ez az igazi biztonság
Igazad van, az emberi hülyeség, hanyagság ellen sosem lesz elég erős védelem. Ebből van a legtöbb virus/zsarolóvirus bekapása is, amikor a felhasználó nem tudja hogy mi az, de önként kattint rá a telepítésére.
#6: Sokfelé kell jelszó, a fontos helyekre van 1 külön, a többire 3-4-et variálok, ennyit még megjegyzem. A nem fontosra (webshop, fórum) mehet akár az 123 is, vagy megjegyzi a böngésző.
A jelszókezelőkben nem tudom mennyire lehet megbízni, vannak fenntartásaim. Azt honnan tudod azokban milyen generátor van? És ha még tényleg random is, attól még jelenthetnek kifelé bármit... Az összes jelszavad tudják egy helyen (főleg egy ingyenes program, ad valamit ingyen?), ez szerintem sokkal nagyobb biztonsági kockázat, mintha nem elég erős a jelszavad.
A megoldás egyszerű: vannak cégek, akik jelszómenedzserből élnek, ha a termékük rosszalkodik, az egész üzletnek annyi. Például van termék, amit kompletten hostolhatsz magadnak ingyen, kliensoldali a titkosítás, ha elfelejted a master passwordöt, akkor minden információnak annyi - lásd Bitwarden. Sokkal kisebb kockázat, mint egy gyenge jelszó, amit egy mai modern PC-vel órák alatt meg lehet törni.
https://www.coreinfinity.tech
ha a termékük rosszalkodik, az egész üzletnek annyi
Ugye a windowsban/androidban sincs beépített telemetria? Tudja valaki biztosan mit, hova küld? Annyi lett? Hát nem...
A 0$/month ártól még nem érzem magam biztonságban. Miért kapsz valamit ingyen egy profitra épülő cégtől? Valahogy mindig fizetsz, ha nem $-al, akkor az adataiddal. Nem jótékonyságból dolgoznak ők sem.
Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele? Beírnak a PH fórumba, vagy az xxx webshopban rendelnek valamit helyettem utánvéttel amit nem veszek át mert nem én rendeltem?
Kicsit túl van lihegve a probléma, mint a spectre/meltdown, amivel senki sem találkozott még, de van rá 0,01% lehetőség, ha valaki még pluszban root passworddel pendriveról telepít valami kártékony programot.
Sokkal nagyobb szopatás, amikor pl a wifi jelszó (jó biztonságos, mint a #7-ben) beírása egy új ügyfélnek 2-5 perc, mert valamit úgyis elüt. És utána úgysem használja többet. Aki rendszeresen rajta van, az itt dolgozik, max 5 méterre tőlem, mert messzebb úgysem ér el a hatótáv.
Persze ha komoly, pl kormányzati helyekre való jelszóról beszélünk az más szitu, de oda is bejut aki nagyon akarja (az orosz hackerek az usa választásba?)
Különben mindkettőtők igazat mond, de a valóság még ennél is cifrabb.
Azt mondják az okosok, a jelszó lehet akár 256 karakter is, és nem kell jelszó kezelő sem.
Mert az hogy fizikailag hozzáférjen valaki egy leírt jelszohoz amit egy relatíve biztonságos helyen tartasz otthon annak annyi az esély mint Nap és Alfa Centauri ütközésének a holnapi napon.
Így nincs rés a pajzson, csak a webkamera/telefon kamera/kamera amit hanyagolni kell.
Ezt az oldalt én is kedvelem, de ahogy sh4d0w is írta, a speciális karakterek használata felesleges, sőt én még a kis / nagybetű vegyes használatát is ki szoktam kapcsolni. A kutatások egyértelműen azt mutatják, hogy a jelszó hossza számít igazán, a többivel inkább magadat szivatod.
a gond ezekkel a feltételekkel az, hogy már évek óta meghaladta a szakma.
tehát a poszt arra jó, hogy megmutassa, hogyan ne generáljunk jelszót.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Tegyük fel, hogy frissen regisztrálsz valahova ahol majd érzékeny adatokat is meg kell adnod, ezért a legbiztonságosabb jelszóra van szükséged. Egy iránymutató példaként le tudnád nekünk írni, hogy miként szoktad ezt megoldani? Vagyis hogyan képződik a jó jelszó, és azt milyen formában és hol érdemes tárolni?
<-ƘƘ->
Általánosságban az a jelszó "amit meg tudsz jegyezni" szinte biztos, hogy nem biztonságos (most az extrém eseteket leszámítva). Mivel alapvetés, hogy jelszavakat nem hasznosítunk újra, ezért mindenhol különböző jelszót használ az ember, ez pedig elég rövid úton elvezet oda, hogy sem megjegyezni nem fogod tudni a sok jelszót, és emellett tapasztalat, hogy nagyon hasonlítani fognak egymásra (a logika ami alapján kitalálod fejben) és ez sem előnyös.
Elég kézenfekvő inkább egy célprogramot használni rá és sokkal gyorsabb is mint agyalni egy újabb "jó" jelszón. Én például a Password Tech jelszó generátorát használom. Gyakori, hogy a legenerált jelszóba még kézzel is belemódosítok.
Egy ideje már 48 karakteres jelszavakat szoktam használni, a legtöbb eszköz/szoftver már képes ezeket kezelni és ha úgy sem kell fejben megjegyeznem, akkor tök mindegy a hossza nekem, viszont akkor már legyen irreálisan hosszú, legalább brute force ellen védett, meg erre hosszra azért még jó ideig nem lesznek szivárvány táblák sem szerintem.
Szóval röviden azért van értelme jelszó generátort használni, mert sokkal egyszerűbb vele, mint "fejben dolgozni". Egyébként meg tényleg van olyan, aki "nem tud mit kitalálni", ha megnézed a legnépszerűbb jelszavak listáját, meglepően sokan vannak.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
le tudnám, de nem írom, mert az biztonsági probléma lenne.
de itt egy videó: [link]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
"Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele?"
Gondolhatod, hogy nem arra utaznak, hogy a nevedben hülyeségeket irkáljanak egy fórumba, viszont általános gyakorlat a userek közt, hogy ugyanazt az egy jelszót (amit egyszer sikerült megjegyezni) használják az email fiókjukhoz, a fórumokon, a webáruházban meg a bankban is, meg mondjuk a céges felhasználójuknál is. Így ha valahol kompromittálódik a jelszó, akkor a támadó szépen végig tudja próbálni mindenhol és előbb-utóbb profitálni fog belőle.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
Biztos ami biztos alapon, javasolt a minden engedélyezett karakter használata. Amúgy én az iPhone Kulcskarikát használom mint jelszókezelő.
Anno elkezdtem tesztelgetni ezeket a jelszavas dolgokat, nálam a tapasztalat azt mutatta, hogy minél bonyolultabb egy jelszó, annál nehezebb feltörni, mivel a variációk száma jóval nagyobb így még BruteForce módszerrel is elég sokáig tarthat, wordlist-es megoldással meg hát az atyaúristen tárhelye nem lenne elég ha 8-tól 16 karakterig legenerálja valaki az összes jelszókombinációt
De hát, nincs 100%-kos biztonság, inkább törekedni kell arra, hogy minél közelebb a 100%-hoz
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
Valójában az egész jelszavasdi már eléggé idejétmúlt és ki kellene ebrudalni mindenhonnan, de még senki nem volt képes egy átfogó, mindenhol alkalmazható másik megoldást letenni az asztalra.
https://www.coreinfinity.tech
a minden karakter használatával az a gond, hogy nehéz megjegyezni. max. akkor engedélyezhető, ha jelszókezelő programot használsz. egyéb esetekben az lesz a vége, hogy a júzer leírja a jelszót, ami ugyanúgy biztonsági rés.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Én azért használok csak 16 karakteres a-zA-Z0-9 jelszavakat, mert adott esetben nincs más lehetőségem, mint a kézzel való beírás. Ez még az a szint ami abszolválható, na de 48, különlegesebb karakterrel már nem igazán.
<-ƘƘ->
Mivel a Bitwardent magadnak is hostolhatod, nem egészen értem a 0$-os problémát (egyébként meg ha nagyon akarsz, fizethetsz érte): a hálózati kommunikációt úgy korlátozod magadnak, ahogy akarod. A cég meg nem a 0$-osokból él, hanem a fizetős ügyfelekből, legyen az magán, vagy céges.
Attól, hogy valami ingyenes, nem biztos, hogy rossz.
https://www.coreinfinity.tech
Én is Bitwarden-t használok, teljesen megvagyok vele elégedve.
A legjobb megoldás szerintem a kétfaktoros azonosítás. Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.
Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.
Attól függ, honnan nézzük.
Valahol mindig lesz egy "kis rés a pajzson" ... vagy a jelszó bonyolultsága miatt vagy az egyszerűbbsége miatt. a kettő együtt nem fér össze véleményem szerint.
Sok helyen megkövetelik már a legalább 8karaktert és ebbe kell férnie kis betűnek,nagy betűknek,számoknak, valahol még a speciális karaktert is kérnek. Mondjuk még a 8 karakter könnyen megjegyezhető, de ha erős jelszó kell beállítani, akkor ezeket nagyon K0mB1n@1N!(kombinálni) kell, ami már lehet nehezíti a megjegyezhetőséget.
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
A kétlépcsős hitelesítés az nagyon jó, de nem azt jelenti, hogy akkor már mindegy, hogy milyen jelszót használsz. Az átlagember ugyanazt a gyenge jelszót adja meg sok helyen, és ha valahol kitudódik, akkor nem lesz mindenhol extra védelmi faktor.
[ Szerkesztve ]
<-ƘƘ->
Ez így nem feltétlenül álja meg így a helyét... de tény, hogy 2faktoros azonosítás növelheti a biztonságot.
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
Nos, nem tudom, megnézted-e az általad linkelt videót, de ott kompletten a password policy-ről van szó, én viszont a lehetséges implementációs hibákra hívtam fel a figyelmet. (Nem mellesleg szerintem van baj a NIST publikációval - lehet, hogy copy-paste probléma -, de a 8 karakteres jelszó az, amit reggeli előételnek fogyasztanak a mai rendszerek. Mindemellett még csökkenti is a karakter setet is az ajánlás, hogy még könnyebben menjen a brute force.)
[ Szerkesztve ]
https://www.coreinfinity.tech
Vágom, hogy megjósolható, mint pl. C#-nál is a processzor működése alapján generálódnak a random számok. Na de ha én ezt teljesen offline csinálom ki a rák fog rájönni, hogy éppen melyik 64 karakteres sorozatot generáltam le az összes betűből, számból és különleges karakterből?
Ami rendszerbe be lehet jutni brute force-al, ott nem a jelszavam bonyolultsága lesz a legnagyobb biztonsági rés, valljuk be.
...csak én vagyok helikopter?
Akkor ezek szerint ez újdonság lesz számodra, hogy minden jelszó törhető brute force-szal. Nagyon sok web alkalmazás van, ahol sem lockout, sem throttling policy nincs implementálva.
[ Szerkesztve ]
https://www.coreinfinity.tech
Szerintem egy ilyesmi már jó kezdet lehet. Akár céges környezetben is, szétosztva a júzereknek, tudatosítva felük a fiókjuk biztonságának fontosságát.
Létezik ezeknek open source alternatívája is például ez, vagy ez.
Személy szerint én elvagyok a bitwardennel. Épp agyalok az előfizetéses rendszerükön, mivel a 10$/év nem egy hatalmas összeg és akkor már a nemrég megérkezett yubikeyem is tudnám vele használni.
Ez egy nagyon jol torheto jelszo
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
Lehet törni 2 faktort is? Nem hiszem, hogy brute force védelemre ne gondoltak volna. Vagy mire gondolsz az alatt, hogy ez így nem feltétlenül állja meg a helyét? Nem kötekedni akarok, csak érdekel a téma.
Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.
Jelszavakat ma mar nem bruteforceolnak hanem dictionary attack-al tornek.
Ezert ertekesek a kiszivargott jelszo adatbazisok mert nem feltetlenul az a lenyeg, hogy john11-nek Apple3honeyfuck3R a jelszava hanem, hogy valos jelszavakat tartalmaz amit szepen be lehet nyomni egy szotarba es hash alapjan tudnak kesobb rendszereket tamadni vele.
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
Ha a dictionary - és semmi más - nem működik, marad a brute force - ez persze nem jelenti azt, hogy nincs igazad, de garantált az eredmény.
https://www.coreinfinity.tech
Rossz 2FA-t lehet törni, vagyis inkább megkerülni, ezért nem ajánlott az SMS, mint 2nd factor.
https://www.coreinfinity.tech
és azoknál nem is vagy ügyfél ügye? Vagy legalábbis semmi szenzitív adatod nem bízod rájuk?
...csak én vagyok helikopter?
Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.
Konkrétan erre gondoltam, mikor azt írtam, hogy ez így nem feltétlenül állja meg a helyét. Ugyanis sok felhasználó a könnyebb ügy érdekében nagyon sok esetben ugyan azt a jelszót használja szinte mindenhova, mert így nem kell sok jelszót fejben tartani. Egy 2faktoros azonosítás csak azon az oldaakon véd, ahol van is, ahol nincs ott a kitalált jelszóval szabadon lehet garázdálkodni.
Sajnos amerikában nagyon elterjedt az úgymond sim csere csalás, aminek révén a 2faktoros sms kódokat meg lehet szerezni, így ugye feltételes módba kerül a 2fa, de vannak a kódgenerátorok, azok egy fokkal jobbak, mint az sms kódok.Itthon ez a sim csere csalás azért nem működik, mert csak személyes ügyintézéssel cserélnek fizikai kártyát és személyigazolvány/lakcím kártya kell hozzá, amerikában meg úgy hallottam/meg olvastam, hogy simán levélként is lehet kérni.
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
A kétfaktoros - ideális esetben - mindenképp emel a biztonságon, de nem csodaszer sajnos. Ahogy többen is írták megfelelő trükközéssel megkerülhető, erre nem olyan régen volt hazai példa is. Persze itt hibázott az áldozat, hibázott a Telenor ügyintéző, de hát ilyen a való élet.
Meg persze lehet hibás maga a megvalósítás is és akkor pedig azért megkerülhető (legutóbb talán QNAP-nál olvastam ilyenről). Ebben az esetben meg inkább csökkenti a biztonságot, mert abban tudatban, hogy megvéd az MFA, hajlamos az ember eleve gyengébb jelszavakat használni.
Szóval jó és fontos dolog a kétfaktoros, de nem csodaszer.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
ha már n-faktoros autentikációnál tartunk, akkor a témához értő emberek segítségét szeretném kérni abban, hogy segítsenek értékelni az alábbi helyzetet biztonsági szempontból:
1:
erstés vagyok, eddig úgy működött az internetes kártyás vásárlás, hogy megadtam a kártyaszámom, cvc kódom majd jött egy SMS kód, ezt beírva teljesült a tranzakció, goranga.
most, gondolom extra szabályozás okán (n+1 faktor) amellett, hogy megadom a kártyaszámot, egyéb infókat (név, lejárat, cvc) meg kell adnom a netbanki belépő jelszavamat is, majd SMS kód (vagy appos jóváhagyás).
kérdésem, hogy az milyen módon növeli a biztonságot, hogy én lépten-nyomon megadogatom az egyetlen korbendallas ebankos jelszavamat minden tranzakciónál, amivel egyébként (egyéb faktorokkal védve ugyan, de ezek a faktorok vannak a vásárlásnál is) teljes hozzáférésem van az összes bankszámlám összes forintjához?
számomra, laikusként ez pont a biztonság csökkenésének az érzetét kelti, hiszen mindeddig az volt a mantra, hogy a netbank jelszót soha semmilyen körülmények között, csak az egyszent banki honlapon sehol máshol.
- értem hogy van még n faktor
- értem hogy nézzem meg az oldal tanúsítványát (laikus vagyok, azt írnak oda amit akarnak)
- értem hogy telepítsek appot (erről majd később)
de mi az öreg ürdüngért nem lehet akár erre egy külön vásárláskorbendallas jelszót definiálni az egyszentbankhozzáférős helyett, és miért kellene ettől nekem nagyobb jót éreznem mint eddig?
2:
netbank app megy, george (gyuri) app jön. nagyszerű.
george app by design két alap módon hozzáférhető, művelhetó:
a) megadok egy n jegyű számsort a bazi nagy jól látható billentyűzeten minden lépésnél (belépés, jóváhagyás, aláírás, megtekintés) hogy aki elsőre nem tudta lelesni, biztos legyen lehetősége javítani
b) biometrikusan azonosítom magam ujjlenyomattal (más mókusok arccal)
előbbi eset értelemszerűen nem tetszik, utóbbit választottam, még ha nem is szeretem megadni a biometrikát mindenre, de gyuri okos app, biztos jól vigyáz rá.
ugyanakkor a véletlen rányomás elkerülése, illetve a telefon egyéb biometrikus azonosításától való elhatárolás miatt úgy próbáltam megadni az ujjlenyomatom gyurinak, hogy ne az általánosan használt (mutató)ujjam azonosítson gyurinál, hanem egy másik, amit egyébként nem használok és nem is regisztrálok a telefonon másra.
igen ám, de ezt nem lehet, ugyanis gyuri csak a telefonon regisztrált ujjlenyomatokat fogadja el, mást, újat megadni nem lehet, sőt, ha több ujj azonosítva van a telefonban akkor mindre ugrik, korlátozni sem lehet mondjuk a bal kéz középső ujjára.
nem tudom van-e technikai akadálya annak hogy a telefonon egy globálistól eltérő biometrikus azonosítást felvegyünk külön egy-egy appnak.
ha van, akkor értem miért a limitáció, viszont akkor nem világos, hogy miért csak ez a két, számomra erősen támadhatónak tűnő opció létezik az app autentikációjára, miért nem lehet kérni adott esetben legalább egy hagyományos SMS alapú kódot az egyes lépésekre (akár műveletenként differenciálva, pl. belépés kódsor, jóváhagyás biometrikus, utalás SMS)
miért kéne a fenti változtatások miatt erősebb biztonságban éreznem magam?
"Csak angol ABC betűi" – ez így nem igaz, ez policy kérdése. De nem ez volt a lényeg, talán te is érzed
Én sehol sem találkoztam még olyan helyzettel, hogy bármilyen magyar betűt elfogadott volna!
De amúgy értettem a lényeget...ezt írtam le én is, hogy szótárat létrehozni, ahhoz bődületesen sok tárhely kell!
amúgy egy profibb wordist generator simán kigenerálja a hsz-ben leírt jelszót
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
Kell a fenét, 10M top jelszót tartalmazó file alig több, mint 8 MB. Letöltheted githubról.
[ Szerkesztve ]
https://www.coreinfinity.tech
Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók. Vagyis ha én komplett mondatokat használok jelszónak, amiben van egy szám még egy spec karakter, akkor ahhoz nem 10Mb szótár kell hanem 10Gb.
A másik, a szótár módszer angol mondatokkal sem fog működni, ha fenti képletet követjük mondat plusz spec karakter random helyen, elszórt nagybetűvel.
Lehet mondani, úgyis a szó eleje lesz nagybetűs, de mi van ha nem?
Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is. Kormány hivatal meg ha nem kétlépcsős és korlátozott a próbálkozások száma akkor ott ette meg a fene.
Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek.
Vagyis akinek nincs Facebook és társai, azok kb láthatatlanok.
Ez a személyes védelem, ha a munkahely is ide keveredik, akkor lehet okoskodni még az ügyön.
Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák.
Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént.
Szerintem teljesen felesleges belekeverni a magyar nyelvet, a világ túlnyomó többsége az angol abc betűit használja a jelszavakban (egyébként mi van akkor, ha 10 GB a szótár? Hint: semmi.). Úgy érzem, azt gondolod, hogy vmi mást állítasz, amikor a jelmondatokra hivatkozol, mint én, holott én a bejegyzésben is azt szorgalmaztam, hogy legalább 12 karakter legyen a jelszó az eddigi 8 helyett.
Szakmai kérdésekben ne hozzunk ide mindenféle Hollywoodi sorozatokat, próbáljuk meg megőrizni a diskurzus színvonalát valamilyen magasabb szinten. (Fent vagyok Facebookon, sok sikert a profil által kitalálni a jelszavaimat.)
"...Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént. ..."
Ez konkrétan azt mutatja, hogy nem vehető teljesen komolyan, amit írsz. Van egy metrika, amit ROI-nak hívnak - nem írom ide mit jelent, nézz utána, légyszíves.
"...Az hogy mindenhol más jelszót használunk, logikai banalitas..."
Semmiféle banalitás nincs benne, leszoktat arról, hogy újra felhasználd a jelszavaidat.
https://www.coreinfinity.tech
bejegyzés Jelszó generálás biztonságosan