36
-
okosan gyerekek #36 ugyan már. vannak olyan oldalak, ahol köteleznek, hogy legalább 8 karakter legyen, számmal, nagy betűvel, ennyi a megoldás. Nem kell ez a nyűgös szär... -
Hajoska #35 Ezt hsz-t nem igazán értem.MD5-ben semmit sem lehet ún. "tárolni". Az egy 128 bites hash azonosítót generál bizonyos fileméret korlátig garantáltan egyedit minden file-ra. De egyébként is mindegy, hogy a szerveren miben , avagy milyen formátumban van eltárolva a jelszó, amíg neked a kliens oldalon kell begépelni, begépeltetni egy programmal, és rendszerint a plain/text formátumban érkezék meg tompa puffanással a szerverre. -
gombost #34 Igen, lehet, hogy a brute force-ot lehetetlenné teszi, de az is biztos, hogy a userek nagyobbik részének szintén problémát okozna. Arról már nem is beszélve, ha valakit szívatni akarsz, ennél jobb lehetőség nem is kell. Képzelj el egy helyzetet, hogy ilyen rendszer van mondjuk a Facebook-on. Utálsz valakit? Írsz egy scriptet, ami fél óránként megpróbál belépni az e-mail címével és abcd1234 jelszóval. Ha ez a rendszer elterjedne, azonnal megjelennének az ilyen scriptek. -
MacropusRufus #33 kb. mint a nyaktekerészeti mellfekvenc... :)
ha nem érted ok, ha érdek akkor is ;)
-
#32 gondolom a "Captcha", amit ugye úgy ejtünk "kapcsaa", ő erre még rátett valami szlenegítő csavart és lett "csapta". -
Hajoska #31 Mi az a "csapta" ? -
#30 Vagy ez viszonylag ritka jelenség? -
#29 Tényleg laikus módon kérdezem: ha md5ben van tárolva a jelszó akkor az azonos hasheket más karakterkombinációkból is előállít nem? Szóval ha nem is sokban befolyásolja a 308 milliót de valamivel kéne neki. -
MacropusRufus #28 Szóval a userekről: a user 2db jelszót is képtelen megjegyezni! Tisztelet a kivételenek, de 10-ből 1 aki nem ilyen. A userekn túlnyomó többsége a saját nevét sem képes megjegyezni rendesen. Saját tapasztalatból tudom. Elöző heti esete: profile tíltás 3 rossz jelszó miatt. A jelszó a user neve v. a user neve + egy szám. Erre mit csinált az agyatlan: terészetesen a rosszal próbálkozott 3x mondván a jelszó tuti jó, csak a gép lehet a hülye. Hát a másik volt a jó.
Amíg a userek átlagosan ezen a szinten állnak addíg felesleges mindefajta bonyolúlt jelszót védelmet beállítani.
A kedvenc dalból generált jelszó: nem rossz :) de tényleg. De ezt egy user nem fogja megjegyezni. Miért? MErt az idiótának több kedvenc száma is van, és akkor most melyik szám hol is van beállítva?
A userek soha nem fognak qurvahosszú bonyolúlt karakter sort választani. A userek 90%-nak az asztalán(!) megtalálható a jelszó, nem felirva, hanem maga a tárgy aminek a neve a jelszó. (tudom miről besézlek, mert ugye nem mindenki születik báránynak... ;)
Szóval amíg ember lesz addíg ő lesz a leggyengébb láncszem a rendszerben.
BruteForce: 3 próbla és tíltás végleg, keresd fel az sysopot. Ennyi. Nálunk az i i5 így működik. 3 hiba és sanyi a profile-nak. Lehet engem basztatni, hogy mi van...
Törések: ha nagyon progira akarom vinni a dolgot, akkor olyan szitut is teremthetek, hogy a user maga fogja a jelszavát elárúlni nekem... 10-ből legalább 5 meg fogja adni gondolkodás nélkűl ha kellően határozottan adom elő, hogy én vagyok a 4-ről a sysop. (holott nem is)
BruteForce a leghamarább kibuktatható támadási forma, ui. eléggé erősen terheli a szever oldalt.
Csapták: jelen esetben úgy állunk, hogy a csaptákat egy soztver hamarább megfejti mint az ember... Ez biztos is. Meg az is, amit lejebb írtak már, Kína/India 5cent per évért töri a kódokat. Ennyi.
Biometrikus azonosítok, csapta helyet... De ez sem jó, mert ha nem akarom az illető szemét kioperálni, akkor megint csak az adatbázis felöli részét kell törnöm és ott megváltoztatni az illető biometrikus adatait az enyémre. ÉS máris az én szemem lesz az övé :)) és beléptem...
Meddő harc, golyó vs páncél effekt...
-
Hajoska #27 Igen, és akkor felébredtél és bilibe lógott a fejed..
Akkor most leszel szíves elosztani a 300 milliót sok tízezerrel.. és elgondolkodni azon, hogy a Hajóska féle lúzerek 6 betűs jelszavai végett , vajon megéri-e dollármilliárdokból , pénzt, időt és fáradtságot nem kímélve százezres botnet hálózatot kiépíteni, üzemeltetni, az amúgy egy laza csuklómozdulattal, és egy kapcsával az ügy végére pontot is tevő megoldások mellett.. -
#26 Gondolom ezt egyszerre sok szamitogeppel, soktizezer netezo gepen keresztul teszik. -
Hajoska #25 Kedves gyerekek. Valaki itt nagyon nincsen képben vagy a brút forsz töréssel kapcsolatban, vagy matematikában, de úgy összességében a számítástechnikában. Vagy a cikk írója, vagy a nagyon nagy fejű biztonsái "szakértők".
SZámolgassunk akkor most egy kicsit!
Adott egy oldal, pl. hogy ne menjünk messze itt az SG.hu, ahogy engedélyezett szinte bármilyen jelszó. Adott egy 6 karakteres jelszó, amelyről persze még azt sem tudjuk hogy 6 karakteres, de teszem azt ezt adjuk meg korlátnak a brútforsz programnak. Adott, hogy a lúzer, nem használ se punktuációs karaktert, se nagybetűt, se számot, csak a latin abc kibetuit, de még így is, van összesen
26^6-on számú = 308 915 776 , azaz 308 millió lehetőség , ha nem számítjuk hozzá az 5 , a 4, a 3 , a 2 és az 1 betűs jelszavakat sem. Offline brútforsznál, ahogy azt az alábbi hozzászólásomban kitaglaltam, a másodpercenkénti 2200 jelszavas próbálkozásnál, amelyet egy közepes erősségű gép közepes videókártyája produkál, ez nem sok. De online, ahol még az egy jelszó per másodpercnek is örülsz , ez maga az örökkévalóság... de legalábbis úgy 10 év, és akkor hol beszéltünk még arról, hogy lehet szám, NAGYBETŰ, punktuációs karakter, vagy nem latin ÁBÉCÉS kárákter is a kódban, vagy netán hosszabb , vagy pl. hogy még a szótár töréssel se lehessen nekiesni, mondjuk az a jelszó hogy MÁLCSIK976
-
#24 Én fognám ezt az egész kézi bejelentkezősdid/reCapcha őrületet komplett lecserélném és a böngészőre bíznám hogy oldja meg a háttérben ha kommentelni szeretnék valahol.
Maximum egyszer kelljen megadnom az identitásomat a böngészőprofilomnak amikor nekiülök, aztán az generáljon felőlem minden egyes potenciálisan megnyitott oldalnak akár 1000 karakteres kódot amivel belép. Ne nekem kelljen már az ilyen évek óta automatizálható módszerekkel manuálisan vacakolnom.
Esetleg még arra is lehetne opciót adni a felhasználónak, hogy egy felhőszolgáltatásba kelljen csak feljelentkeznie, ami aztán tárolja és intézi szintúgy automatikusan a regisztrálásokat/bejelentkezéseket az oldalakra netezés közben.
(mondjuk friss, a felhasználó által még nem bizonyítottan biztonságos oldalnál kérhet előtte egy konfirmációt a júzertől, hogy be e szeretne reggelni a friss oldalra profiljával.)
Felhasználó nem szívna a hírportálokon/blogokon/fórumokon/közösségi oldalakon. Az okos adatlopó meg eddig és ezután is ki fogja tudni játszani a buta felhasználót, ha az feltelepít mindenféle keyloggert a gépére, vagy becsalja egy scam/fishing oldalra. Egyszerűen észnél kell lenni, mint ahogy az élet többi részében is, és akkor igen kicsi az esély hogy problémába keveredjünk. -
#23 "A captchákat nem tudom mennyire könnyen fejtik meg a bűnözük, de hogy a tisztességes felhasználók igen nehezen az egészen biztos."
Keressetek rá Google-n, hogy "antirecaptcha". Meglepő eredményeket fogtok kapni.
"Ráadásul sok esetben nem is a biztonság növelése a céljuk, hanem a netetők ingyen munkaerejének a kihasználása."
A képkeresőnél nem ugyanez volt? Volt az a hülye játék a Google-nak, aztán a sok birka meg ingyen dolgozott nekik építeni a birodalmukat. Ettől még az "éhbérért" dolgozó indiai és kínai captchatörő munkaerő is jobban keres.
"Persze vezethetnek egy noteszt is a jelszavaikról, de az sem egy kimondott biztonságos megoldás."
Miért is?
Amúgy én beültetném ilyen captcha fejtő munkára legalább fél évre a köcsög EU biztosokat és utána mindjárt átértékelné mindegyik, hogy a spamerek ellen bármennyire is liberális eszméket vallanak, de hatékonyabb a golyó és az élve megnyúzás főműsoridőben horrorrajongók számára, mint a captcha. -
Utokverek #22 Eddig is használtak captcha-t, most nem értem, ez miért újdonság.
Ha meg a site úgy van megírva, hogy nem bír el egy bruteforce-al, hát akkor, sajnálom azt a szerencsétlent, aki rendelt egy oldalt, nem ért hozzá, és kapott egy silány szemetet. -
sanyicks #21 Capchanak a kurva anyját! Egyrészt, rohadul morcos leszek ha egy belépéshez 3 captchan kell átrágni magam, mert sok idő.
Másrészt a kapcsás szopáshoz nem kell színtévesztőnek sem lenni, mert néha olyanokat generál, hogy az olvashatatlan. Van olyan fasz oldal aminél még a nagy és kis betű is számít, de olyan betűtípusa van, hogy a nagy és kisbetű között csak a méret a különbség (a méretet meg szintén szokták változtatni amúgy is a botok megzavarására, tehát nem lehet tudni hogy tényleg nagy betű-e vagy csak kinagyította.
Na meg a recaptchánál fordul elő gyakran, hogy tökéletesen begépeled, 100%-os bizonyossággal, és kiírja hogy rossz a kód...
Nyomorék idióták, a brute force-ot azzal lehet kivédeni hogy x próba után vagy letilt, vagy capcházik, de nem alapból! -
Rotyoka #20 Nem lehetetlen csak 6 hét -
Turmoil #19 A verseny a buta felhasználó és az okos bűnöző között zajlik. Szegény informatikusok meg próbálnak a buta usernek segíteni a győzelemben, kicsit reménytelenül. Mert mi van, ha a buta user annyira buta, hogy a segítséget sem érti meg, sőt, azt hiszi, hogy azzal őt szivatják az informatikusok? Miközben még azt sem hiszik el, hogy részt vesznek a versenyben.
-
Turdus #18 Nem feltétlenül. Évek óta bevett módszer, hogy jelszavakat a következőképp kreálunk:
1. fogod a kedvenc versed/dalszöveged/idézeted egy sorát. pl.: "I can get no satisfaction"
2. kiveszed belőle a szóközöket, "Icangetnosatisfaction"
3. a magánhangzókat számokra cseréled, i=1, e=3, a=4 vagy 6, o=0. "1c6ng3tn0s4t1sf4ct10n"
4. szavak elejét nagybetűsíted, és jé, máris van egy könnyen megjegyezhető, mégis atombiztos jelszavad... "1C6nG3tN0S4t1sf4ct10n"
Ezt brute force-al törni kb lehetetlen. -
Turdus #17 Miért is nem megoldás? Az összes nagygépes rendszer ezt használja. Normál esetben nincs hatása, a brute force lefutási idejét meg 100 évről 30000-re tolja ki...
Indokold, miért nem jó! -
Hajoska #16 Egyrészt ahogy Mcsiv is megmondta, a Google, a Yahoo már évek óta használ Kapcsát az X-edik hibás bejelentkezés után, másfelől pedig a gyenge jelszót baromi egyszerűen ki lehetne védeni azzal, hogy az oldal tkp. NEM ENGEDÉLYEZ ún. gyenge jelszót, különböző jelszó szabályok szerint, amelyek a teljesség igénye nélkül a következők lehetnek:
- a jelszó nem tartalmazhatja a felhasználónévben szereplő Y hosszúságú karaktersorozatot,
- a jelszónak minimum Z karakter hosszúságúnak kell lennie,
- a jelszónak tartalmaznia kell minimum egy NAGYbetűt és/vagy egy sz4m0t és/vagy egy punktuáció$ karaktert
ezenkívül pedig a felhasználók szivatása helyett maga az oldal motorja ellenőrzi le szerver oldalon, hogy nem történik-e gyanús jelszópróbálkozás pl. N jelszó kipróbálása után ellenőrzi, hogy egyáltalán ugyanarról az IP címről történt-e a jelszó beírása (mondjuk egy globál-IP összehasonlítás alapján, enyhénszólva is gyanús ha az első európai próbálkozás után, már kínai IP címről próbál valaki bejutni, majd újabb fél perc múlva egy dél-amerikai IP címről) majd ezután szépen szünetelteti a belépés lehetőségét K percig.
Harmadrészt a brútforsz nagyon jól működik lokális , egy adott fájl-ra vonatkozó törésnél, ahol a fájl mérete , a jelszó nagysága és a gép(ek) teljesítményén kívül SEMMI MÁS nem befolyásolja a törés időtartamát, nem úgy mint az online brútforsznál, holmi internetkapcsolati sebesség, a szolgáltató szervereinek a válaszideje IS befolyásolja a próbálkozások közötti eltelt időtartamot ami CSILLIÁRD évekre nyújtja az amúgy is BRUTÁLHOSSZÚ időtartamot egy erősre kényszerített jelszó esetén... -
Akitlosz #15 "Az is jó megoldás, hogy minden emailt egy új postafiókba is elküldi a levelező. Mert ha fel is törik az eredeti levelezőt, akkor is gyorsan meg tudjuk változtatni a legfontosabb közösségi oldalak email címeit."
Kivéve azét, amiért feltörték a postafiókját, szóval ez nem jó megoldás.
A feltörő idő előnyben van. Ő azonnal tudja használni a feltört postafiókot, amint feltörte és így meg tudja változtatni a szükséges jelszavakat.
Mire a jogos tulajdonos egyáltalán észreveszi, már elkésett.
Megoldás nincsen, a támadás védekezés macska egér játéka addig tart, amíg ember él.
Nem biztos, hogy az emberek többségének megérné, hogy olyan jelszavakat használjanak az interneten, amit maguk sem bírnak megjegyezni.
Sőt, egész biztos, hogy nem éri meg.
Aki - helyesen - félti a személyes adatait, fényképeit az ne pakolja fel őket "közösségi oldalakra"!
Mert onnantól az hamar közkinccsé válhat, ami után már semmit nem tehet.
Ennyi. -
Akitlosz #14 "Van Chapta, ahol meg is lehet hallgatni a megfejtést. Úgyhogy ennyit a vakokról."
Meghallgatni meg lehet, de a vaknak ugyan nem visszamondania kellene a hallottakat, hanem bepötyögni a gépbe.
A számjegyeket milyen nyelven mondják? Mitől egyértelmű, hogy mindenki érti?
bikicsunáj vicsáj
-
joghurt3 #13 Minden bejelentkezésnél captcha? Előbb kötöm fel magam.
Ráadásul a kínai/indiai biorobotok fillérekért írják be a captcha kódokat. -
Akitlosz #12 Nem buta a user.
Azért használ egyszerű jelszavakat, mert azok a praktikusak, megjegyezhetőek.
Azok az "okos" felhasználók, akik minden weboldalon más foH4gU6?s3Kef féle jelszót adnak meg, hamar rájönnek, hogy jól megszívatták magukat, amikor a következő alkalommal is be szeretnének lépni és leszoknak a megjegyezhetetlen jelszavak tömeges használatáról.
Persze vezethetnek egy noteszt is a jelszavaikról, de az sem egy kimondott biztonságos megoldás.
Azért elég vicces, hogy a XXI. században még nem tudják azonosítani az embereket, amikor minden ember minden biológiai tulajdonsága egyedi, és csupán fél percig érvényes jelszót előállítani sem ördöngösség.
Itt megint a pénzről van szó. A biztonság elég kevés cégnek ér meg annyit, hogy sokat költsenek rá. Webes tartalom szolgáltatónak végül is tök mindegy ki a felhasználója, elmúlt-e 18 éves vagy sem stb. Miért is akarná olyan nagyon feltétlenül azonosítani? Joga sincs hozzá.
Úgyhogy maradnak ezek az olcsó captcha féle nem megoldások.
-
Akitlosz #11 Egyetértek a kritikusokkal, a captcha rajongókkal pedig nem.
A captchákat nem tudom mennyire könnyen fejtik meg a bűnözük, de hogy a tisztességes felhasználók igen nehezen az egészen biztos.
Ráadásul sok esetben nem is a biztonság növelése a céljuk, hanem a netetők ingyen munkaerejének a kihasználása.
Bedigitalizálnak könyveket, majd a szavakat kettesével kiadják captchának. A netetők lefordítják a képet szövegre ingyen és máris kész a képből a szöveg.
A 2 szót kérő captchák mind ilyenek. A két szóból csak az egyik a valódi ellenőrzés, a másik csupán az ingyenmunka. De a felhasználó persze nem tudhatja, hogy melyik, sőt ezt a módszert sem ismeri. Ezért van az, hogy a két szavas captcháknál sokszor akkor is elfogadja a megfejtést, amikor az rossz volt.
Szerintem a megoldás nem ez a sok captchás hülyeség lenne, hanem valami USB portra csatlakoztatható fizikai hardver, amolyan digitális személyi igazolvány, ami percenként egy új kódot generál ÉS jelszó.
Így minden ember egyértelműen azonosítani tudná magát a saját eszközével és az anonim, rossz szándékú netezés visszaszorulhatna.
Igazából kezd vicces lenni, hogy a XXI. században a választásokat még papír alapon, szavazófülkékben tartják egy halom választási bizottsággal.
E megoldás természetes az életkor szűrését is megoldaná. Ne bemondásra menne ki hány éves.
No persze a nagy testvér figyel téged világtól félők, meg a személyes adatokért aggódók aggasztónak találhatnák a megoldást, bár az emberek nagy része félelem nélkül pakolja fel a személyes adatait, fényképeit a netre.
Persze tökéletes rendszer nincsen, de valahogy nem érzem, hogy ezek a captchák az én érdekemet szolgálnák, amikor internetezek. Inkább csak idegesítésnek jók, meg az ingyen munkaerő kihasználására.
-
atomjani #10 Vannak jó megoldások.
Például van ahol kérdéseket tesznek fel, hogy milyen nap van, mi a Magyarország fővárosa stb. Van ahol oda is írják, hogy kis betűvel kell írni. A lényeg, hogy mindenki által ismert információkra kérdez egyértelmű és egy megoldással rendelkezzen.
Van Chapta, ahol meg is lehet hallgatni a megfejtést. Úgyhogy ennyit a vakokról.
Nem jó az, hogy az elején nincs chapta, mert ha egy nevet, email címet és jelszót kérő regisztrációs űrlappal szerzik meg az adatokat, akkor simán vissza tudnak élni vele. Mint ahogy MSN esetén is van. Tényleg sokan mindenhol ugyanazt a nevet, emailcímet és jelszót használnak, ezért az első próbálkozásra is be lehet jutni egy másik oldalra ezekkel az adatokkal. De ha rögtön azt is be kéne írni például, hogy mi Magyarország fővárosa, akkor úgy elfogadható és csak az tud bejutni, aki robotok nélkül manuálisan akar belépni. Mert ő látja ezt a plussz könnyen megfejthető kérdést.
Egyedül az email fiók belépéséhez szükséges jelszó legyen más, mert ezzel új jelszót kérhetünk. De az olyan helyen is érdemes másik jelszót használni, ahol az email cím megváltoztatását nem kell külön emailben is megerősíteni.
Az is jó megoldás, hogy minden emailt egy új postafiókba is elküldi a levelező. Mert ha fel is törik az eredeti levelezőt, akkor is gyorsan meg tudjuk változtatni a legfontosabb közösségi oldalak email címeit. Kivéve ha nem ő kattint elsőnek az email cím megváltoztatáshoz szükséges megerősítő linket vagy a levelek továbbítását nem veszí észre azonnal és kapcsolja le. -
gombost #9 "3. sikertelen próbálkozás után kitilt a rendszer fél órára, és kész."
Ez nem megoldás.
Ha kerülendő lenne, akkor nem használná senki, ehhez képest volt pár epic hack, ahol brute force-ot is használtak.
Ennek az egésznek azért nincs értelme, mert, ha a program, ami a brute force-ot csinálja átjut az első CAPTCHA-n, akkor a másodikon is át fog. -
Turdus #8 Ez a cikk úgy ahogy van baromság. A Brute force mindig is kerülendő megoldás volt, mivel pofonegyszerrű védekezni ellene: a 3. sikertelen próbálkozás után kitilt a rendszer fél órára, és kész. -
bakagaijin #7 vakokról és gyengénlátókról nem is szólva...
Emlékeim szerint a CAPTCHA-ra eddig kétféle automatizált emberi megoldást olvastam. Az egyiket egy indiai cég kínálta: órabérben fejtenek CAPTCHÁ-kat megrendelésre. 2 USD-ért 1000-et, sok emberrel. A másik, még ennél is olcsóbb megoldás: pornósite oldalaiba illesztették be egy másik site CAPTCHáit, amit a látogatók fejtenek meg és a site továbbítja eredeti helyére. Ez is természetesen megrendelésre. -
#6 Igen, ez a jó megoldás, nem az, hogy már az első bejelentkezésnél captcha-val szívassák a felhasználót.
Valószínűleg egy sg fórum belépéshez tök felesleges captcha, de pl személyes adatokat tartalmazó közösségi oldalakhoz, web-es emailhez, paypal szerű oldalakhoz nem árt. Ha már a buta user egyszerű jelszavakat használ, legyen valami védelem brute force ellen. -
Mcsiv #5 nem akarom szegény kutatókat megbántani, de a google-nél 2005-ben láttam elsőnek, hogy 3 helytelen jelszó után elkezdett captchat is kérni, hogy nem-e bf megoldással estem-e a fióknak.
-
#4 Miért is színtévesztőként, néhány chaptat egyszerűen nem látok, akkor most mi van kivagyok zárva csak azért mert nem látok jól? Nem a chapta kéne hogy a legfontosabb legyen, a másik meg minek 20 webhelyhez 20 jelszó, amikor a negyrészük semmi igazi információval nem rendelkezik rólam. Csak a fontosabbak paypal moeybooker ilyesmik kapnak nálam külön jelszót, a többi megy egy egyenjelszóval, engem nem érdekel ha feltörik az sg-s fórumjelszavam. -
#3 ha ezeken az oldalakon még egy motornak is futnia kell ami a spammeket szűri akkor majd azt veszed észre hogy az oldal hosszú másodpercekig fog tölteni mire megjelenik. Mellesleg tökéletes spam szűrőt lehetetlen írni.
Ha meg lusta vagy a CAPTCHA kitöltésére akkor ne netezzé!!! -
Cat #2 Számomra ez teljesen érthetetlen álláspont. Ebből látszik, hogy a felhasználók a saját jelszavaik terén is mennyire lusták és felelőtlenek. Nem véletlen, hogy a többségnél egy jelszó van 15 helyre. -
#1 ha minden bejelentkezéshez reCapcha-t akarnak integrálni mindenhova, én mondom leszokok az összes szolgáltatásról és visszatérek a lokális megoldásokra.
Már az is éppen idegesítő amikor a regisztrálásoknál/letöltéseknél kérik, de az egyiket legjobb esetben csak 1x kell végigrágni, másikra meg van alternatíva, mint pl a torrent. Fene akarja a szabadidejének, netán a melójának a harmadát azzal tölteni, hogy guborodik a kiadott hieroglifák előtt és hunyoríva próbálja kiolvasni, majd bepötyögni (és még akkor is megesik hogy visszadob, mert valamit nem "úgy" láttál ahogy ő elképzelte).
100x inkább legyen spamáradat fórumokon, emailekben amit szűr/töröl egy motor a háttérben. Viszont ettől a reCaptha-tól nincs sok kiemelkedően idegesítőbb modern fejlesztés...