Új hozzászólás Aktív témák
-
#14595328
törölt tag
-
#59
aAron_
őstag
idegen lény
#12
aAron_
őstag
válasz
idegen lény
#12
üzenetére
"Additionally, the accounts with password "homelesspa" seem to be automatically generated as all the emails that use this password follow the same format."
-
haxiboy
veterán
válasz
#14595328
#56
üzenetére
Igazából úgy vagyok vele, ahol van ott két faktoros authot használok, ez nagyot dob a biztonságon.
A telefonomon olyan hosszú jelszót használok hogy nem törik meg, illetve maga az eszköz is titkosítva van.
Ha a telefont el is lopják, az ujjlenyomatomat már nem fogják. Igazából már csak annyi kéne hogy a recovery/download mode-t jelszóvédetté tenni
Bár nem lenne rossz ha mindenhol elérhető lenne a google féle két faktoros auth egy dedikált hardverrel mint mondjuk a Blizzard féle Authenticator
De aztán lehet adok majd egy esélyt a SafeInCloudnak mert egész jónak tűnik.
-
#14595328
törölt tag
Nézzed meg a SafeInCloud (vagy akár Enpass, de azt nem próbáltam) jelszókezelőt, tudod tárolni az adatbázist GDrive, OneDrive, Dropbox, OwnCloud tárhelyen, NAS-on vagy akár lokálisan. Itt max a saját tárhelyed ellen irányuló támadásnál van para, de nincs egy adatbázisban x1000 felhasználó, ami jó célpont lehet.
A titkosítás természetesen szimmetrikus, általában egy AES256 szokott lenni.
-
Marmint te most arra gondoltal, hogy egy user ugyanazzal a jelszoval regel tobb helyre? Ja, az oke -- azt hittem, arrol beszelsz, hogy egy oldalon tobb user ugyanazzal a jelszoval regel.
> Ha a PW manager meg képes tárolni mondjuk felhőben hogy máshonnan is könnyen elérhessem, akkor elég ha az ő adatbázisukat nyúlják le és mindenemhez hozzáférnek.
Viszont a PW managerek konkretan abbol elnek, hogy nem cseszik el a sozast, meg ilyesmi. Tehat pl. en Lastpass-t hasznalok, eleg fajdalmas neha, viszont tud 2FA-t, stb. Minden oldalhoz uj, hosszu, veletlen karaktersorozatot generalok.
> Plusz ott hogyan titkosítod a jelszót? Ha titkosítva is tárolod tudnod kell visszafejteni, tehát valamilyen szimmetrikus kulcs lesz.
Szimmetrikus kulcs, ami pedig a jelszavaddal van titkositva (ill. nem kozvetlenul a jelszavaddal, de ez reszletkerdes).
-
haxiboy
veterán
De ha ugyanazt a jelszót használod, az e-mail címet meg általában nem tárolják titkosítva. Akkor tök mind1, kapásból bepróbálkoznak az e-mailcímen bejelentkezni a megszerzett jelszóval, nagy eséllyel sikerül is. Onnan már bármi lehetséges.
PW managerekkel az a gond, hogy valahol tárolni kell a jelszavakat, a biztonságos jelszó hosszú, és mindenhol más, megjegyezni annyit nem lehet. Ha mondjuk gyorsan be kéne jelentkeznem máshol, és nem tudom a jelszót akkor meg ott vagyok ahol a part szakad. Ha a PW manager meg képes tárolni mondjuk felhőben hogy máshonnan is könnyen elérhessem, akkor elég ha az ő adatbázisukat nyúlják le és mindenemhez hozzáférnek.
Plusz ott hogyan titkosítod a jelszót? Ha titkosítva is tárolod tudnod kell visszafejteni, tehát valamilyen szimmetrikus kulcs lesz.Persze most csak egy példát mondtam a jelszó biztonságosabbá tételére, de még ez is működhet
-
Ha lenyúlják a teljes adatbázist, egy saltolt sha-512 jelszót azért nem könnyű megtörni, de ha 30 millióan használják ugyanazt a jelszót akkor tök mind1 mert csak 1x kell megtörni azt a hasht.
Pont az a lenyege a saltnak, hogy ha ket ember ugyanazt a jelszot hasznalja, az meg nem latszik a hash-bol.
> pl. Valami123!itcafeponthu kapásból minden oldalon más jelszót használunk
Ja, kiveve hogy ranezesre latszik, hogy mi a mintazat. Egyebkent vannak password managerek, amivel minden oldalon mast hasznalhatsz.
-
haxiboy
veterán
Ahol plain textben tárolnak jelszót...ott a programozókat kell jól tarkón b@szni.
Ha lenyúlják a teljes adatbázist, egy saltolt sha-512 jelszót azért nem könnyű megtörni, de ha 30 millióan használják ugyanazt a jelszót akkor tök mind1 mert csak 1x kell megtörni azt a hasht.
Na meg a rosszfiúk helyében folyamatosan generálnám egy adatbázisba a hash-plain text párost hogy még egyszerűbb legyen a keresés.A legjobb szerintem ha választunk egy jelszót, mondjuk Valami123! és kombináljuk a szolgáltatás nevével.
-> pl. Valami123!itcafeponthu kapásból minden oldalon más jelszót használunk, de mégsem. viszont ha valamelyik adatbázishoz valaki hozzáfér, és rosszalkodik, akkor még nem lopja el az életünket. -
#48
gabor7th
addikt
jtrencsenyi
#3
gabor7th
addikt
válasz
jtrencsenyi
#3
üzenetére
Az a helyzet, hogy inkább az derül ki az ilyen incidensekből, hogy az adatbázisok nem titkosítottak.
-
gabor7th
addikt
Vannak olyan tények és igazságok, amikről nem beszélünk, vagy egyszerűen nem vonjuk le a megfelelő következtetést. A legtöbben azért, mert ezek a témák kívül esnek a szellemi horizontjukon; mások azért, mert érdekük fűződik az eltagadásukhoz; egy kevesen pedig azért, mert ezekről beszélni veszélyes. Olyan dolgok ezek, amik mindannyiunk életére hatással vannak, mégsem forognak közszájon. Bármelyiket elővezethetné bármilyen közéleti személyiség akár holnap, de úgy sejtem akár még évekig a szőnyeg alatt fognak pihenni.
Ilyen pl. az hogy a digitális államot, digitális gazdaságot nem fogjuk tudni megvédeni. Hogy a technikára nem lehet bizni mindent, mert sérülékeny és ezen nem fognak tudni változtatni. Hogy felhőkbe feltölteni egész országok adatait azzal jár, hogy egy húzásra ellopják az egészet... üzleti és magátitkokat.
A politikusokat a régi igazságok és vélt népszerűség hajtja. Egy új generáció kell ezekhez a témákhoz. Merthogy egyre többen vannak akik ezekért az ötletekért pl. cloud egyáltalán nem rajonganak, de a mai politikusok azt hiszik, hogy igen, illetve ők még abban élnek, hogy minden technikai változás automatice jó és aki nem követi az maradi.
-
#14595328
törölt tag
Ez mind igaz, de jó eséllyel (szinte biztos) nem lesz két egyforma hash az adatbázisodban (mint egy md5 vagy sha1 hashelés esetén), így azt "visszafejteni" is nehezebb lesz.
"elég csak az md5 összes értékét megnéznie": Nem lehetetlen, de azért a 2^128 lehetőség nem kevés
Ezt brute-force-olni azért komoly teljesítmény lenne, amit a work factor még tovább is lassít.Az felhasználók jelszóhasználati szokásaiból kiindulva nem hinném, hogy jelentősen csökkenne a biztonság egy ilyen átalakítás során.
-
#42
#79335424
törölt tag
idegen lény
#33
#79335424
törölt tag
válasz
idegen lény
#33
üzenetére
Minden betűt nem lehet átfordítani, ez tény. Az orosz m, az tulképp egy W fejjel lefelé, de ugyebár ilyet nem nagyon lehet produkálni. A "t" -betűnk orosz megfelelője csak a kézírásos formátumú kisbetű esetén a mi "m" betűnk.De, itt nem a pontos fordítás a lényeg, hanem inkább a pontos "ferdítés".
Nem az számít, hogy minden karakter passzoljon, csak az, hogy egy karakter "fordítása" mindíg ugyanaz legyen. Kis gyakorlással símán bele lehet jönni. Kölyök korunkban ez volt a "titkos nyelvünk". Símán tudtunk így beszélni is egymással. A többiek meg csak lestek, nem hitték el, hogy értjük egymást. De, ennek már több, mint 30 éve. -
Doink
aktív tag
válasz
#14595328
#40
üzenetére
Ha PHP-ról van szó, akkor végülis ezzel azt csinálod hogy az md5(jelszó) mindig 32 speciális karakter(0-F) és azt bcrypt-eled, vagyis limitálod a bcrypt bemenetét az md5 lehetséges értékeire, ez már úgy hallásra is gyanús hogy a támadónak elég csak az md5 összes értékét megnéznie az amúgy max 72 karakter hosszú szöveg helyett. Az én tippem a problémádra: bcrypt(md5(pass)+pass) csak a pass ne lehessen 72-32=40-nél hosszabb. Így látszik hogy azért felkavartuk a vizet a lehetőségek között de ajánlani nem tudom mert nem vagyok kriptográfus.
-
#14595328
törölt tag
Ez igaz, de mi van azokkal a felhasználókkal, akik ritkán jelentkeznek be? Főleg, ha van egy e-mail - jelszó páros, amit több helyen használ. Amíg nem jelentkezik be, addig a gyengébb hash megmarad az adatbázisban, ami ugyanúgy kikerülhet.
Tökéletes megoldás nincs erre, amit írsz az egy járható út.
-
#14595328
törölt tag
-
#31
Doink
aktív tag
Blindmouse
#9
Doink
aktív tag
válasz
Blindmouse
#9
üzenetére
MD5, SHA-1,SHA-2,SHA-3 egyik sem jelszavak hashelésére lett kitalálva, arra ott a bcrypt, scrypt, argon2 stb.
-
mbazsi
tag
válasz
#79335424
#29
üzenetére
Úgy tudom, hogy a leggyakoribb átírásokat, mint pl a manapság divatos leet nyelvet a legtöbb szivárvány tábla már ismeri, tehát nem lesz biztonságosabb ha password helyett p4ssw0rd szót használjuk.
Viszont a te átírásod ötletes, tetszik. Az én módszerem, hogy egy hasonló hosszú mondókának csak a mássalhangzóit írom le. Így magamba tudom mantrázni miközben begépelem. Arra, hogy megakadályozzam a különböző szolgáltatásoknál az azonos jelszót, még nem dolgoztam ki tökéletes módszert. A legjobb eddig, hogy a végére írom az adott szolgáltatás/weboldal első és utolsó betűjét. Így ha olyan helyre kell belépnem, ahova régebben regisztráltam is eszembe fog jutni, mégis egyedi.
-
#79335424
törölt tag
Akkor az én módszerem elég biztonságos. Van egy bármilyen hosszúságú szó. Ezt leírom cirill betűkkel, majd visszaolvasom úgy, mintha a cirill betűk latin betűk lennének. Pl. a "három", az kb. xapom. Én sosem felejtem el, viszont a xapom, mint szó, semmilyen nyelven sem létezik, így semmilyen szótáblában sem szerepel. Ha ilyen módon átkonvertálom pl. azt, hogy
"Aki másnak körbekenész, az maga kence páka, mert néma verőcének nem zömbékel a köpcéje!"
akkor sztem kellően biztonságos jelszót alkotok. -
#26
#25237004
törölt tag
idegen lény
#12
#25237004
törölt tag
válasz
idegen lény
#12
üzenetére
Ezt én is néztem. Neten azt találtam magyarázatnak, ami egyébként logikus is, hogy fake/bot accountok, amik ugyanazt a jelszót használták az egyszerűség kedvéért.
(közben látom, hogy már más is válaszolt
) -
#25
emvy
félisten
Blindmouse
#18
válasz
Blindmouse
#18
üzenetére
Nem kotozkodok, csak kiegeszitem.
-
#24
L3zl13
nagyúr
fordfairlane
#15
L3zl13
nagyúr
válasz
fordfairlane
#15
üzenetére
Más cikkben írták, hogy valószínűleg valami bot által generált accountok lehetnek.
-
#17
emvy
félisten
Blindmouse
#14
válasz
Blindmouse
#14
üzenetére
> a randomra lefuttatnak egy csomó szavon SHA-t, és eltárolják, akkor tudják majd hogy
ha nincs sozva
-
#16
emvy
félisten
Blindmouse
#9
válasz
Blindmouse
#9
üzenetére
> SHA1
remeljuk nem
-
#15
fordfairlane
veterán
idegen lény
#12
fordfairlane
veterán
válasz
idegen lény
#12
üzenetére
Erre én is kíváncsi vagyok. Pláne, hogy az első azon a listán.
-
#14
Blindmouse
senior tag
Zedz
#11
Blindmouse
senior tag
Mindig amikor beírod a jelszót, akkor csinál egy olyat, hogy lefuttat egy algoritmust, ami a "jelszo"-bol mindig "2f712f2b4c17b108f5961465d36a19c98301c173"-t csinál. Azt tárolják le. Még ha megvan a "2f712f2b4c17b108f5961465d36a19c98301c173" akkor is nagyon nehéz kitalálni hogy amit beírtál az "jelszo" volt. De ha randomra lefuttatnak egy csomó szavon SHA-t, és eltárolják, akkor tudják majd hogy a "2f712f2b4c17b108f5961465d36a19c98301c173"-hez az a jelszó hogy "jelszo".
-
#12
idegen lény
addikt
idegen lény
addikt
Mit jelent az, hogy "homelesspa"?
[link] -
#11
Zedz
addikt
Blindmouse
#9
Zedz
addikt
válasz
Blindmouse
#9
üzenetére
> A jelszót nem tárolják a szerveren, hanem SHA1-el lekódolják.
Ennek így konkrétan nincs értelme. Maximum annyi, hogy az adatbázis és esetünkben a webszerver két külön gépen foglal helyet. Ha nem tárolják a szerveren, akkor hol tárolnák?
-
#9
Blindmouse
senior tag
Blindmouse
senior tag
OK, csak hogy értsétek:
A jelszót nem tárolják a szerveren, hanem SHA1-el lekódolják.
Ellopják az SHA1 adatbázist. Meg a kulcsot is.
Végigfuttatják a szokásos "szótár" szavakon az SHA1-et és összehasonlítják az adatbázissal.A szótár szavakat könnyű visszafejteni mert szótár szavak. Ha összehaselik, akkor mindig ugyanazt fogja adni, hiába SHA2, vagy bármilyen másik hash. Inkább legyen az a jeszavad, hogy "iamstupidtocreateapasswordformyself" mint hogy "dada".
-
#5
#82729984
törölt tag
jtrencsenyi
#3
#82729984
törölt tag
válasz
jtrencsenyi
#3
üzenetére
A "D@&12frkstaj]e93671erzjdsfb" jelszó már csak azért is biztonságosabb, mert minden egyes bejelentkezésnél újat fogsz kérni
-
#3
jtrencsenyi
csendes tag
JoeYi
#1
-
> nem tök mindegy, milyen bonyolult jelszót használ ha lopják az egész adatbázist
Az adatbazisban jo esellyel nincs eltarolva a jelszo, tehat nem mindegy. Normalis esetben a teljes adatbazis birtokaban sem tudod megmondani, hogy melyik usernek mi volt a jelszava. Itt ezek szerint szarul oldottak meg a dolgot.
> Mellesleg egy !12Akármicsoda# jelszó csak akkor biztonságosabb a dadada-nál, ha a támadó tudja a jelszó hosszát és a lehetséges karakterkészletet.
Nem egeszen, mert a tamado tudhatja, hogy az emberek nagyobb esellyel valasztanak bizonyos jelszavakat, mint masokat (magyarul van a priori informacioja a jelszavak valoszinusegerol).
Egyebkent nagyon ugy tunik, hogy a hir nem stimmel..
Ezt brute-force-olni azért komoly teljesítmény lenne, amit a work factor még tovább is lassít.
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Corsair RM650X / Moduláris Gold Táp / Félpasszív Ventilátor! / Cavarmatricás / Beszámítás OK!
- Nitro ANV15-41 15.6" FHD IPS Ryzen 7 7735HS RTX 4060 16GB 512GB NVMe gar
- EVGA GTX 980 4GB Founders Edition / Beszámítás OK!
- Ubiquiti Switch Pro 48 (USW-Pro-48)
- 500GB Sata SSD-k / Western Digital / Samsung / Crucial / Beszámítás OK!
- magyar billentyűzet - 151 - Lenovo LOQ (15IAX9) - Intel Core i5-12450HX, RTX 4060 (ELKELT)
- Honor 200 Lite / 8/256GB / Kártyafüggetlen / 12Hó Garancia
- Lenovo ThinkStation P330 Gen 2 Tower workstation /számla- garancia
- Apple iPhone 15 Plus 128GB, Kártyafüggetlen, 1 Év Garanciával
- Azonnali készpénzes Apple Macbook Air felvásárlás személyesen / csomagküldéssel korrekt áron
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest