Berta Sándor

Vajon eljöhet a jelszavak nélküli világ?

Napjainkban minden embernek átlagosan akár 100 jelszót is meg kell jegyeznie, ez pedig nem túl hatékony módszer.

A 33 éves Patricia Arias Cabarcos egy olyan világban szeretne élni, amelyben nincs szükség jelszavakra. A Mannheimi Egyetem hallgatója megbízható és egyszerű megoldást keres, s egy olyan rendszert fejleszt, amely az okostelefonunk segítségével felismeri az arcunkat, a bőrünket, a szívverésünket vagy a szemmozgásunkat.

"A mindennapjainkat gyakorlatilag online éljük. Jelszavakra van szükségünk az okostelefonunkhoz, a laptopunkhoz, a fitneszstúdióba való bejelentkezéshez, az internetes megrendelésekhez vagy az online banki tevékenységekhez. Minden embernek átlagosan akár 100 jelszót is meg kell jegyeznie. Ez egyrészt nem praktikus, másrészt egyáltalán nem biztonságos. A célom egy olyan rendszer megalkotása, amellyel ezt a problémát sikerül megoldani. A jelszavak helyett vannak egyszerűbb azonosítási módszerek is."

"Az általam fejlesztett rendszer automatikusan és a helyzetektől függetlenül képes lesz választani a különböző mechanizmusok között. Szenzorok segítségével már most is van lehetőség arra, hogy valaki az ujjlenyomatával lezárja az okostelefonját. Ezt a megoldást szeretném kibővíteni, ugyanis a technikánkkal sokkal több dologra van lehetőség. A madridi egyetemen a hallgatóimmal a szemkövetéses módszerrel kísérleteztünk. Különböző képeket kellett pontosan megnézniük, majd titokban az egyiket ki kellett választaniuk jelszónak. A második szakaszban azután azt az adott fotót és más felvételeket is megtekintettek, én pedig a szemmozgásukat figyelő eszköz segítségével - és a kiválasztott képek azonosításával - pontosan tudtam, hogy melyik diák ül előttem."

"De már régóta felmerült az az ötlet is, hogy az agyhullámok mérésével fel lehetne ismerni, hogy valaki melyik szóra gondolt. Napjainkban már szinte mindent mérni lehet. A szemmozgásunkat, a szívverésünket, az arcunkat vagy éppen az ujjlenyomatainkat, de azt a helyet is, ahol éppen tartózkodunk vagy annak módját, ahogy mozgunk és gépelünk. Az én rendszerem ezeket az adatokat kötheti össze egymással és így számos tényezőt lehet majd ötvözni. Ezt úgy is el lehet képzelni, mint egy agyat, amely az adatainkat tárolja és kezeli" - jelentette ki a szakember.

A kutató hozzátette, hogy az olyan érzékeny folyamatoknál, mint például az online banki tevékenység, természetesen különlegesen szigorú mechanizmusokat alkalmaznak majd egyszerre: így a szívverés-, az ujjlenyomat- és a gépelési minták is szerepet kaphatnak. Az adatok tárolásának helyén egyelőre még gondolkodnak. Cabarcos számára fontos, hogy minden felhasználó megtartsa az ellenőrzést az adatai felett. Ehhez azonban mindenkinek saját szerver kellene, amit meglehetősen nehezen lehetne kivitelezni. Így egy olyan megoldáson dolgoznak, amely egyszerű a felhasználók számára, de ennek ellenére védi a magánszférájukat. Egyelőre a fejlesztés elején tartanak, a rendszer prototípusa az év végére készülhet el.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tetsuo #51
    Azért a legtöbb ujjlenyomat-olvasó nem olvassa az egész ujjlenyomatot, csak néhány mintát belőle. Ezért is olyan sérülékeny a módszer, illetve becsapható.
    Egy átlagos ujjlenyomat-olvasó rendszerben tízezer variáns van.

    Tehát igazad van, de még inkább badarság az egész. :-)
    Utoljára szerkesztette: Tetsuo, 2017.06.10. 00:30:15
  • morguldae #50
    Az emberi tulajdonságok eléggé változóak, ezekre alapozni bármit is értelmetlenség! Az ujjlenyomat olvasó is hol felismer hol nem. Kimész a kertbe dolgozol pár órát bőrkeményedéses lesz az ujjad oszt már be sem tudnál lépni ujjlenyomat olvasóval semmidbe. Badarság az egész. A jelszók nagyon megfelelőek.
  • cylontoaster #49
    Bocs, te IT szakmabéli linket küldtél?
    Számoltál?
    Érveltél?

    Ha nem olvasod el ne tedd, de akkor kussolj.
    Nem a szóhasználaton akadtam fent, hanem a logikán ami miatt írtad. Kifejtettem ezt is. Ha nem vagy partner a vitában, akkor ismételten: kussolj.

    Egy fos videó nem forrás. Az hogy az összes létező helyen a standard k-n-szám jelszót kérik, és nem az általad hozottat, az a szakmabéli forrás. Nem utolsó sorban foglalkozok cégek auditálásával, auditra felkészítéssel, ott érdekes mód ezt elfogadják, erről nyilván nem fogok tudni linket hozni.

    Aztán persze elfutsz, mint legutóbb, és a következő alkalommal megint előhozod a hülyeséged. Ne félj, majd folytatom és futhatsz tovább.
  • Tikal #48
    Pedig de :D Hidd el tisztában vagyok vele hogy nem konkrétan átlag józsira mennek rá a pitypang utca 2 szám alatt :D
    Az egész beszélgetésünk erről szól, hogy te eltévedsz ilyen hülyeségeken... és már megint szófosásod volt, amit sajnálom de nem fogok elolvasni, mert addig jutottam, hogy a feltört jelszó kifejezésbe kötöttél bele. Rossz szó használat, nyilván a megszerzett jelszavakra gondoltam amit mindenféle módszerekkel szedtek össze, lényegtelen...de ezen ragadtál le és pont emiatt csak elbeszélünk egymás mellett.

    Linket az IT szakmára nem látok, gondolom te vagy a képviselőjük, ezért nem linkelsz, szóval reménytelen...

    OUT
  • cylontoaster #47
    "Most komolyan? :D"
    Azt hiszed csak szőrszálhasogatok, pedig nem. Mondom, leírtam lentebb:
    Senki nem fog kipécézni egy adott tótpistát, aztán órákig/napokig pörgetni a jelszavát. Ehelyett megcélozzák az összes egységsugarú felhasználót, és pl ahelyett hogy 1 adott felhasználóhoz próbálnánakkülönböző jelszavakat, 1 adott (primitív) jelszót próbálnak ki sok felhasználóhoz.
    Megin számolás, csak a kedvedért: ha a felhasználók 1%-a használja a password szót, akkor 1% az esélyes hogy pityunál betalálsz és így accounthoz jutsz. Ha a leggyakrabban használt jelszavak együtt a felhasználók 10%-t fedik, akkor ezekkel 10% az esélyed pityu fiókjára. Ez nem sok. Ráadásul néhány próbálkozás után kitilt, tehát elég körülményes a top10 jelszó próbálása is.
    Ehelyett ha elkezded a felhasználókat párosítani a top 1 jelszóhoz (1%), akkor pillanatok alatt várhatóan minden 100. account a tiéd.

    Érdekel bárkit is, hogy kovácsjani fiókját szerezte meg, és nem tótpistáét? Nem, mert nem 1 adott janira lövünk, hanem janiKra.
    Tudod, biztosan lesz olyan aki megnyeri a lottót előbb-utóbb, de ez nem jelenti azt, hogy az te leszel.


    "Pontosan erről van szó, hogy az emberek nem fognak ilyen jelszót készíteni, mert nem fog 3-4 nagy betűt, vagy két különleges karaktert belerakni, csak egyet, meg egy nagy betűt az elejére, ezt mutatják a statisztikák amiket a feltört jelszavak alapján készítettek"
    Ez két okból hülyeség:
    1: Nem feltört jelszavakból, hanem megszerzett jelszavakból készítenek statisztikát. Előbbi BF, utóbbi pl a Phising. Bazi nagy a difi.
    2: Ha mégis feltört jelszavakból készítek statisztikát, akkor az mennyire torz már? Fogom a feltört, tehát gyengébb jelszavakat, és megállapítom, hogy az emberek gyenge jelszavakat adnak meg. Kell magyarázni, vagy érthető a hülyeség?

    "nem fog 3-4 nagy betű"
    Cseszel értelmezni amit írok. Senki nem mondta, hogy kellene bele 3-4 nagybetű. Ellenben azt írtam, hogy ezt nem is várja el senki, különben ez lenne a kikényszerített elvárás. Azért nem várja el senki, mert nincs is rá szükség. Ez meg ha jól sejtem akkor egyszalmabáb volt.

    " innentől kezdve hiába mondod hogy mennyi variáció van"
    Erről is írtam, ez megint mellébeszélés.

    "gy nagy betű legalább, meg egy speciális karakter legalább, de nem lehet benne mondjuk szóköz, azzal nagy segítséget adot a hackernek, mert az rögtön tudni fogja, hogy melyik szótárát húzza elő"
    1: az xkcd-nél is pontosa tudod milyen szótárt kell elővenni, csak a variáció száma számít, nem a szótár ténye.
    2: a írásjelről nem tudsz semmit, a szóköz sem infó neked
    3: leírtam, kvamindegy, mert ettől még mindig túl költséges lesz a jelszótörés, ezért senki nem fog nekiállni.

    "Ha tudom hogy almafa a jelszavad és van benne egy írásjel akkor végtelenül egyszerű dolgom van"
    Számold ki kérlek. Nem mintha lenne jelentőssége, nyilván a tudod a jelszavam akkor egyszerű a dolgod :D

    "nincs karakter korlát"
    Ez megint hülyeség, senki nem írt korlátról. A minimum 8 karakter nem jelenti azt hogy 8 krakteres lehet csak a jelszó.

    "de akkor is előszőr értelmes szavakkal fogok probálkozni, használva az e betű lecserélést 3-ra és a többi trükköt, és ha nem kapok eredményt, akkor fogok rátérni a véletlenszerű betűkre."
    Akkor számold ki ez mennyi idő lenne neked. Egyből beláthatod, hogy már ez is annyira sok, hogy nem éri meg nekiállni. Ettől még persze senki nem javasolja hogy triviális sózással hanáld a jelszót, csak azt nehéz kikényszeríteni. Ahogy az xkcd-nél sem tudod kikényszeríten, hogy a hülye juzer ne almafalmafalmafaalmafa jelszót adjon meg. Frankón érvelsz az egyik oldal ellen a hüye juzerrel, és feltételezed hogy a másik verzió nem hülye juzer fogja használni. Sajnos ez megint bukós.

    "Na pontosan itt gyengíted akkor a számolásod, ugyanis igy ahogy mondod, senki nem fog kettő három speciális karaktert alkalmazni, tehát a számolásod máris nem annyi amennyi, és ezért számol a képregény entrópiával, és ezért jön ki sokkal kevesebb neki, mert az eddigi tapasztalatok azt mutatják, hogy az emberek ugy készitenek jelszót ahogy ő azt lerajzolta: vesznek egy szót és kicsit átalakítják, egy nagy betű itt meg egy szám ott és kész is van."

    Nem is számoltam speci karakterrel. Csak érdekességnek írtam le, hogy ha pontosan tudod a jelszavam, akkor is megletősen sok tipp kellene. Nyilván nem tudod a jelszavam, így annyira sok tipp kell, hogy nem BF-al fogod törni, ugyanis gyakorlatilag minden értelmes helyen le van védve.

    "Linkelnéd a forrásod, ha már hivatkozol a szakmára? :)"
    Majd ha te meg számolsz :) Az hogy bevágsz pár random linket, az nem forrás. De ha akarod, hozhatom forrásnak az összes olyan oldalt, ahol van jelszóbonyolultsági követelmény, ugyanis ez a szakma. Valami rejtélyes oknál fogva ISO vagy MNB auditnál megfelelőnek számít.

    " hanem azt, hogy átlag józsi jelszóválasztásánál, jobb az amit ő ajánl"
    Nem, ez ugyanis a legnagyobb csúsztatás az egészben.
    Vesz egy átlag, ostoba józsit, aki a hagyományos esetben rossz jelszót választ, és feltételezi róla, hogy az ő metódusával jót fog. Nem fog.
    Ha józsinak azt mondod, hogy válasszon 4 szót, és józsi hülye és eddig az almafát használta, akkor most almafa lesz 4x. Vagy almafa, körtefa, stb. Ezen nem segít.
    A másik, hogy a 4 szót sehol nem tudod kikényszeríteni, csak úgy ha azt mondod hogy minimum 20 krakter. Ha ez van megadva, akko józsi tudhatja, hogy itt 4 szót kéne megadni (már itt bukik), de toszik ő rá, megad 20d "a" betűt. Na ennél az Almafa1 is jobb.

    Szumma, úgyse fogod fel a többit:
    - Azért ez az elterjedt, mert ezt lehet legértelmesebben kikényszeríteni, és aki minimálisan de betartja ezt (Password1), az is még mindig jobb, mint más esetek.
    - Egy gmail felhasználót nem így törnek, mert 3 próba után kitilt. Egy céges alkalmazás jelszavát sem így törik, ugyanezért. Ha ellopták a vinyódat és megvan a jelszavad hash-e, akkor lesz ilyen bruteforce. Az egyéb esetekben, ahol a kitiltás játszik, ott marad az amit írtam, a támadó szerinti top2 jelszót kipróbálják az összes ismert felhasználón, így az a jó jelszó, amire nem fog gondolni a támadó, mint lehetséges top2 jelszó. Hülyék ellen semmi nem véd, párszázas listán is működni szokott a top2 jelszó kipróbálása, mert ha a Bank-ban dolgozol, akkor tutira lesz olyan hülye, akinek Bank1234 lesz a jelszava. Nincs az a jelszó policy, ami védene a hülyék ellen.

    Tehát szélsőségesen hülyéknél mindegy (vagy rosszabb), jó jelszónál mindegy, átlag felhasználónál mindegy (vagy rosszabb) az általad hozott verzió.
  • Tikal #46
  • Tikal #45
    "Nem. A gonosz janik az átlagos jóskáK-ra mennek. A különbség hatalmas, leírtam lentebb is."
    Most komolyan? :D

    "Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás."
    Pontosan erről van szó, hogy az emberek nem fognak ilyen jelszót készíteni, mert nem fog 3-4 nagy betűt, vagy két különleges karaktert belerakni, csak egyet, meg egy nagy betűt az elejére, ezt mutatják a statisztikák amiket a feltört jelszavak alapján készítettek. Átlag Józsi fogja és tesz egy nagy betűt az elejére meg egy számot és jelet a végére, bumm. innentől kezdve hiába mondod hogy mennyi variáció van, lényegtelen, mert a hacker ugy fog neki állni a jelszó feltörésnek, hogy először ezen feltételek mentén fog keresni. Akkor hol itt a véletlenszerűség? Máris csökkent a variációk száma. Mikor egy oldal arra kér, hogy legyen benne egy nagy betű legalább, meg egy speciális karakter legalább, de nem lehet benne mondjuk szóköz, azzal nagy segítséget adot a hackernek, mert az rögtön tudni fogja, hogy melyik szótárát húzza elő :) Ha tudom hogy almafa a jelszavad és van benne egy írásjel akkor végtelenül egyszerű dolgom van...de ha nem tudnám mennyi plusz nincs karakter korlát akkor már nehezebb, de akkor is előszőr értelmes szavakkal fogok probálkozni, használva az e betű lecserélést 3-ra és a többi trükköt, és ha nem kapok eredményt, akkor fogok rátérni a véletlenszerű betűkre.

    "Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás."
    Na pontosan itt gyengíted akkor a számolásod, ugyanis igy ahogy mondod, senki nem fog kettő három speciális karaktert alkalmazni, tehát a számolásod máris nem annyi amennyi, és ezért számol a képregény entrópiával, és ezért jön ki sokkal kevesebb neki, mert az eddigi tapasztalatok azt mutatják, hogy az emberek ugy készitenek jelszót ahogy ő azt lerajzolta: vesznek egy szót és kicsit átalakítják, egy nagy betű itt meg egy szám ott és kész is van.

    Linkelnéd a forrásod, ha már hivatkozol a szakmára? :)

    Időközönként cserélem :) Mivel jelszó generátorral képzem őket lehetnek 30-40 karakteresek is, szóval nem jövőre fogják feltörni...
    Minden számolás ott van a képregényen. Én nem vitatom a számolásod, helyesen számoltad ki hogy mennyi 10^4 és a többi, ezzel nem vitatkozom :)
    A képregény nem azt állította, hogy 10^4 nagyobb mint 62^8, maradva a te példádnál. hanem azt, hogy átlag józsi jelszóválasztásánál, jobb az amit ő ajánl, mert nagyobb benne a véletlenszerűség. Ennyi.

    Utoljára szerkesztette: Tikal, 2017.06.08. 10:45:19
  • cylontoaster #44
    Ha elég 1 jelszó megjegyezn, mert jelszókezelőd van (leírtam ennek is a korlátait, emiatt sokszor nem is elég), akkor eleve mindegy az egész. 1 jelszót (legyen bármylen bonyolult), meg fogsz tudni jegyezni.

    "A gonosz janik az átlag jóskára mennek".
    Nem. A gonosz janik az átlagos jóskáK-ra mennek. A különbség hatalmas, leírtam lentebb is.

    "Nem én számoltam, és a kép sem azt állítja hogy nem számít, csak annyit hogy egy négy szavas jelszó erősebb mint a felhozott példa és könnyebb megjegyezni. De neked úgy is mindegy, hiszen te jegyzet füzetbe írod... "
    Én pedig kiszámoltam, hogy ez nem igaz. Baromira mindegy hogy te számolsz, vagy beteszed más számolását. A lényeg hogy szerined az úgy helyes, amit én vitatok és igyekszem cáfolni (jelzem, immár másodjára), amire mellébeszélés jön. Ha nincs időd számolni (2 perc), akkor legalább ismerd be hogy lövésed sincs hogy igaz-e a kép és a következő ilyen témánál ne tedd be.

    Az írásjelekről nem véletlenül nem írtam és nem is számoltam vele, azon felül amit írsz hozzájön az is, hogy orbitális szívás más billentyűkiosztáson beírni. De nem is kell, és a legtöbb helyen nem is kérnek ilyet.

    A kiszámítható lépés meg jó duma, csak megin csúsztatás. Ha tudod hogy almafa a jelszavam, és 1 db írásjellel fűszerezem, akkor még mindig van 32 írásjel ami lehet a szó elején vagy végén, ami baromira messze van az egyből tudom esettől. Hasonlóan az e helyett 3-asnál, ha van 4 mgh a jelszóban, akkor megint nem tudod hogy melyiket vagy melyikeket cseréltem az amúgy triviális számra. Ez nem dob rengeteget, de messze nem elenyésző.

    "Diceware módszer eredetileg egy 7776 szavas szótárat használ"
    Én előzékenyen 10ezer szóval számoltam, 4 szónál még mindig egy jeggyel kevesebb lett.

    "és a legfrissebb ajánlás szerint 5-6 szavas jelszót kell vele készíteni"
    Persze, és a 6 szót könnyebb megjegyezni mint bármilyen jelszót.

    " Átlag Józsi nem fog egy random karakteres jelszót használni"
    De szerencsére ha értelmes szavakból összerakott jelszó kell, akkor Á.J. véletlenül választott szavakat fog használn, és nem kiszámíthatóakat, hiszen a módszer hatásátra egyből biztonságtudatosabbá válik.

    "rpJQEm=%2uYp"
    Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás.

    Miért van az, hogy egy elterjedt, a szakmához is értő emerek nem a képen látható megoldást javasolják? Pont az IT (Sec) lenne dogmatikus? Akkor kész szerencse hogy van pár hozzád hasonló zseni/felvilágosult, aki kitalálja/terjeszti az igaz tanokat, ha kell árral szemben is.

    Az utolsó kép pont azt mondja, hogy a barackFa7 bőven megfelelő jelszó.

    A szuperjó jelszavak nagy előnye, hogy a user azt hiszi hogaz jó, és nem változtatja. Te milyen gyakran cseréled őket?
    Hajlandó vagy számolni és konkrétumokkal érvelni, vagy marad a süketelés?
  • Tikal #43
    Én nem számoltam semmit, a rajz készítője számolt, én csak az alapján mondtam amit mondtam, szóval ne beszélj félre :)

    Egyébként xkcd szerint számít a nem hagyományos karakter, hiszen figyelembe vette, számolt vele. Én csak annyit mondtam, hogy nem sokat ad a jelszó erősségéhez, mégpedig azért, mert az emberek csak annyit tesznek, hogy a jelszavuk végére vagy elejére odabasznak egyet, esetleg lecserélnek egy e betűt egy hármasra. Ezek mind kiszámítható lépések. Átlag Józsi nem fog egy random karakteres jelszót használni, hanem fog egy létező szót, és megpróbálja átalakítani, na itt már el is van baszva az egész, mert ebben semmi random nem lesz. A Diceware módszer ezzel szemben a véletlenszerűségre épít, plusz még könnyebb is megjegyezned mint pl ezt rpJQEm=%2uYp. A Diceware módszer eredetileg egy 7776 szavas szótárat használ, és a legfrissebb ajánlás szerint 5-6 szavas jelszót kell vele készíteni.



  • Tetsuo #42
    Nekem az nem mindegy, hogy a vitapartnerem mellébeszél vagy esetleg komolyan vehető.