27
-
#27
Inkább egy jelszó tároló progira bízom. Ennek a proginak az adatbázisát pedig jelszóval és egy csak nálam lévő állománnyal tudom megnyitni. -
Gemnon #26 USB devices can crack Windows :D -
Equ #25 "Windowsban meg 30 mp alatt létrehoz egy usert akinek admin joga van (és esetleg kizárja a rendszergazdát "
És linuxon nem? :)) Ott talán még gyorsabb is... -
Equ #24 "Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb"
Persze. Ettől még a tény az tény marad, hogy a linuxhoz képest a winben egyel több védelmi szint van a jelszólopás ellen, ami a statisztikák alapján sok kisérletet meghiusit. Ennyi, nem kell ide többet belemagyarázni de nem kell elbagatelizálni sem a dolgot, el kell fogadni, mint tényt. -
#23
De nyilván egy olyan munkahelyen, ahol nem kicsiben játszanak és a rendszergazdát megfizetik, ügyel a biztonságra. Használjon akár Solarist, vagy mittomén ... -
#22
Windowsban meg 30 mp alatt létrehoz egy usert akinek admin joga van (és esetleg kizárja a rendszergazdát 
).
A tökéletes biztonság nem létezik. -
pemga #21 Legutóbbi tanulmányt az L+R ill. Matáv publikált jelszavain néztem (ezeket feltették anno a webre), akkor készültek jó kis statisztikák arról, hogy a magyarok általában milyen bonyolultságú kódokat használnak. Szerintem azok a publikációk még mindig kint vannak valahol. Azonban még emlékszem az RC5-56 (ez volt kb. 1 év, worldwide, egyetlen kódot keresve) és RC5-64 statisztikákra (ez párszáz évre datálták a haladás alapján, és ha jól tudom fel is hagytak vele).
A felhasználók száma nem lényegtelen, nemtom te milyen adatbázist néztél, de inkább 10'000+ hash-el komparálja össze. Már amennyiben ilyesmihez hozzá tudsz jutni. (Amik kinnt voltak, ilyen nagyságrendben mentek) De ha neked otthoni userek átverése a célod...
Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.
- Aki viszont ehhez nem fér hozzá csak egy rögzített interface-n keresztül, amin nem tud lekérdezni (a shadow elve is hasonló, csak épp fizikailag nincs elválasztva) A másik gépen nem kell, hogy akár felhasználó-szintű jogosultságod is legyen, elég ha az interface-n tudsz kommunikálni.
Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb. A páncélgyáros és a fegyvermester végtelen harca ld. Verne. A lényeg az, hogy meg kell keresni, az adott szituációban mi a megfelelő biztonsági megoldás, ami még nem gátol, de már elegendő védelmet biztosít. Home usernek bőven elég a shadow, és ne engedjen oda senkit a root-konzolhoz :). -
#20
A keylogger sokkal 1szerűb.. -
Equ #19 "És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... "
Rég nézhetted ezt :))
"Felhasználók számától függően persze. "
A felhasználók száma tökéletesen lényegtelen. Több tízmillió hash-t generálunk ilyenkor másodpercenként, hogy ezeket összehasonlítod-e 1 vagy 100 felhasználó ismert hashével az elhanyagolható mértékben befolyásolja csak a töréshez szükséges időt.
"Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben."
Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.
"Az oprendszer csak lehetőségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendő megoldható anélkül, hogy root-shell-t kéne használni"
Igen, csak a fentiek mellett a win még a lock-ot is biztosítja, ezért biztonságosabb. Ez tény, kismillió példa van az ilyen lopásokra. -
pemga #18 És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... Felhasználók számától függően persze. Akkor már több sikerrel indulhatnál egy ssh-exploit-al, hátha valaki nem frissített... Szerintem valaki nyomja is most keményen valaki zombi-gépekről éjjel 11 és hajnal 2 között (tegnapelőtt Anglia, tegnap meg kínai-nak látszó ip-ről), nem te vagy az? :)
A shadow-t általában kis rendszereknél szokták használni (ld. otthon). Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben. Az meg, hogy ki mennyire szeret root-ként dolgozni, az tényleg "magánügy", egyéni felelősség, nem kenhető egy adott rendszerre. Az oprendszer csak lehetőségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendő megoldható anélkül, hogy root-shell-t kéne használni, gondolom win alatt is van valami ilyesmi megoldás. Ha pedig fizikailag hozzáférsz a rendszerhez, akkor tényleg csak a titkosított parti segít, bármilyen oprendszerről is legyen szó... -
Equ #17 "de aki ennyire paranoiás"
...az eleve nem hagyja úgy a gépet, tehát ez sem megoldás.
SELinux-on meg ugyanúgy elérheti a shadow-t az az account aki a usereket kezeli, függetlenül attól, hogy ez az account nem root. -
Gemnon #16 Szerintem teljesen egyértelmű, hogy a rendszergazda hibája mert felelőtlen. Kétségtelen a Linux is lockolhatna, de aki ennyire paranoiás az úgyis felteszi a NSA féle SELinux kernelt, ami bár én még sohasem próbáltam (mert túl bonyolultnak tűnt) szakit a félisten (root) koncepcióval. -
Equ #15 nemhogy a magyar ékezeteket, de a teljes ascii készletet kiválóan kezelik a mai jelszótörők, úgyhogy emiatt senki ne érezze magát biztonságban. -
Equ #14 "Ez nem a rendszer hibája, hanem a gazdájáé"
Hát ez pedig a linux hibája. Nyugodtan tehetne exclusive lock-ot a file-ra és akkor nem lehetne csak úgy pár másodperc alatt ellopni az összes jelszót. A windowsban ez korrektebben van megoldva.
Meg lehet próbálni a rendszergazdára kenni, de attól még a probléma létező marad, winen is linuxon is előfordul, hogy (jó esetben csak) pár mp-re felügyelet nélkül marad egy admin konzol. Winen minimális az esélye, hogy ezt ki tudd használni, linuxon gyerekjáték. -
Cleawer #13 Ugy emléxem ,hogy a legtöbb jelszófeltörő progi (angolok) nemkezelik a különleges karaktereket,pl a hun :áőúűóüö és ezért nemtudtak feltörni.De lehet hogy csak mákom volt.... -
pemga #12 Fizikai hozzáférés ellen max titkosított partival tudsz tenni valamit, csak akkor sose rúgd ki a rendszergazdád :).
Egyébként ha van is shadow-d, onnan még törnöd kell, ha nem szótár alapon dolgozol (ld. buta jelszavak), akkor túl sokáig eltart. Mivel MINDEN titkosítás törhető, ezért alapvetően a biztonságtechnikában a töréssel nyerhető információ értékéhez igazítják a szükséges biztonsági módszer költségét. Pl. nem biztos, hogy a családi csokis kuglóf receptjét Neon elől a legállatabb biztonsági rendszerekkel kell védeni... -
Gemnon #11 Sajnos én is tapasztaltam, hogy egyes Linux rendszergazdik, simán lépkednek be root-ként, és tényleg képesek ott hagyni a root konzolt prédának. Pedig ott van a sudo. Én se dolgozok root-ként. Ez nem a rendszer hibája, hanem a gazdájáé. :D -
#10
"Ráadásul linuxon még lock se védi a pwd filet egy sima copy-val elhozod magaddal, aztán szépen nyugodtan a saját gépeden visszafejted. Winen azért ez nem ilyen egyszerű, sem a file sem a registry ezen része nem érhető el a beépített eszközökkel csak különleges apival -> telepíteni kell hozzá"
Teny. De van alternativa a shadow fileokra: ldap, *sql adatbazis, stb. Ezekkel megoldhato nehany problema gond nelkul. Peldanak okaert a kozponti szerver rendez mindent. Windowst nem ismerem ilyen tekintetben, arrol nem nyilatkozom.
"itt inkább arra kell gondolni, hogy amíg az rendszergazda figyelmét leköti valaki 30 mp-re, addig egy copy-val elviszed az otthagyott konzolról az egész cég összes jelszavát. (olvass utána, létező jelenség!)"
Megesik. Vannak hulye rendszergazdik. En sosem dolgozom root-kent pl. a sajat gepemen sem.
"Ha pedig újra tudod indítani a gépet/felmountolni a partíciót másik gépben, akkor meg végképp bármit megtehetsz."
Barhol (Win, Linux, BSD, stb.), barmikor :) -
Equ #9 itt inkább arra kell gondolni, hogy amíg az rendszergazda figyelmét leköti valaki 30 mp-re, addig egy copy-val elviszed az otthagyott konzolról az egész cég összes jelszavát. (olvass utána, létező jelenség!)
Ezt winen nem tudod megtenni.
Ha pedig újra tudod indítani a gépet/felmountolni a partíciót másik gépben, akkor meg végképp bármit megtehetsz. -
Gemnon #8 Hát azért én az megtekinteném, mert szerintem a sima copy művelet után megkapod a Permission Denied üzenetet:
"cp: cannot open `/etc/shadow' for reading: Permission denied"
, hacsak persze nem vagy root. :D
Ha arra értetted, hogy akármivel fel lehet mountolni egy linux partíciót és lemásolni az tényleg lehetséges, de ebbe a Windows se külömb (ntfsdos, tsa-i).
Persze mindekettő törhető is ezek után Linux-ra ott van a ripper john fiú, Winre meg a L0phtcrack. -
Luminas #7 Azért a SAM fájl törlése nem ugyanaz annak feltörésével. Mellesleg még egy linuxba is be tudsz lépni ilyen módszerrel. -
Equ #6 "mert bizony több száz olyan progi van amit csak rá kell tenni floppy-ra és volt winXP jelszó nincs XP jelszó "
mert ugye linuxra meg a többi oprendszerre nincs... Azokra még durvábbak is vannak :)
Ráadásul linuxon még lock se védi a pwd filet egy sima copy-val elhozod magaddal, aztán szépen nyugodtan a saját gépeden visszafejted. Winen azért ez nem ilyen egyszerű, sem a file sem a registry ezen része nem érhető el a beépített eszközökkel csak különleges apival -> telepíteni kell hozzá.
A jelszó lopó programok ma már ott tartanak, hogy egy ellopott admin jelszóval egy wines gépről távolról lehet ellopni és törni linuxok és winek jelszavait... -
MacrosTheBlack #5 Be is magoltad? -
#4
Generaltam egy jelszot :P
ű¬hÏ»PMX½ºâ‚)Æö‡u3y²æIâ·”Ï"òZi¦‚Æ°Ü?H7—øbÊőøá,#5xº}CÀ°!z®…Sú -
Hege15 #3 szemi de azért a májkroszoft se adhat ki minden egyes hacker után egy új pecset
meg még ha mindig ki is adna te naponta frissitgetnéd ?
mert bizony több száz olyan progi van amit csak rá kell tenni floppy-ra és volt winXP jelszó nincs XP jelszó -
Szemi90 #2 "Azt azonban a szakember is elismerte, hogy egy támadás esetén a legjobb jelszó sem képes sokáig védelmet nyújtani a számítógépen tárolt adatoknak."
Lehet, hogy ez nem mindig a jelszavak hibája! Talán a szoftverek biztonságát sem ártana fejleszteni. Elég szomorú az, hogy pl. a MS Office jelszavak simán megkerülhetőek...
-
Picivizipaci #1 Na most akkor okosabbak lettünk. 