Hirdetés
Új hozzászólás Aktív témák
-
julius666
addikt
A nehezen feltörhető jelszavakban általában kis és nagybetűk, számok és írásjelek váltogatják egymást, bármiféle logikát nélkülözve
Nem. A jó jelszó hosszú és nem értelmes. Egy 25 karakteres könnyen megjegyezhető halandzsa-versike nagyságrendekkel jobb egy 10 karakteres random generált írásjelekkel, kis-és nagybetűkkel illetve számokkal teli fosnál, minden szempontból.
Egyébként a gépelési stílus idővel marha sokat tud ám változni, nem igazán látom ez hol generálna jó jelszót. Arról nem is beszélve hogy ha most nekem be kell gépelnem 5 sornyi szöveget akkor nem látom mivel vagyok előrébb mint a 25 karakteres halandzsa-jelszómmal. Persze azt hiba esetén újra be kell gépelni, ezt meg nem, a hiba alapján statisztikázik.
-
wetomi
aktív tag
Viszont ha kiismeri az embert a szoftver, akkor kínos esetektől is megvédheti azzal, hogy nem enged részegen belépni semmilyen helyre. Sőt plusz feature lesz az időzíthető részeg blokkolás. Mondjuk, ha minden szerda este iszok, akkor nem enged bejelentkezni a közösségi oldalakra.
Jó az nekünk, ha ennyire megismernek, Ezek után lehet reprodukálni a stílust, ha megszerzik az adatainkat. Ugyan ott vagyunk, mint ha levágnák az ujjunkat az azonosításhoz.
[ Szerkesztve ]
-
Realradical
őstag
Hja aztán lecseréled a billentyűzeted és mivel változik a gombok lenyomásának erőssége, esetleg más a kiosztás és annyi... Duplán igaz ez a mobilokra. Elcsípni a szekvenciát meg ugyanúgy el lehet egy keyloggerrel. Első olvasásra értelmetlennek tűnik.
Things that try to look like things often do look more like things than things
-
zsigus
őstag
Kíváncsi lennék rá, hogy ez hogyan is működik a valóságban...
Azt is figyeli, hogy az adott országban pl. mikor sötétedik azon a napon?
Mert érdekes lenne ha mondjuk valaki a félhomályban ugyanannyi szünetet tudna produkálni a leütések között mint normál fényviszonyokban (feltéve persze ha nem vakon gépel). -
VIC20
őstag
Nem igazán értem a dolog lényegét: nekem nem a remek titkosítási, "biztonságossági" lehetőség jött le, hanem éppen hogy az, hogy beazonosíthatóvá válunk a gépelésünkkel (is).
-
(V) ó k u s
tag
Ahogy eddig, úgy ezután sem a kisembernek kell fosnia a feltöréstől!
Átlagember dolgai mégis kinek kellenének?
Értem ezalatt, Facebook és/vagy egyéb közösségi oldalak, üzenőfalon tele mindenféle egyéni baromsággal, e-mailek, melyek többsége nincs is nagyon használva, pár letöltőoldalhoz login név + jelszó...Akinek lopják az adatait, ott már azért elég biztosra mondható, hogy olyan adatok vannak, amiért megéri hackelni a rendszert!
Viszont, Kevin Mitnick már megmutatta, hogy..."Nem kérlek légy enyém örökké, mégis hozzád szól dalom, úgysem élhetünk örökké, egy percig lennék oltalom."
-
Polllen
nagyúr
Érdekes alapötlet, de szerintem erre kihatással van az ember hangulata is vagyis elég nehéz lesz ebből működő megoldást készíteni a minden napokra.
"Odamentem egy párhoz...négyen voltak!"
-
Feltalálták a meleg vizet? Mennyivel egyszerűbb az ujjlenyomat-olvasó.
Never let your sense of morals prevent you from doing what's right.
-
banhammer
veterán
Ötletes megoldás.
\m/ Minden lehetséges, kivéve forgóajtón átsíelni... \m/
-
The Bachelor
tag
Ezt a technológiát már több, mint egy éve bemutatták a cégünknél!
Működött. Tényleg működött. Sehogyan sem tudtuk átverni... De ez több, mint 1 éve volt...There Are Only 10 Types of People in the World: Those Who Understand Binary, and Those Who Don't.
-
Rickazoid
addikt
Ezt nem teljesen értem. Hogy lesz ebből jelszó? Kiír a szoftver egy novellát, hogy gépeld be és ha az alapján beazonosít, akkor beenged?
Ráadásul a gépelési és az írási jellemzőket rengeteg minden befolyásolja, de míg kézírásnál azért egy eléggé jellemző módon ír az ember, gépelésnél szerintem már attól teljesen megváltozik az írási módszere a tudattalan szinten is, hogy szimplán fáradt, vagy csak megivott egy energiaitalt. Ráadásul a gépelés billentyűzetfüggő is, én például remekül írok a saját notebookom billentyűzetén, akár vakon is, barátnőmén viszont (bár hasonló, de kissé el van tolva) gyakran mellényomok egy-egy billentyűt, többet hibázok, egy hagyományos asztali PC-hez szánt billentyűzeten meg úgy gépelek, mint aki még csak most ismerkedik a gépeléssel, a vakírást olyankor el is felejthetem.(#8) Syl: igazából a retina-szkennelés lenne az ideális, azt a legnehezebb lemásolni.
[ Szerkesztve ]
Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.
-
#56573440
törölt tag
válasz The Bachelor #10 üzenetére
a gondot én ott érzem hogy ezt globálisan megvalósítani nehézkes. vakon gépelek 10 ujjal. bent a cégnél nem tudok a dell billen 400 karakter fölé menni percenként ha megszakadok akkor sem. itthon a megszokott környezetben és eszközökkel ez vígan megvan 500 is. teljesen másképp "érek oda" egy karakterhez mint bent. edzés után, fáradtan, megint másképp gépelek, stb.
azért nem lehet ezt szerintem kézíráshoz hasonlítani, mert a kézírás viszonylag fix. a toll nem sokban torzítja az írásképet. a billentyűzet viszont kiépítéstől, nyomásponttól, akár elhelyezkedéstől függően is drasztikus eltéréseket mutathat sokaknál.
-
macilaci78
nagyúr
válasz Realradical #3 üzenetére
És még nem törted el a kezed, de még csak nem is fáj...
Ha minden kötél szakad, nem kell félni az akasztástól!
-
dabadab
titán
"Egy 25 karakteres könnyen megjegyezhető halandzsa-versike nagyságrendekkel jobb egy 10 karakteres random generált írásjelekkel, kis-és nagybetűkkel illetve számokkal teli fosnál, minden szempontból."
DRM is theft
-
julius666
addikt
Igen, ismertem.
Azt nem értem hogy ezt gyakorlatilag mindenki tudja lényegében a kezdetektől fogva az iparban. Aki meg nem amellett is jó eséllyel van valaki aki igen és rá fog csapni a kezére. Mégis a mai napig csomó helyen erőltetik ezt a marhaságot. Pl. a BME címtár bejelentkezésnél is, ami pedig még csak most készül igazából.
Egyébként egyre inkább érzem az ilyen jelszó-manager megoldások (ahol te csak egy master jelszót adsz meg és ő kigenerál minden oldalhoz külön egy jelszót aztán automatikusan bejelentkeztet utána mindig) létjogosultságát (illetve az OpenID-nek, bár az FB acc a hivatalos dolgoknál nem valószínű hogy játszani fog ), ha csak a legfontosabb, életbe vágó regisztrációimat veszem sem tudom megcsinálni azt hogy minden szolgáltatásnak külön jelszó (pláne nem havonta lecserélve...), az egy jelszó mindenhová meg teljesen nyilvánvalóan rossz, ha az AB honlapjánál képes volt valami állat kirakni publicba jelszóhasheket akkor előbb-utóbb az én jelszóimmal is meg fog ez esni, akkor pedig game over. A master jelszómat úgyis olyanra választom hogy azt megkerülés (alkalmazáshiba, keylogger, stb.) nélkül nem törik fel, megkerülve a problémát meg a retinascanner is kijátszható.
-
Rickazoid
addikt
De ez nem csak a brute force törésre igaz? Mármint a jelszavak feltörésére létezik olyan módszer is tudtommal, ami szavakat (és azok mindenféle írásmódját, például o helyett 0, a helyett 4 és fordítva) helyettesít be statisztikai előfordulásokat alapul véve valamilyen algoritmus szerinti sorrendben; egy olyan algoritmus nem könnyebben tör fel 4-5 random kiválasztott szót, mint mondjuk egy brute force algoritmus 16 (pseudo-)random karaktert? Nem tudom, ezért kérdezem.
[ Szerkesztve ]
Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.
-
#16820480
törölt tag
válasz julius666 #16 üzenetére
szerintem azért erőltetik a speciális karaktereket, mert ha nem lenne ilyen követelmény, akkor lustaságból mindenki csak kisbetűs szavakat, és legfeljebb néhány számot használna, így viszont a lehetséges variációk száma karakterenként lecsökken 26+10-re, ráadásul mivel mindenki szótárban szereplő szavakat használna, így bár elméletben igaz a 25-30 karakteres véletlenszerű szavakból álló jelszó entrópiája nagyobb, de ez csak brute force esetében igaz, amúgy egy szótárral nekiesve ez szerintem jelentősen lecsökken, akár 10 alá is, ami katasztrófálisan rossz már manapság. a speciális karakterek és véletlenszerű karaktersorok használatának az a célja szerintem, hogy a brute force megoldáson kívül mással ne legyen törhető, mert az a leglassabb. a hátránya, hogy egy 25-30 karakteres véletlenszerűen választott jelszó az megjegyezhetetlen. illetve a másik hatalmas probléma, hogy a webes szolgáltatások döntő többsége legfeljebb 16 karakteres jelszót enged még manapság is (gmail, hotmail, fb, stb), de van ahol még ennél is rövidebb (6-8 karakter) a megengedett maximum. nem is beszélve az olyan helyekről, ahol fixen 6 karaktert, és csak számokat adhatsz meg (telenor online, t-mobile netes fiók, stb). ez az esetek 99%-ában egy születésnap lesz, az meg nem kicsit lecsökkenti az amúgy is gyatra entrópiáját a számsornak (és ezt úgy, hogy semmit nem tudsz a felhasználóról. személyes adatok birtokában fél perc alatt törhető nagyjából).
tényleges biztonságot mondjuk inkább egy smartcard vagy nfc adhat, ahol egy hardveres eszközben tárolt kulccsal és egy jelszóval lehet belépni. csak ehhez azt kéne megoldani, hogy a hardveres technológia elterjedt és megfelelően biztonságos, nehezen másolható legyen. kritikusabb helyekre meg akár 3 lépcsős azonosítás, ahol persze minden lépcső fizikailag elkülönített kell legyen (például ideiglenes sms kód és telefonba épített nfc chip nem sokat ér együtt).
-
-
#16820480
törölt tag
hmm, most nem tudom megnézni, mert amióta a google+-osított sávba tették át a fiók beállításait, azóta a munkahelyi gépről nem tudom megnyitni, de úgy emlékszem, hogy 6-16 karakteres kritérium volt a jelszó változtatásakor.
a t-mobile-ra akkor rosszul emlékszem. ritkán használom nagyon, nem is tudom már mi volt a kódom... -
julius666
addikt
válasz #16820480 #18 üzenetére
Igen, az xkcd-s "nehéz jelszó" pont rossz példa. Ellenben a "lecserélem a magánhangzókat hasonlóan kinéző számokra" illetve hasonló trükközések hogy még megjegyezhető legyen a jelszó miatt ezek sem igazán érnek sokat, ezt a szótár alapú törésnél lehet csekkolni/benne lehetnek a szótárban ilyen változatok könnyen. Ezért írtam hogy a tuti a halandzsa-versike: könnyen megjegyezhető és elég kicsi az esély rá hogy összeállítja töredékekből egy szótár alapú törő.
tényleges biztonságot mondjuk inkább egy smartcard vagy nfc adhat, ahol egy hardveres eszközben tárolt kulccsal és egy jelszóval lehet belépni.
Persze, csakhogy itt home felhasználásról volt szó. Ahol milliókat lehet bukni ott nyilván ilyet használnak mert megéri megvenni az eszközt hozzá. Home usernek nem valószínű.
-
-
#16820480
törölt tag
válasz julius666 #21 üzenetére
de a szótár alapú törésnél nem feltétlenül kritérium az, hogy a szavaknak értelmileg kapcsolódniuk kell egymáshoz. ha kapcsolódnak, akkor még sokkal könnyebb törni (egy prediktív szövegbevitel segítségével). ha most feltételezzük, hogy egy halandzsa versikét használsz, ami értelmes szavakból áll, csak a szavak közt nincs kapcsolat, akkor ez a szótáras törést szerintem annyiban módosítja, hogy nem karakterekkel próbálkozik a törő, hanem szavakkal, amiből ugyan több lehetséges változat van, viszont mivel nem fogsz 3 soros jelversikét begépelni, így a hosszuk elég végesnek mondható. szóval például egy 30 karakteres jelszónál a 30 véletlenszerű leütés helyett mondjuk 5-8 véletlenszerű szó. nem tudom, hogy melyik nehezebben törhető, de hacsak nem valami "pápusztairekettyéslézermormota..." jellegűt használsz, akkor valószínűleg a néhány szónak kisebb lesz az entrópiája. bár lehet, hogy rosszul gondolom.
a hardver megvétele az lehet kritikus szempont, ezért is írtam az nfc-t, mert 1-2 éven belül szerintem eléggé elterjed, hogy lehessen rá számítani, és gondolom meg lehet oldani vele a jelszókezelést is, ha biztonságos fizetésre alkalmas.
schawo: köszi, akkor ez tisztázódott!
-
dabadab
titán
válasz #16820480 #24 üzenetére
A problema az, hogy gyakorlatilag senki sem hasznal veletlen karaktereket. Ha azt hasznalna, nem letezne a problema, ami pont amiatt van, hogy a legtobb ma hasznalatos jelszo egyszeru szotar + behelyettesites komboval bruteforce-olhato es ehhez kepest a par random szo hatalmas elorelepest jelentene. Persze, ha valakinek 128 bites random szam a jelszava base64 kodolassal, azt meg nehezebb feltorni, de mondjuk megjegyezni is
DRM is theft
-
#16820480
törölt tag
-
Apika
Közösségépítő
Érdekes megoldás...
[ Szerkesztve ]
-
julius666
addikt
válasz #16820480 #24 üzenetére
ha most feltételezzük, hogy egy halandzsa versikét használsz, ami értelmes szavakból áll
Rosszul feltételezed. Halandzsa versike alatt nem szavak random mixére gondoltam, hanem rendes halandzsára. Pl.: Tötterettye höttette. Ezt törd fel. És még csak nem is nagy az entrópiája.
[ Szerkesztve ]
-
#16820480
törölt tag
válasz julius666 #29 üzenetére
ja, akkor félreértettem, bocs ez mondjuk közelít a véletlen karaktersorozathoz, de itt is lehet csökenteni a kombinációkat, például nem követi egymást 3-nál több mássalhangzó, vagy kettőnél több magánhangzó, stb. persze ez nyelvtől függ, szláv nyelvekben lehet egymás után 7 mássalhangzó, franciában meg 3 magáhangzó...
-
elfelejtette
veterán
Nekem sem jön be ez a gépelési módszer figyelö rendszer. Eleve hogyan nézné azt, ahogyan most is gépelek, mert jelenleg egy Symbian-os Nokiáról netezek, de szoktam böngészni Androidos telefonról is, meg persze asztali gépröl is, ez eleve 3 teljesen eltérö gépelési módot jelent.
A spéci jelszavakról annyit, hogy sajna van olyan oldal, ami a spec. karaktereket egyáltalán nem engedélyezi, ott marad a hosszú halandzsa. Máshol pedig vegyesen, "a" helyett "@" vagy "i"/"l" helyett "|" (alt gr + w) esetleg több szó random vagy egybeírva, vagy "." "_" "/" karakterrel elválasztva.
"Nem tudom, hogy Mamának vagy Dan hadnagynak volt-e igaza, hogy van-e rendeltetésünk, vagy csak ide-oda sodor bennünket a véletlen, mint a szél, de azt hiszem, kicsit mindkettő igaz." Forrest Gump
-
addikt
válasz (V) ó k u s #6 üzenetére
Ja, mert az átlagembertől sosem lopnak ugye... azért is van egy rakás spam, ami a netbank, PayPal, stb. hozzáférést próbálja megszerezni, ugye? Kinek kellenének, ja...
Dark Archon | i5-12600KF - RTX 3070 | Canyon Endurace 7
Új hozzászólás Aktív témák
Hirdetés
- Apple iPad 9, Silver, 64Gb, Wifi+Cellular, új állapotú + Smart Billentyű + Pencil
- Xiaomi Redmi 13C újszerű eladó! 8GB Ram/256GB Tárhely
- 866 Eladó Lenovo LOQ 15IRX9 - i7-13650HX, WQHD (2560x1440), RTX 4050 TGP 105W, 16GB, 1TB SSD
- Njoy 850W tápegység
- Intel Xeon Silver / Gold: 4110 / 4114 / 4116 / 5118 / 6138
Állásajánlatok
Cég: Ozeki Kft
Város: Debrecen
Cég: Ozeki Kft
Város: Debrecen