Új hozzászólás Aktív témák
-
rt06
veterán
ezeket nagyon gyorsan felejtsd el
azon tul, hogy semmilyen plusz vedelmet nem ad, kiadod a jelszavaidat harmadik felnek, amit ha ok maguk ugyan nem is hasznalnak fel, sokkal inkabb celpontjava valnak a tamadasoknak, mint te magad egyszeri user-kent, s igy inkabb csokkenti a biztonsagot, minthogysem novelnePolitikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
x007
tag
Én egy másikat használok, de gondolom a lényeg ugyanaz. Van egy nagy mesterjelszavad, amit nagyon komolyan vesznek, (nekem min 40 karakter kellett, hogy elfogadja) és ezzel kódol mindenedet kliens oldalon, ők csak a kódolt információt kapják/tárolják.
A kérdés ugyanaz, amit általában a cloud rendszereknél teszünk fel: mi a valószínűbb? Feltörik az ottani szervereket, és visszafejtik a csomagodat, mielőtt te tudnál bármit tenni VAGY elkaptak rosszarcú emberek az utcán és kiverik belőled a jelszavadat, megszereznek mindent mielőtt cselekedni tudnál. Lehet naív vagyok, de én úgy gondolom, hogy az utóbbi .
-
Polesz
addikt
Miért lenne letárolva a jelszó?
Megadod az emailcímed a jelszavad. Ezeket párosítva a tárolt adaton nyom egy hash-t és ha az első 8 karakter megegyezik mondjuk a LASTPASS szóval akkor jó eséllyel a normális jelszavad adtad meg és beenged a rendszer.
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.
-
x007
tag
Hát figyi... valami lenyomatot muszáj tárolni, brute force ellen meg ugye nem tud védeni a kriptográfia.
Én pastpacket használok. Ott két lépcsős az egész. Van egy "nem annyira komolyan vett" jelszó, ezzel hitelesíted magad (ehelyett használhatsz többféle SSO-t is). Ha ezt megadod, akkor át kell menni egy anti phising oldalon, ekkor megkapod a titkosított csomagod, amit egy "nagyon komolyan vett" mesterjelszóval kliens oldalon visszafejtesz. Én korrektnek találom ezt a mechanizmust.
Szerintem az egyjelszavas módszer is sokkal biztonságosabb annál, mint minden oldalra ugyanazzal a jelszóval regisztráljak. Ráadásul vannak oldalak, ahol cserélni kell a jelszavadat, itt nálam pl elkerülhetetlen volna, hogy felírjam telefonba, emailbe... azt hiszem ezt nem kell tovább ragozni...
Az ilyen kényelmi funkció meg hát elég kecsegtető, ráadásul plugin nélkül működik (hogy hogyan, az egy külön mese :
[link] -
Nowhereman
őstag
Valószínűleg mindenféle cél nélkül gyűjtik az emberről olyan betegesen az adatokat, pusztán véletlenül volt minden strítvjú autóban wifitapper...
Ha nyugaton a munkaadók 40%-ban a cyber-előélet alapján utasítják el a jelentkezőt, meg kirúgdossák az embert, mert a főnökről valami rosszat mondott valami fórumon, akkor ne hidd már el, hogy az humán erődforrás osztályokon a keresőbe pötyögtetve néznek utána a titkárnők a polgárnak. Ki van alakulva erre a megfelelő magán-STASI iparág...
ha meg valakinek ez sem ad okot a gyanakvásra...Utánam a kondenzcsik!
-
Nowhereman
őstag
Félig meddig erről van szó. Mondjuk be akarsz lépni a fércbú-ra, és tévedésből beütöd az e-mail-fiókod jelszavát. Egy bottal máris próbálkozhat benézni a levéltárodba, letöltheti, majd valami adathalász progival kimazsolázhatja belőle a hasznos infókat...
ha pedig léteznek billentyűzetfigyelő férgek, akkor létezhet kártya-, ujjlenyomat-, retina-olvasót, DNS-azonosítót figyelő féreg is. Ami még bizonytalanabbá teheti a világot, mivel egy kompromitálódott ujjlenyomatot vagy retinát nem lehet egy jelszóhoz hasonlóan megváltoztatni...Utánam a kondenzcsik!
-
EmberXY
addikt
Vagy azt, hogy "password".
Ennél is morbidabb eset az lehet, ha nem is 8 karakteres volt, hanem több, és elpocsékoltunk 96000 évet...Bár valahol 500-1000 év környékén már biztos lesz olyan számítógép, ami 10 perc alatt megmondja...
Szerk: egy kvantumprocesszor például...
[ Szerkesztve ]
Up the Irons!
-
#06658560
törölt tag
Nem azt: 1234.
WN31RD: akkor megpróbálom példával. Legyen a jelszó tizenöt karakteres, s ezen belül tetszőleges karaktert használhatsz. Ez el van tárolva egy gépen, ami ellenőriz téged belépéskor. Ahol beírhatod, mellé kapsz egy captchát, amin számok vannak elválasztva, pl ilyen adatot ábrázolva: 3-7-5-9-14. Ezzel azt jelzi, hogy neked a jelszavad ezen karaktereit kell helyesen beírnod a megfelelő helyre. Itt lehet két út, vagy csak öt mező van, vagy 15, s utóbbi esetben csak ezen mezők értékével fog foglalkozni a rendszer, hogy beazonosítson, a többi töltelék. Minden próbálkozás után új captcha, új karakterkészlet, amit bekér, random. Ezt fel lehet törni bruteforce-szal?
[ Szerkesztve ]
-
Nowhereman
őstag
akkor megsúgom, mert a saját ragyogásodtól már semmit se látsz: két ok, ami miatt szánalmas, hogy amiatt rugjanak bele egy e-mail-szolgáltatóba, mert nem üthetik bele a kedvenc evangéliumokat jelszónak. Normális beléptető kapuban a 8 karakteres jelszó többet ér, mint valami hányavetin a 20.
Utánam a kondenzcsik!