Új hozzászólás Aktív témák
-
<Adamsky>
nagyúr
Na, megnyugodtam. A nálunk szinte céges szinten használt Pass1word nincs a listán. Biztonságban vagyunk
-
Televan74
nagyúr
Akkor én jobban védve vagyok, Nagybetűs szó aztán még egy,számsor és a végére egy különleges karakter is néha befigyel.
Példa: SzormePapucs5623+ valami ilyesmi általában az enyém.
[ Szerkesztve ]
Amikor nincs remény! Jusson eszedbe nincs isten, csak én!
-
samujózsi
tag
Én gyorsabb voltam
(Lásd blogom )Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
arnyekxxx
veterán
Én legtöbbször azt használom, hogy sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 és a végén cserélgetem a számot
-
Padree
senior tag
+1
Már csak az van biztonságban ami analóg. "Kockás" notesz, el se kell dugni, legfeljebb a webkamerák elől...Témához:
Meglepett, hogy a "trustno1" lecsúszott a listáról - hiába, felnőtt egy generáció akik már nem tudják mi is az X-akták..."I don't give a penny - FCK twenty twenty..."
-
BonFire
veterán
Nekem meg teljesen tele van a bakancsom a jelszavazással. 108 mentett jelszót tárol a böngésző. Sokkal egyszerűbb a böngésző mesterjelszavát feltörni (amivel hozzáfér az összes userpasshoz), mint egyesével szüttyögni.
Igen ám, de vannak oldalak, amelyekre Facebook, vagy Google fiók összeköttetéssel léptem be. És néha gőzöm sincs, melyik Facebook vagy Google profillal. Ezért egyszerűbbnek tűnik azt a kellően bonyolult mesterjelszót használni, amit a böngészőben is használok.
Van belőle kettő, mindkettő inkább jelmondat. Általában ezeket nem nehéz felidézni, de nem tudom fejben tartani, hogy a 100+ oldalon a kettő közül melyiket használom. Továbbá bonyolítja a helyzetet az, hogy vannak oldalak, amelyek minimum 1 számot is kérnek. Ott is van két variáció. Vagy a születési évem utolsó két számjegye, vagy a személyi számom utolsó négy számjegye, amit anyámon és rajtam kívül senki nem tud. No, ez máris hat variáció, illetve ha beleszámoljuk a számjegy nélkülieket, akkor már nyolc.
Mást se csinálok, főleg mobilon, ahol amúgy is macerás a pötyögés, hogy jelszót reszetelek, frissítek. Mindjárt itt van 2020. Űrtechnika, lassan meghódítjuk a Marsot. Nem hiszem el, hogy nincs értelmesebb módszer a felhasználó azonosítására, mint a jelszó.A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
-
nagyúr
Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste. Én a Roboform-ot használom de van más is csak azoknál mondjuk kicsit több beállítás kell mert nem saját szerveren keresztül szinkronizálnak vagy nincs is bennük online szinkronizálás hanem kézzel kell másolgatnod a titkosított jelszó adatbázisod. Ja ott van még a LastPass de asszem az is fizetős.
Thanos was right.
-
BonFire
veterán
"Van, úgy hívják jelszókezelő ami tud mondjuk szinkronizálni több eszköz között és akkor telefonon is csak megnyitod és copy-paste."
Szóval akkor a böngésző beépített jelszókezelőjént, amely hol frissíti a jelszót, hol nem, legyen egy külön applikáció, hogy keresgéljek a döglött jelszavak között? Eleve már az macerás, ha el kell kezdeni turkálni a jelszókezelőben, mert lehet, hogy a jelszavam azóta már megváltoztattam, az újat nem frissítette, és végül mindenképpen resetelnem kell. Kétlépcsős autentikáció megvan, mondjuk telefonra küldött kód SMS-ben, ami olyakor egy óra múva érkezik meg, addigra lejárt az időkorlát, újra kell kezdeni az egészet, és reménykedni, hogy a következő SMS gyorsabb lesz. Aztán jön a captcha, amit nem jól fejtek meg, ezért lehet kezdeni elölről.
Nem egyszer történt meg már velem, hogy fokozott biztonságú fiókba, mint az ügyfélkapu vagy a netbank, 2 óra hosszán át kínlódtam, hogy mi a teendő, végül telefonálni kellett, ott persze nem segít a support, csak széttárják a karjukat, mert nem tudom igazolni, hogy enyém a fiók.
Ez a helyzet tarthatatlan. Ezért használ mindenki MÉG MINDIG ilyen egyszerű és hülye jelszavakat, mert ezekkel sosincs gond.
Kivéve, mikor feltörik a fiókot.A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
-
-
arnyekxxx
veterán
válasz Hieronymus #15 üzenetére
ráadásul véletlenül el is írtam, nem sdjhpowdf@sdfdlj&édkljfsjdf3453djfhssdfjwsdkj1 hanem sdjhpowdf@sdfdlj&édkljfsjbf3453djfhssdfjwsdkj1
-
Lenry
félisten
mér pont princess és dragon?
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
nagyúr
-
somogyib
őstag
válasz aprokaroka87 #20 üzenetére
Engem pl. bármelyik bank hív mindig így azonosít be, és elég bizalmas számlaadatokról is szoktam diskurálni. Nem hiszem, hogy ne lennének biztosak abban, hogy velem beszélnek.
És ha ilyen jelszó gondok vannak, akkor beazonosítás után a telefonomra küldhetnének sms-ben egy ideiglenes jelszót, amit mondjuk csak 5 percig lehetne felhasználni belépéshez.
Szerintem ez így működhetne.
[ Szerkesztve ]
-
BonFire
veterán
"Azért ügyfélkapu vagy netbank szintű dolgoknál a helpdesknek be kellene tudni azonosítani telefonon is, hogy ki vagy. Szemig szám, számlaszám, anyja neve, meg ilyenek..."
A helpdesk csak akkor azonosít be, amikor ők hívnak engem, és valami ajánlatot akarnak tenni. Ilyenkor megcsörget, felveszem, bemutatkozom, aztán megkérdi az összes adatomat, megmondom, és kész.
Viszont akárki nem hívhatja fel őket, hogy állítsák helyre a jelszavát, mert – nagyon helyesen! – nem lehet benne biztos, hogy a telefon tulajdonosa telefonál. Lehet, hogy leütöttem valakit, elvettem a telefonját és a tárcáját, amiben ott a személyi, meg a lakcímkártya. Ennél több nem is kell.
A beazonosításnak az egyetlen hivatalos módja a tértívevényes levél, mert csak az aláírásommal hitelesített visszaérkezett tértívevény birtokában jelentheti azt, hogy az kapta, akinek küldte.
Amikor a bank telefonos ügyfélszolgálatán érdeklődtem, lehetne-e lakcímváltozást bejelenteni, azt mondták, csak személyesen befáradva a bankfiókba.A Prohardveren nem olvasok privátot! Csak topikban vagy a publikus e-mailemen adok tanácsot.
-
junior11
veterán
Nem tudom milyen telefont használsz, de pl. egy LastPass vagy Bitwarden jelszókezelő az esetek nagy részében gond nélkül kitölti a bejelentkezést nemcsak a webhelyeken a böngészőben, hanem az alkalmazásokban is (bár az automatikus kitöltést biztonsági okokból nem szokták javasolni). A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni.
Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, a LastPass-t régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk, a Bitwarden nyílt forráskódú, 2018 novemberében ellenőrizték, és még csak pár éve van a piacon, kb egy személy fejleszti, offline jelszókezelőnek pedig ott van a sokak által használt KeePass vagy KeePassXC, igaz, körülményesebb és kevésbé kényelmes a használatuk, mint a felhőt használó jelszókezelőknek).[ Szerkesztve ]
The Truth Is Out There - Az igazság odaát van
-
samujózsi
tag
Nem tudom, ez milyen bank, de ha igaz amit írsz, én villámgyorsan menekülnék tőlük. És a bankfelügyeletet(MNB?) is rájuk küldeném.
Én hívom a bankot, az IVR az ügyfélszámom + ügyfélszolgálati PIN kódom alapján azonosít és így lehet bármit intézni. Új jelszót meg kizárólag az azonosítást követően, a náluk regisztrált mobil számra küldenek.
És valójában ezt sem érzem biztonságosnak.[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
Azért a hívószám azonosítás sokat lendít a biztonságon.
Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az. Azonosításkor lehet valamit téveszteni, ha nem tűnik fel a beszélgető partnernek, akkor a takarítónő ül a telefon másik végén,
Legyen béke! Menjenek az orosz katonák haza, azonnal!
-
samujózsi
tag
válasz Hieronymus #27 üzenetére
Az nem olyasmi, mint a MAC addressre alapuló védelem? Biztos, hogy arról a számról hívnak, amit látsz?
Nulla ismerettel rendelkezem e téren, de pár éve olvastam olyat, hogy valahogyan ez is hamisítható, persze nem a szomszéd pistike àltal. Nem tudom, mennyi valóságalapja volt.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
dabadab
titán
"Engem pl. bármelyik bank hív mindig így azonosít be"
Az egyébként rettenetes nagy hülyeség. Tényleg arra kell idomítani az embereket, hogy ha valami random ismeretlen felhívja őket, akkor elmondják neki a mindenféle személyes adataikat?
Mert nálam is szoktak próbálkozni, de amikor visszakérdezek, hogy ők mivel tudják azonosítani magukat, akkor arra soha nincs működő válaszuk, láthatóan a banki biztonságnál erre valahogy nem gondoltak.
DRM is theft
-
dabadab
titán
"A neten lévő cikkek szerint egy megbízható jelszókezelő használata biztonságosabb, mint a böngészőbe menteni."
Akkor már csak azt kellene tudni, hogy melyik a "megbízható" jelszókezelő.
Az itt emlegetettek közül mondjuk mennyi teljesíti azokat a minimumkövetelményeket, hogy:
1. nyílt forrású
2. a user által kontrollált szervert használDRM is theft
-
dabadab
titán
válasz Hieronymus #27 üzenetére
"Ha a bankhoz tartozó telefonszámról hívnak, akkor valószínűleg a bank az."
A hívószámazonosítás nem ér sokat, simán lehet hamisítani mondjuk egy VOIP gatewayjel.
[ Szerkesztve ]
DRM is theft
-
nagyúr
Nem ismerem a böngészők beépített jelszókezelőit de ha mobilon ugyanazt a böngészőt használod és szinkronizálja a jelszavaid akkor az is megoldás, ha pedig belefutsz olyanba, hogy megváltoztattad de nem mentetted az új jelszót akkor szívás, akkor újra megváltoztatod és mented bár engem ilyenekre mindig figyelmezetet a Roboform mert érzékeli a bejelentkezős, jelszó változtatós oldalakat és ha nem egyezik akkor felkínálja az adott oldalhoz tartozó jelszó cseréjét az adatbázisban.
Ez már nem neked szól: nyilván a végtelenségig lehetne fokozni a paranoiát, hogy melyik jelszókezelő megbízható, a választás magánügy, megoldás mindenre van. Pl. Keepass nyílt forráskodú, tud online google drive-ra, dropbox-ra meg ezer más helyre menteni vagy offline exportálni adatbázist, ki mit szeret. Az agyadnál megbízhatóbb megoldás úgy sincs de a legtöbb ember nem fog jelszavak megjegyzésével vesződni.
[ Szerkesztve ]
Thanos was right.
-
-
btprg
senior tag
"Itt már csak az a kérdés, kiben bízzunk (pl. egy Google és Mozilla azért adnak a biztonságra szerintem eléggé, ..."
Google? Valaki önszántából a legnagyobb adathalászra bízná a jelszavait is?
"Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)
-
addikt
Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?
A LastPass eseten pl. jelenleg 100100 iteracio a default a PBKDF2 algoritmushoz es ezen meg kezzel novelhetsz, ha szeretned. Ennyi hash-t kell kiszamolnod egyetlen probalkozashoz. Sok sikert a brute force jelszotoreshez.
A biztonsag egy jelentos resze tehat nem abbol ered, hogy rajtad kivul senki nem fer hozza az encrypted vaulthoz (ez is adott persze), hanem abbol, hogy ha hozza is fer, nem tud vele mit kezdeni a kulcs nelkul. A kulcsot meg ugye az emlitett 100100 iteracios PBKDF2 generalja a jelszobol."régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk"
Ez rosszul lett anno kommunikalva es nem teljesen ugy tortent, ahogy megirtak a mediaban, de ennel tobbet szerintem nem mondhatok.Tavis Ormandy amugy nemreg megdicserte a security csapatot. "If you really must use an online one, at least LastPass are responsive to researchers and have a competent security team, I would use them."
[ Szerkesztve ]
-
addikt
válasz samujózsi #41 üzenetére
Barki kepes ra, akinek ment az erto olvasas altalanos iskolaban meg mondjuk ossze tud rakni egy ikeas butort. Bar ezzel lehet, hogy kizartam a tarsadalom 90%-at.
A HTTPS-nek meg itt nincs jelentosege; a sajat, trusted root CA-val ahhoz generalsz certet, amihez csak szeretnel. -
samujózsi
tag
Erről beszélek: gyakorlatilag egy MitM támadást kell indítani önmagad ellen. Nulla vagy minimális IT ismerettel ez nehezen megy.
Sőt. Nekem is nehezen megy, bár annak egyéb oka vanTéma iránt érdeklődők alatt a cikket és ezt a topic-ot olvasgatókat értem, nem hobbi hackereket.
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
addikt
-
samujózsi
tag
Basszus... azt hittem, már csak a linux disztribúciók használnak http-t, a repok teerjesztésére, mivel ott úgyis van még egy pgp-s ellenőrzés a letöltés után. Nézem a squid logot, párom vadonatúj mobiljának utolsó bejegyzésében ez van:
http://1.ssiloc.com/p2/22F3Ez vajon mi? Semmi infó a domainről. Valami bináris szemét, itt-ott kínai vagy koreai karakterekkel, a virustotal szerint tiszta...
Na mindegy, a kérdés költői, csak a http használatán lepődtem meg.Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
GSP
aktív tag
Sok tökfej meg is érdemli, hogy 'benézzenek' hozzá, ki gondolná hogy valaki még ilyet használ, mint az 123456...
~~~ Ha szereted az életet, ne vesztegesd az időt, mert az idő maga az élet. ~~~
Új hozzászólás Aktív témák
- Honor Magic5 Pro - kamerák bűvöletében
- Luck Dragon: Asszociációs játék. :)
- Google Drive
- DIGI kábel TV
- A Microsoft feltalálta az olcsó AI-t
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- A fociról könnyedén, egy baráti társaságban
- Autós topik
- Politika
- Mit tehetsz jogilag, ha átvertek, megkárosítottak a Hardveraprón?
- További aktív témák...
- ZOTAC GeForce GTX 1080 AMP Edition 8GB GDDR5X 256bit
- Filmes gép gyűjtemény
- Nikon D5000 + AF-S DX NIKKOR 18-105 mm
- Bontatlan Seagate & Western Digital HDD-k 3TB - 12TB -ig - Számla + Garancia, Ár alatt! BeszámítOK!
- DJI Mini 4 pro FMC drón - 3 akku, RC2 táv, 2 táska, Filterek, 2025. decemberig garancia, DJI Care