Most gondolj a legféltettebb jelszavadra! Elég biztonságos? Az első lépés, amit online adataid védelmében megtehetsz, hogy létrehozol egy biztonságos jelszót, egy olyat, amelyet egy számítógépes program, vagy egy kitartó egyén, nem tud kitalálni! A legfontosabb jelszó az e-mail jelszavad. Ha azt kitalálják, akkor az összes általad használt online szolgáltatáshoz és a privát levelezésedhez hozzáférnek. 

Ha valaki kitalálná az e-mail jelszavad, akkor egy perc alatt használatba tudja venni egy új jelszó igénylésével a Facebookod, Iwiwed és egyéb közösségi oldalon lévő profilod ezáltal személyiséglopást elkövetve. A személyiséglopással le tudnak járatni, vagy másoktól fontos információkat tudhatnak meg. Nálam éppenséggel a következő szolgáltatások is bedőlnének: Twitter, Bloghu, Fórumok, Vatera (ez kínos, mert szép kis számlát tudnak csinálni kamu vásárlásokkal), Abaqoos számlám, Felvi.hu kezelőfelület, My T-mobile, különböző webes tárhelyek és még ezernyi szolgáltatás...

Egy egyszerű óvintézkedéssel jelszólopás esetén is könnyen vissza lehet szerezni ami a miénk: Két postafiókot kell üzemeltetni. Az egyik a mindenki által ismert e-mail fiókod, mondjuk valaki@gmail.com - a másik pedig egy másolata ennek, ahova az összes levelet automatikusan továbbítod. Például valaki_backup@gmail.com. Persze mindehhez két különböző jelszó kell. Ha ellopják az eredeti, mindenki által ismert fiókod jelszavát, akkor az összes üzenet amiben az új jelszó beállítását intézi a tolvaj megérkezik a másik címre, ahova még mindig be tudsz jelentkezni. Evvel a csellel (és persze a további biztonsági intézkedésekkel mint például az alternatív e-mailcím, vagy a jelszó visszaállítás sms-ben - ami szerencsére sok szolgáltatónál terjedőben van) meg tudod őrizni adataid védelmét.

Persze mindehhez kell egy biztonságos jelszó is. A következő kritériumokat mindenképp tartsd be:

  • Jó hosszú jelszavad legyen: Minimum 6 karakter. Ekkor a lehetőségek száma, ha valaki ki akarja találni a jelszót éppenséggel 56 milliárd környékén van (ha van benne kis és nagybetű + számok). Ez a szám nagynak tűnik de néhány jelszótörő programnak, ami brute-force (nyers erővel) dolgozik, azaz végigpróbálja az összes lehetőséget csak pár nap munkát jelent. Rossz hír, hogy sok helyen korlátozzák a jelszó hosszúságát, ami értelmetlen dolog. Például a honfoglalo.hu és az atw.hu is maximum 12 karakter hosszú jelszót enged meg.
  • Ne legyen benne értelmes elem. Ne legyen mondjuk a születési dátumod, vagy valami szótári szó, amit még könnyebb kitalálni (tekintve, hogy a magyar szóból körülbelül 40'000 darab van) egy szótár alapján automatizálva könnyű dolog a jelszófejtés.
  • Tartalmazzon kis- és nagybetűket, számokat esetleg speciális karaktereket. Igen. Minél nagyobb az értékkészlet annál több lehetőséget kell végigpróbálni a jelszófejtőknek.
  • Ne használj ismétlődő karaktereket.
  • Ne az legyen a jelszavad, hogy "jelszó". Há ezt úgysem találja ki senki... Persze. Statisztikák szerint a leggyakoribb jelszó ez és az 123456.

Ha nem jutna eszedbe hirtelen egy biztonságos jelszó, akkor írtam egy programot, ami megkönnyíti az ilyen jelszavak létrehozását. A kép mindent elárul: Beállíthatjuk a jelszó hosszát, a karakterkészletet (kisbetűk, nagybetűk, számok, speciális karakterek) de saját karakteret is megadhatunk. Ebből áll össze a jelszó. Lehetőségünk van egyszerre többet is generálni, amit aztán vágólapra tehetünk vagy egy szöveges fájlba menthetünk.

Használjátok egészséggel:

LETÖLTÉS


 

 

A generált jelszavak erősségéről megbizonyosodhatunk a www.passwordmeter.com címen található erősség mérővel. Ha jót akarunk magunknak, akkor a KeePass jelszószéfet is vegyük használatba. Így elég egy jelszót tudni ami hozzáférést biztosít a bonyolult, megjegyezhetetlen ám biztonságos jelszavakhoz.

A bejegyzés trackback címe:

http://numlockholmes.blog.hu/api/trackback/id/tr532207383

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

belekotty 2010.08.09. 07:55:50

@Sixx! Anyádat is nyuggernek hívod?: Én meg olyan multinál voltam rendszergazda, igaz nem én voltam a security adminisztrátor, ahol a jelszavakhoz egy plusz számot kellett beütni. Mindenkinek volt egy kütyüje és műholdról jött percenként egy szám.
Az emberek többsége nincs is tisztában a veszélyekkel, hagyja hogy a windows tároljon jelszavakat, nem cseréli és nem veszi észre a jeleket ha ellopták. Ebben sok szolgáltató is hibás, mert bejelentkezéskor nem írja ki mi volt az utolsó bejelentkezés.
A blog címe is utal arra hogy ez szőke nőknek szóló alapismeretek. A freemailt meg ne vegyük alapul, mert újabban rettenetesen szar. Nekem például napok óta azt írja hogy a mappáimat nem sikerül betölteni. Egy kalap szar.

belekotty 2010.08.09. 07:58:33

@verpistike: "biztonság pedig úgyse létezik.. max azoknak a körét tudod szűkiteni akik képesek megszerezni az adataidat..."

Ez jó, ez nagyon jó! :-))
IBM mainframe gépeken van titkosító processzor, ahol a hardver titkosít. Ha titkosítod az állományodat, hiába tudod a jelszót, ha másik gépre viszed, nem tudod elolvasni. Az IBM kell hozzá.

Sixx! Anyádat is nyuggernek hívod? · http://orbanfan.blog.hu 2010.08.09. 08:10:54

@belekotty: most részletezzem? Csak tizenöt évet húztam le az egyik nagybank üzemeltetésén. És? Jelszavam csak a kulcsomhoz volt.

@verpistike:
Tökmind1, hogy kinek szól, ha hamis biztonságérzetet kelt az olvasókban.

belekotty 2010.08.09. 08:14:47

@Sixx! Anyádat is nyuggernek hívod?: Végül is igazad van, úgyse tudod megakadályozni hogy valaki belédrohanjon alsóbb rendű útról, minek KRESZT tanulni?
Mellesleg nagybank? Volt gépileg kikényszerített szabály a jelszavakra?

belekotty 2010.08.09. 08:17:04

@Sixx! Anyádat is nyuggernek hívod?: Nálunk a biztonsági audit még azt is leellenőrizte hogy a biztonságos passwordot kikényszerítő rutin binárisan megegyezik-e a multi által kiadottal. Hogy a rendszergazda ne tehessen magával kivételt benne.

belekotty 2010.08.09. 08:19:09

@Sixx! Anyádat is nyuggernek hívod?: Abban igazad van, hogy ne ringassák az emberek magukat hamis biztonság érzetben, ha valamilyen oknál fogva meg akarják szerezni az adataidat, profik úgy is megszerzik, akárhogy erőlködsz.

reader613 2010.08.09. 08:27:02

Jobb helyeken, amikor jelszót kell választani, hasonló jelszóerősség-ellenőrző már eleve be is van építve. Más kérdés, hogy egyik-másik igen gyenge.

verpistike 2010.08.09. 08:27:15

@Sixx! Anyádat is nyuggernek hívod?:

történetesen szerintem nem ad hamis biztonságérzetet.. ha lecseréled az 123456 jelszavad a fenti program által generált valamelyik jelszóra, és mondjuk valamelyik népszerű levelezőt használod, te megtetted a magadét.

ugyanis ezeknek a levelezőknek hiába esel neki webes felületen brute force vagy dictionary attackal.. valszeg nem fog sikerálni...

ha meg más módszert alkalmazol akkor a jelszavad bonyolultsága nem igazán oszt vagy szoroz..

reader613 2010.08.09. 08:29:43

a másik meg, hogy érdemes úgy választania a jelszavát, jelszavait az embernek, hogy ne legyen mind egyforma. Ez elérhető, ha minden jelszót két részből raksz össze: mester + egyedi

ebből a mester önmagában is egy erős jelszó kell legyen, az egyedi résszel meg megkülönbözteted őket aszerint, melyiket hová használod.

Pl mester = a%Q9p3,Gx - de semmiképp sem pont ez, most hogy már leírtam
egyedi = gmail, vagy face, vagy msn, és akkor lesz belőle

a%Q9p3,Gxgmail
a%Q9p3,Gxface
a%Q9p3,Gxmsn

hottentotta 2010.08.09. 08:31:04

A speciális karaktereket sok helyen el sem fogadják a jelszóban :D

numlockholmes · http://napigeek.blog.hu/ 2010.08.09. 08:35:33

@Sixx!: Nem akartam világmegrengető dolgokat írni, egyszerűen a biztoságos jelszó használatára ösztönöztem mindenkit. A biztonságos jelszó nem 6 karakter, hanem minimum 6 -mondtam jobb, ha hosszabb. A több postafiók pedig csak növeli az esélyedet, ha ellopták a fiókod, mert nem biztos, hogy egyből az átirányítást nézi meg a tettes a beállításoknál - főleg, ha egy automatizált bot-ról van szó. Lehet, hogy Te már több évtizedet lezúztál a szakmában és neked nem mond újat az írás, de remélem sokaknak hasznos.

reader613 2010.08.09. 08:36:35

még egy trükk a jelszóválasztáshoz -

egyéb szempontokat betartva nem sokat gyengítesz a jelszavad erősségén, ha elkerülöd az Y és Z betűket és a 0 karaktert, elérve ezzel, hogy magyar és angol billentyűzeten pontosan ugyanúgy kelljen begépelni. Sajna a szimbólumok szinte mind máshol vannak, kivéve ezalól például a százalék jel.

különvélemény 2010.08.09. 08:54:22

Nekem ez a jelszavam a nemmondommeghova.
Ez gáz? :D

**************
y7()iDJ&EqqNkwdI/UF'2FF8HK6{QRPr4z&F4Cc*>s7H`N.%E[8\#}l{7yMXw~w+k'\FFiht^iB%krqQJ8PlQ0T`bXl9*rGB,~L3/`p-|M}C~C--r?>5)%cgsAUGCQI81Hi4!gKeX2"'`n:o9]*T;32i|R`i(Ryh~UsaE>i&M<tFYe?0&!T^[9N
**************

maydayray 2010.08.09. 09:01:56

@baυxit: biztonságos jelszavakat magyarázol, utána meg azt írod, hogy mentse el egy szövegfájlban. háháhá. esetleg jelszo.txt jó lesz??

A'rpi 2010.08.09. 09:03:45

"Mindenkinek volt egy kütyüje és műholdról jött percenként egy szám."

rotfl. azt RSA kulcsnak hivjak, es nem muholdrol jon (lol mindig kirohangaltal vele a tetore hogy legyen vetel, mi? :)) a kulcs hanem belul generalja, ugyanolyan algoritmussal mint ami a szerveren is van (lasd ugrokod).

AutosVilli 2010.08.09. 09:42:02

A Magyar nyelv sajátossága miatt egyébként eléggé védettek vagyunk a próbálgatós jelszó feltörésektől.
A heavy userek meg kopjanak innen máshova fikázni,vagy adjanak jó tanácsot.

verpistike 2010.08.09. 09:42:34

@maydayray:

lehet jelszo.txt.. és beleraksz még kb 100k jelszót.. és tanáld ki..

levelezők jelszaváról meg online szolgáltatások jelszaváról van szó... nem a gépeden tárolt cuccról

Gépember · http://gepembernaploja.blog.hu/ 2010.08.09. 09:44:43

@Sixx! Anyádat is nyuggernek hívod?:

Ez a poszt az 1.0-ás felhasználóknak szól, nekik - ha nem rendelkeznek szövegértelmezési problémákkal - sokat segíthet.

Felnyit(hat)ja a szemüket, hogy mennyire veszélyes egyszerű és könnyen kitalálható jelszavakat használni.

Ad egy ötletet, hogy mentheti - jelszólopás esetén - ami még menthető.

Plusz még ad hozzá egy saját maga által írt jelszógeneráló programot.

Összességében egy jó írás: probléma felvetése, veszélyekre rámutatás, megoldási lehetőség(ek).

Megíródhatott volna úgy is a cikk, hogy "Minden hülye, aki olyan egyszerű jelszót használ, mint a faék, azonnal változtassa meg jelszavát a saját érdekében!!!"

Lehet, hogy páran (csak) ebből értenek, de szerencsére ez nem Lóránd stílusa.

@baυxit:

Respect.

AutosVilli 2010.08.09. 09:56:23

Biztonságos E-Bankolás recept:
Ubuntu linux operációsrendszer letöltése(ingyenes)
majd kiirása egy cd-re, a számitógép indulásakor a CD-ről futtatod a linux oprendszert(szinte olyan mint a windows nem kell megilyedni tölle.) betölti magát a memoriába és onnan fut, lehet internetezni vele,támogatja a wifit.Ha csak innen e-bankol az ember ,szinte nulla az esélye hogy lenyúlják a belépőkódját.
A számitógépen elvből nem tárolok jelszót, ki kell irni egy papirra és be kell tenni a személyes iratok közé,ha nem tudod megjegyezni,persze hogy melyik kód hova való azt nem kell oda irni,ezért érdemes egy kódot használni, és tagoltan váltogatni,első két tagot hátra rakni,vagy az utolsó kettőt elöre stb stb, a külömbözö fiókokhoz,helyekhez.

Ballagator 2010.08.09. 10:14:58

Nem tudom, elhangzott-e valaha ötletként, de szerintem ez jó módszer hosszú és nehéz jelszavakra: gondoljunk gyermekkorunk halandzsaszavaira, amik megmaradtak emlékeinkben (esetleg szülőktől hallottuk sokszor, hogy hogy hívtunk egyes dolgokat, ha már nem emlékeznénk), vagy (kisgyermekesek előnyben), saját kisgyermekünk/-eink halandzsaszavait is használhatjuk. Esetleg kettőt egymás mellé fűzhetünk, hogy jó hosszú legyen. Na ezt találja ki a szótárral dolgozó brute force törő.

porthosz 2010.08.09. 10:20:27

Én informatikus vagyok, és jelentem jelenleg a jelszavak igen komoly problémát jelentenek és erről nem az átlag user tehet.
Nézzük az én esetemet:
-két jelszó kell a cégemnél
-egy az otthoni gépemhez
-egy levelezéshez
-egy a routeremhez
-egy a myviphez
-egy az iwiw-hez

ezek csak a sürün használtak. Ezen kivül regisztrálva vagyok kb. 4 fórumon, az további 4 jelszó...

ez összesen 11 jelszó, amit ugye elvileg nem lenne szabad megjegyeztetnem a böngészővel, de cserébe legalább megjegyezhetetlen legalább 8 karakter hosszú jelszónak kéne lennie... Szerintetek ez kezelhető? mert szerintem nem. És bizony a legtöbb embernek akinek van otthon gépe meg internet elérése, legalább 8-10 jelszót kellene tudnia, ez lehetetlen.

AutosVilli 2010.08.09. 10:27:31

@porthosz: Nem lehetetlen,találj ki egy nehéz sok tagból álló jelszavat,tanuld meg , és kombináld ezeket.
Ennyire egyszerű.Aki háromnál több jelszóval rohangál ,meg is érdemli.

porthosz 2010.08.09. 10:31:04

@AutosVilli:

"Ennyire egyszerű.Aki háromnál több jelszóval rohangál ,meg is érdemli."

Tehát legyen 3 jelszavam 11 helyre?
Akkor már miért nem inkább 1?

nem várt fordulat 2010.08.09. 10:48:04

@porthosz: password manager a megoldás.

egyébként pedig én sem értem a fikázókat, ennél többet nem igazán lehet tenni, mivel a billentyűzeten a karakterek száma véges.

EzAzEnJelszavam#43

sok sikert a brute force-hoz.

Serio (törölt) 2010.08.09. 10:48:49

Jaj nemár, anyám borogass. Megint jött egy észlény és megmondta a korrektséget a jelszavakról.

A jelszavak esetén van pár dolog amit érdemes figyelembe venni:

- A weben egyetlen oldalról sem feltételezheti az ember, hogy nem plaintext formátumban tárolja a jelszavát, vagy nem loggolja más módon. Ez pedig azt vonja maga után, hogy két helyre ugyanazt a jelszót használni kockázatos.

- Jelszótárat használni hasonlóan ostoba dolog, mint a jelszót felírni. Sőt, még egy fokkal ostobább, mert a felírt jelszót nem lehet a neten keresztül ellopni, és a tulajdonosa számára szabad szemmel is olvasható. Mindez a jelszótár szoftverekről nem mondható el.

- Egy speciális karaktereket is tartalmazó jelszót a variálódó billentyűzetkiosztások miatt gyakorlatilag emberfeletti teljesítmény beírni. Megjegyezni hasonlóképp. A fent látható fantasztikus szoftver működése a jelszó fogalmának totális félreértelmezésén alapszik.

- Ha a jelszavad két-három szótári szóból áll, plusz még van benne nagybetű és szám, akkor hiába a szótári szó, egy esetleges támadás esetén jó eséllyel lesz százezer "123456" és "qwerasdf" az adatbázisban, így a hackerek jó eséllyel leállítják a bruteforce gépet mielőtt az eljutna a tiedig. :P

Szóval lássuk be, a jelszó alapvetően egy hibás eszköz. Akkor leszek boldog, ha minden gépen lesz smartcard reader, és mindenkinek lesz a zsebében egy smartcard.

Addig meg legyünk már észnél, és ne dőljünk be az ehhez hasonló okoskodó félhülyék agybajainak. Akkor tekinthető egy védelem biztonságosnak, ha drágább feltörni mint más úton megkerülni.
Egy jól megjegyezhető, mnemonikus kombináció pár szótári szóból, nagybetűkkel, számokkal több mint elegendő. A legjobb, ha az ember ki tud találni valami egyszerű algoritmust, amivel a honlap nevéből generálja a jelszót. Így soha egy jelszót sem fog elfelejteni.

Mindezek mellett érdemes legalább évente kicserélni a fontosabb jelszavakat.

Ennyi. Aki meg a fenti jelszógenerálót tényleg képes és használatba veszi, az megérdemli amit a nyakába vesz.

Banonym 2010.08.09. 10:49:20

Minimum 6 karakter????

Egek ura. Minimum 9...

nem várt fordulat 2010.08.09. 10:50:26

@AutosVilli: te viccelsz?

1) SSH root jog
2) 15 site FTP jelszó
3) 2 Gmail, 1 munkahelyi, 1 saját levelezés, + egyéb mailboxok
4) otthoni / munkahelyi gép jelszó
5) site-okra regisztrált jelszavak

a telefon / bakkártya / kapucsengők pinjeit, kódjait már nem is említem...

mennyi is az a 3?

El Argentino 2010.08.09. 10:52:24

@porthosz: Nem lehetetlen. Több különböző betű-szám-spéci karakter kód van már a fejemben. Ezek kapcsolva vannak valamihez nálam. Mikor meglátom a honlapot, már tudom is melyik melyik jelszó passzol oda.

Réka ‎ · http://blog.rekafoto.com/ 2010.08.09. 10:52:58

ez a password meter nagyon hasznos, de honnan tudom, hogy nem keylogolja, amit beütök, és próbál nekimenni a szokásos szolgáltatóknak, hátha bejut valamelyik accountomra? :))
Egyébként ahogy @porthosz: is írja, nekem az a legfontosabb egy jelszóban, hogy ne felejtsem el. Mert ha nem tudok belépni vele a komplexitása miatt, akkor használhatatlan és akkor cseszhetem a biztonságot. Szóval nekem szükségem van szótári szóra (igaz lehet belőle kettő, közötte karakterrel vagy számmal), mert a dghr85%xgreg!@@ jellegűt soha nem fogom észben tartani.

pfekete101 2010.08.09. 10:55:16

Hat ez a jelszogenerator igy szerintem egy hulyeseg.
Ezt egy file-ban fogod tarolni, amit felteszel a gepedre, ami ra van kotve a netre....
Olyan jelszot valassz, ami eleg eros es ha almodbol felebresztenek is eszedbe fog jutni.
Nekem pl. egy jatek cheat-je a passwordom, amit sose felejtek el (nem tudtam elfelejteni, vajh miert?).

Kicsit Karcos 2010.08.09. 10:58:48

Mondok én is egy viszonylag egyszerű és viszonylag hatékony módszert.

1. facebook, iwiw és a többi jelszóvadász-profilvadász oldal mellőzése önmagában legalább fél siker
2. nem létfontosságú (pl. blogok, fórumok) oldalakra eldobható pass használata pl. a mailinator.com segítségével, majd az emailcím aliasával regisztrálás (ha ellopják, ellopják, kit érdekel, de azért ne kínáljuk tálcán)
3. súlyponti címeket (privát mail, bank, ilyesmik) külön-külön email-címről regiszrálni, jelszót havonta változtatni @reader613: javaslata alapján, a master jelszót évente cserélve
4. jelszókat, mailinatoros loginokat kockás füzetbe felírni, és a fiókban tárolni, ha fejben nem megy
5. a sokszor kötelezően megadandó jelszó-emlékeztetőbe (aminek amúgy semmi értelme, sőt...) egy megjegyezhetetlen, ezer karakteres szörnyeteget beírni, mivel semmi szükség 2 jelszóra, 1 kell, de az legyen biztos

nikkó 2010.08.09. 11:01:38

Sztem ennél egyszerűbb a jó jelszó generálása. Válassz egy számodra evidens idézetet: filmből, versből, dalszövegből, bárhonnan. Ha ezt úgy írod le, mint angolok a címeket, plusz mögé teszed a barátnőd, anyukád születési dátumát és még a monogramját, akkor azt gyakorlatilag senki sem tudja kitalálni. Az összes password ellenőrző szerint szupererős. Pl: ComeAndHoldMyHand780624MGY

nem várt fordulat 2010.08.09. 11:13:30

@Rékuc: honnan is tudná a loginneved?

nemezisazis 2010.08.09. 11:18:05

helytelen: avval
helyes: azzal
ellenőrzési hely: 6. osztályos nyelvtankönyv mássalhangzótörvények

halihalo 2010.08.09. 11:44:20

Jó ismeretterjesztő írás, de nem tudom megállni, hogy ne írjam le: a magyar nyelvben nem 40.000 szó van, hanem annak sokszorosa.

verpistike 2010.08.09. 11:54:53

egy pár embernek be kéne valahova vonuli megfigyelés alá...

nah a tuti kb úgy néz ki hogy beregelsz valahova és jelsznónak beirod hogy Pistike7913.. és ennyi nem több.. ez tökéletesen megfelelő az átlag user számára olyan fiókokhoz mint gmail hotmail yahoo facebook...

ilyen nagy siteoknál buteforce nem érvényesül így nem kell tőle tartani... persze nagyon sok kis sitenál is halott dolog a bruteforce..

szerintem egyik legjobb dolog account megszerzésére az xss ott pedig nagyon nem számít hogy milyen nehéz a jelszavad...

IndaMuncher 2010.08.09. 12:37:34

@reader613: Bazmeg ez nem rossz ötlet.

Amúgy én olyat hallottam, hogy alapból erős, de megjegyezhető jelszót úgy kell csinálni, hogy pl egy jellegzetes mondat minden szavának kezdőbetűit használod.

Thera 2010.08.09. 12:50:33

@verpistike: CSRF re gondoltál nem? ;o)

Ha jelszavakra/accokra lenne szükségem célzás nélkül akkor létrehoznék egy közepesen sikeres online szolgáltatást, és megjegyezném a login/pass párokat. Mivel mindenhova kell legtöbben ujrahasznositják jelszavaikat.

@F.house: Kb igazad van:
Akik direktben szavakat haszn'lnak az is jó csak ugy számoljanak hogy 1 értelmes szó = kb 1.5 karakter, és 8 karakter kell minimum és nem lehet összefüggés.
Szóval ha szavak akkor sacc per kb 8 kell.

Továbbá javasolom hogy fontosság szempontból különböző jelszavak legyenek. Pl egy nem pénzes online játékra nyugodtan lehet pl asdf1234 (vagy egy fokkal erősebb azrt) főleg ha nem bizol meg az üzemeltetőben, mig online bankhoz egy jóval erősebb csak ott használt.

Váletlen jelszógenerátort viszont hacsak nem vagy autista/kitűnő memóriával rendelkező semmiképp nem javaslok: Többet lehet veszteni a vámon (felirás szükségessége, ugyanaz sok helyre, ritkán lecserélve, különböző lokalizációs problémák mint YZ) mint nyerni a réven (védelem bruteforce ellen)

Thera 2010.08.09. 12:53:36

@reader613: Értelme nem sok: 1 esetben jobb mint ha ugyanaz a jelszó: ha az oldalban nem bizol. De egyrészt az emlitettekben tulzott paranoiát leszámitva lehet bizni másrészt ha a tulaj pont reád kiváncsi akkor elolvassa és rájön hogy ő a facebook tehát determinisztikusan azt a részt kell lecserélnie másra.

Nem csak a különbözőség számit hanem a függetlenség is: Egyiket tudva ne lehessen következtetni a másikra.

maydayray 2010.08.09. 12:55:31

@verpistike: vetted, amit írtam, király.

Artie 2010.08.09. 12:56:56

Ha valaki elmagyarázza nekem, hogy az e-mail jelszavammal hogy fér hozzá a többi jelszavamhoz, kiabáljon. Mert nem értem.

Ja, hogy nem online tartom a leveleimet, hanem szépen otthon POP3-ról letöltve?

Egyébként meg akkor is: e-mailben semmi jelszót nem tárolunk.

Faszság ez az iromány, na.

blacklord 2010.08.09. 13:24:14

Keepass-hoz hozzáfűznék annyit, hogy én jó ideje használom, nagyon jó. Én annyival súlyosbítottam a helyzetet, hogy USB-drive-on tárolt kulcsfile+jelszót együtt nyitja csak az adatbázist, így a feltörés esélyet igencsak lecsökkentem (még úgy is, hogy ha valaki a kódolt jelszótár birtokába jut).

subbazoo 2010.08.09. 13:25:16

@belekotty:
"Ez jó, ez nagyon jó! :-))
IBM mainframe gépeken van titkosító processzor, ahol a hardver titkosít. Ha titkosítod az állományodat, hiába tudod a jelszót, ha másik gépre viszed, nem tudod elolvasni. Az IBM kell hozzá."

egy orosz szoftver és eszköz kell hozzá meg két lábat rövidre zárni a chipen a megfelelő időpontban és a merevlemezed nyitva van. szóval annyira ne dőlj hátra, én már csináltam ilyet, simán lehet nyitni a titkosított winchestereket.

igaz a kütyü önmagában megfizethetetlenül sokba kerül (mi is csak béreltük) és a tulajnak nyitottuk vissza még több pénzért.

blacklord 2010.08.09. 13:26:28

@Artie: Fantáziahiány sújt kissé. Kurva egyszerű. Minden weblapon van olyan, hogy "elfelejtette a jelszavát?" és pár klikkel tovább elküld neked egy emailt. Vagy benne van az eredeti jelszó, vagy eleve újat generált és azt küldi el neked. Jobb helyeken legalább annyi van, hogy ez előtt kapsz egy általad megadott kérdést, amire az általad előre megadott választ kell adnod, hogy ez megtörténjen.

subbazoo 2010.08.09. 13:26:59

@Artie: mondjuk a jelszóemlékeztető / új jelszó igénylés funkciótól tudja ellopni az iwiwed? ha tiéd a mail feletti uralom, tényleg megszerezhető sok minden.

blacklord 2010.08.09. 13:29:12

@Thera: Nem egészen, nézz utána a Keepassnak. Egyetlen mester jelszó kell, és utána tetszőlegesen erős, külön-külön generált jelszót adhatsz minden lényeges és lényegtelen weboldalnak. Szerintem ez a legbiztonságosabb jelenleg.

blacklord 2010.08.09. 13:33:49

@belekotty: Ja, jelszó-biztonságra jó példa ez itt: :-))))

xkcd.com/538/

blacklord 2010.08.09. 13:37:03

Biztonságos jelszó téren van ez a poén:

xkcd_pont_com/538/

("_pont_" lecserélendő "."-ra és megy)

blacklord 2010.08.09. 13:37:32

@blacklord: elsőre nem ment át, azt hittem, le vannak tiltva a http-linkek, sorry...

blacklord 2010.08.09. 13:45:17

@porthosz: neked is javaslom a Keepasst. Az volt a szerző legjobb javaslata szerintem. Pont az benne a poén, hogy nyílt forráskódú, így amint valami probléma van, azt egyből posztolják és megoldják. Rohadt kényelmes mindenesetre, hogy van egy program, amit nagyon erősen le tudsz védeni, és utána abban tárolsz minden mást. Szerintem amúgy a sima szövegfájl se olyan vészes (én KeePass előtt azt használtam), ha tele van szórva halandzsával, és magyarul körülírod a dolgokat a direkt megnevezésük helyett:
Pl. "Erste Bank" helyett "Első Zsetontár"-at írsz a jelszó mellé, és van pár karakter, amit beleszórsz a jelszódba. Ez neked nyilvánvaló, viszont aki megpróbálja feltörni, annak azért ad fejtörést. Persze ha aztán megnézi az előzmény-file-okat, abból kitalálja, hogy hova szoktál belépni, stb, stb, stb, de ilyen mélységű támadás esetén valószínűleg már úgyis minden mindegy.

blacklord 2010.08.09. 13:51:51

@Serio: Nem igazán győztél meg. Sokkal könnyebb az 1 komoly jelszavadat ellopni valamilyen módon (és aztán mindenhol felhasználni), mint a KeePass-ból kiszedni.
A papírnak meg az a jó előnye is megvan, hogy utána mindannyiszor gépelheted be róla, nem tudod bemásolni c-p-vel (amit szintén összeturmixol a KeePass, mielőtt még ennek is nekimész, obfuscation vagy mi a neve).
Általában azért az a benyomásom, hogy aki izomból nekimegy a szerzőnek, azok közül egy se volt képes érdemben, érvekkel alátámasztva jobbat mondani.

blacklord 2010.08.09. 13:55:59

@Kicsit Karcos: Csak azt mondja már meg valaki, hogy mi a halál értelme van annak, hogy havonta változtatod a jelszavadat? Szerinted tényleg van olyan támadás, ahol hónapokon keresztül próbál valaki belépni valahova random jelszavakkal, amit senki nem vesz észre? Mert semmi egyéb értelmét nem látom a jelszó periódikus lecserélésének, azon túl, hogy mekkora szopás a usernek. Ha pedig már feltörték, akkor úgyis tök mindegy, ha nem egyből utána változtatod meg...

blacklord 2010.08.09. 13:58:42

Úgy nézem, behalt a thread. :-( Adios.

Thera 2010.08.09. 13:59:35

@blacklord: Működik intranet scenarióban is? Ha nincs saját géped? Ha netcafeból kell használnod potenciálisan fertőzött gépről? Megbízol benne? Jobban mint vmi több százmillióUSD forgalmu multiban?
Ha ki akarod adni egy specifikus jelszavadat hogy teszed vele?

Thera 2010.08.09. 14:03:17

@blacklord: Az hogy ha meg vmi backupodat akkor az alapján nem fér hozzá élő accountjaidhoz.

bunkó · http://bunko.blog.hu 2010.08.09. 14:04:26

@pfekete101: "Nekem pl. egy jatek cheat-je a passwordom, amit sose felejtek el"

Nem vagyok biztos benne, hogy az összes létező cheat és a teljes informatikai/internetes szleng szavai kimaradtak volna jelszó feltörésekhez használt szó-adatbázisokból.

A mi titkos fegyverünk az ékezet lehet: pl az egyszerű "Mákostészta" szó már önmagában is igen magas minősítést kap a jelszótesztelőknél (persze létezik magyar nyelvű szavakat tartalmazó jelszófeltörő lista is), de egy kis hejesírási hybával és/vagy számmal megfűszerezve szinte tökéletes (de még megjegyezhető) jelszó lesz belőle: "Mákos8téjszta"

A hosszú "Ő" és "Ű" betűink pedig világritkaságok.

G1 2010.08.09. 14:04:48

@AutosVilli: biztonságos e-bankolás? He-he. Elmondom, hogy előbb fogják kamerával távolról lenézni, hogy mit ütsz be a billentyűzeten... Vagy ahogy blacklord is jelezte a viccben, simán kiszedik belőled valami trükket. Aztán pont ott vagy a cd-s linuxoddal, ahol a part szakad. :D
Csak egyetérteni tudok azzal, hogy lehetőleg minél kitalálhatatlanabb jelszót érdemes használni, és mindenhova mást. De túlspilázni sem érdemes. Egy freemailre nem fogok 24 karakter hosszú betű-szám-jel kombinációt kitalálni, ha a Jan2Csi9Ka típusú is megteszi. És a Keepass is nagyon jó, csak ezesetben tényleg a master jelszóra kell különösen odafigyelni! Én spec nem ezt használom, hanem egy fizetős progit, mivel így a mobilomon is mindig kéznél van titkosítva(!).
A post író jószándékát méltányolva csak azt tudom én is mondani, hogy nem lehet elég paranoidnak lenni. Saját biztonságunk érdekében minden esetben feltételezzük a programokról, weboldalakról, hogy valahogy vissza akarnak élni az adatunkkal, jelszavunkkal stb. Ha ennek figyelembevételével járunk el, akkor valszeg megtettük a legtöbbet, amit megtehettünk azért, hogy ne járjunk pórul. Ha így is megszivatnak, akkor így jártunk. És még valami. SOHA, de SOHA ne adjuk ki a jelszavunkat másnak. Ha könyörög akkor sem. Ha van jogosultsága, akkor vagy meg tudja változtatni, vagy nincs is rá szüksége. Ha valaki el akarja kérni, az vissza akar vele élni! Legalább is ezt kell feltételezni. Ez igaz a pin kódokra is.

G1 2010.08.09. 14:08:02

@blacklord: Igen, a Keepassban az a jó, hogy az összes 'paranoid állat' :) rászállt a fejlesztésére, így olyan született, amit aránylag biztonsággal lehet használni kis odafigyelés mellett.

Thera 2010.08.09. 14:17:57

@blacklord:
WTF? LOL:

"To generate the final 256-bit key that is used for the block cipher, KeePass first hashes the user's password using SHA-256, encrypts the result N times using the Advanced Encryption Standard (AES) algorithm (called key transformation rounds from on now), and then hashes it again using SHA-256. For AES, a random 256-bit key is used, which is stored in the database file. As the AES transformations aren't pre-computable (key is random), an attacker has to perform all the encryptions, too, otherwise he cannot try and see if the current key is correct."

Mi ez a bűvészkedés a titkositás ismétlésével? Ugyanúgy 256 bites a kulcs amit használ ráadásul mindeninek hozzáférhető. Hogy ne lehessen standard SHA256 rainbow táblhasználni hanem újat kelljen generálni? A tipikus bonyolitsuk túl hogy mi se értsük mi történik és akkor a teszt biztos nem találja meg benne a hibát tipikus esete.

Tipikus példája a program az open source hátrányainak: 10 ingyen dolgozó fogalmatlan rosszabb eredményre jut mint ha megfizettek volna egy hozzáértőt...

Az meg hogy open source = gyors biztosabb termékfrissítés ugye csak vicc?

blacklord 2010.08.09. 14:19:25

@Thera: Ja, van olyan verzió is, hogy a password file-t valami ingyenes tárhelyszolgáltatón (vagy ftp szerveren, ezt nekem nem sikerült rendesen beüzemelnem az otthoni szerveremmel valamiért, valszeg mert sftp-t erőltettem) tartod, a progi meg futtatható USB-ről is. A poén az, hogy a jelszavaidat tartalmazó file lehet teljesen nyilvánosan hozzáférhető, kvantumszámítógép nélkül az 512 vagy 1024-bites titkosítást nem valószínű, hogy akárki fel tudná törni... Ezen túl meg nyilván aki netcaféban pénzügyileg érzékeny dolgokat kezel, az számítson rá, hogy előbb-utóbb gondjai lesznek (bár sok esetben még ez sem igaz, ld. SMS-küldős vagy valamilyen plusz algoritmussal zajló banki loginok - nem sokra mennek a login-password kombóval sem, ha van még egy biztonsági elem, ami a bankoknál ma már alap).
De azért lássuk be, ahogy már más is említette, hogy tökéletes biztonság nincs. Valaki USB-n betesz az asztal alá (illetve ipari kémkedésben olyan is volt már, hogy a billentyűzet v. egér és a gép közé) egy keyloggert, és sok szerencsét a védekezéshez. Ugyanakkor szerintem a KeePass a neten jövő támadások nagy része ellen jól véd.

blacklord 2010.08.09. 14:20:22

@Thera: semmire nem megy a backupommal, mert abban csak egy brutálisan kódolt jelszófile van.

blacklord 2010.08.09. 14:22:43

@bunkó: magyar ékezetek sok külföldi szolgáltatónál nem működnek jól (teszem azt a cluster azon a gépén, ahol beadod elfogadja, aztán a másikon, amire próbálsz bejelentkezni utána már nem - nyilván ez nem normális viselkedés, de én egy idő után nem használtam emiatt magyar ékezeteket többet). Lássuk be amúgy, hogy lehet kis- nagybetű, számok és alap spec karaterekkel is bőven eléggé komplex jelszót alkotni - a gond inkább az, hogy megjegyezze az ember őket - és én emiatt gondolom a legjobb kompromisszumnak a nyílt forráskódú, választható algoritmussal titkosítható jelszótárat.

ave 2010.08.09. 14:24:46

szvsz nagyobb marhasagot is olvastam mar.
Az meg bekaphatja, aki szerint ertelmes dolog egy maganlevelezo postaladat, meg zero erteku dolgokat 16karakteres, megjegyezhetetlen jelszoval vedeni.

blacklord 2010.08.09. 14:30:15

@Thera: ez lehet, hogy a weblapon fent van, de ettől függetlenül választhatsz hozzá bármilyen titkosítást, akár magad is megírhatod a modult.

Hogy az open-source miért jobb, mint a proprietary ilyen téren, ezügyben Bruce Schneier-t idézném:
"As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice."

Ettől függetlenül nem állítom, hogy nincs ennél jobb megoldás - de ahogy ezt a legtöbben felvezetitek, az nekem, aki bár nem vagyok informatikus, de a munkám része ez is, és a nagy átlagnál biztos ezerszer képzettebb vagyok (mellesleg fizikus), nem egy érvekre épített folyamat, hanem a saját megoldások görcsös mantrázása és a többi javaslat csípőből való támadása. Nem szakszerű, na. Ami pláne azért röhejes, mert pont ezen a síkon támadjátok a legjobban a posztolót (és úgy nézem, most már engem is :-) ).

blacklord 2010.08.09. 14:32:45

@Thera: a gyorsabb termékfrissítés ügyében meg - igen, sokszor az (bár nyilván nem mindig), mert nincs titokban tartva, amíg a cég kegyeskedik megoldani, hanem egyből nyilvánosságra hozzák.

Pl. több Firefox frissítést kapok, mint Wingyózt.

AutosVilli 2010.08.09. 14:40:17

@G1: Azért az általános felhasználók,otthon e-bankolnak,nem hiszem,hogy olyan sok helyen letudják kamerázni,hogy te mit csinálsz a gépeden, aki nyilvános helyen bankol az megérdemli, hülyeségre nincs gyógyszer.
Amúgy meg a camera ellen egy 2ezer forintos kütyüvel ,te semmilyen értékelhető felvételt nem fogsz tudni késziteni. csak nagy villogásokat látsz.

Thera 2010.08.09. 14:48:49

@blacklord: Igen de ha pl játékba lépek be a Netcafeeben akkor nem jut hozzá a banki jelszómhoz (SMS es vagy Verified by Visa elleni támadásról is van jó pár érdekes publikáció) mig a te megoldásoddal igen.

"It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice."

Első 2 vel teljesen egyetértek. Sose találd ki saját protokollodat, még elterjedtekben is van hogy 10 évvel később találnak egy hibát. De épp az általad emlitett progi mutatja az ellenkezőjét: Saját ad hoz használata a primitiveknek. És source code esetén már csak akkor van értelme open sourcenak ha elegendő hozzáértő tényleg rászánta az időt.

Frissítések száma: Ez jó vagy rossz? Mint hogy bent voltak az FF-ben azok a hibák? Nem kellett volna kiadás előtt megtalálni? Szerintem etikus security researcher a következőt teszi: Hibát talál, a termék gyártóját értesiti, megvárja mig hibajavitás elkészül, telepitésre kerül, és csak utána hozza nyilvánosságra. Ami FF-ben meg máshol zajlik hogy hibát talál másnap nyilvánosságra hoz, és 2 hét mig frissítést összetákol de már minden script kiddie kihasználja nem épp előny még ha kisebb is lenne (amit nem állitok) a különbség a 0day és a patch elterjedése között.

ps Eme utóbbi magánvéleményem, de ne menjünk jobban bele, elfogult vagyok.

pps: Kicsit nagyképűen én is kezdhetném "As a cryptography and computer security expert, " el mondanivalómat.

Thera 2010.08.09. 14:54:29

@blacklord: A backup dolgot nem neked irtam hanem a jelszó cserélgetésre: Régi notebookodban browsered megjegyzi jelszavadat, eladod elfelejted letörölni tartalmát. Ha cserélgetted jelszavadat akkor új tulaj nem jut hozzá accountjaidhoz is.

mréveiller 2010.08.09. 14:55:58

"tekintve, hogy a magyar szóból körülbelül 40'000 darab van." wtf?

megoldás: váltogatni kell 1-2 hónaponta a jelszókat.

Thera 2010.08.09. 15:07:06

@blacklord:
Te megoldásoddal az az apró gond van hogy: Netkávézóból nem működik. Rengeteg idődbe energiádba kerül (USB kell ráadásul) és ha elveszited minden adatodat elveszíted. Ráadásul ha elterjed mint Keepass leirása bevallja (bár elkeni) nem vagy védve: Egyszer kell betenned pendrivedet egy Keepass támadására felkészitett progival megfertőzött gépbe és minden jelszavadat lenyúlták (még azt is amit nem használtál.)

Thera 2010.08.09. 15:08:26

@Bence87: Erre nem segít a váltogatás. NEm azért kell mert ha vkinek brute force 3 hónapig tart addigra más legyen...

KenSentMe 2010.08.09. 15:08:42

Hát, a backup postafiók szerintem is lúzerség, de azért köszi a tippet.. ha legközelebb ellopok egy mailfiókot, az első lesz, hogy kikapcsolok minden átirányítást:).

blacklord 2010.08.09. 15:27:51

@Thera: Ebben teljesen igazad van, de én pl. idejét se tudom, hogy mikor voltam utoljára netkávézóban. Már 60-70 ezerért lehet az embernek működőképes netbookja, akkor meg minek? Iszonyú könnyű manapság már bárhol online lenni saját eszközön...

Akinek meg nem telik netbookra sem, hogy saját eszközön végezze az érzékenyebb műveleteket, attól nagyon nincs mit ellopni sem. Másrészt viszont, ha már valamiért végképp netkávézóba mész (teszem azt LAN-parti BattleNet-en), akkor még mindig csinálhatsz egy adatbázist az ilyen jelszavaknak és egy másikat minden másra, amit csak saját gépedről használnál. Vagy felírod azt a pár jelszót papírra. Értjük egymást mindenesetre.

Idegen gépbe max. akkor tenném be a KeePass-os USB-met, ha bíznék abban, hogy normálisan van karbantartva - azaz nem nagyon, mert ha home user, akkor van esélye, hogy vírusos, ha meg corporate, akkor meg jó eséllyel úgyis le lesz tiltva... :-)))

Még egyszer, eddig se vontam kétségbe a szakértelmedet, csak annyit mondtam, hogy az első pár hozzászólás amolyan ex katedra kinyilatkoztatás volt különösebb alátámasztás nélkül. Az azóta írtakkal már egészen más a helyzet, azokkal még eszmecserét is lehet folytatni... ;-)

gitáros 2010.08.09. 16:06:59

@nemezisazis:
Ezt gyorsan felejtsd el, mert hülyeség. Olvass utána egy kicsit.

tictac 2010.08.09. 16:10:52

A bankomnál online felületen megköveteli a rendszer, hogy a jelszavam kellően erős, sok karakter, kis betű nagybetű, szám legyen benne, háromhavonta lecseréltetik. A felhasználónév a számlaszám. Na most, ha elfelejtem a jelszót, akkor a számlaszámommal, és egy négyszámjegyű (?!) pinkóddal, ugyanezen a felületen beállíthatok egy másik hasonlóan keményet. Röhej...

Thera 2010.08.09. 16:50:02

@tictac: Nincs vmi más azonosítás? SMS/ hardver, gépre telepitendő certificate mely csak offline bankkal folytatott kommunikációval megújítható, és csak az adott gépen lehet új jelszót létrehozni?

Egyébként a Verified by Visa ellen publikált támadások jelentős része hasonló volt annyi különbséggel hogy eddig a bíróságok elfogadták a bankok vélelmét hogy V by V nem megkerülhető tehát az ügyfélé a felelősség szemben a direkt online fizetéssel (bankkártyaadatok ellopása.). (Elfelejtett jelszó vagy beágyazás elterjedése miatti phishing.)

tictac 2010.08.09. 17:12:56

@Thera: Utalásnál van sms jelszó, tehát kifosztani nem tudnak. Más védelem amit említesz nincs. Az a nevetséges, hogy megköveteli az erős jelszót, amit utána 4 db számjeggyel fel lehet oldani, és újat megadni. Működik mert kipróbáltam. A számlaszámom megszerezhető, ezekután csak 4 szám kell, hogy belenézzen a számlámba, lekössön, vagy feltörjön betétet. Pénzt nem tud leemelni, ahhoz a telefonom is kellene. Amúgy Raiffeisen. Viszont, ha így megszerzi a pint, akkor telefonos ügyfélszolgálaton már mindent megtehet. Azt nem tudom, hogy a pinnel hányszor lehet próbálkozni, valószínű nagyon kevésszer, gondolom egy brute force-hoz kevés a megengedett próbálkozások száma.

Thera 2010.08.09. 17:39:48

@tictac: Amit mondasz jól hangzik, de még ha csak 1 ser lehet próbálkozni 1 pinnel akkor is lehet:
Össz Raiffeisenes/10000 fiókot bluteforce-l feltörni.

SMS jelszó: Főleg ha telefonszám hozzárendelhető online számlahozzáféréshez még egykét év és törhető lesz. (pár hónapja pl befejezték egy a mobilhálózat alapjául szolgáló titkositáshoz rainbow tábla készitését.)

Szóval támadóként: Kiválasztassz egy PIN-t végigpróbálod vele az összes számlaszámot,
a megszerzett telafonszám alapján forgalmas csomópontokat figyelve elfogod a visszaigazoló SMS-t. (Eme lépéshez kell 1-2 év még, de mobiltól függően (Lásd pl tavalyi Blackhat iPhone törés SMS-el) már most is van lehetőség támadásra)

belekotty 2010.08.09. 17:55:31

@A'rpi: Nekem azt mondták onnan jön, hasonlóan mint a személyhívó. A világ egyik első számú info multijáról van szó.

belekotty 2010.08.09. 18:01:50

@subbazoo: Csak szólok, nem PC-ről van szó. A hardver és szoftver kombó meg olyan, hogy sávonként más kulcsú DES-t használ.

tictac 2010.08.09. 18:05:23

@Thera: Lehet át kellene térni a hasitasira. :)))

Van_mikrohullámú_sütőtök? 2010.08.09. 18:54:29

Én azt csinálom, hogy van egy jelszavam, legyen mondjuk
Titkos_Jelszo

Ezt kombinálom az alábbi mintában:
XX-Titkos_Jelszo-HELY

Ahol XX az aktuális hónap (mert ugye Ti is rendszeresen cserélitek őket?)

A HELY pedig a "munka", "iwiw", "e-mail"...

Hosszú? Az, de megjegyezhető.
Feltörhető a másik ismeretében? Persze, de aki a szisztémát nem ismeri annak nem.. és még ott is lehet a kisbetű-nagybetűvel variálni.

Azok a céges jelszavak, szerver nevek amiket nem én választottam pedig text fájlban vannak. Kb. 200db, nem lehet megjegyezni. 1024bittel kódolva....

De mindez semmit nem ér, ha keylogger van telepítve, vagy ott állnak mögötted. Ezekre is figyelni kell, illetve rakhatsz akármilyen jelszót magadnak, ha fizikailag hozzáférnek a géphez/hálózatodhoz.

kpityu2 2010.08.09. 18:54:51

Sohasem használok speciális karaktereket. Egyszerűen összerakok két-három össze nem illő szót. Ez elég hosszú és könnyű megjegyezni meg begépelni. Akinek van türelme hogy átrágja magát a 12-16 karakteres jelszón, az megérdemli hogy elolvashassa a leveleimet. :D

Zorg a Rettenetes · http://musicanta.blog.hu 2010.08.09. 19:02:09

Lehet elsiklottam felette, de nem láttam leírva két tipikus módszert, ahogy jelszót lehet bukni, függetlenül attól, hány és milyen karakterek vannak benne.

a.) valami vírus, trójai lenyúlja (leginkább msn jelszóval szokott megesni, de ugyanígy bebukhatod a netbank passodat is

b.) Megadod senki jóska webboltján hogy a jelszavad "lajcsi62" meg az email címed "lajcsi@gmail.com" és véletlen pont oda is ez a jelszó. A boltot feltöri, a jelszavakat a gyenge védelem miatt kinyerik, és emg is van törve az email címed...

Dr.csőrike (törölt) 2010.08.09. 19:34:56

Nyugodtan bankolok egy kávézóban is, a két kód után kapok egy sms-t a telóra és azzal tudok belépni.

Kicsit Karcos 2010.08.10. 08:46:52

Írtam fentebb, hogy a jelszótörés ellen az is véd, ha a zember nem használ faszbúkot, iwiwet, ahová beírhatná hobbijait, összes elérhetőségét, elvégzett iskoláit (ld. még a hülye jelszó-emlékeztetőket), meg listázhatja a kedvenc országait, parfümjeit, feltolhatja a háza, autója, nyaralása képeit, aput-anyut, festménygyűjteményét. Olyan ez, mint amikor az autóban hagyja a jobb elsőn a nótbúkot a karórájával meg a zokostelefonnyával. Keresletet teremt.

Ld. még:

index.hu/tech/2010/08/10/a_nev_a_vegzet_az_interneten/

Emrik 2010.08.13. 14:03:31

keepass helyett lehet használni lastpass-t. netes felhőben tárolja jelszavaidat titkosítva, marha sok funkciója van.

Celtic 2010.08.18. 17:03:32

Csak felig olvastam a kommenteket, de tenyleg felelmetes, mekkora a tulkepzes a felsooktatasban. Ha valaki informatikt tanul, az empatiat elveszti? Baszki, egyszeru embereknek szol a cikk, nem infobiztonsagi szakembereket kepez. Olyanoknak, akik a gyerek nevet adjak jelszonak: Soc. eng., megvan? "Te Rozsikam, Piros vagyok a berszamfejtesrol, hogy is hivjak az Iluska fiat? Nem tudod? De ott a monitoron egy kis sarga cetli, arra sincs rairva? stb". Ennel merfoldekkel jobb modszer a fenti kis proggi. A gyakori jelszocseret is hulyesegnek tartom. Talalj ki egy eroset a fontos dolgokhoz (netbank es egyebek) meg egy egyszerubbet a nem annyira fontosakhoz. 2-3 jelszoval meg lehet elni. Bongeszoben is hagyom eltarolni a jelszavakat, csak legfeljebb nem IE/Firefox a bongeszom, nem Total Commander az FTP-proggim, nem Outlook/OE a levelezom.

Igazabol, ha az emberek nagy resze nem a legelterjedtebb proggikat hasznalna, azzal mar sokat adnananak a biztonsagra. Kulonben meg ulhetsz egy betonfalu szobaban, a kivezeto UTP kabelek meg futhatnak gazzal toltott csoben es stb., ha olyan kibaszott nagy biztonsagi ember van.

Ez egy jo iras, a proggi nagyon jo (bar nem bannam a forraskodot :), szoval koszonet a szerzonek.

Celtic 2010.08.18. 17:06:45

@Thera: Ennek egy ertelme van: ha TE osztod masnak a jelszavakat :) En probaltam, de igen kinos, rohadtul nem jon ossze a veletlen-szeruseg. Linuxon ott a makepasswd, de Windowsra eddig nem tudtam ilyen egyszeru es konnyen kezelheto proggirol. Ez nagyon jo arra, hogy gyorsan generaljak egy jelszot es elkuldjem a T. usernek.

Celtic 2010.08.18. 17:21:40

@Kicsit Karcos: Es ez is igaz. Ha nem hasznalsz minden szart, nem adsz meg minden adatot magadrol, nem regisztralsz mindenhova, maris sokkal tobbet tettel, mint az atlag -> nem a te cuccaidat probaljak meg feltorni.

Az allatvilagban is van jo es rosszoldala a szines viseletnek: parvalasztasnal elonyos lehet, ragadozo eloli elbujasnal hatranyos...Merlegelj.

Celtic 2012.06.04. 14:42:54

Szia!
Ez lehet, hogy neha nem olyan hosszu jelszot general, mint amire kertem?
8 kar. a minimum nalunk es neha kevesebb karakteres a jelszo. Ki is probbaltam, 10 db, 4 hosszu jelszovbol alt. ketto darab csak 3 karakteres lesz...

facebook-feltores · http://hackerkepzes.hu 2013.05.16. 22:48:28

Fontos megemlíteni, hogy az erős jelszavakat is számos technikával meg lehet szerezni a felhasználóktól.