Hirdetés

2022. december 3., szombat

Gyorskeresés

Hozzászólások

(#1) dqdb


dqdb
veterán

[link]
Egy gyakorlati példa arra, hogy hogyan ne generáljunk jelszavakat. "Apró" szépséghiba, hogy ezt egy jelszókezelő alkalmazásban sikerült elkövetni :U

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

(#2) Krugszvele


Krugszvele
aktív tag

és az ilyen jelszavakat hogy lehet megjegyezni?
Amennyiben több eszközön szeretnéd használni, akkor jelszómenedzserre lesz szükség.
Nem túl nagy - nagyobb - biztonsági kockázat jelszókezelőt használni, mint inkább normális, megjegyezhető jelszavakat minden weboldalhoz?

(#3) sh4d0w válasza Krugszvele (#2) üzenetére


sh4d0w
nagyúr

Ez örök probléma, a megoldása pedig nagyban függ a metódustól, ahogyan megjegyzed a jelszavaidat. Ha nem vagy képes rá, vagy kényelmesebb, használj jelszómenedzsert, ha meg tudod jegyezni, akkor figyelj oda arra, hogy ne legyenek támadhatók szótárakkal.

https://www.coreinfinity.tech

(#4) zzolika


zzolika
aktív tag

Bocs, lehet én nem értek valamit, de mi szükség van egyáltalán jelszó generálásra???
Egy weboldalon, fórumban, banki belépésnél, ahol regisztráció szükséges, én adom meg a jelszót. Nem automatán az oldal üzemeltetője (vagy akkor az első belépésnél kötelező lecserélni, pl elfelejtett jelszó).
Vagy van olyan aki nem tud mit kitalálni, amit meg is tud jegyezni, hanem e helyett egy random generátorral csinál magának jelszót?

(#5) Kendek válasza zzolika (#4) üzenetére


Kendek
MODERÁTOR

Amit te találsz ki jelszót és meg tudod jegyezni, az nem túl biztonságos. A lényeg, hogy legyen hosszú és ránézésre teljesen véletlenszerű-értelmetlen, és a legfontosabb, hogy mindenhol más jelszót használj.

tr -dc a-zA-Z0-9 </dev/urandom | head -c 16

Én így szoktam generálni, és még ha van is benne bármilyen szintű megjósolhatóság, annak a kiszámításához nem lesz fogódzó. Nem lehet kiszótárazni, és ha mégis ellopják mert valahol sima szövegként tárolták, akkor sem lehet felhasználni máshol.
A kétlépcsős hitelesítésre is leginkább ezért van szükség, mert a jelszavak gyakran túl gyengék az emberi hanyagság miatt.

<-ƘƘ->

(#6) sh4d0w válasza zzolika (#4) üzenetére


sh4d0w
nagyúr

Vannak, akik generalnak jelszavakat. Amikor sok rendszerhez van hozzaferesed, egy ido utan keptelenseg minden jelszot fejben tartani, igy jobb, ha hasznalsz jelszokezelot - ezekben pedig van generator is.

https://www.coreinfinity.tech

(#7) st3v3np3t3r


st3v3np3t3r
veterán
LOGOUT blog

Én erre a célra ezt az oldalt használom:
https://passwordsgenerator.net/

Általában max.16-17 karakterig, de mint látható, 128karakterig képes jelszót generálni.

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#8) zzolika válasza Kendek (#5) üzenetére


zzolika
aktív tag

Ezzel nem teljesen értek egyet. Mondjuk pl az Als0G@ty@0523 jelszót pl még meg lehet jegyezni :) jobban mint a random jelszavakat, és nem hiszem hogy szótárban benne van.
A cikkben írt 50K szám generálása esetén csökken 50% környékére, 10K körül még 95%, na ez is van ennyire biztonságos.
Az olyan oldalakon, ahol úgysem adok meg semmi privátot, csak be kell lépni valahogy, az 123 jelszó is megteszi, azt nem felejtem el, ha ellopták is visszaélni nem tudnak mivel.
Természetesen a bankoláshoz, emilhez ettől komolyabb jelszavam van, és a telefonra sms-ben küldött azonosító szerintem elég biztonságot ad.
De láttam olyat is, hogy a 30 karakteres, kis/nagybetű/szám kombós, megjegyezhetetlen jelszó (azt hiszem pont a banki belépéshez), a monitorra volt ragasztva egy postit-tel, hogy el ne felejtsék, na ez az igazi biztonság :DD
Igazad van, az emberi hülyeség, hanyagság ellen sosem lesz elég erős védelem. Ebből van a legtöbb virus/zsarolóvirus bekapása is, amikor a felhasználó nem tudja hogy mi az, de önként kattint rá a telepítésére.

#6: Sokfelé kell jelszó, a fontos helyekre van 1 külön, a többire 3-4-et variálok, ennyit még megjegyzem. A nem fontosra (webshop, fórum) mehet akár az 123 is, vagy megjegyzi a böngésző.
A jelszókezelőkben nem tudom mennyire lehet megbízni, vannak fenntartásaim. Azt honnan tudod azokban milyen generátor van? És ha még tényleg random is, attól még jelenthetnek kifelé bármit... Az összes jelszavad tudják egy helyen (főleg egy ingyenes program, ad valamit ingyen?), ez szerintem sokkal nagyobb biztonsági kockázat, mintha nem elég erős a jelszavad.

(#9) sh4d0w válasza zzolika (#8) üzenetére


sh4d0w
nagyúr

A megoldás egyszerű: vannak cégek, akik jelszómenedzserből élnek, ha a termékük rosszalkodik, az egész üzletnek annyi. Például van termék, amit kompletten hostolhatsz magadnak ingyen, kliensoldali a titkosítás, ha elfelejted a master passwordöt, akkor minden információnak annyi - lásd Bitwarden. Sokkal kisebb kockázat, mint egy gyenge jelszó, amit egy mai modern PC-vel órák alatt meg lehet törni.

https://www.coreinfinity.tech

(#10) zzolika válasza sh4d0w (#9) üzenetére


zzolika
aktív tag

ha a termékük rosszalkodik, az egész üzletnek annyi
Ugye a windowsban/androidban sincs beépített telemetria? Tudja valaki biztosan mit, hova küld? Annyi lett? Hát nem...
A 0$/month ártól még nem érzem magam biztonságban. Miért kapsz valamit ingyen egy profitra épülő cégtől? Valahogy mindig fizetsz, ha nem $-al, akkor az adataiddal. Nem jótékonyságból dolgoznak ők sem.
Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele? Beírnak a PH fórumba, vagy az xxx webshopban rendelnek valamit helyettem utánvéttel amit nem veszek át mert nem én rendeltem?
Kicsit túl van lihegve a probléma, mint a spectre/meltdown, amivel senki sem találkozott még, de van rá 0,01% lehetőség, ha valaki még pluszban root passworddel pendriveról telepít valami kártékony programot.

Sokkal nagyobb szopatás, amikor pl a wifi jelszó (jó biztonságos, mint a #7-ben) beírása egy új ügyfélnek 2-5 perc, mert valamit úgyis elüt. És utána úgysem használja többet. Aki rendszeresen rajta van, az itt dolgozik, max 5 méterre tőlem, mert messzebb úgysem ér el a hatótáv.
Persze ha komoly, pl kormányzati helyekre való jelszóról beszélünk az más szitu, de oda is bejut aki nagyon akarja (az orosz hackerek az usa választásba?)

(#11) #90088192


#90088192
törölt tag

Különben mindkettőtők igazat mond, de a valóság még ennél is cifrabb.
Azt mondják az okosok, a jelszó lehet akár 256 karakter is, és nem kell jelszó kezelő sem.
Mert az hogy fizikailag hozzáférjen valaki egy leírt jelszohoz amit egy relatíve biztonságos helyen tartasz otthon annak annyi az esély mint Nap és Alfa Centauri ütközésének a holnapi napon.
Így nincs rés a pajzson, csak a webkamera/telefon kamera/kamera amit hanyagolni kell. :R

(#12) UnA válasza st3v3np3t3r (#7) üzenetére


UnA
Korrektor

Ezt az oldalt én is kedvelem, de ahogy sh4d0w is írta, a speciális karakterek használata felesleges, sőt én még a kis / nagybetű vegyes használatát is ki szoktam kapcsolni. A kutatások egyértelműen azt mutatják, hogy a jelszó hossza számít igazán, a többivel inkább magadat szivatod.

(#13) bambano


bambano
titán

a gond ezekkel a feltételekkel az, hogy már évek óta meghaladta a szakma.
tehát a poszt arra jó, hogy megmutassa, hogyan ne generáljunk jelszót.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#14) Kendek válasza bambano (#13) üzenetére


Kendek
MODERÁTOR

Tegyük fel, hogy frissen regisztrálsz valahova ahol majd érzékeny adatokat is meg kell adnod, ezért a legbiztonságosabb jelszóra van szükséged. Egy iránymutató példaként le tudnád nekünk írni, hogy miként szoktad ezt megoldani? Vagyis hogyan képződik a jó jelszó, és azt milyen formában és hol érdemes tárolni?

<-ƘƘ->

(#15) Gargouille


Gargouille
őstag

Általánosságban az a jelszó "amit meg tudsz jegyezni" szinte biztos, hogy nem biztonságos (most az extrém eseteket leszámítva). Mivel alapvetés, hogy jelszavakat nem hasznosítunk újra, ezért mindenhol különböző jelszót használ az ember, ez pedig elég rövid úton elvezet oda, hogy sem megjegyezni nem fogod tudni a sok jelszót, és emellett tapasztalat, hogy nagyon hasonlítani fognak egymásra (a logika ami alapján kitalálod fejben) és ez sem előnyös.

Elég kézenfekvő inkább egy célprogramot használni rá és sokkal gyorsabb is mint agyalni egy újabb "jó" jelszón. Én például a Password Tech jelszó generátorát használom. Gyakori, hogy a legenerált jelszóba még kézzel is belemódosítok.

Egy ideje már 48 karakteres jelszavakat szoktam használni, a legtöbb eszköz/szoftver már képes ezeket kezelni és ha úgy sem kell fejben megjegyeznem, akkor tök mindegy a hossza nekem, viszont akkor már legyen irreálisan hosszú, legalább brute force ellen védett, meg erre hosszra azért még jó ideig nem lesznek szivárvány táblák sem szerintem.

Szóval röviden azért van értelme jelszó generátort használni, mert sokkal egyszerűbb vele, mint "fejben dolgozni". Egyébként meg tényleg van olyan, aki "nem tud mit kitalálni", ha megnézed a legnépszerűbb jelszavak listáját, meglepően sokan vannak. :)

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#16) bambano válasza Kendek (#14) üzenetére


bambano
titán

le tudnám, de nem írom, mert az biztonsági probléma lenne.
de itt egy videó: [link]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#17) Gargouille válasza zzolika (#10) üzenetére


Gargouille
őstag

"Értem én hogy egy egyszerűbb jelszót könnyebben fel lehet törni, de ki foglalkozna ezzel? Mit nyernek vele?"

Gondolhatod, hogy nem arra utaznak, hogy a nevedben hülyeségeket irkáljanak egy fórumba, viszont általános gyakorlat a userek közt, hogy ugyanazt az egy jelszót (amit egyszer sikerült megjegyezni) használják az email fiókjukhoz, a fórumokon, a webáruházban meg a bankban is, meg mondjuk a céges felhasználójuknál is. Így ha valahol kompromittálódik a jelszó, akkor a támadó szépen végig tudja próbálni mindenhol és előbb-utóbb profitálni fog belőle.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#18) st3v3np3t3r válasza UnA (#12) üzenetére


st3v3np3t3r
veterán
LOGOUT blog

Biztos ami biztos alapon, javasolt a minden engedélyezett karakter használata. Amúgy én az iPhone Kulcskarikát használom mint jelszókezelő.

Anno elkezdtem tesztelgetni ezeket a jelszavas dolgokat, nálam a tapasztalat azt mutatta, hogy minél bonyolultabb egy jelszó, annál nehezebb feltörni, mivel a variációk száma jóval nagyobb így még BruteForce módszerrel is elég sokáig tarthat, wordlist-es megoldással meg hát az atyaúristen tárhelye nem lenne elég ha 8-tól 16 karakterig legenerálja valaki az összes jelszókombinációt :DDD

De hát, nincs 100%-kos biztonság, inkább törekedni kell arra, hogy minél közelebb a 100%-hoz :DDD

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#19) sh4d0w válasza bambano (#13) üzenetére


sh4d0w
nagyúr

Valójában az egész jelszavasdi már eléggé idejétmúlt és ki kellene ebrudalni mindenhonnan, de még senki nem volt képes egy átfogó, mindenhol alkalmazható másik megoldást letenni az asztalra.

https://www.coreinfinity.tech

(#20) bambano válasza st3v3np3t3r (#18) üzenetére


bambano
titán

a minden karakter használatával az a gond, hogy nehéz megjegyezni. max. akkor engedélyezhető, ha jelszókezelő programot használsz. egyéb esetekben az lesz a vége, hogy a júzer leírja a jelszót, ami ugyanúgy biztonsági rés.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#21) Kendek válasza Gargouille (#15) üzenetére


Kendek
MODERÁTOR

Én azért használok csak 16 karakteres a-zA-Z0-9 jelszavakat, mert adott esetben nincs más lehetőségem, mint a kézzel való beírás. Ez még az a szint ami abszolválható, na de 48, különlegesebb karakterrel már nem igazán.

<-ƘƘ->

(#22) sh4d0w válasza zzolika (#10) üzenetére


sh4d0w
nagyúr

Mivel a Bitwardent magadnak is hostolhatod, nem egészen értem a 0$-os problémát (egyébként meg ha nagyon akarsz, fizethetsz érte): a hálózati kommunikációt úgy korlátozod magadnak, ahogy akarod. A cég meg nem a 0$-osokból él, hanem a fizetős ügyfelekből, legyen az magán, vagy céges.

Attól, hogy valami ingyenes, nem biztos, hogy rossz.

https://www.coreinfinity.tech

(#23) Joci93 válasza sh4d0w (#22) üzenetére


Joci93
senior tag

Én is Bitwarden-t használok, teljesen megvagyok vele elégedve.

A legjobb megoldás szerintem a kétfaktoros azonosítás. Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

(#24) st3v3np3t3r válasza bambano (#20) üzenetére


st3v3np3t3r
veterán
LOGOUT blog

Attól függ, honnan nézzük.

Valahol mindig lesz egy "kis rés a pajzson" ... vagy a jelszó bonyolultsága miatt vagy az egyszerűbbsége miatt. a kettő együtt nem fér össze véleményem szerint.
Sok helyen megkövetelik már a legalább 8karaktert és ebbe kell férnie kis betűnek,nagy betűknek,számoknak, valahol még a speciális karaktert is kérnek. Mondjuk még a 8 karakter könnyen megjegyezhető, de ha erős jelszó kell beállítani, akkor ezeket nagyon K0mB1n@1N!(kombinálni) kell, ami már lehet nehezíti a megjegyezhetőséget.

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#25) Kendek válasza Joci93 (#23) üzenetére


Kendek
MODERÁTOR

A kétlépcsős hitelesítés az nagyon jó, de nem azt jelenti, hogy akkor már mindegy, hogy milyen jelszót használsz. Az átlagember ugyanazt a gyenge jelszót adja meg sok helyen, és ha valahol kitudódik, akkor nem lesz mindenhol extra védelmi faktor.

[ Szerkesztve ]

<-ƘƘ->

(#26) st3v3np3t3r válasza Joci93 (#23) üzenetére


st3v3np3t3r
veterán
LOGOUT blog

Ez így nem feltétlenül álja meg így a helyét... de tény, hogy 2faktoros azonosítás növelheti a biztonságot.

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#27) sh4d0w válasza bambano (#13) üzenetére


sh4d0w
nagyúr

Nos, nem tudom, megnézted-e az általad linkelt videót, de ott kompletten a password policy-ről van szó, én viszont a lehetséges implementációs hibákra hívtam fel a figyelmet. (Nem mellesleg szerintem van baj a NIST publikációval - lehet, hogy copy-paste probléma -, de a 8 karakteres jelszó az, amit reggeli előételnek fogyasztanak a mai rendszerek. Mindemellett még csökkenti is a karakter setet is az ajánlás, hogy még könnyebben menjen a brute force.)

[ Szerkesztve ]

https://www.coreinfinity.tech

(#28) muszurkefal


muszurkefal
aktív tag

Vágom, hogy megjósolható, mint pl. C#-nál is a processzor működése alapján generálódnak a random számok. Na de ha én ezt teljesen offline csinálom ki a rák fog rájönni, hogy éppen melyik 64 karakteres sorozatot generáltam le az összes betűből, számból és különleges karakterből?

(#29) Sethdobaloah válasza sh4d0w (#27) üzenetére


Sethdobaloah
senior tag

Ami rendszerbe be lehet jutni brute force-al, ott nem a jelszavam bonyolultsága lesz a legnagyobb biztonsági rés, valljuk be.

...csak én vagyok helikopter?

(#30) sh4d0w válasza Sethdobaloah (#29) üzenetére


sh4d0w
nagyúr

Akkor ezek szerint ez újdonság lesz számodra, hogy minden jelszó törhető brute force-szal. Nagyon sok web alkalmazás van, ahol sem lockout, sem throttling policy nincs implementálva.

[ Szerkesztve ]

https://www.coreinfinity.tech

(#31) rgqjx válasza sh4d0w (#19) üzenetére


rgqjx
tag

Szerintem egy ilyesmi már jó kezdet lehet. Akár céges környezetben is, szétosztva a júzereknek, tudatosítva felük a fiókjuk biztonságának fontosságát.

Létezik ezeknek open source alternatívája is például ez, vagy ez.

Személy szerint én elvagyok a bitwardennel. Épp agyalok az előfizetéses rendszerükön, mivel a 10$/év nem egy hatalmas összeg és akkor már a nemrég megérkezett yubikeyem is tudnám vele használni.

(#32) Snoop-y válasza zzolika (#8) üzenetére


Snoop-y
veterán

Ez egy nagyon jol torheto jelszo :N

How to choose a password?

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

(#33) Joci93 válasza st3v3np3t3r (#26) üzenetére


Joci93
senior tag

Lehet törni 2 faktort is? Nem hiszem, hogy brute force védelemre ne gondoltak volna. Vagy mire gondolsz az alatt, hogy ez így nem feltétlenül állja meg a helyét? Nem kötekedni akarok, csak érdekel a téma. :)

Furcsa, több ezer emberrel találkozunk és egyik sem fog meg igazán. Aztán megismerünk valakit, aki megváltoztatja az életünket. Örökre.

(#34) Snoop-y válasza sh4d0w (#30) üzenetére


Snoop-y
veterán

Jelszavakat ma mar nem bruteforceolnak hanem dictionary attack-al tornek.

Ezert ertekesek a kiszivargott jelszo adatbazisok mert nem feltetlenul az a lenyeg, hogy john11-nek Apple3honeyfuck3R a jelszava hanem, hogy valos jelszavakat tartalmaz amit szepen be lehet nyomni egy szotarba es hash alapjan tudnak kesobb rendszereket tamadni vele.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

(#35) sh4d0w válasza Snoop-y (#34) üzenetére


sh4d0w
nagyúr

Ha a dictionary - és semmi más - nem működik, marad a brute force - ez persze nem jelenti azt, hogy nincs igazad, de garantált az eredmény.

https://www.coreinfinity.tech

(#36) sh4d0w válasza Joci93 (#33) üzenetére


sh4d0w
nagyúr

Rossz 2FA-t lehet törni, vagyis inkább megkerülni, ezért nem ajánlott az SMS, mint 2nd factor.

https://www.coreinfinity.tech

(#37) Sethdobaloah válasza sh4d0w (#30) üzenetére


Sethdobaloah
senior tag

és azoknál nem is vagy ügyfél ügye? Vagy legalábbis semmi szenzitív adatod nem bízod rájuk?

...csak én vagyok helikopter?

(#38) st3v3np3t3r válasza Joci93 (#33) üzenetére


st3v3np3t3r
veterán
LOGOUT blog

Ha a jelszavad ki is találják, akkor is még van egy réteg védelem.
Konkrétan erre gondoltam, mikor azt írtam, hogy ez így nem feltétlenül állja meg a helyét. Ugyanis sok felhasználó a könnyebb ügy érdekében nagyon sok esetben ugyan azt a jelszót használja szinte mindenhova, mert így nem kell sok jelszót fejben tartani. Egy 2faktoros azonosítás csak azon az oldaakon véd, ahol van is, ahol nincs ott a kitalált jelszóval szabadon lehet garázdálkodni.

Sajnos amerikában nagyon elterjedt az úgymond sim csere csalás, aminek révén a 2faktoros sms kódokat meg lehet szerezni, így ugye feltételes módba kerül a 2fa, de vannak a kódgenerátorok, azok egy fokkal jobbak, mint az sms kódok.Itthon ez a sim csere csalás azért nem működik, mert csak személyes ügyintézéssel cserélnek fizikai kártyát és személyigazolvány/lakcím kártya kell hozzá, amerikában meg úgy hallottam/meg olvastam, hogy simán levélként is lehet kérni.

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#39) Gargouille


Gargouille
őstag

A kétfaktoros - ideális esetben - mindenképp emel a biztonságon, de nem csodaszer sajnos. Ahogy többen is írták megfelelő trükközéssel megkerülhető, erre nem olyan régen volt hazai példa is. Persze itt hibázott az áldozat, hibázott a Telenor ügyintéző, de hát ilyen a való élet.

Meg persze lehet hibás maga a megvalósítás is és akkor pedig azért megkerülhető (legutóbb talán QNAP-nál olvastam ilyenről). Ebben az esetben meg inkább csökkenti a biztonságot, mert abban tudatban, hogy megvéd az MFA, hajlamos az ember eleve gyengébb jelszavakat használni.

Szóval jó és fontos dolog a kétfaktoros, de nem csodaszer.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#42) DeFranco


DeFranco
nagyúr

ha már n-faktoros autentikációnál tartunk, akkor a témához értő emberek segítségét szeretném kérni abban, hogy segítsenek értékelni az alábbi helyzetet biztonsági szempontból:

1:
erstés vagyok, eddig úgy működött az internetes kártyás vásárlás, hogy megadtam a kártyaszámom, cvc kódom majd jött egy SMS kód, ezt beírva teljesült a tranzakció, goranga.

most, gondolom extra szabályozás okán (n+1 faktor) amellett, hogy megadom a kártyaszámot, egyéb infókat (név, lejárat, cvc) meg kell adnom a netbanki belépő jelszavamat is, majd SMS kód (vagy appos jóváhagyás).

kérdésem, hogy az milyen módon növeli a biztonságot, hogy én lépten-nyomon megadogatom az egyetlen korbendallas ebankos jelszavamat minden tranzakciónál, amivel egyébként (egyéb faktorokkal védve ugyan, de ezek a faktorok vannak a vásárlásnál is) teljes hozzáférésem van az összes bankszámlám összes forintjához?

számomra, laikusként ez pont a biztonság csökkenésének az érzetét kelti, hiszen mindeddig az volt a mantra, hogy a netbank jelszót soha semmilyen körülmények között, csak az egyszent banki honlapon sehol máshol.

- értem hogy van még n faktor
- értem hogy nézzem meg az oldal tanúsítványát (laikus vagyok, azt írnak oda amit akarnak)
- értem hogy telepítsek appot (erről majd később)

de mi az öreg ürdüngért nem lehet akár erre egy külön vásárláskorbendallas jelszót definiálni az egyszentbankhozzáférős helyett, és miért kellene ettől nekem nagyobb jót éreznem mint eddig?

2:
netbank app megy, george (gyuri) app jön. nagyszerű.

george app by design két alap módon hozzáférhető, művelhetó:

a) megadok egy n jegyű számsort a bazi nagy jól látható billentyűzeten minden lépésnél (belépés, jóváhagyás, aláírás, megtekintés) hogy aki elsőre nem tudta lelesni, biztos legyen lehetősége javítani

b) biometrikusan azonosítom magam ujjlenyomattal (más mókusok arccal)

előbbi eset értelemszerűen nem tetszik, utóbbit választottam, még ha nem is szeretem megadni a biometrikát mindenre, de gyuri okos app, biztos jól vigyáz rá.

ugyanakkor a véletlen rányomás elkerülése, illetve a telefon egyéb biometrikus azonosításától való elhatárolás miatt úgy próbáltam megadni az ujjlenyomatom gyurinak, hogy ne az általánosan használt (mutató)ujjam azonosítson gyurinál, hanem egy másik, amit egyébként nem használok és nem is regisztrálok a telefonon másra.

igen ám, de ezt nem lehet, ugyanis gyuri csak a telefonon regisztrált ujjlenyomatokat fogadja el, mást, újat megadni nem lehet, sőt, ha több ujj azonosítva van a telefonban akkor mindre ugrik, korlátozni sem lehet mondjuk a bal kéz középső ujjára.

nem tudom van-e technikai akadálya annak hogy a telefonon egy globálistól eltérő biometrikus azonosítást felvegyünk külön egy-egy appnak.

ha van, akkor értem miért a limitáció, viszont akkor nem világos, hogy miért csak ez a két, számomra erősen támadhatónak tűnő opció létezik az app autentikációjára, miért nem lehet kérni adott esetben legalább egy hagyományos SMS alapú kódot az egyes lépésekre (akár műveletenként differenciálva, pl. belépés kódsor, jóváhagyás biometrikus, utalás SMS)

miért kéne a fenti változtatások miatt erősebb biztonságban éreznem magam?

(#43) UnA válasza st3v3np3t3r (#41) üzenetére


UnA
Korrektor

"Csak angol ABC betűi" – ez így nem igaz, ez policy kérdése. De nem ez volt a lényeg, talán te is érzed ;)

(#45) st3v3np3t3r válasza UnA (#43) üzenetére


st3v3np3t3r
veterán
LOGOUT blog

Én sehol sem találkoztam még olyan helyzettel, hogy bármilyen magyar betűt elfogadott volna!

De amúgy értettem a lényeget...ezt írtam le én is, hogy szótárat létrehozni, ahhoz bődületesen sok tárhely kell!
amúgy egy profibb wordist generator simán kigenerálja a hsz-ben leírt jelszót

Xiaomi 12T Pro+Galaxy Watch 4 Classic//Galaxy S22// Asus TUF Gaming A15 FA506IC//Asus Vivobook Flip14//Korábbi hsz-eim #97246720 név alatt...

(#47) sh4d0w válasza st3v3np3t3r (#45) üzenetére


sh4d0w
nagyúr

Kell a fenét, 10M top jelszót tartalmazó file alig több, mint 8 MB. Letöltheted githubról.

[ Szerkesztve ]

https://www.coreinfinity.tech

(#48) #90088192 válasza sh4d0w (#47) üzenetére


#90088192
törölt tag

Azt azért tegyük hozzá, hogy a magyar egy toldalekolo nyelv, egy szótő ha benne van szótárban az kb hallotnak a csók. Vagyis ha én komplett mondatokat használok jelszónak, amiben van egy szám még egy spec karakter, akkor ahhoz nem 10Mb szótár kell hanem 10Gb.
A másik, a szótár módszer angol mondatokkal sem fog működni, ha fenti képletet követjük mondat plusz spec karakter random helyen, elszórt nagybetűvel.
Lehet mondani, úgyis a szó eleje lesz nagybetűs, de mi van ha nem?

Az hogy mindenhol más jelszót használunk, logikai banalitas, elég ha az email és a banki jellegű kap különbözőt az összes többitől, meg egymástól, aztán pont senkit nem érdekel, hogy a fogorvoshoz bejutnak, akkor viszik a fórum regisztrációt is. Kormány hivatal meg ha nem kétlépcsős és korlátozott a próbálkozások száma akkor ott ette meg a fene.
Az a másik, MR. Robot is megmondta, profilozas alapján nagyon gyorsan ki lehet találni a jelszavát az embernek.
Vagyis akinek nincs Facebook és társai, azok kb láthatatlanok.
Ez a személyes védelem, ha a munkahely is ide keveredik, akkor lehet okoskodni még az ügyön. :R

Tudom, mi mindannyian $100 milliós bankszámlán ülünk amit érdemes szemmel tartani, és Mindenkit a szomszéd MILF el forgatott pornoval zsarolnak, hogy a Nukleáris intézménybe be tudjanak jutni az ádáz terroristák.

Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént. :R

(#50) sh4d0w válasza #90088192 (#48) üzenetére


sh4d0w
nagyúr

Szerintem teljesen felesleges belekeverni a magyar nyelvet, a világ túlnyomó többsége az angol abc betűit használja a jelszavakban (egyébként mi van akkor, ha 10 GB a szótár? Hint: semmi.). Úgy érzem, azt gondolod, hogy vmi mást állítasz, amikor a jelmondatokra hivatkozol, mint én, holott én a bejegyzésben is azt szorgalmaztam, hogy legalább 12 karakter legyen a jelszó az eddigi 8 helyett.

Szakmai kérdésekben ne hozzunk ide mindenféle Hollywoodi sorozatokat, próbáljuk meg megőrizni a diskurzus színvonalát valamilyen magasabb szinten. (Fent vagyok Facebookon, sok sikert a profil által kitalálni a jelszavaimat.)

"...Azt már régen elfelejtett az IT ipar, hogy értékében/jelentőségének megfelelően kell védeni az adott rendszert/egyént. ..."

Ez konkrétan azt mutatja, hogy nem vehető teljesen komolyan, amit írsz. Van egy metrika, amit ROI-nak hívnak - nem írom ide mit jelent, nézz utána, légyszíves.

"...Az hogy mindenhol más jelszót használunk, logikai banalitas..."

Semmiféle banalitás nincs benne, leszoktat arról, hogy újra felhasználd a jelszavaidat.

https://www.coreinfinity.tech

Copyright © 2000-2022 PROHARDVER Informatikai Kft.