Új hozzászólás Aktív témák
-
addikt
Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?
A LastPass eseten pl. jelenleg 100100 iteracio a default a PBKDF2 algoritmushoz es ezen meg kezzel novelhetsz, ha szeretned. Ennyi hash-t kell kiszamolnod egyetlen probalkozashoz. Sok sikert a brute force jelszotoreshez.
A biztonsag egy jelentos resze tehat nem abbol ered, hogy rajtad kivul senki nem fer hozza az encrypted vaulthoz (ez is adott persze), hanem abbol, hogy ha hozza is fer, nem tud vele mit kezdeni a kulcs nelkul. A kulcsot meg ugye az emlitett 100100 iteracios PBKDF2 generalja a jelszobol."régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk"
Ez rosszul lett anno kommunikalva es nem teljesen ugy tortent, ahogy megirtak a mediaban, de ennel tobbet szerintem nem mondhatok.Tavis Ormandy amugy nemreg megdicserte a security csapatot. "If you really must use an online one, at least LastPass are responsive to researchers and have a competent security team, I would use them."
[ Szerkesztve ]
-
borg25
senior tag
Hát azért vannak ennél fontosabb kritériumok is. De igazad van, utoljára jó 10 éve láttam egy elemzést ami ezt részletesen vizsgálta.
Ott olyanokat nézték, hogy ok, hogy AES titkosítással vannak védve a jelszók, de az AES-hez használt kulcs mennyire van védve? Egyszer vagy több százezerszer van a jelszó hashelve, lehetőleg, egy bonyolult matematikai algoritmussal, hogy egy mai gépen is ms-ban kifejezhető idő legyen egyetlen jelszópróbálás ideje is. A 11-12 karakteres jelszavakat (azt hiszem 96 írásjellel számolva) nap alatt törték AKKOR! Ok GPU-t is használtak.
Sok elvérzett, próbáltam rákeresni az elemzésre, mert érdekes volt, talán otthon meglesz. :SAz önmagában kevés, hogy látod a szabadon elérhető kódból, hogy XOR-t használ.
Keepass mellett szól, hogy akkor dicsérték, most is meg tudod adni a master kulcs hashelését és a ciklusok számát. Több faktoros azonosítást ismer. Én a kulcsfájl + jelszót használom. Így a jelszófájl hiába van fent a Google Driveon, az önmagában még kevés, mert egyrészt sok sikert a 15+ karakteres jelszóhoz de a kulcsfájl nélkül semmit se ér, s az ugye nem megy a felhőbe....
Egyébként időközben a Keepassból is lehetett jelszót lopni: Ha működött és a régi típusú jelszó export plugin telepítve volt, akkor ki lehetett belőle szedni az adatokat. Megoldás: Ne telepítsd a jelszó exportot
Új hozzászólás Aktív témák
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Az Apple megszerezné a klubvilágbajnokság közvetítési jogait
- Honda topik
- Autós topik
- Opel topik
- Hogy is néznek ki a gépeink?
- Kerékpárosok, bringások ide!
- Amlogic S905, S912 processzoros készülékek
- További aktív témák...
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen