cylontoaster#20
Random:
Ha én tudom rólad, hogy szavakat pakolsz egymás mellé jelszó gyanánt (mert pl a cégednél ez a javasolt jelszó policy és mindenki így csinálja), akkor máris viszonylag hamar kipörgethető a "random szavak"-ból álló jelszó. Ilyen esetben (mivel ismerjük a logikát) ez már nem random.
Ezért mondom, tök más az, hogy generálás szempontjából random, itt jön be a SE.
Más az, hogy randomnak(mondjuk karakterekre) néz ki, pedig generálásra nem az. Ettől még ha én látom hogy xy alkalmazásba ez a jelszava, akkor nem fogom tudni a másik alkalmazásban lévő jelszavát előbb törni, ugyanúgy marad a normál brute force. Tehát ez jó, mert véd SE ellen, ugyanakkor nem megjegyezhetetlen.
És ebből persze megcsinálható egy tábla, hogy van ami random generált, de nem annak néz ki (4 szó).
Van ami nem random generált, de annak néz ki (verses megoldás)
Van ami random generált és annak is néz ki (ez a standard Dco!fh@33h).
És a nem random és ez látszik is (marika1964).
Az első háromra véleményem szerint (más-más értelmezésben) igaz az, hogy random.
SE:
Attól függ mit értünk itt. SE az is, amire ha jól sejtem gondolsz, hogy kiprofilozod a jelszavát, többé-kevésbé.
De ugyanakkor SE az is, hogy bejutok az épületbe és a monitorára ragasztott jelszót megszerzem. Avagy ott állok mögötte, és lelesem. Ha havonta kap szegény HR-es új jelszót, ami 10 karakter és full random, akkor sejthető, hogy kint lesz a monitoron, illetve az is, hogy nem fénysebességgel gépeli. Tehát ez a fajta random sem igazán jó (bár a marika1964-nél azért jobb).
Féloff: viccnek tűnik ez a monitorra ragasztás, de nem az. Tapasztalatból írok, nem egy SE vizsgálatot végeztem már, és nagy, százas-ezres nagyságrendű cégeknél (sejthető, hogy ilyen helyen akkor már van IT biztonság, oktatás, odafigyelés, és mégis..) is mindig van kiragasztott jelszó. De láttam olyat is, ahol konkrétan ez állt: "ctrl+c, excelben másolás". Képzelheted ilyen helyen mit szólnak a random jelszóhoz :)
SE-vel bármit könnyű megszerezni egyébként, kategóriákkal könnyebb, mint normál hackeléssel. Erről is tudnék mesélni, szintén olyan cégeknél amiknél azt hinné az ember hogy ilyet nem lehet, nagyon komoly pénzekkel dolgoznak és komoly adatokkal, de:
nulla informatikai tudással, pár óra/nap honlap, google, fb/linkedin és hasonlók nézegetésével megoldható, hogy odaengedjenek a gépükhöz, kiküldjenek neked doksikat, hálózati lehallgató eszközt dugj a belső hálóra(ezt be kell szerezni, ehhez kell "it tudás"), vagy phising site, fertőzőtt fájl beküldéssel nyersz jelszót vagy bármit, ehhez már kell IT tudás, de ez messze nem egy hacker tudása.
Kivétel nélkül mindig működik, a szörnyű hogy a fenti lista minden elemét kipróbálva nem 1-1 fog bejönni, hanem általában mind. És amelyik nem, azzal se buktál le.