47
  • torreadorz
    #47
    Figyelj, vissz az alapokig:
    Az ideális az lenne ha a felhasználó a különbőző rendszerekhez eltérő usernevet és jelszót használna. De mivel az átlagember nem tud 8-10 jelszót fejben tárolni ez nem lehetséges. Erre jöttél te a hashes mókáddal, ami nem rossz csak az viszont 100% garantálja hogy egyet sem fog a user megjegyezni.

    Tehát a hash mellé kell egy alkalmazás ami tárolja a hasheket meg foglalkozik az oldalakkal amik kérik a jelszót. Innentől kezdve viszont nincs sok teteje, mert ez a felhasználónév/jelszó párossal is megoldható csak kell egy app ami mind a 8-10 jelszavad tárolja és akkor a usernek nem kell fejben tartania. Technikai szempontból tökmindegy hogy 8-10 hash-t tárol az alkalmazás vagy 8-10 jelszót.

    Ami viszont hátrány hogy mind az alkalmazásnak mind a jelszó/hash adatbázisnak ott kell lennie azon a gépen amit használsz. Na most ha ez egy munkahelyi gép, ha a szomszéd gépe, ha egy internetkávéző stb stb akkor ez nem lesz rajta, sőt valószinüleg jogosultságod sem lesz telepíteni. A jelszó esetén legalább van esélyed azzal belépni, hash esetén bukó.

    Persze feltöltheted a felhőbe az egészet titkositva, ami azért nagyon jó megoldás mert az átlagusernek miután legeneráltad az 1024 bites hasht, utánna ő az egészet le fogja titkositani a "julcsi" jelszóval mert ez a lánya neve és felnyomja a felhőbe. Ezután a kedves hackernek nem lesz más dolga mint feltörni a felhőt, ellopni ezt az adatot és mindjárt meglesz az összes szolgáltatóhoz a hozzáférése, mert a "julcsi" jelszóval titkositott 1024 bites hasheket viszonylag könnyen vissza fogja fejteni...
  • coolpet
    #46
    Torreadorz #38-as kommentjere szantam, nemtudom miert magamnak kuldte :)
  • coolpet
    #45
    minek talaltak fel a pendriveot? vagy a cloudot? neked 1 jelszo kell, amivel unlockolod a hashokat, ami meg mindig semmitmondo, ha veletlenul vissza is lenne fejtve.

    Azonkivul mint mondtam, tarolva lenne milyen oldalhoz tartozik a hash, tehat ugyanazzal a generalt hashhal masik oldalon nem engedne bejelentkezni.
    Az usernev hianya sem problema, mert a regisztracio pont azert van, hogy hozzacsatolja a letrehozando profilodhoz a hasht, es ha az adatbazisban mar van egy ilyen, akkor termeszetesen nem engedi. Vagy generalhat akar az oldal is..

    Es itt most a fontosabb kritikus tartalmak vedelmerol van szo, nempedig az sg forum belepodrol, vagy a facebookodrol... Azokra meg fordit annyi figyelmet az ember, hogy olyan megoldast valaszt hogy hozzaferjen, vagy ne lepjen be netkavezobol a titkositott munkahelyi adatbazisaba...
  • Komolytalan
    #44
    Nem kell tudnia, mert először végigpróbálja az 1-2 karakteres jelszavakat, majd az 1 szóból álló összetételeket, utána a 3-4 karakteres jelszavakat, majd a 2 szóból álló összetételeket, és így tovább.
  • Komolytalan
    #43
    Kuglinak nem kell mindig hinni, meg a playboy felméréseknek se (950K szó angolban - egy lóf.szt). De ha volna is annyi, akkor se az számít, hanem az, hogy te ebből mennyit ismersz, mivel amit nem ismersz, az számodra csak random karaktersorozat.

    Javaslom tanulmányozásra inkább ezt:
    Szókincsméretek összehasolítása

    - Az átlagember aktív szókincse (élő-aktív és szunnyadó-aktív): 3-5000
    - középszintnek megfelelő szókincs: 3500-3900.
    - A 20 kötetes Oxford English Dictionary - ma is használt szavak: 171476

    Szóval az az 1 millió az erősen felül becsült valami. 4 szóból 4000 szavas szókincset feltételezve 256000000000000 variáció jön ki, ami nagyságrendileg megfelel egy 8 karakteres, kis-nagybetű-szám véletlenszerű jelszónak. Ami persze nem szar, de legyünk vele tisztában, hogy ami értelmes, az pont ennyivel rosszabb a randomnál. 2 random karakter kb 1 értelmes szónak felel meg (62x62~4000).
  • Shiny Copperpot
    #42
    *"és te ezt tudod": mármint a támadó tudja előre, hogy négy angol szóból áll a passphrase.
  • Shiny Copperpot
    #41
    Nem feltétlenül. Ha arra gondolsz, hogy mondjuk 4 angol szó van, mint a képen, és te ezt tudod, akkor is 1 000 000 000 000 000 000 000 000 szókombináció lehetséges. (Az angol szavak száma 1-2 millió között van, és tudjuk hogy 4 szó van. Első google találat: http://www.stop.hu/tudomany/hany-szo-van-az-angol-nyelvben/485853/ )
    Ha beleveszed a magyar szavakat, és mondjuk megkülönbözteted a kis- és a nagybetűket, akkor már egész tekintélyes mennyiségű kombinációt kell a szótárba gyömöszölni, és az egész egy méretes brute force törésbe megy át.
  • DeviloftheHell
    #40
    eleve nem tárolhatnának semmi titkositatlanul. ugyanezt csinálják a bankártya adatokkal azt azért lopják sorban öket. inkopetens idiota szolgáltatok...
  • torreadorz
    #39
    De ugye tudod ez csak addig müködik amig egy gépet használsz.

    Mert ha nem akkor minden gépre fel kell tenned az appot, mellé a hash adatbázist, tehát ezt mind vinned kell magaddal mindig mert ha pl. a haverodnál vagy és meg akarod nézni az fb-d akkor nem fogod fejből vágni az 1024 bites hash kódot. Munkahelyeden dettó, iskolában detto. Okostelefonról nem beszélve ahol vagy van ilyen app vagy nincs. Linux/Windows detto.

    Szóval ehhez smartcard kéne ami meg nem véletlenül nem terjedt el.

    Ezen felül meg ha hash ütközés van, ami azért előfordulhat akkor máris be tudsz lépni más accjával.
  • coolpet
    #38
    generalsz egy 1024 bites hash kodot pl a progival.
    igy nez ki: hg$Ghg34G$%^&5@Hfg67@#6@B%!#6523b68 (csak elnagyolt pelda)
    ezt beilleszted regisztraciokor az oldalra e ezzel parositja ossze a profilod.
    a progiban meg letarolod, hogy ez a hash a facebookhoz van. Egy masik hash meg az sg-hez. stb.
    A bongeszok fel lennenek keszitve arra hogy tudjanak bizonyos secure protocollon keresztul kommunikalni az app-al amiben a hashokat tartod.
    az app-ban meg ossze van parositva az oldal azonosito, hitelesitett cucca, es igy a weboldalra navigalva csak egy belepes gomb var a tobbi automata. Vagy alapbol beloggol.
    A progi adatbazisa vedve lenne egy masterpasswordal, igy ha el is lopjak az adatbasisat, cseszhetik az amugyis semmitmondo hashok is kodolva vannak a tobbi adattal egyutt.

    Ez mar mukodik, kulonbozo jelszo manager progikban, csak ott usernev es jelszo parost tarol kodolva es van auto login, de neha eleg bena vagy nem is mukodik.
  • AgentKis
    #37
    Egyetértek. Bár csak kb. 36 és fél perc, mégis igen sok munka egy 8 karakteres jelszóért. 10 karakter (1 millió db, másodpercenként 1 milliót próbálkozó zombival is kb. 2 nap) fölött meg szinte esélytelen!
  • AgentKis
    #36
    Aki meg be van rekedve az dögöljön meg fészbook nélkül...
  • AgentKis
    #35
    Jó lenne a netbookba is az USB-s, mert én nem akarnék fizetni érte 5000 sem. Nem azért mert sok, hanem mert haszontalannak tartom. Aki szeretne vegye, de ne legyen mindenben azért...
    A jelszavakat nem megjegyző böngészőbeállítás a netbook lopás ellen is véd!
  • AgentKis
    #34
    Ezt mondom mindenkinek már régóta. Legyen erős jelszava, és "kódoljon" bele valamit abból ahova belép vele. Így a jelszavával máshova nem lehet belépni.

    Ahol meg egyszer ellopták a jelszavam, oda többet nem is szeretnék belépni, ez tuti.
  • SASI
    #33
    Hiába törik fel ha nem tudják hogy kihez tartoznak a hash kódok úgy meg nem sokat ér szerintem.
  • Tetsuo
    #32
    A szerver milyen adatbazisbol ellenorzi, hogy ez a hash jo?
    Na, azt az adatbazist feltorik es mar annyi...
  • coolpet
    #31
    random hash generalo progi, jelszoval vedve.
    Fut a pc-n, minden weboldal loginjahoz mas lenne a hash.
    Regisztraciokor a generalt hasht kellene bemasolni, azt tarolna a szerver nem kene se jelszo se usernev.
    A progi automatikusan erzekelne, hogy melyik weboldalon jarunk, az oldal pedig automatikusan felajanlana a lehetseges belepoket, es egy gombnyomas, es go.

    Nem kellene szenvedni ezekkel a dolgokkal. Ha feltorik a szervert, akkor ugyis csak ehhez a hashhoz ferne hozza, ha a sajat gepedet torik fel, akkor sem tudna mit kezdeni a tarolt hashekkel, mert az is jelszoval lenne vedve.

    Ennyi
  • ugh
    #30
    Cöcöcöcö...
    Az egesz rohadt visszas es szerintem mindig allami es/vagy ceges erdekek allnak az ilyenek mogott.
    Elerik, hogy a felhasznalo akarja majd a ver, arc, ful, ujjlenyomat, dns, fityma, fun-szor, seggemlyuka azonositot.
    Es akkor tenyleg minden adatuk meg lesz.
    Celzott hirdetes.
    Meg, hogy konkretan ki vagy (mert most meg nehez a felhasznalot az utcan pofara is azonositani).
    Leszarom. Torjek.
    Mit kezd vele?
    Meg erdekes, hogy az ilyen hackerek nagyreszet meg se fogjak.
    Mert? Mert nem is keresik oket.
    Szeeerintem...
  • torreadorz
    #29
    És ha épp egy haverom sincs fenn akkor nem tudok belépni :)
    Nem mellesleg egy fényképet behazudni nem nagy kunszt
  • Vadnokedli
    #28
    Fanszőrzet azonosító USBn keresztül. De ennyi erővel lehetne arcmimika scanner is mert ugye a főbb pontok az emberen eltérőek mint az orrnyereg meg a szemöldök csont(vagy tudom is én hogy hívják :) ) :D
  • Komolytalan
    #27
    Nem (csak) az SHA-1 avult el, hanem a felhasználó által adott jelszó is. A sózás meg jellemzően szart se ér, mert ha már a db szervert felnyomták, akkor meglesz nekik a sózás kódja is.
    Jelenleg ami tény, hogy ami felhasználók által megadott jelszó jelentős részben megtalálható 30 USD-ért kapható MD5 (SHA-1, tökmind1 mi) adatbázisokban. Ezért van az hogy "ezek egyik fele az eredeti SHA-1 hash formájában, míg a másik már a visszafejtett, mindenki által olvasható változatban."
    Az a fele visszafejtett, ami:
    - túl rövid volt (8 karakter alatt),
    - megtalálható jelszó adatbázisban (pl weben 1x már valaki legenerálta a hashét.
    - Brute force-al azóta feltörték. Azért ha csak angol ABC kis/nagybetűk+számokat keresünk, akkor ez 8 karakteres jelszó esetén 62^8, azaz kurvasok. Ha 1 milliót tudunk ellenőrizni másodpercenként 1 gépen, és van egy 100ezer gépes zombi hálózatunk erre a célra, akkor is 2183 másodperc, ami több mint másfél nap. 1 jelszóért. Nem éri meg gépidőben.
    Szóval alapvetően random generált, legalább 8 karakteres jelszavakat kell használni, amiben van kis és nagybetű és szám. Mivel ezek jó eséllyel nincsenek meg táblázatban, a visszafejtésük meg sok-sok idő.

    Persze a tokenes/SMS-es azonosítás is ad plusz biztonsági szintet, de ez ma még jellemzően csak bankoknál elérhető, meg olyan helyen, ahol tényleg sokat veszíthet az ember (pl WoW-nál van tokenes azonosításra lehetőség). Azonban ezekben sem lehet 1000 százalékig megbízni, mert a token ugyanolyan pszeudorandom mint mondjuk az MD5, tokenenként változó kezdőértékkel, szóval onnan kezdve hogy a tokenes authentikáció elérhető mondjuk iPhone app-ként, már ismert az algoritmus, ezért törhető. SMS-nél meg ugye az adatfolyam lehallgatható.

    Egyébként a legjobb védekezés még mindig az lenne, ha normális fejlesztők készítenék ezeket az oldalakat. A legtöbb webes fejlesztő még ma is direktben nyúlják táblákhoz, ami eleve odabasz a biztonságnak. Normális helyen a webszerver egy olyan felhasználóval kapcsolódik az adatbázishoz, amelynek csak bizonyos tárolt eljárások futtatására van joga. Ezzel ugyebár kiküszöbölhető, hogy az "users" tábla olvasható legyen, így le se lehet menteni a felhasználói adatokat. Persze ehhez nem mysql kell, ami minden 256. logint automatikusan elfogad...
  • Tetsuo
    #26
    Ha nincs fenykepezogep vagy rosszak a fenyviszonyok, akkor nem tud bejelentkezni?
  • karesz6
    #25
    És egyetlen központi login ameddig a user be nem fejezi a dolgát addig kap egy tokent ami az esetek 99% ban elég.
  • karesz6
    #24
    A közösségi oldalak fénykorát éljük. Használjuk ki. Fénykép a userről és arc alapján azonosítja valamelyik haverja. +jelszó +hangazonosítás captcha kód felolvasásával. Tekinve hogy egy embernek körülhatárolható egy viszonylag szűk baráti köre (nem 10.000 mint a facebook on) ha ezeket megjelöljük viszonylag kis kényelmetlenséget okoz és sokkal jobb mint a legjobb arcfelismerő.
  • Mardekár
    #23
    Szerintem nem a jelszóvakkal van a baj, hanem a felhasználókkal. Az esetek többségében szó sincsen crackerekről meg hackerekről, hanem a felhasználó butaságát kihasználva csalják ki a jelszavakat. Aki értelmes, annak még nem lopták el fiókját sehol. Persze kivételt képeznek ez alól, az olyan esetek, amikor egy nyílt forráskódú rendszert törnek fel, de az a hülye vessen magára, aki nyílt forrás kódú rendszeren tárol fontos adatokat, lol.
  • torreadorz
    #22
    Továbbra is kérdezem: mit nyersz az ujjlenyomat olvasóval, ha a szolgáltatótól ellopják az ujjlenyomat adatbázist ami esetleg full titkositatlanul van tárolva??? (merthogy ugye ezzel indit az egész cikk, miszerint a linkedin jelszavakat ellopták és baromira senkit nem érdekel hogy az a "jelszó" honnét került oda, billentyüzeten gépelted be, vagy ujjlenyomat olvasóval vagy orrokat kötöttél össze fülekkel).

    Azon kivül hogy ismerni fogják az ujjlenyomatodat és az összes többi rendszerbe is be fognak tudni lépni ahol ezt használtad és még csak meg sem tudod változtatni az ujjlenyomatod...

    Érthetetlen, itt csupa write-only ember van?...
  • jAMEsbAUd
    #21
    Brute Force-al lehet nehezebb, de Dictionary Attack -al sokkal egyszerűbb az alsót megtörni!
  • DeviloftheHell
    #20
    mennyivel egyszerübb lenne ha a tetves laptopokba integrálnák azt a kemény 5000 forintos ujjlenyomat olvasot ami használhato jelszó helyett és még a laptopot is védi
    a pc.kre meg az oprendszer mellé adniuk kéne a kis usb-s modult
  • Tetsuo
    #19
    Valahogy meg kell, hogy kapd a jelszot, azt lehallgatni pedig lehet, h egyszerubb, mint feltorni egy statikusat.
  • Tetsuo
    #18
    Igaz.
  • WoodrowWilson
    #17
  • wadnari
    #16
    Hagyjanak már a francba engem ilyen butaságokkal. Védjék ők 30 karakterrel a felhasználói fiókjukat. Nem fog semmit érni ,ha igazán tapasztalt a cracker aki feltöri a rendszert. Én direkt kifejezetten egyszerű jelszót használok mert beleuntam ,hogy fölöslegesen gépelek olyan sokat. Aki adatot akar lopni felkészül a jelszóra. A jelszavak bizonyos helyekre csak azért kellenek ,hogy jóskaspita ne tudjon belépni. Az igazán fontos helyekre speciális belépés kell mondjuk mindent jól beírsz kapsz egy sms-t az tartalmaz egy kódot és csak ezután enged be. Ahol fontos a biztonság ott megéri fizetni.
  • Rigya
    #15
    Úgy tesztek, mintha nem hallottatok volna az időben változó jelszavakról. Nyugodtan nézhetik, mit gépelek be, a jelszó csak 10 percig érvényes és jegyzi a rendszer, hogy a jelszó már használva volt. (Időutazók kíméljenek!)
  • torreadorz
    #14
    Én ezt értem, csak azt nem hogy min segit? Ha a cikkben lévő példát vesszük, akkor a facebook tárolna a userneved, jelszavad és az ujjlenyomatod.

    Ezután ha valaki feltöri az fb-t és ellopja az fb adatbázisát, akkor meglesz nekik a felhasználó/jelszó páros mellett az ujjlenyomatod is. Ha mákod van akkor valami nehezen törhető módszerrel titkositva, ha nincs - mint pl. a sony esetén- akkor plain textként letárolva... Ilyen esetben akár azt is elképzelhetőnek tartom hogy akár az ujjlenyomatodat fizikailag is reprodukálni lehessen, bár nem ismerem hogy hogyan lesz az ujjlenyomatodból digitális jel.

    És mivel az ujjlenyomatod egészen biztos nem változik, igy az illető az összes olyan rendszerbe képes belépni ahol az ujjlenyomatod használtad és/vagy az fb-os jelszó/usernév párost.

    Tehát a történet vége az, hogy a user nem sokat tehet a szolgáltató rendszereinek védelmében, azt a szolgáltatónak kell megtenni. A user csak annyit tehet hogy a különböző rendszereken eltérő jelszavakat és/vagy userneveket használ igy ha az egyik szolgáltató adatbázisa kompromittálódik akkor legalább abban biztos lehet hogy más rendszerekbe nem fognak tudni az ő accountjával belépni.
  • Tinman #13
    Félreértitek rendesen.

    Nem arra gondolok, hogy a netbankodba ilyenekkel lépj be, de egy senkit nem érdeklő fészbukra pl. teljesen megfelelne, pass-al kiegészítve.
  • torreadorz
    #12
    A fő kérdés az hogy mi ellen akarunk védeni. Ez a cikk sajnos hemzseg a hülyeségektől és keveri a szezont a fazonnal.

    Ugyanis annak hogy a szolgáltatótól ellopták a jelszavakat tartalmazó adatbázist az égvilágon semmi köze ahhoz hogy egy adott felületen hogyan lépünk be a rendszerbe.
    Attól hogy orrokat kell összekötni egy képen még egy hackernek semmivel sem lesz nehezebb dolga, ha egyébként megvan neki a felhasználónév-jelszó páros, mert ellopta a szolgáltató adatbázisát.
  • Tetsuo
    #11
    Dehat azt ugyanugy el tudjak lopni, mint az ujjlenyomatot es ugyanugy nem tudod megvaltoztatni, mint azt.

    Talan az lehet az egyik (jobb) modszer, ha egy egyszer mar megadott hosszu jelszo mindig mas reszleteit kerdezne meg a belepteto szoftver.
  • Sir Quno Jedi
    #10
    Az SHA1 elavult, minimális követelmény manapság az SHA512 és salt-ot kell használni ahhoz is. A salt a brute force ellen nem véd, ha már betörtek, de a ditionary alapú törések ellen hasznos lehet.
  • M0RN1NGST4R
    #9
    én arra lennék kíváncsi, hogy mire lenne jó egy ilyen hash funkció. (leginkább semmire)
  • jackoneill90
    #8
    DNS azonosítást usb eszközön keresztül.