Nem tudjuk mivel leváltani jelszavainkat

Figyelj, vissz az alapokig:
Az ideális az lenne ha a felhasználó a különbõzõ rendszerekhez eltérõ usernevet és jelszót használna. De mivel az átlagember nem tud 8-10 jelszót fejben tárolni ez nem lehetséges. Erre jöttél te a hashes mókáddal, ami nem rossz csak az viszont 100% garantálja hogy egyet sem fog a user megjegyezni.

Tehát a hash mellé kell egy alkalmazás ami tárolja a hasheket meg foglalkozik az oldalakkal amik kérik a jelszót. Innentõl kezdve viszont nincs sok teteje, mert ez a felhasználónév/jelszó párossal is megoldható csak kell egy app ami mind a 8-10 jelszavad tárolja és akkor a usernek nem kell fejben tartania. Technikai szempontból tökmindegy hogy 8-10 hash-t tárol az alkalmazás vagy 8-10 jelszót.

Ami viszont hátrány hogy mind az alkalmazásnak mind a jelszó/hash adatbázisnak ott kell lennie azon a gépen amit használsz. Na most ha ez egy munkahelyi gép, ha a szomszéd gépe, ha egy internetkávézõ stb stb akkor ez nem lesz rajta, sõt valószinüleg jogosultságod sem lesz telepíteni. A jelszó esetén legalább van esélyed azzal belépni, hash esetén bukó.

Persze feltöltheted a felhõbe az egészet titkositva, ami azért nagyon jó megoldás mert az átlagusernek miután legeneráltad az 1024 bites hasht, utánna õ az egészet le fogja titkositani a "julcsi" jelszóval mert ez a lánya neve és felnyomja a felhõbe. Ezután a kedves hackernek nem lesz más dolga mint feltörni a felhõt, ellopni ezt az adatot és mindjárt meglesz az összes szolgáltatóhoz a hozzáférése, mert a "julcsi" jelszóval titkositott 1024 bites hasheket viszonylag könnyen vissza fogja fejteni...

Torreadorz #38-as kommentjere szantam, nemtudom miert magamnak kuldte :)

minek talaltak fel a pendriveot? vagy a cloudot? neked 1 jelszo kell, amivel unlockolod a hashokat, ami meg mindig semmitmondo, ha veletlenul vissza is lenne fejtve.

Azonkivul mint mondtam, tarolva lenne milyen oldalhoz tartozik a hash, tehat ugyanazzal a generalt hashhal masik oldalon nem engedne bejelentkezni.
Az usernev hianya sem problema, mert a regisztracio pont azert van, hogy hozzacsatolja a letrehozando profilodhoz a hasht, es ha az adatbazisban mar van egy ilyen, akkor termeszetesen nem engedi. Vagy generalhat akar az oldal is..

Es itt most a fontosabb kritikus tartalmak vedelmerol van szo, nempedig az sg forum belepodrol, vagy a facebookodrol... Azokra meg fordit annyi figyelmet az ember, hogy olyan megoldast valaszt hogy hozzaferjen, vagy ne lepjen be netkavezobol a titkositott munkahelyi adatbazisaba...

Nem kell tudnia, mert elõször végigpróbálja az 1-2 karakteres jelszavakat, majd az 1 szóból álló összetételeket, utána a 3-4 karakteres jelszavakat, majd a 2 szóból álló összetételeket, és így tovább.

Kuglinak nem kell mindig hinni, meg a playboy felméréseknek se (950K szó angolban - egy lóf.szt). De ha volna is annyi, akkor se az számít, hanem az, hogy te ebbõl mennyit ismersz, mivel amit nem ismersz, az számodra csak random karaktersorozat.

Javaslom tanulmányozásra inkább ezt:
Szókincsméretek összehasolítása

- Az átlagember aktív szókincse (élõ-aktív és szunnyadó-aktív): 3-5000
- középszintnek megfelelõ szókincs: 3500-3900.
- A 20 kötetes Oxford English Dictionary - ma is használt szavak: 171476

Szóval az az 1 millió az erõsen felül becsült valami. 4 szóból 4000 szavas szókincset feltételezve 256000000000000 variáció jön ki, ami nagyságrendileg megfelel egy 8 karakteres, kis-nagybetû-szám véletlenszerû jelszónak. Ami persze nem szar, de legyünk vele tisztában, hogy ami értelmes, az pont ennyivel rosszabb a randomnál. 2 random karakter kb 1 értelmes szónak felel meg (62x62~4000).

*"és te ezt tudod": mármint a támadó tudja elõre, hogy négy angol szóból áll a passphrase.

Nem feltétlenül. Ha arra gondolsz, hogy mondjuk 4 angol szó van, mint a képen, és te ezt tudod, akkor is 1 000 000 000 000 000 000 000 000 szókombináció lehetséges. (Az angol szavak száma 1-2 millió között van, és tudjuk hogy 4 szó van. Elsõ google találat: http://www.stop.hu/tudomany/hany-szo-van-az-angol-nyelvben/485853/ )
Ha beleveszed a magyar szavakat, és mondjuk megkülönbözteted a kis- és a nagybetûket, akkor már egész tekintélyes mennyiségû kombinációt kell a szótárba gyömöszölni, és az egész egy méretes brute force törésbe megy át.

eleve nem tárolhatnának semmi titkositatlanul. ugyanezt csinálják a bankártya adatokkal azt azért lopják sorban öket. inkopetens idiota szolgáltatok...

De ugye tudod ez csak addig müködik amig egy gépet használsz.

Mert ha nem akkor minden gépre fel kell tenned az appot, mellé a hash adatbázist, tehát ezt mind vinned kell magaddal mindig mert ha pl. a haverodnál vagy és meg akarod nézni az fb-d akkor nem fogod fejbõl vágni az 1024 bites hash kódot. Munkahelyeden dettó, iskolában detto. Okostelefonról nem beszélve ahol vagy van ilyen app vagy nincs. Linux/Windows detto.

Szóval ehhez smartcard kéne ami meg nem véletlenül nem terjedt el.

Ezen felül meg ha hash ütközés van, ami azért elõfordulhat akkor máris be tudsz lépni más accjával.

generalsz egy 1024 bites hash kodot pl a progival.
igy nez ki: hg$Ghg34G$%^&5@Hfg67@#6@B%!#6523b68 (csak elnagyolt pelda)
ezt beilleszted regisztraciokor az oldalra e ezzel parositja ossze a profilod.
a progiban meg letarolod, hogy ez a hash a facebookhoz van. Egy masik hash meg az sg-hez. stb.
A bongeszok fel lennenek keszitve arra hogy tudjanak bizonyos secure protocollon keresztul kommunikalni az app-al amiben a hashokat tartod.
az app-ban meg ossze van parositva az oldal azonosito, hitelesitett cucca, es igy a weboldalra navigalva csak egy belepes gomb var a tobbi automata. Vagy alapbol beloggol.
A progi adatbazisa vedve lenne egy masterpasswordal, igy ha el is lopjak az adatbasisat, cseszhetik az amugyis semmitmondo hashok is kodolva vannak a tobbi adattal egyutt.

Ez mar mukodik, kulonbozo jelszo manager progikban, csak ott usernev es jelszo parost tarol kodolva es van auto login, de neha eleg bena vagy nem is mukodik.

Egyetértek. Bár csak kb. 36 és fél perc, mégis igen sok munka egy 8 karakteres jelszóért. 10 karakter (1 millió db, másodpercenként 1 milliót próbálkozó zombival is kb. 2 nap) fölött meg szinte esélytelen!

Aki meg be van rekedve az dögöljön meg fészbook nélkül... <#szomoru2><#szomoru2>

Jó lenne a netbookba is az USB-s, mert én nem akarnék fizetni érte 5000 sem. Nem azért mert sok, hanem mert haszontalannak tartom. Aki szeretne vegye, de ne legyen mindenben azért...
A jelszavakat nem megjegyzõ böngészõbeállítás a netbook lopás ellen is véd!

Ezt mondom mindenkinek már régóta. Legyen erõs jelszava, és "kódoljon" bele valamit abból ahova belép vele. Így a jelszavával máshova nem lehet belépni.

Ahol meg egyszer ellopták a jelszavam, oda többet nem is szeretnék belépni, ez tuti.

Hiába törik fel ha nem tudják hogy kihez tartoznak a hash kódok úgy meg nem sokat ér szerintem.

A szerver milyen adatbazisbol ellenorzi, hogy ez a hash jo?
Na, azt az adatbazist feltorik es mar annyi...

random hash generalo progi, jelszoval vedve.
Fut a pc-n, minden weboldal loginjahoz mas lenne a hash.
Regisztraciokor a generalt hasht kellene bemasolni, azt tarolna a szerver nem kene se jelszo se usernev.
A progi automatikusan erzekelne, hogy melyik weboldalon jarunk, az oldal pedig automatikusan felajanlana a lehetseges belepoket, es egy gombnyomas, es go.

Nem kellene szenvedni ezekkel a dolgokkal. Ha feltorik a szervert, akkor ugyis csak ehhez a hashhoz ferne hozza, ha a sajat gepedet torik fel, akkor sem tudna mit kezdeni a tarolt hashekkel, mert az is jelszoval lenne vedve.

Ennyi

Cöcöcöcö...
Az egesz rohadt visszas es szerintem mindig allami es/vagy ceges erdekek allnak az ilyenek mogott.
Elerik, hogy a felhasznalo akarja majd a ver, arc, ful, ujjlenyomat, dns, fityma, fun-szor, seggemlyuka azonositot.
Es akkor tenyleg minden adatuk meg lesz.
Celzott hirdetes.
Meg, hogy konkretan ki vagy (mert most meg nehez a felhasznalot az utcan pofara is azonositani).
Leszarom. Torjek.
Mit kezd vele?
Meg erdekes, hogy az ilyen hackerek nagyreszet meg se fogjak.
Mert? Mert nem is keresik oket.
Szeeerintem...

És ha épp egy haverom sincs fenn akkor nem tudok belépni :)
Nem mellesleg egy fényképet behazudni nem nagy kunszt

Fanszõrzet azonosító USBn keresztül. De ennyi erõvel lehetne arcmimika scanner is mert ugye a fõbb pontok az emberen eltérõek mint az orrnyereg meg a szemöldök csont(vagy tudom is én hogy hívják :) ) :D

Nem (csak) az SHA-1 avult el, hanem a felhasználó által adott jelszó is. A sózás meg jellemzõen szart se ér, mert ha már a db szervert felnyomták, akkor meglesz nekik a sózás kódja is.
Jelenleg ami tény, hogy ami felhasználók által megadott jelszó jelentõs részben megtalálható 30 USD-ért kapható MD5 (SHA-1, tökmind1 mi) adatbázisokban. Ezért van az hogy "ezek egyik fele az eredeti SHA-1 hash formájában, míg a másik már a visszafejtett, mindenki által olvasható változatban."
Az a fele visszafejtett, ami:
- túl rövid volt (8 karakter alatt),
- megtalálható jelszó adatbázisban (pl weben 1x már valaki legenerálta a hashét.
- Brute force-al azóta feltörték. Azért ha csak angol ABC kis/nagybetûk+számokat keresünk, akkor ez 8 karakteres jelszó esetén 62^8, azaz kurvasok. Ha 1 milliót tudunk ellenõrizni másodpercenként 1 gépen, és van egy 100ezer gépes zombi hálózatunk erre a célra, akkor is 2183 másodperc, ami több mint másfél nap. 1 jelszóért. Nem éri meg gépidõben.
Szóval alapvetõen random generált, legalább 8 karakteres jelszavakat kell használni, amiben van kis és nagybetû és szám. Mivel ezek jó eséllyel nincsenek meg táblázatban, a visszafejtésük meg sok-sok idõ.

Persze a tokenes/SMS-es azonosítás is ad plusz biztonsági szintet, de ez ma még jellemzõen csak bankoknál elérhetõ, meg olyan helyen, ahol tényleg sokat veszíthet az ember (pl WoW-nál van tokenes azonosításra lehetõség). Azonban ezekben sem lehet 1000 százalékig megbízni, mert a token ugyanolyan pszeudorandom mint mondjuk az MD5, tokenenként változó kezdõértékkel, szóval onnan kezdve hogy a tokenes authentikáció elérhetõ mondjuk iPhone app-ként, már ismert az algoritmus, ezért törhetõ. SMS-nél meg ugye az adatfolyam lehallgatható.

Egyébként a legjobb védekezés még mindig az lenne, ha normális fejlesztõk készítenék ezeket az oldalakat. A legtöbb webes fejlesztõ még ma is direktben nyúlják táblákhoz, ami eleve odabasz a biztonságnak. Normális helyen a webszerver egy olyan felhasználóval kapcsolódik az adatbázishoz, amelynek csak bizonyos tárolt eljárások futtatására van joga. Ezzel ugyebár kiküszöbölhetõ, hogy az "users" tábla olvasható legyen, így le se lehet menteni a felhasználói adatokat. Persze ehhez nem mysql kell, ami minden 256. logint automatikusan elfogad...

Ha nincs fenykepezogep vagy rosszak a fenyviszonyok, akkor nem tud bejelentkezni?

És egyetlen központi login ameddig a user be nem fejezi a dolgát addig kap egy tokent ami az esetek 99% ban elég.

A közösségi oldalak fénykorát éljük. Használjuk ki. Fénykép a userrõl és arc alapján azonosítja valamelyik haverja. +jelszó +hangazonosítás captcha kód felolvasásával. Tekinve hogy egy embernek körülhatárolható egy viszonylag szûk baráti köre (nem 10.000 mint a facebook on) ha ezeket megjelöljük viszonylag kis kényelmetlenséget okoz és sokkal jobb mint a legjobb arcfelismerõ.

Szerintem nem a jelszóvakkal van a baj, hanem a felhasználókkal. Az esetek többségében szó sincsen crackerekrõl meg hackerekrõl, hanem a felhasználó butaságát kihasználva csalják ki a jelszavakat. Aki értelmes, annak még nem lopták el fiókját sehol. Persze kivételt képeznek ez alól, az olyan esetek, amikor egy nyílt forráskódú rendszert törnek fel, de az a hülye vessen magára, aki nyílt forrás kódú rendszeren tárol fontos adatokat, lol.

Továbbra is kérdezem: mit nyersz az ujjlenyomat olvasóval, ha a szolgáltatótól ellopják az ujjlenyomat adatbázist ami esetleg full titkositatlanul van tárolva??? (merthogy ugye ezzel indit az egész cikk, miszerint a linkedin jelszavakat ellopták és baromira senkit nem érdekel hogy az a "jelszó" honnét került oda, billentyüzeten gépelted be, vagy ujjlenyomat olvasóval vagy orrokat kötöttél össze fülekkel).

Azon kivül hogy ismerni fogják az ujjlenyomatodat és az összes többi rendszerbe is be fognak tudni lépni ahol ezt használtad és még csak meg sem tudod változtatni az ujjlenyomatod...

Érthetetlen, itt csupa write-only ember van?...

Brute Force-al lehet nehezebb, de Dictionary Attack -al sokkal egyszerûbb az alsót megtörni!

mennyivel egyszerübb lenne ha a tetves laptopokba integrálnák azt a kemény 5000 forintos ujjlenyomat olvasot ami használhato jelszó helyett és még a laptopot is védi
a pc.kre meg az oprendszer mellé adniuk kéne a kis usb-s modult

Valahogy meg kell, hogy kapd a jelszot, azt lehallgatni pedig lehet, h egyszerubb, mint feltorni egy statikusat.

Igaz.

Hagyjanak már a francba engem ilyen butaságokkal. Védjék õk 30 karakterrel a felhasználói fiókjukat. Nem fog semmit érni ,ha igazán tapasztalt a cracker aki feltöri a rendszert. Én direkt kifejezetten egyszerû jelszót használok mert beleuntam ,hogy fölöslegesen gépelek olyan sokat. Aki adatot akar lopni felkészül a jelszóra. A jelszavak bizonyos helyekre csak azért kellenek ,hogy jóskaspita ne tudjon belépni. Az igazán fontos helyekre speciális belépés kell mondjuk mindent jól beírsz kapsz egy sms-t az tartalmaz egy kódot és csak ezután enged be. Ahol fontos a biztonság ott megéri fizetni.

Úgy tesztek, mintha nem hallottatok volna az idõben változó jelszavakról. Nyugodtan nézhetik, mit gépelek be, a jelszó csak 10 percig érvényes és jegyzi a rendszer, hogy a jelszó már használva volt. (Idõutazók kíméljenek!)

Én ezt értem, csak azt nem hogy min segit? Ha a cikkben lévõ példát vesszük, akkor a facebook tárolna a userneved, jelszavad és az ujjlenyomatod.

Ezután ha valaki feltöri az fb-t és ellopja az fb adatbázisát, akkor meglesz nekik a felhasználó/jelszó páros mellett az ujjlenyomatod is. Ha mákod van akkor valami nehezen törhetõ módszerrel titkositva, ha nincs - mint pl. a sony esetén- akkor plain textként letárolva... Ilyen esetben akár azt is elképzelhetõnek tartom hogy akár az ujjlenyomatodat fizikailag is reprodukálni lehessen, bár nem ismerem hogy hogyan lesz az ujjlenyomatodból digitális jel.

És mivel az ujjlenyomatod egészen biztos nem változik, igy az illetõ az összes olyan rendszerbe képes belépni ahol az ujjlenyomatod használtad és/vagy az fb-os jelszó/usernév párost.

Tehát a történet vége az, hogy a user nem sokat tehet a szolgáltató rendszereinek védelmében, azt a szolgáltatónak kell megtenni. A user csak annyit tehet hogy a különbözõ rendszereken eltérõ jelszavakat és/vagy userneveket használ igy ha az egyik szolgáltató adatbázisa kompromittálódik akkor legalább abban biztos lehet hogy más rendszerekbe nem fognak tudni az õ accountjával belépni.

Félreértitek rendesen.

Nem arra gondolok, hogy a netbankodba ilyenekkel lépj be, de egy senkit nem érdeklõ fészbukra pl. teljesen megfelelne, pass-al kiegészítve.

A fõ kérdés az hogy mi ellen akarunk védeni. Ez a cikk sajnos hemzseg a hülyeségektõl és keveri a szezont a fazonnal.

Ugyanis annak hogy a szolgáltatótól ellopták a jelszavakat tartalmazó adatbázist az égvilágon semmi köze ahhoz hogy egy adott felületen hogyan lépünk be a rendszerbe.
Attól hogy orrokat kell összekötni egy képen még egy hackernek semmivel sem lesz nehezebb dolga, ha egyébként megvan neki a felhasználónév-jelszó páros, mert ellopta a szolgáltató adatbázisát.

Dehat azt ugyanugy el tudjak lopni, mint az ujjlenyomatot es ugyanugy nem tudod megvaltoztatni, mint azt.

Talan az lehet az egyik (jobb) modszer, ha egy egyszer mar megadott hosszu jelszo mindig mas reszleteit kerdezne meg a belepteto szoftver.

Az SHA1 elavult, minimális követelmény manapság az SHA512 és salt-ot kell használni ahhoz is. A salt a brute force ellen nem véd, ha már betörtek, de a ditionary alapú törések ellen hasznos lehet.

én arra lennék kíváncsi, hogy mire lenne jó egy ilyen hash funkció. (leginkább semmire)

DNS azonosítást usb eszközön keresztül.

Hehe, egyszer ült elõttem egy srác HP laptoppal de izzadt a keze és kb 10 percig próbált belépni :D

"kizárólag az említett SHA-1 hash eljárást alkalmazták, ami nem nevezhetõ túl biztonságosnak, hiszen egy adott szöveget mindig ugyanazon kóddá alakít át, ami rögtön támadási felületet jelent a másik oldalnak"

Hoppá... ez igen. Igazán szakmai érv. Innentõl kezdve elég komolytalan a cikk. :D Kíváncsi vagyok milyen lenne az a hash algoritmus, ami minden alkalommal más kimenetet generálna ugyanabból a karakterláncból.. :)

Az ujjlenyomat olvasó az egyik legrosszabb ötlet. Most direkt nem írok le további érveket miért, ha érdekel elgondolkodsz, ha nem úgy is jó.

ööö...
Akkor tisztázzuk elöször: melyik problémát szeretnéd megoldani az ujjlenyomat olvasóval?

baromi deadly combó lenne amikor boldog boldogtalan tudná az ujjlenyomatodat és csak kb 30 nagycég adatbázisában lenne meg...

Ha elolvasod a cikket láthatod, hogy MÁSODLAGOS hitelesítési eljárást keresnek a PASSWORD mellé... olcsó, könnyen elérhetõ, password-el együtt deadly combo, sok notin már évek óta jelen van.

"kizárólag az említett SHA-1 hash eljárást alkalmazták, ami nem nevezhetõ túl biztonságosnak, hiszen egy adott szöveget mindig ugyanazon kóddá alakít át, ami rögtön támadási felületet jelent a másik oldalnak"

Hm... Aztán hogy képzeli a cikkiró azt a titkositó algoritmust ami ugyanarra a bemenetre mindig más és más kimenetet produkál? Az tény hogy biztonságos lenne, mivel a belépés kb. sorsolásos uton müködne.

Tinman:
az ujjlenyomat olvasó a létezõ legrosszabb ötlet. Egyrészt a szerver oldali adatlopások ellen ugyanúgy nem véd, másrészt az ujjlenyomatot könnyü lemásolni mert elég hozzá pl. egy darab üvegpohár amit megfogtál az étteremben.

Továbbá, viszonylag nehéz megváltoztatni, tehát ha egyszer kompromittálódott, akkor oltári nagy bukó van, mert a jelszót könnyen módosítom, de az ujjlenyomatom ugyanaz marad...

Fingerprint reader.
Problem solved.