2010.08.08.
A biztonságos jelszó + generátor
Most gondolj a legféltettebb jelszavadra! Elég biztonságos? Az első lépés, amit online adataid védelmében megtehetsz, hogy létrehozol egy biztonságos jelszót, egy olyat, amelyet egy számítógépes program, vagy egy kitartó egyén, nem tud kitalálni! A legfontosabb jelszó az e-mail jelszavad. Ha azt kitalálják, akkor az összes általad használt online szolgáltatáshoz és a privát levelezésedhez hozzáférnek.
Ha valaki kitalálná az e-mail jelszavad, akkor egy perc alatt használatba tudja venni egy új jelszó igénylésével a Facebookod, Iwiwed és egyéb közösségi oldalon lévő profilod ezáltal személyiséglopást elkövetve. A személyiséglopással le tudnak járatni, vagy másoktól fontos információkat tudhatnak meg. Nálam éppenséggel a következő szolgáltatások is bedőlnének: Twitter, Bloghu, Fórumok, Vatera (ez kínos, mert szép kis számlát tudnak csinálni kamu vásárlásokkal), Abaqoos számlám, Felvi.hu kezelőfelület, My T-mobile, különböző webes tárhelyek és még ezernyi szolgáltatás...
Egy egyszerű óvintézkedéssel jelszólopás esetén is könnyen vissza lehet szerezni ami a miénk: Két postafiókot kell üzemeltetni. Az egyik a mindenki által ismert e-mail fiókod, mondjuk valaki@gmail.com - a másik pedig egy másolata ennek, ahova az összes levelet automatikusan továbbítod. Például valaki_backup@gmail.com. Persze mindehhez két különböző jelszó kell. Ha ellopják az eredeti, mindenki által ismert fiókod jelszavát, akkor az összes üzenet amiben az új jelszó beállítását intézi a tolvaj megérkezik a másik címre, ahova még mindig be tudsz jelentkezni. Evvel a csellel (és persze a további biztonsági intézkedésekkel mint például az alternatív e-mailcím, vagy a jelszó visszaállítás sms-ben - ami szerencsére sok szolgáltatónál terjedőben van) meg tudod őrizni adataid védelmét.
Persze mindehhez kell egy biztonságos jelszó is. A következő kritériumokat mindenképp tartsd be:
- Jó hosszú jelszavad legyen: Minimum 6 karakter. Ekkor a lehetőségek száma, ha valaki ki akarja találni a jelszót éppenséggel 56 milliárd környékén van (ha van benne kis és nagybetű + számok). Ez a szám nagynak tűnik de néhány jelszótörő programnak, ami brute-force (nyers erővel) dolgozik, azaz végigpróbálja az összes lehetőséget csak pár nap munkát jelent. Rossz hír, hogy sok helyen korlátozzák a jelszó hosszúságát, ami értelmetlen dolog. Például a honfoglalo.hu és az atw.hu is maximum 12 karakter hosszú jelszót enged meg.
- Ne legyen benne értelmes elem. Ne legyen mondjuk a születési dátumod, vagy valami szótári szó, amit még könnyebb kitalálni (tekintve, hogy a magyar szóból körülbelül 40'000 darab van) egy szótár alapján automatizálva könnyű dolog a jelszófejtés.
- Tartalmazzon kis- és nagybetűket, számokat esetleg speciális karaktereket. Igen. Minél nagyobb az értékkészlet annál több lehetőséget kell végigpróbálni a jelszófejtőknek.
- Ne használj ismétlődő karaktereket.
- Ne az legyen a jelszavad, hogy "jelszó". Há ezt úgysem találja ki senki... Persze. Statisztikák szerint a leggyakoribb jelszó ez és az 123456.
Ha nem jutna eszedbe hirtelen egy biztonságos jelszó, akkor írtam egy programot, ami megkönnyíti az ilyen jelszavak létrehozását. A kép mindent elárul: Beállíthatjuk a jelszó hosszát, a karakterkészletet (kisbetűk, nagybetűk, számok, speciális karakterek) de saját karakteret is megadhatunk. Ebből áll össze a jelszó. Lehetőségünk van egyszerre többet is generálni, amit aztán vágólapra tehetünk vagy egy szöveges fájlba menthetünk.
Használjátok egészséggel:
A generált jelszavak erősségéről megbizonyosodhatunk a www.passwordmeter.com címen található erősség mérővel. Ha jót akarunk magunknak, akkor a KeePass jelszószéfet is vegyük használatba. Így elég egy jelszót tudni ami hozzáférést biztosít a bonyolult, megjegyezhetetlen ám biztonságos jelszavakhoz.
107 komment
Címkék: biztonság program jelszó kulcs password fontos numlock bejelentkezés titkos holmes karakter generátor
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
belekotty 2010.08.09. 07:25:15
Sixx! Anyádat is nyuggernek hívod? · http://orbanfan.blog.hu 2010.08.09. 07:34:11
Hat karakter, mint "elég hosszú" már eleve a röhejes kategória, ha ehhez még hozzáveszem, hogy egy backup postaládát, ahová átirányítod a leveleket, te jelszólopás esetére megfelelő védelemnek tartasz... no comment. (B+, ha lenyúlom a jelszavad és el akarom venni tőled a postafiókodat, azzal indítok, hogy leszedek róla mindent ami másodlagos fiókra utal!)
belekotty 2010.08.09. 07:37:22
bean 2010.08.09. 07:40:32
Sixx! Anyádat is nyuggernek hívod? · http://orbanfan.blog.hu 2010.08.09. 07:47:01
Tőlem igen távol áll az IT biztonság témája, de ez a színvonal még nálam is kiveri a biztosítékot.
Az átirányítás arra jó (arra szinte tökéletes), hogy ha egyes szolgáltatóknál a mail forgalom többnyire működik, viszont a user interface (akár a web-es, akár a pop3/imap) néha megakad, akkor is hozzáférsz a leveleidhez. Meg esetleg arra, hogy ha valóban elfelejted a jelszavad, akkor a másik címre kérhess egy újat. Pont. Vége. Ha idegen kézbe került a postaládád, akkor annak annyi. (freemail jellegű szolgáltatásokról beszélek - ahol fizetsz érte, ott ugye tudod igazolni, hogy a tiéd, tehát akkor is vissza tudod kapni - elvileg - ha valaki ellopta a jelszavad)
verpistike 2010.08.09. 07:54:43
@Sixx! Anyádat is nyuggernek hívod?:
mielőtt okoskodsz.. ez nem a szakmának szól hanem mezei usereknek akiknek tényleg 123456 a jelszavuk... nem kell kiakadni... nagyon sokan vannak akiknek ez egy hatalmas lépcső biztonság terén...
biztonság pedig úgyse létezik.. max azoknak a körét tudod szűkiteni akik képesek megszerezni az adataidat...
belekotty 2010.08.09. 07:55:50
Az emberek többsége nincs is tisztában a veszélyekkel, hagyja hogy a windows tároljon jelszavakat, nem cseréli és nem veszi észre a jeleket ha ellopták. Ebben sok szolgáltató is hibás, mert bejelentkezéskor nem írja ki mi volt az utolsó bejelentkezés.
A blog címe is utal arra hogy ez szőke nőknek szóló alapismeretek. A freemailt meg ne vegyük alapul, mert újabban rettenetesen szar. Nekem például napok óta azt írja hogy a mappáimat nem sikerül betölteni. Egy kalap szar.
belekotty 2010.08.09. 07:58:33
Ez jó, ez nagyon jó! :-))
IBM mainframe gépeken van titkosító processzor, ahol a hardver titkosít. Ha titkosítod az állományodat, hiába tudod a jelszót, ha másik gépre viszed, nem tudod elolvasni. Az IBM kell hozzá.
Sixx! Anyádat is nyuggernek hívod? · http://orbanfan.blog.hu 2010.08.09. 08:10:54
@verpistike:
Tökmind1, hogy kinek szól, ha hamis biztonságérzetet kelt az olvasókban.
Sixx! Anyádat is nyuggernek hívod? · http://orbanfan.blog.hu 2010.08.09. 08:11:31
belekotty 2010.08.09. 08:14:47
Mellesleg nagybank? Volt gépileg kikényszerített szabály a jelszavakra?
belekotty 2010.08.09. 08:17:04
belekotty 2010.08.09. 08:19:09
reader613 2010.08.09. 08:27:02
verpistike 2010.08.09. 08:27:15
történetesen szerintem nem ad hamis biztonságérzetet.. ha lecseréled az 123456 jelszavad a fenti program által generált valamelyik jelszóra, és mondjuk valamelyik népszerű levelezőt használod, te megtetted a magadét.
ugyanis ezeknek a levelezőknek hiába esel neki webes felületen brute force vagy dictionary attackal.. valszeg nem fog sikerálni...
ha meg más módszert alkalmazol akkor a jelszavad bonyolultsága nem igazán oszt vagy szoroz..
reader613 2010.08.09. 08:29:43
ebből a mester önmagában is egy erős jelszó kell legyen, az egyedi résszel meg megkülönbözteted őket aszerint, melyiket hová használod.
Pl mester = a%Q9p3,Gx - de semmiképp sem pont ez, most hogy már leírtam
egyedi = gmail, vagy face, vagy msn, és akkor lesz belőle
a%Q9p3,Gxgmail
a%Q9p3,Gxface
a%Q9p3,Gxmsn
hottentotta 2010.08.09. 08:31:04
Lúdtalp 2010.08.09. 08:35:22
numlockholmes 2010.08.09. 08:35:33
reader613 2010.08.09. 08:36:35
egyéb szempontokat betartva nem sokat gyengítesz a jelszavad erősségén, ha elkerülöd az Y és Z betűket és a 0 karaktert, elérve ezzel, hogy magyar és angol billentyűzeten pontosan ugyanúgy kelljen begépelni. Sajna a szimbólumok szinte mind máshol vannak, kivéve ezalól például a százalék jel.
különvélemény 2010.08.09. 08:54:22
Ez gáz? :D
**************
y7()iDJ&EqqNkwdI/UF'2FF8HK6{QRPr4z&F4Cc*>s7H`N.%E[8\#}l{7yMXw~w+k'\FFiht^iB%krqQJ8PlQ0T`bXl9*rGB,~L3/`p-|M}C~C--r?>5)%cgsAUGCQI81Hi4!gKeX2"'`n:o9]*T;32i|R`i(Ryh~UsaE>i&M<tFYe?0&!T^[9N
**************
maydayray 2010.08.09. 09:01:56
A'rpi 2010.08.09. 09:03:45
rotfl. azt RSA kulcsnak hivjak, es nem muholdrol jon (lol mindig kirohangaltal vele a tetore hogy legyen vetel, mi? :)) a kulcs hanem belul generalja, ugyanolyan algoritmussal mint ami a szerveren is van (lasd ugrokod).
AutosVilli 2010.08.09. 09:42:02
A heavy userek meg kopjanak innen máshova fikázni,vagy adjanak jó tanácsot.
verpistike 2010.08.09. 09:42:34
lehet jelszo.txt.. és beleraksz még kb 100k jelszót.. és tanáld ki..
levelezők jelszaváról meg online szolgáltatások jelszaváról van szó... nem a gépeden tárolt cuccról
Gépember · http://gepembernaploja.blog.hu/ 2010.08.09. 09:44:43
Ez a poszt az 1.0-ás felhasználóknak szól, nekik - ha nem rendelkeznek szövegértelmezési problémákkal - sokat segíthet.
Felnyit(hat)ja a szemüket, hogy mennyire veszélyes egyszerű és könnyen kitalálható jelszavakat használni.
Ad egy ötletet, hogy mentheti - jelszólopás esetén - ami még menthető.
Plusz még ad hozzá egy saját maga által írt jelszógeneráló programot.
Összességében egy jó írás: probléma felvetése, veszélyekre rámutatás, megoldási lehetőség(ek).
Megíródhatott volna úgy is a cikk, hogy "Minden hülye, aki olyan egyszerű jelszót használ, mint a faék, azonnal változtassa meg jelszavát a saját érdekében!!!"
Lehet, hogy páran (csak) ebből értenek, de szerencsére ez nem Lóránd stílusa.
@baυxit:
Respect.
AutosVilli 2010.08.09. 09:56:23
Ubuntu linux operációsrendszer letöltése(ingyenes)
majd kiirása egy cd-re, a számitógép indulásakor a CD-ről futtatod a linux oprendszert(szinte olyan mint a windows nem kell megilyedni tölle.) betölti magát a memoriába és onnan fut, lehet internetezni vele,támogatja a wifit.Ha csak innen e-bankol az ember ,szinte nulla az esélye hogy lenyúlják a belépőkódját.
A számitógépen elvből nem tárolok jelszót, ki kell irni egy papirra és be kell tenni a személyes iratok közé,ha nem tudod megjegyezni,persze hogy melyik kód hova való azt nem kell oda irni,ezért érdemes egy kódot használni, és tagoltan váltogatni,első két tagot hátra rakni,vagy az utolsó kettőt elöre stb stb, a külömbözö fiókokhoz,helyekhez.
Ballagator 2010.08.09. 10:14:58
porthosz 2010.08.09. 10:20:27
Nézzük az én esetemet:
-két jelszó kell a cégemnél
-egy az otthoni gépemhez
-egy levelezéshez
-egy a routeremhez
-egy a myviphez
-egy az iwiw-hez
ezek csak a sürün használtak. Ezen kivül regisztrálva vagyok kb. 4 fórumon, az további 4 jelszó...
ez összesen 11 jelszó, amit ugye elvileg nem lenne szabad megjegyeztetnem a böngészővel, de cserébe legalább megjegyezhetetlen legalább 8 karakter hosszú jelszónak kéne lennie... Szerintetek ez kezelhető? mert szerintem nem. És bizony a legtöbb embernek akinek van otthon gépe meg internet elérése, legalább 8-10 jelszót kellene tudnia, ez lehetetlen.
AutosVilli 2010.08.09. 10:27:31
Ennyire egyszerű.Aki háromnál több jelszóval rohangál ,meg is érdemli.
porthosz 2010.08.09. 10:31:04
"Ennyire egyszerű.Aki háromnál több jelszóval rohangál ,meg is érdemli."
Tehát legyen 3 jelszavam 11 helyre?
Akkor már miért nem inkább 1?
nem várt fordulat 2010.08.09. 10:48:04
egyébként pedig én sem értem a fikázókat, ennél többet nem igazán lehet tenni, mivel a billentyűzeten a karakterek száma véges.
EzAzEnJelszavam#43
sok sikert a brute force-hoz.
Serio (törölt) 2010.08.09. 10:48:49
A jelszavak esetén van pár dolog amit érdemes figyelembe venni:
- A weben egyetlen oldalról sem feltételezheti az ember, hogy nem plaintext formátumban tárolja a jelszavát, vagy nem loggolja más módon. Ez pedig azt vonja maga után, hogy két helyre ugyanazt a jelszót használni kockázatos.
- Jelszótárat használni hasonlóan ostoba dolog, mint a jelszót felírni. Sőt, még egy fokkal ostobább, mert a felírt jelszót nem lehet a neten keresztül ellopni, és a tulajdonosa számára szabad szemmel is olvasható. Mindez a jelszótár szoftverekről nem mondható el.
- Egy speciális karaktereket is tartalmazó jelszót a variálódó billentyűzetkiosztások miatt gyakorlatilag emberfeletti teljesítmény beírni. Megjegyezni hasonlóképp. A fent látható fantasztikus szoftver működése a jelszó fogalmának totális félreértelmezésén alapszik.
- Ha a jelszavad két-három szótári szóból áll, plusz még van benne nagybetű és szám, akkor hiába a szótári szó, egy esetleges támadás esetén jó eséllyel lesz százezer "123456" és "qwerasdf" az adatbázisban, így a hackerek jó eséllyel leállítják a bruteforce gépet mielőtt az eljutna a tiedig. :P
Szóval lássuk be, a jelszó alapvetően egy hibás eszköz. Akkor leszek boldog, ha minden gépen lesz smartcard reader, és mindenkinek lesz a zsebében egy smartcard.
Addig meg legyünk már észnél, és ne dőljünk be az ehhez hasonló okoskodó félhülyék agybajainak. Akkor tekinthető egy védelem biztonságosnak, ha drágább feltörni mint más úton megkerülni.
Egy jól megjegyezhető, mnemonikus kombináció pár szótári szóból, nagybetűkkel, számokkal több mint elegendő. A legjobb, ha az ember ki tud találni valami egyszerű algoritmust, amivel a honlap nevéből generálja a jelszót. Így soha egy jelszót sem fog elfelejteni.
Mindezek mellett érdemes legalább évente kicserélni a fontosabb jelszavakat.
Ennyi. Aki meg a fenti jelszógenerálót tényleg képes és használatba veszi, az megérdemli amit a nyakába vesz.
Banonym 2010.08.09. 10:49:20
Egek ura. Minimum 9...
nem várt fordulat 2010.08.09. 10:50:26
1) SSH root jog
2) 15 site FTP jelszó
3) 2 Gmail, 1 munkahelyi, 1 saját levelezés, + egyéb mailboxok
4) otthoni / munkahelyi gép jelszó
5) site-okra regisztrált jelszavak
a telefon / bakkártya / kapucsengők pinjeit, kódjait már nem is említem...
mennyi is az a 3?
El Argentino 2010.08.09. 10:52:24
Réka · http://blog.rekafoto.com/ 2010.08.09. 10:52:58
Egyébként ahogy @porthosz: is írja, nekem az a legfontosabb egy jelszóban, hogy ne felejtsem el. Mert ha nem tudok belépni vele a komplexitása miatt, akkor használhatatlan és akkor cseszhetem a biztonságot. Szóval nekem szükségem van szótári szóra (igaz lehet belőle kettő, közötte karakterrel vagy számmal), mert a dghr85%xgreg!@@ jellegűt soha nem fogom észben tartani.
pfekete101 2010.08.09. 10:55:16
Ezt egy file-ban fogod tarolni, amit felteszel a gepedre, ami ra van kotve a netre....
Olyan jelszot valassz, ami eleg eros es ha almodbol felebresztenek is eszedbe fog jutni.
Nekem pl. egy jatek cheat-je a passwordom, amit sose felejtek el (nem tudtam elfelejteni, vajh miert?).
Kicsit Karcos 2010.08.09. 10:58:48
1. facebook, iwiw és a többi jelszóvadász-profilvadász oldal mellőzése önmagában legalább fél siker
2. nem létfontosságú (pl. blogok, fórumok) oldalakra eldobható pass használata pl. a mailinator.com segítségével, majd az emailcím aliasával regisztrálás (ha ellopják, ellopják, kit érdekel, de azért ne kínáljuk tálcán)
3. súlyponti címeket (privát mail, bank, ilyesmik) külön-külön email-címről regiszrálni, jelszót havonta változtatni @reader613: javaslata alapján, a master jelszót évente cserélve
4. jelszókat, mailinatoros loginokat kockás füzetbe felírni, és a fiókban tárolni, ha fejben nem megy
5. a sokszor kötelezően megadandó jelszó-emlékeztetőbe (aminek amúgy semmi értelme, sőt...) egy megjegyezhetetlen, ezer karakteres szörnyeteget beírni, mivel semmi szükség 2 jelszóra, 1 kell, de az legyen biztos
nikkó 2010.08.09. 11:01:38
nemezisazis 2010.08.09. 11:18:05
helyes: azzal
ellenőrzési hely: 6. osztályos nyelvtankönyv mássalhangzótörvények
Réka · http://blog.rekafoto.com/ 2010.08.09. 11:26:01
halihalo 2010.08.09. 11:44:20
verpistike 2010.08.09. 11:54:53
nah a tuti kb úgy néz ki hogy beregelsz valahova és jelsznónak beirod hogy Pistike7913.. és ennyi nem több.. ez tökéletesen megfelelő az átlag user számára olyan fiókokhoz mint gmail hotmail yahoo facebook...
ilyen nagy siteoknál buteforce nem érvényesül így nem kell tőle tartani... persze nagyon sok kis sitenál is halott dolog a bruteforce..
szerintem egyik legjobb dolog account megszerzésére az xss ott pedig nagyon nem számít hogy milyen nehéz a jelszavad...
IndaMuncher 2010.08.09. 12:37:34
Amúgy én olyat hallottam, hogy alapból erős, de megjegyezhető jelszót úgy kell csinálni, hogy pl egy jellegzetes mondat minden szavának kezdőbetűit használod.
Thera 2010.08.09. 12:50:33
Ha jelszavakra/accokra lenne szükségem célzás nélkül akkor létrehoznék egy közepesen sikeres online szolgáltatást, és megjegyezném a login/pass párokat. Mivel mindenhova kell legtöbben ujrahasznositják jelszavaikat.
@F.house: Kb igazad van:
Akik direktben szavakat haszn'lnak az is jó csak ugy számoljanak hogy 1 értelmes szó = kb 1.5 karakter, és 8 karakter kell minimum és nem lehet összefüggés.
Szóval ha szavak akkor sacc per kb 8 kell.
Továbbá javasolom hogy fontosság szempontból különböző jelszavak legyenek. Pl egy nem pénzes online játékra nyugodtan lehet pl asdf1234 (vagy egy fokkal erősebb azrt) főleg ha nem bizol meg az üzemeltetőben, mig online bankhoz egy jóval erősebb csak ott használt.
Váletlen jelszógenerátort viszont hacsak nem vagy autista/kitűnő memóriával rendelkező semmiképp nem javaslok: Többet lehet veszteni a vámon (felirás szükségessége, ugyanaz sok helyre, ritkán lecserélve, különböző lokalizációs problémák mint YZ) mint nyerni a réven (védelem bruteforce ellen)
Thera 2010.08.09. 12:53:36
Nem csak a különbözőség számit hanem a függetlenség is: Egyiket tudva ne lehessen következtetni a másikra.
maydayray 2010.08.09. 12:55:31
Artie 2010.08.09. 12:56:56
Ja, hogy nem online tartom a leveleimet, hanem szépen otthon POP3-ról letöltve?
Egyébként meg akkor is: e-mailben semmi jelszót nem tárolunk.
Faszság ez az iromány, na.
blacklord 2010.08.09. 13:24:14
subbazoo 2010.08.09. 13:25:16
"Ez jó, ez nagyon jó! :-))
IBM mainframe gépeken van titkosító processzor, ahol a hardver titkosít. Ha titkosítod az állományodat, hiába tudod a jelszót, ha másik gépre viszed, nem tudod elolvasni. Az IBM kell hozzá."
egy orosz szoftver és eszköz kell hozzá meg két lábat rövidre zárni a chipen a megfelelő időpontban és a merevlemezed nyitva van. szóval annyira ne dőlj hátra, én már csináltam ilyet, simán lehet nyitni a titkosított winchestereket.
igaz a kütyü önmagában megfizethetetlenül sokba kerül (mi is csak béreltük) és a tulajnak nyitottuk vissza még több pénzért.
blacklord 2010.08.09. 13:26:28
subbazoo 2010.08.09. 13:26:59
blacklord 2010.08.09. 13:29:12
blacklord 2010.08.09. 13:37:03
xkcd_pont_com/538/
("_pont_" lecserélendő "."-ra és megy)
blacklord 2010.08.09. 13:37:32
blacklord 2010.08.09. 13:45:17
Pl. "Erste Bank" helyett "Első Zsetontár"-at írsz a jelszó mellé, és van pár karakter, amit beleszórsz a jelszódba. Ez neked nyilvánvaló, viszont aki megpróbálja feltörni, annak azért ad fejtörést. Persze ha aztán megnézi az előzmény-file-okat, abból kitalálja, hogy hova szoktál belépni, stb, stb, stb, de ilyen mélységű támadás esetén valószínűleg már úgyis minden mindegy.
blacklord 2010.08.09. 13:51:51
A papírnak meg az a jó előnye is megvan, hogy utána mindannyiszor gépelheted be róla, nem tudod bemásolni c-p-vel (amit szintén összeturmixol a KeePass, mielőtt még ennek is nekimész, obfuscation vagy mi a neve).
Általában azért az a benyomásom, hogy aki izomból nekimegy a szerzőnek, azok közül egy se volt képes érdemben, érvekkel alátámasztva jobbat mondani.
blacklord 2010.08.09. 13:55:59
Thera 2010.08.09. 13:59:35
Ha ki akarod adni egy specifikus jelszavadat hogy teszed vele?
Thera 2010.08.09. 14:03:17
bunkó · http://bunko.blog.hu 2010.08.09. 14:04:26
Nem vagyok biztos benne, hogy az összes létező cheat és a teljes informatikai/internetes szleng szavai kimaradtak volna jelszó feltörésekhez használt szó-adatbázisokból.
A mi titkos fegyverünk az ékezet lehet: pl az egyszerű "Mákostészta" szó már önmagában is igen magas minősítést kap a jelszótesztelőknél (persze létezik magyar nyelvű szavakat tartalmazó jelszófeltörő lista is), de egy kis hejesírási hybával és/vagy számmal megfűszerezve szinte tökéletes (de még megjegyezhető) jelszó lesz belőle: "Mákos8téjszta"
A hosszú "Ő" és "Ű" betűink pedig világritkaságok.
G1 2010.08.09. 14:04:48
Csak egyetérteni tudok azzal, hogy lehetőleg minél kitalálhatatlanabb jelszót érdemes használni, és mindenhova mást. De túlspilázni sem érdemes. Egy freemailre nem fogok 24 karakter hosszú betű-szám-jel kombinációt kitalálni, ha a Jan2Csi9Ka típusú is megteszi. És a Keepass is nagyon jó, csak ezesetben tényleg a master jelszóra kell különösen odafigyelni! Én spec nem ezt használom, hanem egy fizetős progit, mivel így a mobilomon is mindig kéznél van titkosítva(!).
A post író jószándékát méltányolva csak azt tudom én is mondani, hogy nem lehet elég paranoidnak lenni. Saját biztonságunk érdekében minden esetben feltételezzük a programokról, weboldalakról, hogy valahogy vissza akarnak élni az adatunkkal, jelszavunkkal stb. Ha ennek figyelembevételével járunk el, akkor valszeg megtettük a legtöbbet, amit megtehettünk azért, hogy ne járjunk pórul. Ha így is megszivatnak, akkor így jártunk. És még valami. SOHA, de SOHA ne adjuk ki a jelszavunkat másnak. Ha könyörög akkor sem. Ha van jogosultsága, akkor vagy meg tudja változtatni, vagy nincs is rá szüksége. Ha valaki el akarja kérni, az vissza akar vele élni! Legalább is ezt kell feltételezni. Ez igaz a pin kódokra is.
G1 2010.08.09. 14:08:02
Thera 2010.08.09. 14:17:57
WTF? LOL:
"To generate the final 256-bit key that is used for the block cipher, KeePass first hashes the user's password using SHA-256, encrypts the result N times using the Advanced Encryption Standard (AES) algorithm (called key transformation rounds from on now), and then hashes it again using SHA-256. For AES, a random 256-bit key is used, which is stored in the database file. As the AES transformations aren't pre-computable (key is random), an attacker has to perform all the encryptions, too, otherwise he cannot try and see if the current key is correct."
Mi ez a bűvészkedés a titkositás ismétlésével? Ugyanúgy 256 bites a kulcs amit használ ráadásul mindeninek hozzáférhető. Hogy ne lehessen standard SHA256 rainbow táblhasználni hanem újat kelljen generálni? A tipikus bonyolitsuk túl hogy mi se értsük mi történik és akkor a teszt biztos nem találja meg benne a hibát tipikus esete.
Tipikus példája a program az open source hátrányainak: 10 ingyen dolgozó fogalmatlan rosszabb eredményre jut mint ha megfizettek volna egy hozzáértőt...
Az meg hogy open source = gyors biztosabb termékfrissítés ugye csak vicc?
blacklord 2010.08.09. 14:19:25
De azért lássuk be, ahogy már más is említette, hogy tökéletes biztonság nincs. Valaki USB-n betesz az asztal alá (illetve ipari kémkedésben olyan is volt már, hogy a billentyűzet v. egér és a gép közé) egy keyloggert, és sok szerencsét a védekezéshez. Ugyanakkor szerintem a KeePass a neten jövő támadások nagy része ellen jól véd.
blacklord 2010.08.09. 14:20:22
blacklord 2010.08.09. 14:22:43
ave 2010.08.09. 14:24:46
Az meg bekaphatja, aki szerint ertelmes dolog egy maganlevelezo postaladat, meg zero erteku dolgokat 16karakteres, megjegyezhetetlen jelszoval vedeni.
blacklord 2010.08.09. 14:30:15
Hogy az open-source miért jobb, mint a proprietary ilyen téren, ezügyben Bruce Schneier-t idézném:
"As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice."
Ettől függetlenül nem állítom, hogy nincs ennél jobb megoldás - de ahogy ezt a legtöbben felvezetitek, az nekem, aki bár nem vagyok informatikus, de a munkám része ez is, és a nagy átlagnál biztos ezerszer képzettebb vagyok (mellesleg fizikus), nem egy érvekre épített folyamat, hanem a saját megoldások görcsös mantrázása és a többi javaslat csípőből való támadása. Nem szakszerű, na. Ami pláne azért röhejes, mert pont ezen a síkon támadjátok a legjobban a posztolót (és úgy nézem, most már engem is :-) ).
blacklord 2010.08.09. 14:32:45
Pl. több Firefox frissítést kapok, mint Wingyózt.
AutosVilli 2010.08.09. 14:40:17
Amúgy meg a camera ellen egy 2ezer forintos kütyüvel ,te semmilyen értékelhető felvételt nem fogsz tudni késziteni. csak nagy villogásokat látsz.
Thera 2010.08.09. 14:48:49
"It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice."
Első 2 vel teljesen egyetértek. Sose találd ki saját protokollodat, még elterjedtekben is van hogy 10 évvel később találnak egy hibát. De épp az általad emlitett progi mutatja az ellenkezőjét: Saját ad hoz használata a primitiveknek. És source code esetén már csak akkor van értelme open sourcenak ha elegendő hozzáértő tényleg rászánta az időt.
Frissítések száma: Ez jó vagy rossz? Mint hogy bent voltak az FF-ben azok a hibák? Nem kellett volna kiadás előtt megtalálni? Szerintem etikus security researcher a következőt teszi: Hibát talál, a termék gyártóját értesiti, megvárja mig hibajavitás elkészül, telepitésre kerül, és csak utána hozza nyilvánosságra. Ami FF-ben meg máshol zajlik hogy hibát talál másnap nyilvánosságra hoz, és 2 hét mig frissítést összetákol de már minden script kiddie kihasználja nem épp előny még ha kisebb is lenne (amit nem állitok) a különbség a 0day és a patch elterjedése között.
ps Eme utóbbi magánvéleményem, de ne menjünk jobban bele, elfogult vagyok.
pps: Kicsit nagyképűen én is kezdhetném "As a cryptography and computer security expert, " el mondanivalómat.
Thera 2010.08.09. 14:54:29
mréveiller 2010.08.09. 14:55:58
megoldás: váltogatni kell 1-2 hónaponta a jelszókat.
G1 2010.08.09. 15:04:25
Thera 2010.08.09. 15:07:06
Te megoldásoddal az az apró gond van hogy: Netkávézóból nem működik. Rengeteg idődbe energiádba kerül (USB kell ráadásul) és ha elveszited minden adatodat elveszíted. Ráadásul ha elterjed mint Keepass leirása bevallja (bár elkeni) nem vagy védve: Egyszer kell betenned pendrivedet egy Keepass támadására felkészitett progival megfertőzött gépbe és minden jelszavadat lenyúlták (még azt is amit nem használtál.)
Thera 2010.08.09. 15:08:26
KenSentMe 2010.08.09. 15:08:42
blacklord 2010.08.09. 15:27:51
Akinek meg nem telik netbookra sem, hogy saját eszközön végezze az érzékenyebb műveleteket, attól nagyon nincs mit ellopni sem. Másrészt viszont, ha már valamiért végképp netkávézóba mész (teszem azt LAN-parti BattleNet-en), akkor még mindig csinálhatsz egy adatbázist az ilyen jelszavaknak és egy másikat minden másra, amit csak saját gépedről használnál. Vagy felírod azt a pár jelszót papírra. Értjük egymást mindenesetre.
Idegen gépbe max. akkor tenném be a KeePass-os USB-met, ha bíznék abban, hogy normálisan van karbantartva - azaz nem nagyon, mert ha home user, akkor van esélye, hogy vírusos, ha meg corporate, akkor meg jó eséllyel úgyis le lesz tiltva... :-)))
Még egyszer, eddig se vontam kétségbe a szakértelmedet, csak annyit mondtam, hogy az első pár hozzászólás amolyan ex katedra kinyilatkoztatás volt különösebb alátámasztás nélkül. Az azóta írtakkal már egészen más a helyzet, azokkal még eszmecserét is lehet folytatni... ;-)
gitáros 2010.08.09. 16:06:59
Ezt gyorsan felejtsd el, mert hülyeség. Olvass utána egy kicsit.
tictac 2010.08.09. 16:10:52
Thera 2010.08.09. 16:50:02
Egyébként a Verified by Visa ellen publikált támadások jelentős része hasonló volt annyi különbséggel hogy eddig a bíróságok elfogadták a bankok vélelmét hogy V by V nem megkerülhető tehát az ügyfélé a felelősség szemben a direkt online fizetéssel (bankkártyaadatok ellopása.). (Elfelejtett jelszó vagy beágyazás elterjedése miatti phishing.)
tictac 2010.08.09. 17:12:56
Thera 2010.08.09. 17:39:48
Össz Raiffeisenes/10000 fiókot bluteforce-l feltörni.
SMS jelszó: Főleg ha telefonszám hozzárendelhető online számlahozzáféréshez még egykét év és törhető lesz. (pár hónapja pl befejezték egy a mobilhálózat alapjául szolgáló titkositáshoz rainbow tábla készitését.)
Szóval támadóként: Kiválasztassz egy PIN-t végigpróbálod vele az összes számlaszámot,
a megszerzett telafonszám alapján forgalmas csomópontokat figyelve elfogod a visszaigazoló SMS-t. (Eme lépéshez kell 1-2 év még, de mobiltól függően (Lásd pl tavalyi Blackhat iPhone törés SMS-el) már most is van lehetőség támadásra)
belekotty 2010.08.09. 17:55:31
belekotty 2010.08.09. 18:01:50
tictac 2010.08.09. 18:05:23
Van_mikrohullámú_sütőtök? 2010.08.09. 18:54:29
Titkos_Jelszo
Ezt kombinálom az alábbi mintában:
XX-Titkos_Jelszo-HELY
Ahol XX az aktuális hónap (mert ugye Ti is rendszeresen cserélitek őket?)
A HELY pedig a "munka", "iwiw", "e-mail"...
Hosszú? Az, de megjegyezhető.
Feltörhető a másik ismeretében? Persze, de aki a szisztémát nem ismeri annak nem.. és még ott is lehet a kisbetű-nagybetűvel variálni.
Azok a céges jelszavak, szerver nevek amiket nem én választottam pedig text fájlban vannak. Kb. 200db, nem lehet megjegyezni. 1024bittel kódolva....
De mindez semmit nem ér, ha keylogger van telepítve, vagy ott állnak mögötted. Ezekre is figyelni kell, illetve rakhatsz akármilyen jelszót magadnak, ha fizikailag hozzáférnek a géphez/hálózatodhoz.
kpityu2 2010.08.09. 18:54:51
Zorg a Rettenetes · http://musicanta.blog.hu 2010.08.09. 19:02:09
a.) valami vírus, trójai lenyúlja (leginkább msn jelszóval szokott megesni, de ugyanígy bebukhatod a netbank passodat is
b.) Megadod senki jóska webboltján hogy a jelszavad "lajcsi62" meg az email címed "lajcsi@gmail.com" és véletlen pont oda is ez a jelszó. A boltot feltöri, a jelszavakat a gyenge védelem miatt kinyerik, és emg is van törve az email címed...
Dr.csőrike (törölt) 2010.08.09. 19:34:56
Kicsit Karcos 2010.08.10. 08:46:52
Ld. még:
index.hu/tech/2010/08/10/a_nev_a_vegzet_az_interneten/
Emrik 2010.08.13. 14:03:31
Celtic 2010.08.18. 17:03:32
Igazabol, ha az emberek nagy resze nem a legelterjedtebb proggikat hasznalna, azzal mar sokat adnananak a biztonsagra. Kulonben meg ulhetsz egy betonfalu szobaban, a kivezeto UTP kabelek meg futhatnak gazzal toltott csoben es stb., ha olyan kibaszott nagy biztonsagi ember van.
Ez egy jo iras, a proggi nagyon jo (bar nem bannam a forraskodot :), szoval koszonet a szerzonek.
Celtic 2010.08.18. 17:06:45
Celtic 2010.08.18. 17:21:40
Az allatvilagban is van jo es rosszoldala a szines viseletnek: parvalasztasnal elonyos lehet, ragadozo eloli elbujasnal hatranyos...Merlegelj.
Celtic 2012.06.04. 14:42:54
Ez lehet, hogy neha nem olyan hosszu jelszot general, mint amire kertem?
8 kar. a minimum nalunk es neha kevesebb karakteres a jelszo. Ki is probbaltam, 10 db, 4 hosszu jelszovbol alt. ketto darab csak 3 karakteres lesz...