Informatika és tudomány

12
  • zola2000
    #12
    Attól is függ hogy milyen szó. Ha például több nyelven kombinálunk már biztonságosabb.

    Például "ez a gyümölcs édes volt" helyett Kono.gemuse.was.edes azaz japán és német angol és magyar szó máris elég bonyolult rájönni.

    És egy ilyen csak a jelszó kezelő jelszava kell hogy legyen a többi jelszó meg benne van a kezelőben szóval...
    A
  • kvp
    #11
    Az 1234567 a 11. leggyakoribb volt 2020-ban... :-)

    A 8 karakteres vegyes karaktercsoportos mar reges regen elavult, igazabol 24 alfanumerikus karakter (a-z,A-Z,0-9) alatt nem kellene probalkozni. Minel kevesbe van koze ertheto szoveghez, annal jobb.

    pl. a "password" jelszo helyett lehetne hasznalni ezt:
    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
  • duke
    #10
    Kicsesztem a hekkerekkel a megszokott 123456 -ot kiegeszitettem egy hetessel 1234567. Ezenkivul a passwordot, egy S-el irom. Erre nem szamitanak.
    Utoljára szerkesztette: duke, 2021.08.11. 17:09:36
  • RJoco
    #9
    De, ha már 3 szó, akkor miért nem 24?
    A kriptovalutáknál 24 a bűvös szám.
    De ennyi erővel lehetne mindjárt 42. És akkor meg is kaptuk a választ a kérdésre.
    42 szót meg nem valószínű, hogy a közeljövőben feltörnének.
    Csak ugye itt is akkor van a gond, ha ellopják a weboldalak üzemeltetőitől az adatokat.

    Én inkább azt hangsúlyozom, hogy először az üzemeltetők tegyék az oldalaikat biztonságossá és utána traktálják az embereket a 3 szavas jelszavakkal, meg a különleges karakterekkel és ilyen nyavajákkal.
    A nagybetű, kisbetű, szám még elmegy. Meg a min. 8 karakter hosszú is.
    Ha egy oldal elég biztonságos, akkor nem törik fel.
    Ha minden oldal biztonságos lenne, akkor meg nem lenne gond, hogy egy jelszót használok mindenhez.

    Ilyen szempontból nem ártana egy oldal biztonságossága jelző sem a regisztrációkor. Mert adott esetben lehet, hogy inkább nem regisztrálok. Vagy biztos, hogy olyan jelszót használok, amit máshol nem.
    Warning! Cargo bay open, shields are down!
  • kvp
    #8
    Minden jelszonak van egy bonyolultsagi szintje. Ez fugg a hosszatol es a felhasznalt karakterkeszlet meretetol. A kisnagyspecialis osszeallitas akkorrol maradt rank, amikor meg a jelszavak hossza is erosen limitalt volt, altalaban maximum 8 karakter. Ott fontos volt, hogy mekkora a karakter keszlet merete es abbol foztek ami az adott platformon elerheto volt.

    Ma mar meg lehet allapitani egy jelszo biztonsagossagat egy gyakori karakterkombinaciokat tartalmazo adatbazis es a felhasznalt karakterkeszletek meretenek segitsegevel. Igy egyszerre lehet engedelyezni mondjuk egy 32 decimalis szamjegybol allo kodot egy 24 karakteres kisbetukbol es szamjegyekbol allo vagy egy 16 vegyes karakterekbol allo kodot, mert kb. azonos biztonsagi szintet fognak jelenteni, felteve, ha nem a gyakori karakter kombinaciokat hasznaljak az emberek. Egyebkent itt jegyzem meg, hogy 3 ertelmes szo kevesbe biztonsagos mint a 3 szoval megegyezo hosszusagu veletlen betuhalmaz, mert az ertelmes szavak toreskor ugyancsak gyakori karakterkombinacioknak szamitanak. Ha a fent leirt bonyolultsag elemzest vegzi el a rendszer a jelszo megadasakor, akkor viszonylag egyszeru biztonsagos jelszavakat megkovetelni, csak segitsegkeppen ki kell jelezni az aktualis biztonsagi szintet, hogy a felhasznalo lassa, hogy miert nem eleg eros amit beirt. Sok oldal mar igy mukodik es a bonyolultsag kijelezese mellett megadnak egy minimalisan elfogadhato josagi szintet is.

    A jelszavak tarolasara en tovabbra is csak ket modot tartok jonak: Vagy fejben vagy offline. Ez utobbi lehet barmi a papirdarabtol egy netre kapcsolodni keptelen elektronikus eszkozig, a lenyeg, hogy semmilyen modon ne lehessen elektronikus kapcsolaton at hozzaferni a tarolohoz es csak manuali modon lehessen adatot mozgatni a szamitogep fele (tehat kezzel begepelve). Minden mas megoldas eseten a tarolt jelszavak viszonylag konnyen ellophatoak fizikai hozzaferes nelkul is.
  • zola2000
    #7
    A legtöbb mobilappnál van egyérintéses "login with google" lehetőség PCn/konzolon is: a steam/DLsite nest/nintendo eshop stb jelszava megvan a chrome böngészőben mert belépek onnan is, és ha például a switch konzol kéri akkor kimásolom.

    Persze olyanról hallottam hogy valakinek törölték a Google accountját mert "megsértette a feltételeket" nem értette hogy miket, úgyhogy néha csinálok biztonsági mentést hátha úgy járok.
  • RJoco
    #6
    A weboldalakon ez teljesen jó lehet, de egy Rockstar, Origin, Stem kliensnél ez nem segít. Vagy egyéb nem böngészős helyeken.
    A google jó arra is, hogy figyeli a netre kikerülő felhasználónév/jelszó párosokat és értesít, ha a te is köztük vagy. Meg persze a jelszók megjegyzésében is.
    De mobilos app-oknál használhatatlan, mikor nem tudsz belépni a payback-be, mert mindenáron megnyitja az app-ot, ahol nincs bent a jelszó. És az app rendszeresen kiléptet belőle.
    Mondjuk itt a keepass is macerás már.
    Még a steam app is szokott belépési adatokat kérni annak ellenére, hogy a guard meg gond nélkül adja a kódokat a belépéshez.
  • zola2000
    #5
    Mondjuk a Google Chrome jelszókezelője is ma már teljesen jó: erős jelszavakat ajánl, a google accountba kell egy erősebb jelszó és kétlépcsős hitelesítés és ott a jelszavak.
    A
  • RJoco
    #4
    Aha, köszi!
    Amúgy Keepass sem rossz.
    Csakhogy sok hely nem fogadja el a szóközt. Emellett egy szép hosszú jelszót feltörni sem egyszerű.
    Ja, hogy az oldalak csesznek a biztonságunkra? Mi az, hogy valaki fel tud törni egy weboldalon egy min. 8 karakterből álló jelszót anélkül, hogy a rendszer ezt észrevenné és értesítést küldene?
    Arról nem is beszélve, mikor ellopnak egy szép nagy adatbázist és hiába a három szavas jelszó, a kedves felhasználó cseszheti, mert valami gyökér cég nem vigyázott az adataira. Te meg 200 oldalon jegyezzél meg 200 különböző jelszót és az sem mindegy, hogy melyik hova tartozik, mert neked persze pár próbálkozás után letilt vagy képeket dob fel, meg mindenféle nyavajával akadályoz, hogy megtaláld a megfelelő jelszót.
    A Keepass sem feltétlen mindig jó, mert akkor meg mindig nálad kell, hogy legyen. Telefonhoz nem mindenki visz magával OTG átalakítót és az USB kulcsok szeretnek a kulcstartón tönkremenni.
    Több gép használata esetén is macera, ha épp beregisztrálsz valahova és kell egy új jelszó. Az adatbázist meg biztonsági okokból nem célszerű neten tárolni. Ha onnan ellopják, akkor egyszerűen csak idő kérdése, hogy feltörjék.

    A melóhelyen bevezették ezt a marhaságot, bár ott nem vacakoltak 3 szóval. Baromság is. Egy egész mondatot megadhattam. Csak épp ékezetes karakterek nélkül. Pedig az egyedi nyelvi karakterek mennyit dobnának a feltörhetetlenségen?
    A melóhelyen ez azért gáz, mert egyes helyeket, funkciókat csak a bejelentkezési adataimmal tudok feloldani. Úgyhogy csináltam a jelszóból egy QR kódot. Szkennelő általában mindenhol van.
    Warning! Cargo bay open, shields are down!
  • wraithLord
    #3
    Jaja.

    Azóta kombinálom a két jelszógenerálási módszert, mivel bizonyos programok és oldalak ragaszkodnak hozzá, hogy legyen benne kis- és nagybetű, szám, spec karakter... :D
  • RelakS
    #2
    XKCD után szabadon?

    Én is rühellem ezeket a random karaktereket. Inkább követeljenek meg több karaktert, amivel azért csak könnyebben áll elő az ember, minthogy kitaláljon valami abszurd vackot.
  • wraithLord
    #1
    Évek óta már kb. mémszinten terjed, hogy a "kisbetű, nagybetű, szám, különleges karakter" alapú jelszógenerálás marhaság, és az olyan jelszó, ahol értelmes szavakat rakunk egymás után valamivel (akár space-szel) elválasztva sokkal hatékonyabb... és könnyebb megjegyezni is.Eddig is csak a jelszógenerálásnál traktáltak ezzel az oldalak meg a rendszergazdák.