51
-
#51 Azért a legtöbb ujjlenyomat-olvasó nem olvassa az egész ujjlenyomatot, csak néhány mintát belőle. Ezért is olyan sérülékeny a módszer, illetve becsapható.
Egy átlagos ujjlenyomat-olvasó rendszerben tízezer variáns van.
Tehát igazad van, de még inkább badarság az egész. :-)
Utoljára szerkesztette: Tetsuo, 2017.06.10. 00:30:15 -
morguldae #50 Az emberi tulajdonságok eléggé változóak, ezekre alapozni bármit is értelmetlenség! Az ujjlenyomat olvasó is hol felismer hol nem. Kimész a kertbe dolgozol pár órát bőrkeményedéses lesz az ujjad oszt már be sem tudnál lépni ujjlenyomat olvasóval semmidbe. Badarság az egész. A jelszók nagyon megfelelőek. -
cylontoaster #49 Bocs, te IT szakmabéli linket küldtél?
Számoltál?
Érveltél?
Ha nem olvasod el ne tedd, de akkor kussolj.
Nem a szóhasználaton akadtam fent, hanem a logikán ami miatt írtad. Kifejtettem ezt is. Ha nem vagy partner a vitában, akkor ismételten: kussolj.
Egy fos videó nem forrás. Az hogy az összes létező helyen a standard k-n-szám jelszót kérik, és nem az általad hozottat, az a szakmabéli forrás. Nem utolsó sorban foglalkozok cégek auditálásával, auditra felkészítéssel, ott érdekes mód ezt elfogadják, erről nyilván nem fogok tudni linket hozni.
Aztán persze elfutsz, mint legutóbb, és a következő alkalommal megint előhozod a hülyeséged. Ne félj, majd folytatom és futhatsz tovább.
-
#48 Pedig de :D Hidd el tisztában vagyok vele hogy nem konkrétan átlag józsira mennek rá a pitypang utca 2 szám alatt :D
Az egész beszélgetésünk erről szól, hogy te eltévedsz ilyen hülyeségeken... és már megint szófosásod volt, amit sajnálom de nem fogok elolvasni, mert addig jutottam, hogy a feltört jelszó kifejezésbe kötöttél bele. Rossz szó használat, nyilván a megszerzett jelszavakra gondoltam amit mindenféle módszerekkel szedtek össze, lényegtelen...de ezen ragadtál le és pont emiatt csak elbeszélünk egymás mellett.
Linket az IT szakmára nem látok, gondolom te vagy a képviselőjük, ezért nem linkelsz, szóval reménytelen...
OUT -
cylontoaster #47 "Most komolyan? :D"
Azt hiszed csak szőrszálhasogatok, pedig nem. Mondom, leírtam lentebb:
Senki nem fog kipécézni egy adott tótpistát, aztán órákig/napokig pörgetni a jelszavát. Ehelyett megcélozzák az összes egységsugarú felhasználót, és pl ahelyett hogy 1 adott felhasználóhoz próbálnánakkülönböző jelszavakat, 1 adott (primitív) jelszót próbálnak ki sok felhasználóhoz.
Megin számolás, csak a kedvedért: ha a felhasználók 1%-a használja a password szót, akkor 1% az esélyes hogy pityunál betalálsz és így accounthoz jutsz. Ha a leggyakrabban használt jelszavak együtt a felhasználók 10%-t fedik, akkor ezekkel 10% az esélyed pityu fiókjára. Ez nem sok. Ráadásul néhány próbálkozás után kitilt, tehát elég körülményes a top10 jelszó próbálása is.
Ehelyett ha elkezded a felhasználókat párosítani a top 1 jelszóhoz (1%), akkor pillanatok alatt várhatóan minden 100. account a tiéd.
Érdekel bárkit is, hogy kovácsjani fiókját szerezte meg, és nem tótpistáét? Nem, mert nem 1 adott janira lövünk, hanem janiKra.
Tudod, biztosan lesz olyan aki megnyeri a lottót előbb-utóbb, de ez nem jelenti azt, hogy az te leszel.
"Pontosan erről van szó, hogy az emberek nem fognak ilyen jelszót készíteni, mert nem fog 3-4 nagy betűt, vagy két különleges karaktert belerakni, csak egyet, meg egy nagy betűt az elejére, ezt mutatják a statisztikák amiket a feltört jelszavak alapján készítettek"
Ez két okból hülyeség:
1: Nem feltört jelszavakból, hanem megszerzett jelszavakból készítenek statisztikát. Előbbi BF, utóbbi pl a Phising. Bazi nagy a difi.
2: Ha mégis feltört jelszavakból készítek statisztikát, akkor az mennyire torz már? Fogom a feltört, tehát gyengébb jelszavakat, és megállapítom, hogy az emberek gyenge jelszavakat adnak meg. Kell magyarázni, vagy érthető a hülyeség?
"nem fog 3-4 nagy betű"
Cseszel értelmezni amit írok. Senki nem mondta, hogy kellene bele 3-4 nagybetű. Ellenben azt írtam, hogy ezt nem is várja el senki, különben ez lenne a kikényszerített elvárás. Azért nem várja el senki, mert nincs is rá szükség. Ez meg ha jól sejtem akkor egyszalmabáb volt.
" innentől kezdve hiába mondod hogy mennyi variáció van"
Erről is írtam, ez megint mellébeszélés.
"gy nagy betű legalább, meg egy speciális karakter legalább, de nem lehet benne mondjuk szóköz, azzal nagy segítséget adot a hackernek, mert az rögtön tudni fogja, hogy melyik szótárát húzza elő"
1: az xkcd-nél is pontosa tudod milyen szótárt kell elővenni, csak a variáció száma számít, nem a szótár ténye.
2: a írásjelről nem tudsz semmit, a szóköz sem infó neked
3: leírtam, kvamindegy, mert ettől még mindig túl költséges lesz a jelszótörés, ezért senki nem fog nekiállni.
"Ha tudom hogy almafa a jelszavad és van benne egy írásjel akkor végtelenül egyszerű dolgom van"
Számold ki kérlek. Nem mintha lenne jelentőssége, nyilván a tudod a jelszavam akkor egyszerű a dolgod :D
"nincs karakter korlát"
Ez megint hülyeség, senki nem írt korlátról. A minimum 8 karakter nem jelenti azt hogy 8 krakteres lehet csak a jelszó.
"de akkor is előszőr értelmes szavakkal fogok probálkozni, használva az e betű lecserélést 3-ra és a többi trükköt, és ha nem kapok eredményt, akkor fogok rátérni a véletlenszerű betűkre."
Akkor számold ki ez mennyi idő lenne neked. Egyből beláthatod, hogy már ez is annyira sok, hogy nem éri meg nekiállni. Ettől még persze senki nem javasolja hogy triviális sózással hanáld a jelszót, csak azt nehéz kikényszeríteni. Ahogy az xkcd-nél sem tudod kikényszeríten, hogy a hülye juzer ne almafalmafalmafaalmafa jelszót adjon meg. Frankón érvelsz az egyik oldal ellen a hüye juzerrel, és feltételezed hogy a másik verzió nem hülye juzer fogja használni. Sajnos ez megint bukós.
"Na pontosan itt gyengíted akkor a számolásod, ugyanis igy ahogy mondod, senki nem fog kettő három speciális karaktert alkalmazni, tehát a számolásod máris nem annyi amennyi, és ezért számol a képregény entrópiával, és ezért jön ki sokkal kevesebb neki, mert az eddigi tapasztalatok azt mutatják, hogy az emberek ugy készitenek jelszót ahogy ő azt lerajzolta: vesznek egy szót és kicsit átalakítják, egy nagy betű itt meg egy szám ott és kész is van."
Nem is számoltam speci karakterrel. Csak érdekességnek írtam le, hogy ha pontosan tudod a jelszavam, akkor is megletősen sok tipp kellene. Nyilván nem tudod a jelszavam, így annyira sok tipp kell, hogy nem BF-al fogod törni, ugyanis gyakorlatilag minden értelmes helyen le van védve.
"Linkelnéd a forrásod, ha már hivatkozol a szakmára? :)"
Majd ha te meg számolsz :) Az hogy bevágsz pár random linket, az nem forrás. De ha akarod, hozhatom forrásnak az összes olyan oldalt, ahol van jelszóbonyolultsági követelmény, ugyanis ez a szakma. Valami rejtélyes oknál fogva ISO vagy MNB auditnál megfelelőnek számít.
" hanem azt, hogy átlag józsi jelszóválasztásánál, jobb az amit ő ajánl"
Nem, ez ugyanis a legnagyobb csúsztatás az egészben.
Vesz egy átlag, ostoba józsit, aki a hagyományos esetben rossz jelszót választ, és feltételezi róla, hogy az ő metódusával jót fog. Nem fog.
Ha józsinak azt mondod, hogy válasszon 4 szót, és józsi hülye és eddig az almafát használta, akkor most almafa lesz 4x. Vagy almafa, körtefa, stb. Ezen nem segít.
A másik, hogy a 4 szót sehol nem tudod kikényszeríteni, csak úgy ha azt mondod hogy minimum 20 krakter. Ha ez van megadva, akko józsi tudhatja, hogy itt 4 szót kéne megadni (már itt bukik), de toszik ő rá, megad 20d "a" betűt. Na ennél az Almafa1 is jobb.
Szumma, úgyse fogod fel a többit:
- Azért ez az elterjedt, mert ezt lehet legértelmesebben kikényszeríteni, és aki minimálisan de betartja ezt (Password1), az is még mindig jobb, mint más esetek.
- Egy gmail felhasználót nem így törnek, mert 3 próba után kitilt. Egy céges alkalmazás jelszavát sem így törik, ugyanezért. Ha ellopták a vinyódat és megvan a jelszavad hash-e, akkor lesz ilyen bruteforce. Az egyéb esetekben, ahol a kitiltás játszik, ott marad az amit írtam, a támadó szerinti top2 jelszót kipróbálják az összes ismert felhasználón, így az a jó jelszó, amire nem fog gondolni a támadó, mint lehetséges top2 jelszó. Hülyék ellen semmi nem véd, párszázas listán is működni szokott a top2 jelszó kipróbálása, mert ha a Bank-ban dolgozol, akkor tutira lesz olyan hülye, akinek Bank1234 lesz a jelszava. Nincs az a jelszó policy, ami védene a hülyék ellen.
Tehát szélsőségesen hülyéknél mindegy (vagy rosszabb), jó jelszónál mindegy, átlag felhasználónál mindegy (vagy rosszabb) az általad hozott verzió. -
#46 -
#45 "Nem. A gonosz janik az átlagos jóskáK-ra mennek. A különbség hatalmas, leírtam lentebb is."
Most komolyan? :D
"Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás."
Pontosan erről van szó, hogy az emberek nem fognak ilyen jelszót készíteni, mert nem fog 3-4 nagy betűt, vagy két különleges karaktert belerakni, csak egyet, meg egy nagy betűt az elejére, ezt mutatják a statisztikák amiket a feltört jelszavak alapján készítettek. Átlag Józsi fogja és tesz egy nagy betűt az elejére meg egy számot és jelet a végére, bumm. innentől kezdve hiába mondod hogy mennyi variáció van, lényegtelen, mert a hacker ugy fog neki állni a jelszó feltörésnek, hogy először ezen feltételek mentén fog keresni. Akkor hol itt a véletlenszerűség? Máris csökkent a variációk száma. Mikor egy oldal arra kér, hogy legyen benne egy nagy betű legalább, meg egy speciális karakter legalább, de nem lehet benne mondjuk szóköz, azzal nagy segítséget adot a hackernek, mert az rögtön tudni fogja, hogy melyik szótárát húzza elő :) Ha tudom hogy almafa a jelszavad és van benne egy írásjel akkor végtelenül egyszerű dolgom van...de ha nem tudnám mennyi plusz nincs karakter korlát akkor már nehezebb, de akkor is előszőr értelmes szavakkal fogok probálkozni, használva az e betű lecserélést 3-ra és a többi trükköt, és ha nem kapok eredményt, akkor fogok rátérni a véletlenszerű betűkre.
"Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás."
Na pontosan itt gyengíted akkor a számolásod, ugyanis igy ahogy mondod, senki nem fog kettő három speciális karaktert alkalmazni, tehát a számolásod máris nem annyi amennyi, és ezért számol a képregény entrópiával, és ezért jön ki sokkal kevesebb neki, mert az eddigi tapasztalatok azt mutatják, hogy az emberek ugy készitenek jelszót ahogy ő azt lerajzolta: vesznek egy szót és kicsit átalakítják, egy nagy betű itt meg egy szám ott és kész is van.
Linkelnéd a forrásod, ha már hivatkozol a szakmára? :)
Időközönként cserélem :) Mivel jelszó generátorral képzem őket lehetnek 30-40 karakteresek is, szóval nem jövőre fogják feltörni...
Minden számolás ott van a képregényen. Én nem vitatom a számolásod, helyesen számoltad ki hogy mennyi 10^4 és a többi, ezzel nem vitatkozom :)
A képregény nem azt állította, hogy 10^4 nagyobb mint 62^8, maradva a te példádnál. hanem azt, hogy átlag józsi jelszóválasztásánál, jobb az amit ő ajánl, mert nagyobb benne a véletlenszerűség. Ennyi.
Utoljára szerkesztette: Tikal, 2017.06.08. 10:45:19 -
cylontoaster #44 Ha elég 1 jelszó megjegyezn, mert jelszókezelőd van (leírtam ennek is a korlátait, emiatt sokszor nem is elég), akkor eleve mindegy az egész. 1 jelszót (legyen bármylen bonyolult), meg fogsz tudni jegyezni.
"A gonosz janik az átlag jóskára mennek".
Nem. A gonosz janik az átlagos jóskáK-ra mennek. A különbség hatalmas, leírtam lentebb is.
"Nem én számoltam, és a kép sem azt állítja hogy nem számít, csak annyit hogy egy négy szavas jelszó erősebb mint a felhozott példa és könnyebb megjegyezni. De neked úgy is mindegy, hiszen te jegyzet füzetbe írod... "
Én pedig kiszámoltam, hogy ez nem igaz. Baromira mindegy hogy te számolsz, vagy beteszed más számolását. A lényeg hogy szerined az úgy helyes, amit én vitatok és igyekszem cáfolni (jelzem, immár másodjára), amire mellébeszélés jön. Ha nincs időd számolni (2 perc), akkor legalább ismerd be hogy lövésed sincs hogy igaz-e a kép és a következő ilyen témánál ne tedd be.
Az írásjelekről nem véletlenül nem írtam és nem is számoltam vele, azon felül amit írsz hozzájön az is, hogy orbitális szívás más billentyűkiosztáson beírni. De nem is kell, és a legtöbb helyen nem is kérnek ilyet.
A kiszámítható lépés meg jó duma, csak megin csúsztatás. Ha tudod hogy almafa a jelszavam, és 1 db írásjellel fűszerezem, akkor még mindig van 32 írásjel ami lehet a szó elején vagy végén, ami baromira messze van az egyből tudom esettől. Hasonlóan az e helyett 3-asnál, ha van 4 mgh a jelszóban, akkor megint nem tudod hogy melyiket vagy melyikeket cseréltem az amúgy triviális számra. Ez nem dob rengeteget, de messze nem elenyésző.
"Diceware módszer eredetileg egy 7776 szavas szótárat használ"
Én előzékenyen 10ezer szóval számoltam, 4 szónál még mindig egy jeggyel kevesebb lett.
"és a legfrissebb ajánlás szerint 5-6 szavas jelszót kell vele készíteni"
Persze, és a 6 szót könnyebb megjegyezni mint bármilyen jelszót.
" Átlag Józsi nem fog egy random karakteres jelszót használni"
De szerencsére ha értelmes szavakból összerakott jelszó kell, akkor Á.J. véletlenül választott szavakat fog használn, és nem kiszámíthatóakat, hiszen a módszer hatásátra egyből biztonságtudatosabbá válik.
"rpJQEm=%2uYp"
Ezt valójában nem nagyon várja el senki tőled, ha így lenne akkor nem lenne elég 1-1 nagybetű és szám a jelszóban, kellene mindegyikből 2-3. Újabb csúsztatás.
Miért van az, hogy egy elterjedt, a szakmához is értő emerek nem a képen látható megoldást javasolják? Pont az IT (Sec) lenne dogmatikus? Akkor kész szerencse hogy van pár hozzád hasonló zseni/felvilágosult, aki kitalálja/terjeszti az igaz tanokat, ha kell árral szemben is.
Az utolsó kép pont azt mondja, hogy a barackFa7 bőven megfelelő jelszó.
A szuperjó jelszavak nagy előnye, hogy a user azt hiszi hogaz jó, és nem változtatja. Te milyen gyakran cseréled őket?
Hajlandó vagy számolni és konkrétumokkal érvelni, vagy marad a süketelés? -
#43 Én nem számoltam semmit, a rajz készítője számolt, én csak az alapján mondtam amit mondtam, szóval ne beszélj félre :)
Egyébként xkcd szerint számít a nem hagyományos karakter, hiszen figyelembe vette, számolt vele. Én csak annyit mondtam, hogy nem sokat ad a jelszó erősségéhez, mégpedig azért, mert az emberek csak annyit tesznek, hogy a jelszavuk végére vagy elejére odabasznak egyet, esetleg lecserélnek egy e betűt egy hármasra. Ezek mind kiszámítható lépések. Átlag Józsi nem fog egy random karakteres jelszót használni, hanem fog egy létező szót, és megpróbálja átalakítani, na itt már el is van baszva az egész, mert ebben semmi random nem lesz. A Diceware módszer ezzel szemben a véletlenszerűségre épít, plusz még könnyebb is megjegyezned mint pl ezt rpJQEm=%2uYp. A Diceware módszer eredetileg egy 7776 szavas szótárat használ, és a legfrissebb ajánlás szerint 5-6 szavas jelszót kell vele készíteni.
-
#42 Nekem az nem mindegy, hogy a vitapartnerem mellébeszél vagy esetleg komolyan vehető. -
#41 Nem én számoltam, és a kép sem azt állítja hogy nem számít, csak annyit hogy egy négy szavas jelszó erősebb mint a felhozott példa és könnyebb megjegyezni. De neked úgy is mindegy, hiszen te jegyzet füzetbe írod... -
#40 A lényeg, hogy a kép, amit linkeltél, hazugság. Rosszul számoltad a variánsokat, hiszen igenis számít a nem hagyományos karakter. -
#39 "Akkor most próbálj meg 5 ilyen jelszót megjegyezni, aztán nem használni 1 hónapig, majd újra elővenni. Az 5 jelszó 20 értelmes szava sem fog eszedbejutni (ha tényleg random szavak), és akkor még rendezni is kéne őket."
Minek tenném, mikor jelszó kezelő is van? :) Ezt magyarázom, hogy elég csak egy jelszót, max kettőt megjegyezni, aztán csá. -
#38 10-12karaktert szoktak kérni általában, nem? Elég is. A képregény se azt mondja hogy ez nem lehet elég jó, inkább azt, hogy van szerinte jobb is, aminek vannak előnyei.
Kommentet írni van idő, de annyit amennyit te írsz, nincs és minek, mikor még ezzel a kevéssel is elbeszélünk egymás mellett, lásd fentebb és lásd, a hozzászólásod vége, ugyanarról beszélünk kb, a szavas verzió lényege a könnyű megjegyezhetőség és a könnyű begépelés :)
A gonosz janik az átlag jóskára mennek, pont azért mert átlag jóskának szar a jelszava és tuti feltörik, a módszer mindegy, egy FB account meg sok mindenre lehet jó.
A többivel amit írtál szerintem mindenki tisztában van itt, és nem is vitatom... -
cylontoaster #37 "Nem nagyon láttam még olyan oldalt, ahol 20 karakteres jelszót kértek volna."
És? Egy megfelelő bonyolultságú jelszó kikényszerítése szükséges. Jelenleg ez általában a 8 karakter k-n-szám. Ha az általad vázolt megoldás lenn az üdvözítő, akkor az arra illeszkedő szabályt kell kikényszeríteni. Mivel a 4 értelmes szóra mocsoknehéz ellenőrzést adni, ezért maradjunk a minimum 20 karakternél. Erre írtam ami írtam. Az hogy te ilyet még nem láttál, annak speciel köze sincs a témához.
"Olyat viszont nagyon sokat, ahol nincs limit." Ennek meg pláne semmi köze a témához.
Kommenteket írni van idő, egy gyors számolásra nincs?
A múltkori topicban elvégeztem a számolást, nem reagáltál. Akkor is ugyanezt a linket tetted be, akkor is elmondtam: nem értem miért így számol, miért kell az entrópia.
62 k-n-szám karakter van. Egy 8 karakteres jelszó tehát 62^8 féle lehet. Illik egyébként hosszabb jelszót választani, minimum 10 hosszút. Ez 839299365868340224 lehetőség. (18)
Common words szerinte van 2048, vegyünk mondjuk 10ezret. 4-et teszünk egymás mellé, ez tehát 10k ^4, azaz 16db 0. Ez tehát egy jeggyel kevesebb. És akkor még tegyük hozzá azt, hogy a minimum 10 hosszú jelszó az lehet több is, ami eléggé megdobja a lehetőségek számát.
A könnyű megjegyezhetőség marad tehát az egyetlen szempont.
Akkor most próbálj meg 5 ilyen jelszót megjegyezni, aztán nem használni 1 hónapig, majd újra elővenni. Az 5 jelszó 20 értelmes szava sem fog eszedbejutni (ha tényleg random szavak), és akkor még rendezni is kéne őket.
A sokszavas módszer akko jó, ha nem elterjedt, és nem tudja a támadó, hogy te ilyet használsz, ezért nekiáll simán darálni, de mivel bazihosszú, sose végez. Ekkor viszont a bonyolultsági követelmények nem erre vannak szabva, tehát alig fogod tudni használni. Ha elterjed és a támadó szótárral megy neki, akkor már nem is nehezebb törni. Nem mintha számítana, mint mondtam, nem így törnek sehol, nem fogják hetekig pörgetni a jelszavad, pláne hogy van egy valag egyszerűbb megoldás is. Ráadásul elég ritka, hogy egy konkrét személy jelszava lenne az érdekes.
És mielőtt ezzel jössz, a random generált, randomnak kinéző jelszavak sem megjegyezhetőek, de nem is nagyon használ olyat épeszű ember. Ha használsz egy általad megjegyezhető, kellően hosszú szót/kifejezést, kicsit megsózod nem triviálisan, akkor bőven jó vagy. Az egy szó megválasztása persze szintén ne legyen triviális.
Pl.: csErEboga0r
És a legjobb megoldás, ha randomnak is néz ki, és csak te tudod, hogy nem az: pl egy versből képzett jelszó ahol a verset tudod fejből. A képzési algoritmus lehet pl minden szó első betűje, a sorkezdők nagybetűk, a sorvégére a szótagszám.
Előnye hogy (ha nem mondod el senkinek), akkor a képzési algoritmust elég egyszer kitalálni, verset amúgy is tudsz ehhez eleget, megjeyezned edig gyakorlatilag alig kel valamit. És míg az előző két verzió esetén ha látom ahogy gépeled(shoulder surfing), akkor nem nehéz lelesni, hiszen értelmes szavak, nem kell minden karakter látnom, akkor is kitalálható, ellenben ennél nem.
De legfőképp: baromira mindegy, hogy milyen a jeszavad, ha 10-12 karakter, értelmes de nem személyhez köthető szó, akkor a fene se fogja kipörgetni. Ha nem átlagember vagy, és van rá esély hogy a koreaiakat érdekli konkrétan a te jelszavad, akkor megfontolandó a bonyolultabb.
Ha konkrétan a te jelszód kell, akkor is egyszerűbb phising, SE, keylogger, stb módszerrel megszerezni. Egy phising vagy vírusként szétküldött keylogger ráadásul nagy tömegekhez olcsón jut el, a nagy tömegből pedig lesz olyan, aki megkajálja.
Nem mellesleg általában nem is jelszót lopnak, hanem hash-t. Vajon miért.
Aki szerint a gonosz hackerek otthon pörgetik az átlag janik FB jelszavait, azoknak a fóliasapit ajánlom.
-
#36 Nem nagyon láttam még olyan oldalt, ahol 20 karakteres jelszót kértek volna. Olyat viszont nagyon sokat, ahol nincs limit.
A videó nem a számolást mutatta be, mondom rengeteg anyag van a neten, keress rá, nem azért nem írom le neked, mert nem értem, hanem azért mert nem vagyok fordítógép, és nem fogok a kedvedért 1000 karakteres kis esszét írni, ha érdekel akkor megtalálod a választ, többek között azon az oldalon is amit először linkeltem, de sok más oldalon is hivatkoznak rá magyarázattal. De tessék itt van egy.
-
cylontoaster #35 Csak amikor ezt technológiai szinten kikényszeríted (=minimum 20 karakter), akkor a user nem tudja hogy itt 4 szóra kell gondolni. Ez a módszer elméleti értékét nem nagyon csökkenti, de a bevezethetőségét eléggé..
Megnéztem a videót, a csávó fejét nézhetem benne 10 percig, meg a képet amit linkeltél korábban. Ebből számolás nem nagyon jön ki..
Ha valamit nem tudsz elmagyarázni, akkor nem is érted.
Arról az apróságról nem is beszélve, hogy pont baromira mindegy, hogy milyen a jelszavad erőssége, mert nem ilyen jellegű bruteforce fog történni, 1-1 extrém esetet kivéve. Ha a vinyódat, mappádat titkosítod és az kerül máshoz, azt talán lehet így törni, de a FB jelszót elég nehezen, mivel nem próbálkozhatsz ennyit.
Amit BF-al törni fognak az pl.: a felhasználók matchalése (azaz nem adott felhasználóhoz próbálom a jelszavakat, hanem fordítva, így ugyanis nincs limit), ekkor az az érdekes csak hogy ne téged vágjanak meg hamar, magyarul ne triviális jelszavad legyen (tudod, nem a medvét kll lefutni, csak a leglassabb embert).
Ha nem kretén jelszót adsz meg, mint az almafa, a password vagy a <kutyámneve><születésiéve>, akkor kb mindegy. Sokkal érdekesebb az, hogy mindenhol ugyanazt használod-e, illetve milyen gyakran cseréled. Esetleg az hogy mlyen körülmények közt használod, mert ha mondjuk könnyen rálátnak amikor begépeled (ügyfélszolgálat pl.), akkor az értelmes szavak kimondottan nem előnyösek, ahol akkor is kitalálhatom a jelszavad, ha nem láttam minden karaktert leütni.
A felhasználónév gyűjtés mellé itt a phising másik fele:
http://random-ize.com/how-long-to-hack-pass/
És itt a lényeg, lehet bármilyen jó jelszavad, ha hüye vagy, akkor nem véd semmi. :)
(Nem használok én se random karakteres jelszót, csak banknál, ott is részben azért, mert erősen limitált a hossz. És persze ott sem random, csak annak tűnik, általam érthető logika van benne, azaz valójában nem is tudom a jelszót, csak újra tudom generálni.)
Utoljára szerkesztette: cylontoaster, 2017.06.07. 10:41:38 -
#34 Ha már biztonság, akkor említsük meg ezt az oldalt is: have i been pwned :) -
#33 Igen, sokan még mindig azt hiszik, hogy a 3 az e helyett csak neki jutott még eszébe, közben az összes ilyen okosítás már régen ott van a hackerek szótárjában, azokról a jelszavakról nem is beszélve amik az elmúlt két évtizedben kiszivárogtak... -
#32 Pontosan, ha kicsit megbolonditod, akár egy idegen szóval, máris nagyon durva jelszót kapsz. -
#31 Itt le van írva az a verzio is amiről te beszélsz -
Marteen21 #30 De félreértés ne essen. Sokkal jobb megoldás mint ezek a kisnagybetűs marhaságok.
Főleg hogy az emberek kiszámíthatóan használják. Nagybetű mindig elöl szám hátul. És akkor aki nagyon trükkösnek érzi magát e->3 i->y G->6 stb... ezekre már olyan szép szabályrendszerek vannak dictionary attacknál hogy öröm nézni.
Csak felhívtam a figyelmet a gyakori szavak veszélyeire. Mert a hossz önmagában nem jelent biztonságot. -
Marteen21 #29 Én a linkeld példádra reagáltam, mert nagyon sok helyen láttam már. A benne szereplő szavak horse correct (top 1500ba benne vannak) battery ~3k egyedül a staple esik a ~7000 köré.
Írtam is ha legalább egy ritka, vagy akár nem létező szót is használsz nagyon bonyolódik a helyzet. -
#28 Ne haragudj, de négy szót bármilyen hülye képes megjegyezni, könnyebb mint egy 10-12 karakteres random jelszót, nem?
Én nem fogom neked tudni jobban elmagyarázni, rengeteg anyag van róla a neten, meg azon az oldalon is elmagyarázzák.
A jelszó tároló adatbázist két kattintással szinkronizálom a gépem és a telefonom között otthon, kábelen vagy wifin, de ha nagyon merész vagy, akkor felhő és akkor mindig mindenhol szinkronban van :) A 1password oldalán nagyon jó anyagok vannak erről, hogy miért nem kell fosni az utóbbitól se -
#27 Mint ahogy egy átlagos embernél minimális az esély arra, hogy pont az én jelszó kezelőm érdekli őt, és nem biztos hogy éveket akar rászánni arra, hogy feltöri :)
Persze, bármit lehet, a kérdés mennyire praktikus, és hogy neked jó e. Nekem nem lenne az, mert máshol is szükségem van a jelszavaimra, nem csak otthon. -
#26 https://www.rempe.us/diceware/
én ilyesmivel csinálok jelszót (egy véletlen szót dob a 9700 angol szóból) lefordítom magyarra és ragozom. A rag a 9700at a többszörösére emeli, tehát négy szó már alapból többtízezer^4 ja meg honnan tudja aki fel akarja törni, hogy magyar szavakkal kell próbálkoznia?
ja igen a négyből az egyik japán szó latin betűs átirata amit a 17ezer kanji szótárból néztem ki véletlenszerűen és ahhoz is dobtam egy magyaros ragot így már akár három szó is tényleg feltörhetetlen, három szót meg könnyen megjegyzek-beírok bárhova.
de már kezdem megszokni hogy úgy kezdem a jelszavaimat hogy 2Szó*Szó*Szó2 így az idióta bankomnak is megfelelt.
Utoljára szerkesztette: zola2000, 2017.06.07. 09:37:55 -
#25 Akkor most nézd meg, hogy mennyi szó van Oxford dictionary-ben, arról nem is beszélve, hogy magyar létemre használhatnám a francia nagy szótárat is, akkor meg sok sikert a brute force-hoz, mert csak a magyar értelmező kéziszótáron mire végig mész addigra felrobban a Nap. -
cylontoaster #24 A sokszavas, végtelen hosszú jelszavakkal az a gond, hogy ha elétolod a felhasználónak, akkor hülyét kap. A nagybetű-számot még le tudja nyelni (nagybetűvel kezd, a végére ír egy számot :D), de ha közlöd hogy holnaptól minimum 20 karakteres jelszó kell, akkor kivág az ablakon.
A linken látható számokat elmagyarázhatnád, már a múltkor is írtam, hogy nem értem a számolást..
A jelszótároló jó megoldás, amíg egy gépen használod a dolgaid. Cserébe más gépén nem fogsz tudni belépni. Persze feltehetsz egy jelszóval védett zipet a felhőbe, de gondolom nem ilyen megoldásra gondoltál :D
-
Marteen21 #23 Szerintem te nem értetted meg én mire célzok, nem betűkkel bruteforceolunk mert akkor mondjuk 23^26odikon lenne hanem szavakkal ha az összes szó amit a te ultra biztonságos jelszavadban használsz gyakori szó (mondjuk benne van a 5000 legtöbbet használt szó között akkor és 4 szóból rakod össze) 5000^4 próbálkozás alatt megvan. Persze ha egy olyan szót is használsz ami nincs benne ebben a szótárban akkor igen erős jelszó. (énis hasonlót használok fontosabb helyeken) -
#22 Ez a körülményektől függ, ugye.
Átlagos embernél minimális az esély arra, hogy olyan ember lép a házába, pláne nyitja ki a fiókot, akit érdekelnének bizonyos jelszavak. Egy ISIS-tagnál, orosz hackernél, CIA dolgozónál nagyobb a lehetőség erre nézve, bár nekik is alapvető, hogy keverjék a technológiákat (platformokat, formátumokat), így összetett(ebb) akció szükséges az információ megszerzéséhez.
Ezenfelül a papírra sem kell leírnod a tényleges jelszót, ott is alkalmazhatsz egyszerűbb algoritmusokat. -
#21 A digitalizálás lényege, hogy bármilyen adatból bárhány másolat készíthető minőségromlás nélkül. Ha a biztonságot úgy értelmezzük, hogy egy adott adatból csak egy, a rendszertől független példány legyen, akkor a digitalizálás és a biztonság egymásnak ellentmondó dolgok, bármilyen digitális alapú biztonsági rendszert is találjunk ki.
Itt csak az működik, hogy több egymástól jórészt független rendszer összekapcsolását csak az adott felhasználó legyen képes megvalósítani. Ezzel ellentétes az a törekvés, hogy az állam arra törekszik, hogy az állampolgártól függetlenül is "biztonsági" megfontolásokból összekapcsolja ezeket a rendszereket. -
Zulu12 #20 Nekem nem lenne belőle akkora bajom ha valamelyik jelszómat megtudnák ugyanis az interneten szinte semmilyen lényeges információt nem tudnának ellenem felhasználni maximum csak bosszantó lenne. A fontosabb dolgokhoz pl banki rendszerek oda meg telefonos megerősítés kell szólval oda meg be sem tudnának lépni egykönnyen. A másik dolog meg hogy nem vagyok olyan lényeges ember hogy bármilyen kódomra is szüksége lenne valakinek de ha valaki mondjuk feltöri a freemail-emet hát hajrá XD egy jó nagy semmit találna ott én meg 1 perc alatt csinálnék egy új accot.
A Facebook illetve a G-mail lenne talán a legbosszantóbb de ott sincs semmi olyan amire szüksége lenne egy hacker-nek. Eleve a legtöbb dolog rajta nyílvános illetve ott is lehet használni a telefonos dolgot szal túl sok mindent nem tudnának csinálni... -
#19 Sajnos, írtam is korábban, hogy ez elég bosszantó. -
#18 Látom nem sikerült megértened belőle semmit. -
#17 Apró hiba, hogy egy rakás hely nem engedi használni ezt, ha nincs benne szám és spéci karakter... -
Marteen21 #16 Jók az ilyen típusú jelszavak, de csak mert nem elterjedtek. Egy szó alapú dictionary attack simán feltöri.(feltételezzük hogy a delikviens jelszava 3-4 szó, és bepróbáljuk mondjuk a leggyakoribb szavakat) -
#15 Biztosan. Mert egy darab papír ( plain text ) az nem, igaz? -
#14 A jelszókezelő növeli a kockázatot.
-
#13 egy négy vagy öt szavas jelszó bőven megteszi, attól hogy teszel a 10-12 betűs jelszavadba egy számot vagy karaktert, attól nem igazán lesz erősebb, csak nehezebben megjegyezhetőbb és körülményesebb beírni.
password strength
Én jelszó kezelőben tárolom, nem akarok mindenhova jegyzet füzettel járkálni.
Utoljára szerkesztette: Tikal, 2017.06.05. 22:17:20 -
#12 Mi a baj vele? Nehezebb feltörni, mint az egysíkú, ráadásul értelemes szavakból álló, sokszor "password" jelszót.
Mindenhol kötelezővé tenném.
Nekem van kb. száz jelszavam és bizony, nem tárolom a gépen egyiket sem semmilyen formában, hanem egy noteszben. ;-)
A biometrikus jeszó semmit sem ér hosszútávon. Mármint, komoly helyeken.
Utoljára szerkesztette: Tetsuo, 2017.06.05. 21:28:02