24
  • cylontoaster
    #24
    Megnéztem, ezért mondtam, hogy nem értem. Az egyik felét igen, de a 2^28 az kevés, ez egy karakter (kisbetűkön).
    A kép egyébként azt az esetet mutatja, amikor nem ismert az, hogy 4 szóból áll.
  • Tikal #23
    A matek részérő linkeltem egy képet, hogy miért is nehezebb feltörni egy négyszavast mint egy random karakterest, valamint egy linket a 1password oldalára, ott elég részletesen kifejtik az egészet...
  • cylontoaster
    #22
    Igazából nem tudom mennyire számít, mert még mindig elég nagy számok, de:
    68 féle karakter (kis-nagy,szám,írásjel), 8 hossz(fix, nyilván egy 8-12 hosszú további plusz eset) akkor lesz egyenlő egy fixen 4 szavas jelszóval, ha a nyelv szókészlete 50 ezer szó. Azért ilyen nincs, a full random jelszónál (jobb helyeken) nem is 8 karaktert ajánlanak már.
    De visszavonom, nem lesz könnyebb, mint ha tudom hogy fix 8 karakteres full random jelszó van, kb ugyanaz. Ha jól számoltam. (magyar ábécével kicsit más). De bevallom, nem értem a számolását. A 2048^4 -t értem. De a 2^28-t nem.. nálam az erősen 68(|ábécé|)^8.

    Ijesztő olvasni/látni, inkább azt mondanám :)

    Nem akartam hülyeséget mondani, így inkább rákérdeztem kollégáknál:
    gforce:
    Egyrészt ha már eljutott a hacker valameddig, akkor bőven van esélye bruteforce-olni, pl egy adatbázist használó alkalmazás frontend oldalon védve van max próbálkozással, de backend oldalon nem. Ha odáig eljutottak, akkor ott már pörgethetnek. És vannak még ilyenek, hozzáteszem nem jellemző, de nem azért mert nem lehetséges, hanem azért mert nincs rá szükség. Mert:
    Ha van max próbálkozás, akkor (miután kivártad a büntiidőt), fogod a legtiviálisabb 3 jelszót és végigpörgeted vele a user neveket. Ehhez persze kell az, hogy legyen olyan böszme akinek triviális jelszava van, de borítékolható hogy lesz ilyen. Amit lehet olvasni hogy mik a népszerű jelszavak, az sajnos simán játszik céges környezetben is. A pentestek zöme is úgy végzi, hogy full admin hozzáférés, és szereznek meg jelszavakat is, nem az azonosítást megkerülve húzzák ki az adatokat.
    És akkor még mindig ott van a lehetősége annak is, hogy a hash-t megszerzik és azt "fejtik" vissza. Szerintem az alap pár jelszónál konkrétan ránézésre tudják a kollégák, hogy melyik.

    Off: az admin/admin-t pl tuti, múltkor hallottam hogy hülyézik egymást, hogy "hát ez admin lesz baszki, nem igaz hogy nem látod a hash-ből". Pedig nem ennyire kockák, egyszerűen ennyit látták az évek alatt..
    Az ijesztő egyébként az, hogy nem lehet elmondani, hogy Mo el lenne maradva ezen a területen. Egyszerűen ha valakinek megvan a tudása, akkor 1-2 hét alatt megvan. Ha vannak páran akkor napok.
  • Tikal #21
    Csak azért mert tudod, hogy a jelszó policy a cégnél a szavas megoldás, még nem fogod kipörgetni hamar. Attól még ugyanúgy végig kell próbálnod ami kurva sok idő és próbálkozás

    Egyébként elképesztő olvasni mi megy céges környezetben...
    Utoljára szerkesztette: Tikal, 2017.02.09. 15:05:24
  • cylontoaster
    #20
    Random:
    Ha én tudom rólad, hogy szavakat pakolsz egymás mellé jelszó gyanánt (mert pl a cégednél ez a javasolt jelszó policy és mindenki így csinálja), akkor máris viszonylag hamar kipörgethető a "random szavak"-ból álló jelszó. Ilyen esetben (mivel ismerjük a logikát) ez már nem random.

    Ezért mondom, tök más az, hogy generálás szempontjából random, itt jön be a SE.
    Más az, hogy randomnak(mondjuk karakterekre) néz ki, pedig generálásra nem az. Ettől még ha én látom hogy xy alkalmazásba ez a jelszava, akkor nem fogom tudni a másik alkalmazásban lévő jelszavát előbb törni, ugyanúgy marad a normál brute force. Tehát ez jó, mert véd SE ellen, ugyanakkor nem megjegyezhetetlen.

    És ebből persze megcsinálható egy tábla, hogy van ami random generált, de nem annak néz ki (4 szó).
    Van ami nem random generált, de annak néz ki (verses megoldás)
    Van ami random generált és annak is néz ki (ez a standard Dco!fh@33h).
    És a nem random és ez látszik is (marika1964).

    Az első háromra véleményem szerint (más-más értelmezésben) igaz az, hogy random.

    SE:
    Attól függ mit értünk itt. SE az is, amire ha jól sejtem gondolsz, hogy kiprofilozod a jelszavát, többé-kevésbé.
    De ugyanakkor SE az is, hogy bejutok az épületbe és a monitorára ragasztott jelszót megszerzem. Avagy ott állok mögötte, és lelesem. Ha havonta kap szegény HR-es új jelszót, ami 10 karakter és full random, akkor sejthető, hogy kint lesz a monitoron, illetve az is, hogy nem fénysebességgel gépeli. Tehát ez a fajta random sem igazán jó (bár a marika1964-nél azért jobb).

    Féloff: viccnek tűnik ez a monitorra ragasztás, de nem az. Tapasztalatból írok, nem egy SE vizsgálatot végeztem már, és nagy, százas-ezres nagyságrendű cégeknél (sejthető, hogy ilyen helyen akkor már van IT biztonság, oktatás, odafigyelés, és mégis..) is mindig van kiragasztott jelszó. De láttam olyat is, ahol konkrétan ez állt: "ctrl+c, excelben másolás". Képzelheted ilyen helyen mit szólnak a random jelszóhoz :)

    SE-vel bármit könnyű megszerezni egyébként, kategóriákkal könnyebb, mint normál hackeléssel. Erről is tudnék mesélni, szintén olyan cégeknél amiknél azt hinné az ember hogy ilyet nem lehet, nagyon komoly pénzekkel dolgoznak és komoly adatokkal, de:
    nulla informatikai tudással, pár óra/nap honlap, google, fb/linkedin és hasonlók nézegetésével megoldható, hogy odaengedjenek a gépükhöz, kiküldjenek neked doksikat, hálózati lehallgató eszközt dugj a belső hálóra(ezt be kell szerezni, ehhez kell "it tudás"), vagy phising site, fertőzőtt fájl beküldéssel nyersz jelszót vagy bármit, ehhez már kell IT tudás, de ez messze nem egy hacker tudása.
    Kivétel nélkül mindig működik, a szörnyű hogy a fenti lista minden elemét kipróbálva nem 1-1 fog bejönni, hanem általában mind. És amelyik nem, azzal se buktál le.
  • Tikal #19
    Én random karakteres jelszavakat is használok, jelszókezelővel ( 1Password) generálom őket, általában jó hosszúakat, de egy ideje már a szavakat használom, azt is jelszókezelővel. Mindenhol ahol lehet bekapcsoltam a két lépcsős beléptetést, így tulajdonképpen csak egy két jelszót kell fejben tartanom.

    Azért egy karakteres vagy szavas random jelszót elég nehéz SE-vel megszerezni nem? SE pont abban jó, hogy azoktól szerzi meg könnyen a jelszavaikat akik a csajuk nevét használják mindenhol. ( Persze sok más technika is van még ott is )

    "Kicsit visszatérve a random kérdésre: egy olyan karaktersor ami randomnak tűnik, de a kitalálónak nem az, az nálam pl nem random."
    Persze hogy ez nem random, attól lesz random, hogy a használójának se jelent semmit, nincs kapcsolata a jelszóhoz. Az erre hozott példád egy rendszerre épül, vagyis nem random.
  • cylontoaster
    #18
    Ja, így már értem, hogy miért nem értetted. Nem volt jó a szóhasználatom, nálam a random a full random, a szavas pedig, mivel értelmes szavakból áll, így nem random. (Ilyen formán egy Alm4fa1 sem random, hiába nem szótári, hiszen megjegyezhetőbb). Random nálam az emberi gondolkodásmód, megjegyezhetőség, leolvashatóság szempontjából vett random, nem a generálása.

    SE ellen, a jelszó lelesését kivéve nem látom hogyan védekezik a karakteres random, cserébe ott van a másik oldal: egy havonta változtatandó, 10 hosszú random karakteres jelszót nem fog a HR-es munkatárs megjegyezni (ha 5 ilyet kellene, akkor már az IT-s se biztos), ergo megy cetlin a monitorra. Vagy állandóan elfelejti, az se jobb.
    Vagy SE alatt itt azt érted, hogy megnézem a profilját és kitalálom a jelszavát? Mert ebben igazad van. (De a random alatt ugye nem azt értette, amit te)

    Kicsit visszatérve a random kérdésre: egy olyan karaktersor ami randomnak tűnik, de a kitalálónak nem az, az nálam pl nem random. Példa: vers szavainak első betűje. Ha kell akkor beleírva hogy mondjuk hány betűből áll az adott szó. Külső szemlélőnek random, nekem aki kitaláltam nem az, ha elfelejtem a 6. karaktert akkor is tudni fogom a jelszót.
  • Tikal #17
    Ahogy látom te másképp értelmezed a random/ véletlenszerű szót. A 4 szavas jelszó is random meg a karakteres jelszó is lehet random :) Pont erről beszéltünk itt eddig, Tinman is erre hozott példát...

    Ezért nem értettem a korábbi állításod. Mindenhova random jelszó kell, legyen az karakteres vagy négy vagy több szavas jelszó. A véletlenszerűséggel ugye a social engineering ellen is védekezünk.
    Utoljára szerkesztette: Tikal, 2017.02.09. 11:05:43
  • gforce9
    #16
    Én nem hallottam még olyanról, hogy brute force-el akár egy értelmes védelmet feltörtek volna. mondjuk a jelszó" alma1" Sok sikert hozzá egy olyan rendszeren ami 3 próbálkozás után várat 10 percet, 10 próbálkozás után meg letilt a francba és csak külön úton (másodlagos email, telefon, stb.) lehet újraaktiválni. Ez túl van lihegve teljesen.
  • cylontoaster
    #15
    A random jelszót nem nehezebb törni, mint az alábbi példát, ahogy te is hoztad.
    A random jelszót nehezebb megjegyezni, nem lehet rá emlékeztetőt írni, míg egy ilyen 4 szavasra simán írsz olyat, ami másnak nem segít.
    A random jelszót nehezebb leolvasni, de ez elég ritkán szempont.. ráaádsul egy ilyen 4szavas jelszót sem biztos hogy könnyebb leolvasni.
    Random jelszó akkor jó, ha korlátozott 8-10 karakterre a jelszó max hossza, mert akkor a 4 értelmes szó nem működik. Ez se sűrűn van (de van, ahogy írom jutott eszembe hogy a banki jelszó pont ilyen fos...)

    A semmi értelme talán erős volt, de nem látom hogy lenne olyan szitu, hogy azt jobb használni. Persze kényes helyeken mindenki olyat használ, de az nem érv.

    Az meg hogy a jelszó max hossza 8-10 karakter, az az első hsz-ben látható hülyeség. Mert okos emberek szerint a 10 random karakteres jelszó a jó.
  • Tikal #14
    Ezt miből vontad le?
  • cylontoaster
    #13
    És hová kell random jelszó? Pont ezt mondták előtted, hogy semmi értelme.
  • zola2000
    #12
    Mindegy, a diceware jobb, ha random jelszó kell, jobb ha nem bízza az ember a véletlenre a dolgot :)
  • Tinman #11
    Igen, találkoztam már ilyennel... azért az már túlzás. Az már a user szívatása.

    Van egy nagyker partnerünk, annak a mániája 3 havonta jelszót generáltatni velünk és soha nem lehet a már korábban megadott jelszó. Viccen kívül: Eljutottunk oda, hogy mivel nehézkes és szívatós a belépegetés, így egyszerűen rájuk se nézünk. Minek kínlódjak velük, amikor van 12 másik, amelyik nem rabolja az időmet. Ez pontosan a mérleg másik oldala... eleve mi a ráknak egy nagykernek ilyen megoldás, amikor a szerencsétlen user a jelszavával csak vásárolni tud és term. a kiküldés előtt még zömmel telefonos, vagy mail egyeztetés is van, ergo az ottani infós biztos jó szakember, csak egyúttal fogalmatlan marha is.
  • Tinman #10
    Az 1. hsz-ben levő 4 példaszót 5 mp alatt találtam ki. Semmi közük egymáshoz, nincs szükséges random generátorra, szvsz nem vagyok rossz a random szavak generálásában.

    Újabb 5 másodperc:

    kegyelem, némán, Szaturnusz, siló
  • gforce9
    #9
    Tökmindegy, egy kellően bonyolult jelszót tökmindegy milyen módszerrel találsz ki, azt nem törik fel brute force-al soha. Mármint akkor ha van X számú lehetséges próbálkozás. Ahol meg nincs iylen rendszer.... hmm az nem tudom milyen lehet, oda nem regelek. :)
  • zola2000
    #8
    keress rá arra hogy "diceware" mert vannak olyan szavak, amiket az ember öntudatlanul is összeilleszt, míg a diceware módszer kiszűri és tényleg random jelszavad lesz.

    A legegyszerűbb: generáltam angol diceware jelszót és a szavakat magyarositottam, az lett a jelszókezelőm jelszava.
  • gforce9
    #7
    " Nem mellesleg 23423423x sikertelen belépést biztos észre fog venni kb. bárki :-D"

    Igen és ez a lényeg. Értelmes biztonsági rendszer nem enged akárhány próbálkozást ugyanarra az accra adott időn belül. Egy cimborám controll panellje a ló másik oldala 1 elgépelés akár a névben akár a jelszóban és 10 percig arról az ip-ről nem lehet próbálkozni. Nem kicsit szoktam kurvaanyázni :)
  • Tinman #6
    Nem.

    Egy kódfeltörő program nem egész úgy működik, ahogy te gondolod. Helyette úgy működik, hogy végigmegy a szótáron (is, meg a számokon is, meg a spec karaktereken is), de hogy? A szótáras példánál az egyes szavakon, "A"-tól kezdve. Tehát hamar el is ér az "alma" szóhoz és ugrik is át rajta, mert SEMMILYEN visszajelzést nem kap, hogy az a jelszó része lenne! Helyette kapja azt a visszajelzést, hogy érvénytelen jelszó.

    Eljut az "antenna" szóhoz, mely a jelszavunk 3. tagja, de arra is hibát dob vissza neki a szerver/app/akármi hiszen az a teljes jelszavunk csak 1/4-e!

    Aztán végigpörgette a teljes szótárat (cirka 110e szóról beszélünk ám a magyar nyelv esetében!) és ott áll azzal a válasszal, hogy nincs egyezés. Mit tesz ekkor? Ha a szótáras példánál akarsz maradni maradjunk... azt teszi, hogy elkezdi kombinálni az egyes szavakat, és igen, eljut oda, hogy "alma antenna" és mit kap eredményül? Megint hibát, mert ez a jelszavunk fele.

    Folytathatom így ezt végig, míg a 4 szóval, de bizony a sorrend is számít. Ez elképesztő mennyiségű brute force próbálkozás, amire egy pro hakker vasa, de még egy botnet háló sem képes emberi idő alatt. Nem mellesleg 23423423x sikertelen belépést biztos észre fog venni kb. bárki :-D

    Kár a szóért, ott a kiváló kép, amit linkeltek, az is éppen 4 szóval variál...
    Utoljára szerkesztette: Tinman, 2017.02.07. 18:33:53
  • CsZ
    #5
    "több tízezer jelszó hashe mindig nagyon hasonló volt"

    Hash készítésével kapcsolatban alapvető elvárás, hogy ha kicsit is változik az eredeti szöveg, a hash teljesen el kell térjen a korábbitól. Vagyis nem hiszem, hogy a jelszó kis módosítása után hasonló hash-eket kapnánk, inkább arról van szó, hogy ha egyszer visszafejtettek egy jelszót (mondjuk a hash-éből), és ha pont az eredeti karaktersort sikerült visszakapni jelszónak, akkor már teljes -szivárványtáblás- visszafejtési feladat helyett elég csak az eredeti jelszóból kiindulni, és azt kis változtatásokkal próbálgatni az új hash eléréséhez - így másodszor már jóval kisebb számítási igényű a feladat.
  • Tikal #4
    Hibás gondolat, Tinman példája teljesen jó.



    Egy részletes írás arról hogy hogyan válasszunk jelszót

    A lényeg, hogy négy öt random szóval többre mész mint a megjegyezhetetlen karakterekkel,, csak tényleg random legyen és ne a gyerekeid meg a kutyád neve :)
  • molnibalage83
    #3
    Na, de ilyen mennyiség és kombináció esetén semmivel sem roszabb a lent felvetett példa...
  • Cat #2
    Szótárakban lévő szavakat a legkönnyebb kitalálni, első lépés, hogy ezeket pörgetik végig a gépeken.
  • Tinman #1
    Maradjunk annyiban, hogy éppen a biztonsági szaGemberek és a hipszterszakállas IT programozó gurunak hazudott arcok hibája az ami manapság a jelszavak generálásakor történik!

    Hiába akarom én ezt jelszónak: "alma kuplung antenna zsiráf" a marhája ezt nem engedi, mert szerinte kéne bele nagybetű, spec karakter, szám is, holott nem kicsit könnyebb feltörni a "S@gF0rM192" jelszót, mint az "alma kuplung antenna zsiráf" verziót. A gond az, hogy utóbbit röhögve megjegyzem, az előbbit, meg már el is felejtettem...