[Re:] Wee3Tli£lRαse7 helyett barázdabillegető?

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Új hozzászólás Aktív témák

#51 DJS tag

Új Válasz 2010-07-23 00:38:31 #51
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

DJS

tag

Igazából lehet érvelni az MS megoldása mellett és ellen is.
Az, hogy a létező jelszavak effektíve ovlashatók lesznek külső emberek számára is ("kérlek, ne válaszd a dajkopali"-t, mert azt már ötszázan használják), alapvetően új típusú biztonsági kockázatot jelent. Eddig a rossz jelszóról max. anyni visszajelzés volt, hogy rossz, sőt sok oldalon azt írták, hogy "a név/jelszó páros nem megfelelő", találd ki, hogy melyikben volt a hiba. Most már az is kiderül, hogy ez létező jelszó, sőt nem is egy ember használja, hanem 500. Azaz ha mondjuk a Facebooknak van 500 millió a felhasználója, akkor ők eddig 500 millió külön kihívást jelentettek, de a nagy részük elég buta jelszavakat használt. Most, ha az új módszert használják, akkor a jelszófeltörők minden egyes feltört jelszóval hozzájutnak 500 fiók jelszavához, de maximum csak 500-hoz. Ez az egész portálra nézve a biztonság növelését jelenti.
Viszont a captcha-s meg ilyen bot-tiltó rendszerek a regisztrációnál (hogy bottal ne lehessen bruteforceolni) nem lesznek elegendőek. Mert ekkora tét esetén már megéri kínai feketemunkásokat bérelni, akik lelkesen írogatják a capchákat befele, és jegyzik, hogy mire adott a gép "már 500-an használják" jelzést.
Viszont még emberek bevonása esetén is ott a probléma, hogy nem tudod, milyen felhasználónév tartozik hozzá (ezért a lehetséges kombinációk száma az egekbe nő), és hogy a brute-force folyamat lassul. Legalább az emberi munka sebességére.
A kérdés ezután az, hogy így, ilyen lassú és drága módszerrel megéri-e majd megfejteni. Ugye a trend az, hogy egyre több értékes adatot rakunk rá ezekre a hálózatokra.