Új hozzászólás Aktív témák
-
#57
orbano
félisten
auth.gabor
#56
orbano
félisten
válasz
auth.gabor
#56
üzenetére
értelmes 6 betűs angol szóból aligha van 2 milliárd. az egész dolog pedig erről, a szótár-alapú törésről szól. azzal meg senki sem megy semmire, hogy a rendszer megmondja: igen, a "jesus" jelszót használják. eddig is tudta statisztikai alapon a támadó, hogy jó eséllyel talál bele, így ezzel a lekérdezési lehetőséggel nem sokra megy. viszont a statisztikája romlani fog, mert sokkal homogénebb lesz a jelszavak eloszlása, az 500-as limit igen hatékonyan fogja egy többtíz/százmilliós felhasználói adatbázisban az előfordulási valószínűséget rontani és ennek okaként az összesen használt jelszavak számát növelni.
-
#56
auth.gabor
tag
orbano
#55
auth.gabor
tag
Ezt értem, de ha megnézel egy angol kisbetűkből és számokból álló jelszókombinációt, az 6 karakteres kombinációknál már eléri a 2 milliárd jelszót. Továbbá a jelszavak eddig is -- legalábbis minden rendes helyen -- hash formában voltak jelen, amely nem jelentette a jelszó ismeretét, de a felhasználónevek nem voltak kódolva. Most kódolni kell a felhasználó neveket is... különben egy adatszivárgás csúnya következményekkel tud járni...
Én sokkal jobbnak tartanám, ha a mobil eszközökbe kerülne OTP generátor, és azzal a jelszóval tudsz belépni. Legtöbb esetben a mobil már kéznél van.
-
#55
orbano
félisten
auth.gabor
#54
orbano
félisten
válasz
auth.gabor
#54
üzenetére
a cikkben írva vagyon, hogy a nagy solgáltatókhoz találták ki a rendszert. 1-2 millió usernél picivel több kell ehhez a titulushoz
-
#54
auth.gabor
tag
auth.gabor
tag
Szóval regisztrációkor kipróbálok pár tucatjelszót, amelyre majd azt mondja a szolgáltató, hogy már van legalább egy ilyen, és akkor csak annyi a dolgom, hogy rápróbáljam erre a jelszóra a szolgáltatónál lévő 1-2 millió login nevet (gyakorlatilag email címet)...
Sokkal nagyobb könnyebbség, mint egy login névre rápróbálni félmillió jelszót és akkor még csak a négybetűs kis angol betűk variációt próbáltuk ki...
-
orbano
félisten
a "létezik-e ilyen jelszó a rendszerben" információ kinyerése úgyanúgy egy elég masszív művelet, nem sokkal könnyebb, mint beletrafálni egy ember jelszavába. és ha bele is trafálsz egybe, 500 millió usernél kell bepróbálkoznod. amihez előbb meg kell szerezned a teljes felhasználólistát, és valahogy meg kell oldanod, hogy a szolgáltató ne vegye észre, hogy 500 millió próbálkozásod volt mindig más userre.
kínai munkásokkal meg nem fogsz beletrafálni 10 év múlva sem használható számú jelszóba. -
DJS
tag
Igazából lehet érvelni az MS megoldása mellett és ellen is.
Az, hogy a létező jelszavak effektíve ovlashatók lesznek külső emberek számára is ("kérlek, ne válaszd a dajkopali"-t, mert azt már ötszázan használják), alapvetően új típusú biztonsági kockázatot jelent. Eddig a rossz jelszóról max. anyni visszajelzés volt, hogy rossz, sőt sok oldalon azt írták, hogy "a név/jelszó páros nem megfelelő", találd ki, hogy melyikben volt a hiba. Most már az is kiderül, hogy ez létező jelszó, sőt nem is egy ember használja, hanem 500. Azaz ha mondjuk a Facebooknak van 500 millió a felhasználója, akkor ők eddig 500 millió külön kihívást jelentettek, de a nagy részük elég buta jelszavakat használt. Most, ha az új módszert használják, akkor a jelszófeltörők minden egyes feltört jelszóval hozzájutnak 500 fiók jelszavához, de maximum csak 500-hoz. Ez az egész portálra nézve a biztonság növelését jelenti.
Viszont a captcha-s meg ilyen bot-tiltó rendszerek a regisztrációnál (hogy bottal ne lehessen bruteforceolni) nem lesznek elegendőek. Mert ekkora tét esetén már megéri kínai feketemunkásokat bérelni, akik lelkesen írogatják a capchákat befele, és jegyzik, hogy mire adott a gép "már 500-an használják" jelzést.
Viszont még emberek bevonása esetén is ott a probléma, hogy nem tudod, milyen felhasználónév tartozik hozzá (ezért a lehetséges kombinációk száma az egekbe nő), és hogy a brute-force folyamat lassul. Legalább az emberi munka sebességére.
A kérdés ezután az, hogy így, ilyen lassú és drága módszerrel megéri-e majd megfejteni. Ugye a trend az, hogy egyre több értékes adatot rakunk rá ezekre a hálózatokra.
-
x123456
aktív tag
Lehet, hogy nem egy dologról beszélünk, de tőlem senki sem kért személyes adatokat, amikor generáltam magamnak egy kulcspárt, hogy azzal járjak be a szervereimre...
Egy baj van vele: ha valakinek sikerül lenyúlnia a privát kulcsomat, akkor már gázos lehet a dolog. Vagy ha a privát kulcshoz tartozó jelszót felejtem el.
-
#49
BonFire
veterán
Depression
#28
BonFire
veterán
válasz
Depression
#28
üzenetére
"..pinkód, bankkártya, lépcsőházi ajtó, internet."
Az még semmi, hogy mind édesanyám, mind a nővérem cseréltettek már azért bankkártyát, mert egy szép napon, amikor odaballagtak az ATM-hez készpénzt felvenni, mint derült égből az ólmosbot, egyszer csak kiesett a fejükből a PIN kód. Pedig az csak 4 számjegy. Naná, hogy mindkettejükkel ez vasárnap történt, amikor még be sem tudtak menni a bankfiókba készpénzt felvenni.
De mint mondom, ez semmi ahhoz képest, amikor a bácsikám tökrészegen ment haza, és végül a lépcsőn aludt, mert a lépcsőházuk ajtaja is PIN kódos, ő meg azt felejtette el. Ez még nyáron elmegy egy kalandnak, de télen végzetes lehet. Az ajtóra jelszót meg PIN-kódot rakni öngyilkosság. Kócs köll!
Jó jelszó: vezetékneved+keresztneved visszafelé; a kezdőbetűk lehetnek nagyok, ezt el sem felejti senki; plusz vagy elé, vagy mögé vagy a kettő közé be lehet iktatni egy számot, mondjuk a monitora felbontását, így valahogy: navtsI1280×960etekeF
A barázdabillegető is jó, ha leethül írja valaki, lesz benne szám is, nagybetű is, speciális karakter is: ßara7daßill3g3t0
Lefogadnám, hogy e cikk után lesz egy csomó láma, akinek barázdabillegető lesz a jelszava!
-
nyunyu
félisten
Én pl Tokenen tárolom a jelszavaimat
Aranyos cucc, egyik ugyfelunk VPN-jehez usernev+hozza tartozo fix 8 karakter+RSA token altal generalt 6 szamjegy kell.
Ja, ez meg nem eleg, mert utana ha belepsz barmelyik szerverre, csak a tokenhez tartozo domain juzert engedi be.
Igy hiaba van 2 tokenunk, egyiknek nem tudjuk a domain jelszavat.
Masik ugyfelnel szinten usernev+par fix karakter van, ott a jelszo random resze SMSben jon, ervenyes 5 percig.
Harmadik ugyfelnel van 2 telefonszamunk, kit kell felhivni a jelszo random reszeert
-
GReddy
tag
Ez az egész haccaccáré egyes egyedül a lista alapján való jelszótörés (brute force) ellen védekezni lusta netadminoknak szól. Az, aki normálisan működtet online jelszókezelő cuccot, az tudja, hogy néhány alapvető biztonsági beállítás alkalmazásával védve van. (pl 5x elbax6od a jelszót, ami kibetű-nagybetű-szám-spécikarakter) Utána ban, és kapsz TŐLEM egy újat. Nesze, brute-force-old HÜLYEGYEREK. De már megint az MS az okos... (Hüje májkrémszoftosok) A bankok érdekes módon meg tudják oldani. (Ne, itt egy szám sms-be, írjad be, me' nem gyössz be bazze, hiába jó az azonosító meg a jelszó!) Vihar egy pohár vízben.De, annak azért örülök, hogy ezek szerint a MS ÖSSZES terméke minden hibától mentes, nincs már mit javítani rajtuk, merthogy ennyire ráérnek...
-
Vertic
aktív tag
azt nem értem a jelszavakat miért nem hajítják már a kukába? régesrég létezik pl. client certificate-es autentikáció, amikor nem kell semmit bepötyögni... a certificate-ednek van egy jelszava, és csak azt kellene megjegyezni. Aztán csak átküldi a böngésző a szervernek és már autentikálva is vagy, nem kéne görcsölni...
-
misx
senior tag
Én sem szoktam bonyolultakat megadni. Nálam régóta divat a meglévő cuccaim nevéből és típusszámából (teló, pc alkatrészek, stb.) kreálni jelszavakat. Ezzel már betű-szám kombinációm van, ami min. közepes erősségű. Mondjuk ez akkor érdekes, amikor már rég eladtam a cuccot és a jelszó maradt. Kedves feltörő, találd ki milyen VGA-m meg telefonom volt 3 éve.
-
Incognito
senior tag
Nekem az összes jelszavam a honlapom admin részében van
azt törögethetik, mert egy 8 karakteres jelszóból csak az első betű látszik (a többi pont), de abból én már tudom, hogy melyik is az. A lustasák kényszerített rá, nem akartam/nem szeretem a jelszóemlékeztetőket. Nekem már az is fárasztó, utána még átírni a jelszót is...na hagyjuk. Biztos nem tökéletes módszer, de legalább gyors, és egyszerű, ha kell valami 
-
#37
MittuDomain_
őstag
glutamin
#12
MittuDomain_
őstag
Velünk is így van, és ki van ragasztva postittel a monitorra.
És persze direkt; mert mindenkinek máshoz van hozzáférése, és ha pl vki elmegy szabira, de csak neki van joga a rendszerben aláírni a szerződést, meg lennénk lőve.
Plusz nem csak irodában ülünk, tárgyalás, kooperáció, telephelyek látogatása stb, viszont laposokat nem kaptunk. -
#36
julius666
addikt
WolfheartGR
#32
julius666
addikt
válasz
WolfheartGR
#32
üzenetére
Bazz ez mekkora
-
#35
ntomka
nagyúr
WolfheartGR
#34
ntomka
nagyúr
válasz
WolfheartGR
#34
üzenetére
-
#34
WolfheartGR
őstag
WolfheartGR
őstag
Aki a használt alsóimra utazik az megérdemli, hogy feltörhesse.
De megfelelő idomokkal rendelkező elhivatott kémnők akár lehelettel is megoldhatják a feltörést. És nem mellesleg ezt az opciót kifejezetten élvezném is...![;]](//cdn.rios.hu/dl/s/v1.gif)
:'Đ -
#33
EmberXY
veterán
WolfheartGR
#32
EmberXY
veterán
válasz
WolfheartGR
#32
üzenetére
Akkor a feltöréshez / állandó hozzáféréshez elég mindössze az egyik használt alsógatyádat ellopni, ha nem működne, akkor érlelni kell még egy-két napig... de amúgy nem rossz ötlet..
-
#32
WolfheartGR
őstag
WolfheartGR
őstag
Én usb szaglókulcsot akarok, csak megszagoltatom vele a tökömet és tudja, hogy énvagyok.
Csak arra kell vigyázni, hogy ne 12órás műszak végén csináljak új Phasst mert akkor egy pálpusztaival is fel lehet törni. -
Narxis
nagyúr
De, én. Sticky Password pl. ilyen, azt használom. Van egy master jelszó amit windows indításnál kér, illetve be lehet állítani, hogy hány perc inaktivitás után kérje újra a fő jelszót, addig zárol mindent. A jelszavak megadásánál pedig mutatja, hogy a beírt jelszó milyen erős(gyenge, normál, jó, nagyon jó).
-
e=mc²
őstag
Ezert is mondom, hogy nem varom el senkitol sem. Nekem eleg jo szokott lenni a memoriam, de vannak helyzetek, hogy "Bakker ide mi is a login??!"
Es akkor keresgelek/gondolkodom.
Aztan ha vegkepp nincs meg, akkor jelszoboritek elo a szefbol... Mert ezt meg az Informatikai Biztonsagi Szabalyzatunk meg megkoveteli.
Depression: Fonok laptopjan valami karcolodott az ujjlenyomat olvason, es nem mukodik. Mondom semmi problem, ird be a jelszavad. "Van nekem olyan?" kerdes fogad...
Innentol problema. Ugyanis jelszohoz van hozzarendelve a fingerprint. Legalabbis azon a gepen, nem tudom, hogy mashol ez hogy mukodhet(ne). -
#28
Depression
veterán
Depression
veterán
ideje lenne jelszavak helyett alternatívákat ajánlani. webcam-es arcfelismerés, újlenyomat, mittom'én.
utálom a jeszavakat, mindenkinek több tíz van. pinkód, bankkártya, lépcsőházi ajtó, internet. nehéz ezeket észben tartani. -
harry
veterán
Tárolásra pl. Keepass. Védheted egy nagy jelszóval és privát kulccsal is. Nyilván mindkettőre vigyázni kell, és nem lehet egy helyen tartani (mármint a kulcsot és az adatbázist, bár a jelszó még hiányozna).
Jelszó helyett meg jelmondat, ahogy moonman is írta. Vers, dalszöveg, aranyköpés, bármi. Egy ekkora jelszó után generált hash-t aztán bármeddig lehet törögetni, vagy login ablakban bruteforce-olni.
Az meg elég nevetséges, ha egy oldalon a max hossz limitált (mármint ilyen 10 körüli karakterben), már csak azért is, mert ha hash-t készítenek belőle, az fix hosszú lesz, bemenettől függetlenül, így nem is tudom, mi értelme. Plain textként tárolni jelszót meg minősíthetetlen (szolgáltatói oldalról, de user szinten sem épp szerencsés). Utálom is, amikor regisztráció után visszaküldik a jelszavamat mailben, nevetséges. -
nyunyu
félisten
Mondjuk en szemely szerint en nem varom el (magambol kiindulva - mert en meg csak-csak megjegyzem azt a 20 felhnev-jeszo parost admin feluletekhez, szerverekhez, stbstb,
Nekem rettento rossz a memoriam, sokaig azzal kezdtem az ugyfel aktualis bajanak elharitasat, hogy betoltottem a megfelelo doksit, amiben le vannak irva a VPN elereshez, Winhez, SQLhez szukseges azonositok+jelszavak, meg melyik gepen mi fut.
Most, fel ev elteltevel kb. a felet sikerult megjegyeznem.
Baaaaar, a heten tevedesbol mstsc /admin-nal mentem fel VNC helyett az egyik ugyfelunk szervereire atallitani valami webservice elereset+restartolni az ot hivo alkalmazasunkat, frankon megborult tole a rendszer.
-
EmberXY
veterán
Az nem lehet, hogy bizonyos késleltetéssel próbálgatja a jelszavakat, és esetleg nem is egy nick-kel, hanem mondjuk 20-30-40-et váltogat, és közte van az az egy, amit fel akar törni?
X másodpercenként ellő egyet, idő van bőven, aki torrentezik, annak a gépe úgyis éjjel-nappal megy, nem hiszem, hogy a szervernek feltűnik a több száz/több ezer belépés között... ,aztán előbb-utóbb csak összejön..
Legalábbis én igy csinálnám.... -
-
e=mc²
őstag
Nalunk is detto ugyanez van, annyival megspekelve, hogy havonta valtoznak a jelszavak, es a huszon korosztalytol megtalalhatoak 60+ ig az ugyintezok. Es latom sokszor, hogy kis fuzetecskejukbe irogatjak, hogy epen hova mi a jelszo.
Mondjuk en szemely szerint en nem varom el (magambol kiindulva - mert en meg csak-csak megjegyzem azt a 20 felhnev-jeszo parost admin feluletekhez, szerverekhez, stbstb, de egy idosebb generacio mar nehezen) egyik kollegamtol sem, hogy tartsa fejben, de azt igen, hogy azert a jelszavait ne az asztalon/pulton hagyja elol kinyitott fuzetben...
-
#13
WonderCSabo
félisten
WonderCSabo
félisten
A legtöbb oldalon kérnek számot, kis és nagybetűt, szóval a barázdabillegetővel nem sokra mennék.
Viszont egy jó módszer, ha pl. 1 betűt kicserélsz egy számra. -
glutamin
őstag
Nekem bent a cégnél van vagy 15 különféle rendszerhez jelszavam, amit 3 havi cikuisban cserélgetnem kell, úgy, hogy nem lehet az előző 5 egyike sem, min 8 karakter, kis nagy betű szám, spec karakter legyen benne. egy köbröhely már az egész.
Főleg az, hogy egy füzetben vezetem a változásokat mert olyan élőlény nincs ami ezt fejben tartaná.
-
#11
TazLeacher
nagyúr
TazLeacher
nagyúr
Nekem is ilyen *uzi jelszavaim vannak, mint a "zt86uKPa" ráadásul időközönkénz még váltztatgatom is. Ahova nap, mint nap belépek, azt egy hét búlva már tudom, de vannak olyanok, amik nem mennek segítség nélkül. (ilyen pl. a PH, mert oda kb. havonta egyszer lépek be, mert fixen be vagyok fejeltkezve). Mondjuk nekem kimondottan jó a számmemóriám. De tudok olyat, akinek egy 4 jegyű csak számkód is hatalmas szívás, az lényegében cseszheti.
-
Narxis
nagyúr
Én amúgy ezt használom: Sticky Password
Mindent tud amit tudnia kell.
Virtuális billentyűzet, jelszógenerálás, beépül a böngészőkbe(asszem még kisebb böngészőket is támogatja, Flock stb.). Elégedett vagyok vele. -
lapa
veterán
ez elég okos dolog. egyrészt, mert amikor a 23. próbádra is azt dobja a gép, hogy "nem szabad", akkor elmész máshová.
ha én akarom feltörni, akkor nagyon gyenge jelszót úgyse enged a gép, a szótárazás meg szerintem nemigen tart tovább, mert amint az egyszerűbb esetek elfogytak lásd előző pont, a júzer otthagyja a szolgáltatást.
harmadrészt ha rossz fiú vagyok, akkor összegyűjtök pár "nem nyert, mert már van" jelszót, és a relatíve korlátozott számú felhasználón próbálom végig ezeket. oké, hogy ha pont gizike fiókját akarnám feltörni, az ellen nem véd. de gondolom pár hónap alatt a botok végigpróbálnák és lefiltereznék az összes használatban lévő jelszót.
nem tudom illendő lenne-e most valami cinikusat mondani az ms biztonsági kutatóiról.
-
Penge_4
veterán
"könnyen megjegyezhető jelszavaim vannak, de minimum 30 karakter. törd fel."
A Freemailen, ahol minimum 5, max 8 karakter lehet és lennie kell benne egy számnak, egy betűnek és egy speciális karakternek ott mit csinálsz?
Nem konkrétan a Freemailre célzok, de nyilván van még hasonlóan értelmes oldal, ahol nem adhatsz meg olyan hosszú jelszót.
-
e=mc²
őstag
"ha egy bizonyos minimális szintet átlépett egy jelszó felhasználóinak száma, akkor az tiltólistára kerül, azt más már nem választhatja."
Nem azert, de nekem pl. mar a Gmail-be is problema letrehozni egy ugy-ahogy szamomra elfogadhato mailcimet, mert a nevem nem Kiss vagy Nagy esetleg Smith, de mar amit felajanl meg nem foglalt alternativakent, nevetseges.
Szoval ha mar a jelszo is korlatozodik, azt nagyon nem fogjak szeretni az userek. Amugy is, a felhasznalo feleljen azert, hogy milyen jelszot hasznal, ne a szolgaltato! A szolgaltato feladata a tajekoztatas a regisztracio meneteben! Ha az user azt akarja, hogy 6db 1-es legyen a jelszava, akkor legyen. Ebbe nem hiszem hogy barmi beleszolasanak kell lennie egy adott szolgaltatasnak a tulajdonosanak. Annyit tehet, hogy figyelmeztet, hogy ez igen gyakori, es konyen feltorheto.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Lenovo Tab 10.1 + Clear Case (10.1" / 4GB / 64GB / WiFi)
- Lian li od11 mini + radiator bracket
- HP 255 G10 Ryzen 5 7520U 8 GB DDR5 256 GB SSD FHD IPS Újszerű 2 ciklus Gari 2028.
- Sparco Evo XL Sim racing kagylo ules
- Új Dobozos ASUS VivoBook Go 15 Laptop 15,6" -20% Ryzen 5 7520U 16/512 Radeon Graphics FHD OLED
- Bomba ár! Lenovo 14W Gen2 - AMD 3015e I 4GB I 128SSD I 14" FHD I HDMI I Cam I W11 I Garancia!
- 2db Apple Lightning - jack átalakító eladó egyben 1999 Ft
- CSX 2x2GB (4GB) DDR 800 MHz kit
- AKCIÓ! ASUS ROG G16 (2025) G615LR 16 - Ultra 9 275HX 32GB DDR5 1TB SSD RTX 5070Ti 12GB WIN11
- Honor X7D / 6/128GB / Kártyafüggetlen / 12Hó Garancia
Állásajánlatok
Cég: ATW Internet Kft.
Város: Budapest
Cég: Laptopműhely Bt.
Város: Budapest