44
-
galedki #44 szerintem inkább senkit sem érdeklünk... -
Mateo87 #43 retinavizsgáló? :D -
AljasGetto #42 Jah, meg mondjuk egy jó kis strandolás után vagy felismer, vagy nem... -
Pálffy Tibor #41 a PIN kódok helyett talán célszerű lenne egy állandó, utánozhatatlan "jelszót" alkalmazni. nevezetesen az ujjlenyomatra gondolok. ennek célszerűségét, azt hiszem nem kell ecsetelni. egy komoly bökkenő van. az ujjnyomat beolvasók magas ára, valamint fizikai terjedelme. pedig milyen kényelmes lenne, ha csak megérintenénk az érzékelőt, és máris működne minden.Rad. -
#40 phisingel is mit érsz el, hogyha minden tranzakcióhoz sms-ben kapott számot kell bepötyögni megerősítésnek?
sms visszaigazolás nélkül nem mertem volna netes tranzakciókat intézni.. -
#39 Ez így van. A fizikai elhárításban sokkal jobban bízom, mint az elektronikusban ill az adatmegőrzés is biztosabb fizikailag (noteszben), mint egy flash memóriában v vinyón esetleg DVDn.
Egy mobiltelóban, csak ott, nem tárolnék semmi nagyon fontos adatot! -
Charybdis #38 Azért meglep hogy még senki (főleg a cikkíró) nem hozta szóba a Roboformot. Minden formhoz véletlenszerű kódot generál, és mindenhova egy klikkre beléptet. Még a keylogger sem tudja így ellopni a jelszódat. Persze nem árt mellé ha van anti-virus, tűzfal, meg van eszed a biztonsághoz. -
Cat 02 #37 az nem jó -
metaljesus #36 mi a gond azzal ha felírom a jelszavam egy papírra? fogom szépen, összehajtogatom, keresek valami utolsó kacatos dobozt, vagy használaton kívüli iratos mappát, és beleteszem. ha véletlenül elfelejteném a pw-t, akkor is tudom hogy hova írtam fel, és nem valószínű hogy illetéktelen kezekbe kerülne. egyébként ügyfélkapunál is rendesen biztosítva van a dolog, ha jól emlékszem legalább 8 karakter, amiből legalább 1 nagybetű és 2 szám -
bossgolem #35 Nekem volt még egy nem is Sony-Ericsson, hanem csak szimplán Ericsson, abban is volt ilyen kódgeneráló.Nem sok hasznát véltem, de mindenképpen biztonságosabb egy notesznél, amit az ember a bankkártyája mellett hord. -
#34 Egy véletlen jelszavakkal feltöltött adatbázis egyik sora:
·KuScÒý`Xцª…”ļã:®¬c§âÓmmóË÷űj/ű%P·a9>p #Að÷‡¸O¬º*>?>[èÙMkíÂ
Lehet silabizálni :)
Lehet, hogy az egyik rekordban csak a jelszó van, másikban meg csak a usernév, harmadikban meg az url esetleg a távoli szg. ip címe.
Master jelszó változtatás után, ugyan az a sor:
H99—·nÙQ&mWÎȱӔyM£K²«s»†¯á^±6ñÌ"'ù¨zΉ²ép ¿•Í÷BÀæsùÞ2»¬Üµ “%z2ùo -
#33 Hát aki elég naív annak simán fel lehet "törni" a jelszavát program nélkül ez a cikkben is le van írva. -
#32 OTP-nél pl. kell számlaszám, ügyfél azonosító, meg minimum 8 karakter hosszú jelszó. 3 próbálkozás után 24 óráig nem lehet belépni, nagyobb összegeket pedig csak akkor lehet utalni, ha az SMS értesítés be van kapcsolva. Általában nem is ezekkel van a baj, hanem a phishing mailekkel, meg a balga ügyfelekkel, akik a mailben kapott linkre gondolkodás nélkül ráböknek, és már írja is befele a bankszámlája adatait. -
#31 Jó, de tegyük fel, hogy ő nagyon ügyes, és képes volt megszerezni a jelszavakat tároló adatbázist, vagy annak egy részletét :) Szóval van neki n darab login neve, meg n darab MD5 kulcsa :) Ekkor az 1. és a 3. pont kiesik, a 2. -ban lévő időtartam pedig csökken. De még így is eltarthat egy jó ideig :) -
#30 "az első értelmes jelszómenedzsert a Sony Ericsson T610 telefonjában leltem meg anno" Hát az aztán q..nagyon értelmes! Ha Te megbízol a SE memóriájában akkor egészségedre, én inkább maradok a kisnotesznél.. ;)
-
#29 Milyen jelszó "feltörése" okozhat igazán gondot?
Első helyre én a netbankos azonosító/jelszó illetéktelen kezekbe kerülését tenném.
Vannak megoldások, melyeket a bankok használnak, hogy ne tudjanak könnyen megkárosítani.
1. sikeres/sikertelen belépésnél SMS-t küld (ezt asszem a CIB csinálja)
2. bármilyen pénzes tranzakciónál egy SMS-t küld egy kóddal, amivel meg kell erősíteni az átutalást. Ez a kód 15 perc múlva lejár. (Erste módszer, de csak a lakossági netbanknál :O. Náluk már a belépés is trükkös, mert két azonosítót és egy jelszót kell megadni) -
LowEnd #28 nagyon szép elmélet, hogy mennyi idő feltörni 6 karaktert.
csakhogy:
- A jelszavak általában távoli gépre kellenek.
- Általában ezek úgy vannak beállítva, hogy:
- Nem próbálkozhatsz gyakrabban, mint 5-10 másodperc.
- 3-10 hibás próba után kitiltanak egy időre. -
teddybear #27 Szerintem biztonsági szempontból a legjobb, ha a tároló csak a használat ideje alatt van a gépben, máskor meg elzárva ésvagy a zsebemben.
Előbbire a kivehető fiók, utóbbira a pendrive a legegyszerűbb megoldás.
A páncélt meg próbálja valaki feltörni. -
htmm #26 Szerintem legalabb annyira veszelyes az "ottfelejtett" bongeszo este is.
Pl: user nezi a freemail.hu -t. elolvasta a leveleit, elmegy a www.kedvencpornooldalam.hu -ra, megnezi, aztan elolvassa a hireket pl a zindekszen. Felall es elmegy, gondolvan az indexen ugysincs semmi titkos. Kovetkezo ember jon, beirja, hogy freemail.hu es nahat... -
#25 Jah, és akkor még ezekből egyesével generálj egy MD5 hash-t, aztán hasonlísd össze azzal, amit éppen törni akarsz. Mert a jelszavakat illik valami nem visszafejthető algoritmussal lekódolni, és nem csak egyszerű szövegként letárolni... Úgyhogy az az ezer lehet, hogy lesz százezer is. Ordó jelölést meg inkább a futási idő nagyságrendjének jellemzéséhez szokás használni, az input függvényében. Konstans idő alatt nem igazán szokás jelszót törni. -
bakagaijin #24 Erre szokott válasz lenni a biometrikus :P. Azt nem hagyod el, vagy ha igen akkor nagyobb bajod is lesz annál mint hogy nem tudod használni a kulcsod...
Viszont hw kulcs az internet-korszakban elég macerás. Volt bank, amelyik hw-kulcsos netbankos klienssel nyitott, de elég nagy volt az ellenállás irányába. (Mindenhova hurcolnod kell, ahonnan használni akarod, miért nem megy linux alól (valami kártyaolvasó-kütyü volt), stb-stb.) Így a hw-kulcsot leginkább helyi azonosításra szoktak használni (mint pl. beléptető-rendszerek...) -
dxtr #23 tetszetős eszmefutattás, Gratula!! -
#22 Jó az a hw-es kulcs, csak mi van akkor, ha elhagyod? -
herlius #21 Én az ex-barátnőm email-címének a jelszavát "találtam ki". Először csak poénból csináltam, aztán 1-2 gyanús levélből rájöttem, hogy nem is annyira rendes, mint addig gondoltam:). -
#20 Azért van annak is ideje, mig a jelszó feldolgozása megtörténik (ráadásul nemárt ismerni a usernevet is, ha olyan loginról van szó) -
BCs design #19 150 oldalnál necces a dolog :D -
BCs design #18 ez milyen igaz :D -
bokonon #17 Legyen összesen max. 100 alfanumerikus karakter.
6 karakteres pw, az 100^6 féle pw. 100^6=(10^2)^6=10^12. Egy mai mid-range--low-end gép 1GHz-es azaz ~10^9 művelet/s. 10^12/10^9=10^3.
Tehát O(1000) sec alatt lehet törni, egy 6 karakteres pw-t.
-
irkab1rka #16 miért nem hardware kulcsot használunk, nem értem. Ez a jelszó dolog biztonsági szempontból egy vicc. Elvileg sem oké, nem hogy a gyakorlatban.
Amíg nem megy a biometria, addig is csak egy egyszerű kulcs kéne.. fizikai. -
bakagaijin #15 A jelszavakat legtöbbször nem feltörni/végigpróbálgatni szokás. Ha eltekintük a Social Hacking-től (ld. Gizike, az xy rendszergazda vagyok, egy tesztet kéne futtatnom, kérem mondja már meg a főnökúr jelszavőt, ott van a monitorjára kicetlizve.) akkor a legegyszerűbb módja a programhibák kiaknázása. Ugyanis a jelszó a memóriában tutira ott van, ha meg ki is swap-eli winyóra, akkor jó esetben ott is marad egy ideig a nyoma... -
#14 Semmi, pár száz év alatt elévülnek a jelszavak is. Ugyanis valószínű nem egy 6 karaktere csak kisbetűkből vagy számokból álló jelszóval kódolja le az adatbázist, hanem mondjuk egy 12-16 hosszúval, azt meg törhetik évtizedekig. Igaz ha sikerül, akkor egyből egy raklapnyi jelszó pottyan az ölükbe, csak addigra már szart se érnek vele... -
#13 Most erre mit mondjak? Ahhoz meg kell szerezniük azt a file-t, aminek a filenevét nem is ismerik. -
#12 Szerinted jó mindehol ugyanazt a jelszót használni? -
#11 Jelszavas pendrive'on-jelszavas exel nyitás, azon lévő jelszavak kb. ilyenek: 01GT{Tghu. Ennél biztonságosabb módszer nincs is sztem. -
#10 Persze hogy nem, de kellett egy mondat, amivel lehet a pánikot kelteni. -
#9 és ha azt feltörik, akkor mi van? :P -
#8 Nem lett volna egyszerubb mindenhol ugyanazt a jelszot hasznalni? -
#7 Nekem már a tököm ki volt, hogy annyi jelszót meg kell jegyeznem. Letöltöttem egy ingyenes jelszótároló progit, amiben szépen el van tárolva minden. Ennek az adatbázisa titkosítva van, hozzáférni pedig jelszóval lehet. Hát nem egyszerűbb csak egy jelszót megjegyezni? (persze azt az adatbázist célszerű több helyen is tárolni ) -
juzosch #6 van ismerősöm, akinek ellopták pár profilját (email, iwiw, stb) sok kellemetlenséget okoz még ha nem is bankszámla.
-
roliika #5 Nem bizony. "E8sßä+" <-- Ilyen jelszó, nagyon nem másodpercek kérdése!!!!