Új hozzászólás Aktív témák
-
ntomka
nagyúr
És egy jól beállított webszervert fel lehet törni brute force?
Költői kérdés volt.ツ Headphones on - World off
-
moli.hu
őstag
es egy jelszot hogy lehet feltorni bruteforce, ha x probalkozas utan tiltas van?
-
rt06
veterán
"Határozottan állíthatjuk, hogy ma egy hét karakterből álló jelszó reménytelenül kevés..."
egy het karakteres jelszo evekkel ezelott is keves volt, legtobb esetben 1-2 napon belul torheto egy mezei p4-essel"...de fontos az is, hogy vegyesen használjuk számokat, nagybetűket és különleges karaktereket..."
szamjegyeket - legalabb egy it site-on irjuk mar jol (vagy a hir szerzoje allitsa be nekem jelszonak az gyok kettot)"A billentyűzeten 95 karakter található, minden egyes karakter, amit hozzáadunk a jelszavunkhoz, exponenciálisan, 95-szörösére növeli a védettségünket"
amennyiben joggal feltetelezheto, hogy mind a 95 karaktert hasznal(hat)juk (pontosabban minden tipusbol valogatunk)
ha csak kisbetuzunk, akkor hiaba van 95 karakter, mindossze 26-szorosara no a lehetseges jelszavak szama (nem pedig a vedettsegunk) egy-egy karakter hozzaadasakorPolitikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
ha buta a rendszer, akkor kioperálható belőle a hash, ami a jelszavadat azonosítja (md5 vagy sha-1 szokott lenni, a windows ezt pl egy adott rendszerfileban tartja) - és a hash tudatában anélkül hajthatjuk végre a próbálkozásokat, hogy egy valódi belépési kísérletet tennénk.
Persze, ha a hash védve van valahogy, akkor nincs mese, nem lehet belépni.
#3: bizony, elég nagy baj, hogy sok oldal (bizonyos NETBANKOK!!) nem engednek spéci karaktert a jelszóba )
[ Szerkesztve ]
30€ Meta store bónusz Quest headset aktiváláshoz, keress priviben :)
-
rt06
veterán
itt nem az elo rendszerrel torteno authentikaciorol van szo, hanem tobbnyire egy megszerzett jelszo hash ujboli eloallitasarol, amely modszer lenyege, hogy az osszes lehetseges jelszohoz elkeszitjuk a hash-t (ehhez persze ismerni kell az algoritmust), es ha egyezes van, az eloallitashoz hasznalt jelszoval be tudunk lepni
abban viszont igazad van, hogy a hir annak emliteserol is megfeledkezik, hogy e modszerhez a betoronek valahogyan meg kell szerezni a jelszavunk hash-et (vagy fizikai hozzaferessel kell rendelkeznie, de akkor mar amugy is komoly baj van, vagy valamilyen sebezhetoseget kihasznalva kell tavolrol bejutnia a kornyezetbe, ekkor viszont mar nem feltetlen erdeklik a jeleszavak, hisz mar bent van)
[ Módosította: Erasmus ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
total90
veterán
Ez a 7 karakteres jelszó feltörés annyira nem volt nagy durranás eddig sem Mondjuk nem ártana a jelszó erősség mérők is komolyabbak lennének egyes oldalakon lévő regisztráláskor.
Ha nincs jó, ló a szamár is.
-
rt06
veterán
az en kedvencem a freemail, ahol max 8 karakteres lehet egy jelszo...
amugy ezt tudom mindenki figyelmebe ajanlani (sajnos csak 64 karaktert tud, de annyi a tobbsegnek eleg lesz egy darabig)
[ Szerkesztve ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
Goose-T
veterán
Már meg is van az új jelmondatom: egy ócska kalapocska, benne csacska macska mocska.
Rockbandám: https://fb.me/scharlotterhodes *** Gitárelektronikai műhelyem: https://www.fb.me/goosetgitar
-
Sianis
addikt
"A team szerint" - brrrrrr
Sianis
-
ntomka
nagyúr
A cikk kapcsán talán aktuálisak az olyanok szolgáltatások, mint a Lastpass, Keepass és társai és a velük kapcsolatos kérdések. Ezek adnak plusz védelmet (ha adnak egyáltalán), stb? Sok helyen olvasni róluk, hogy milyen nagyszerű, de valahogy kétkedem bennük.
ツ Headphones on - World off
-
rt06
veterán
ezeket nagyon gyorsan felejtsd el
azon tul, hogy semmilyen plusz vedelmet nem ad, kiadod a jelszavaidat harmadik felnek, amit ha ok maguk ugyan nem is hasznalnak fel, sokkal inkabb celpontjava valnak a tamadasoknak, mint te magad egyszeri user-kent, s igy inkabb csokkenti a biztonsagot, minthogysem novelnePolitikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
moonman
titán
"Jelszavak helyett jelmondatok kellenek, mondják amerikai kutatók."
ehhez ma már kutatónak kell lenni? világ életemben 15 karakteres vagy hosszabb jelszavaim voltak.
-
rt06
veterán
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
ntomka
nagyúr
Oké, ezt eddig is sejtettem, de ez a sok nagy név is csak marketing?
ツ Headphones on - World off
-
FRENK1988
veterán
Lassan már nem jelszavak kellenek hanem egy ujjlenyomat- vagy esetleg egy retinaolvasó
[ Szerkesztve ]
Nem a lóerő öl, hanem a NYOMATÉK! :)
-
priti
addikt
Ha valaki képtelen teljes biztossággal megállapítani, hogy vírusos e a gépe vagy nem és egy átlagos víruskereső üzenetére hagyatkozik annak nem tökmindegy milyen jelszava van most őszíntén? Hagyjuk már...
Ha annyira nagy a para offline gépen kell dolgozni rack-re amit utána be lehet tenni akármilyen banki vagy magán páncélba oszt jónapot. 100%-os biztonság nem létezik, eddig se létezett és a jövőben sem lesz.
Hardverlesen
-
x007
tag
Én egy másikat használok, de gondolom a lényeg ugyanaz. Van egy nagy mesterjelszavad, amit nagyon komolyan vesznek, (nekem min 40 karakter kellett, hogy elfogadja) és ezzel kódol mindenedet kliens oldalon, ők csak a kódolt információt kapják/tárolják.
A kérdés ugyanaz, amit általában a cloud rendszereknél teszünk fel: mi a valószínűbb? Feltörik az ottani szervereket, és visszafejtik a csomagodat, mielőtt te tudnál bármit tenni VAGY elkaptak rosszarcú emberek az utcán és kiverik belőled a jelszavadat, megszereznek mindent mielőtt cselekedni tudnál. Lehet naív vagyok, de én úgy gondolom, hogy az utóbbi .
-
Taky
senior tag
"Persze legyen bármilyen hosszú és bonyolult is egy jelszó", csak az idő állíthat akadályt a visszafejtéshez...
??
"Tökéletes program nem létezik, csak olyan, amelynek még nem találták meg a hibáit." Pascal
-
x123456
aktív tag
Az egyik netbank egyik fejlesztője szerint ők azért, mert ez is része a rendszerük SQL injection és hasonló trükkök elleni védelmének. Mondjuk ilyen helyekre én eleve nem is engedném, hogy jelszóval lépjenek be a felhasználók. Kötelezném a bankokat valami csipkártyás beléptető rendszer használatára... de lehet, hogy csak nekem vannak túlzott elvárásaim.
-
x123456
aktív tag
1ébként hosszú jelszavakon problémázóknak: ha nem tudod megjegyezni a hosszú és bonyolult jelszavad, akkor fogsz egy könyvet, kiválasztasz belőle egy szimpatikus lapot és mondjuk a lap első húsz szavának az első betűit használod fel, kissé felturbózva mindezt, hogy egyik-másik betű helyett egy alakra hasonló számjegyet (A helyett 4, E helyett 3) vagy spec. karaktert (mondjuk l helyett !, c helyett ( stb) használsz.
De megteheted ugyanezt egy-két kedvenc verseddel is, amiket mondjuk ált. és középiskolában meg kellett tanulni.
Hm? -
ntomka
nagyúr
"Én egy másikat használok, de gondolom a lényeg ugyanaz. Van egy nagy mesterjelszavad, amit nagyon komolyan vesznek, (nekem min 40 karakter kellett, hogy elfogadja) és ezzel kódol mindenedet kliens oldalon, ők csak a kódolt információt kapják/tárolják."
Ez rendben is van, ezt állítják ők is. De a kódolás mikéntje nem tiszta nekem. Gondolom a mesterjelszóval együtt kódolnak valahogy, ezért kell azt megadni, mielőtt bármilyen jelszavam tudnám módosítani a rendszerben. Ergo ezzel csak annyit érek el, hogy elég egyetlen egy jelszavam, a mesterjelszót megszerezni (ami teljesen nyilvánvalóan le van tárolva az ő szervereiken is), hogy az összes többit megszerezzék. Vagy rosszul látom?
ツ Headphones on - World off
-
julius666
addikt
Ha erősen korlátos a megadható jelszó hossza, akkor az ideális jelszó egy megjegyezhető halandzsa
pl.: kóklerhopletymutrefklácsó
Hosszabb lehetőség esetén egy alig ismert, vagy még inkább saját(!) vers 1 strófája.
Persze biztos javítanak az elszórt számjegyek, kis-nagybetűk, meg spec karakterek, de olyan sokat már nem, viszont ezeket jegyezze meg akinek 2 anyja van.
A netes szolgáltatásoknál pedig akkor már régen rossz ha a hash a csúnyabácsik kezébe kerül, nem is értem miről beszélünk. Amúgy meg megnézném ha valaki kibrútforszolna egy freemail-fiókot, még ha csak 8 karakteres is a jelszó.
-
veterán
Nem tudm, azért nekem kicsit magas h h lehet feltörni egy jelszót gpuval. Azért szerintem nem olyan könnyű az...
Addig gyorsítottuk a világot míg mi magunk maradtunk le...
-
Silentfrog
veterán
Én meg a Háboru és béke összes mondatát rakom akkkor jelszonak.
Ott meg az a baj,hogy nem tudom az egészet fejből.a könyv meg elég vaskos az állando cipeléshez.
Aki fel akarja törni a jelszavaimat az ugyis fel fogja,vagy nem? -
Misi1979
őstag
ezért választottam jelszónak mindenhová ezt: cirmoscicahaj1.
Na, így törjenek be hozzám
(nem)
[ Szerkesztve ]
A kismókusok kenyérre is kenhetik.
-
őstag
Kis sarkítással így:
-1?
-Nem
-2?
-Nem
.
.
.
-A?
-Nem
-A1?
-Nem
.
.
.
-111111111111111111111?
-NemS mivel másodpercenként kellően sokszor tudja így végigpróbálgatni, elég gyorsan elfogynak a lehetőségek, és előbb utóbb beletrafál. (Itt feltételeze, hogy a szerver végtelen próbálkozást tolerál)
¯\_(ツ)_/¯
-
lapa
veterán
már marha régen chipkártyával+pinnel kéne belépni mindenhova, de mindenki szarik rá. anno xp-re volt valami 3rd party csomag, aztán ennyi. beépített támogatás pedig elméletileg volt már tán w2k szerverben is (w2k3-ban tuti), de működő és reprodukálható leírást nem találtam eddig. w2k3 alatt is úgy kezdődött volna, hogy csináljak dc-t.
ubuntura se lehet logint csinálni, hacsak valaki nem ezzel foglalkozott 50 évig.
-
priti
addikt
hash-nél nem generál csak komparál, pont emiatt gyorsabb, ezzel volt tele a sajtó amikor kijött a több GB-os méretű szivárványtábla XP-s jelszavakhoz, durva hogy előre le van generálva az összes variáció a választott karakterszámmal xy karakter hosszúságig és csak 1-2 DVD az egész mérete
Hardverlesen
-
lapa
veterán
azért a chipkártya meg a pendrive kicsit nemugyanaz, ugye az egyik kritérium, hogy egyedi legyen, azaz ne lehessen lemásolni.
persze értem, hogy a végeredmény közel ugyanaz, de ha már itt van egy olyan tech ezer éve, amit erre találtak ki, akkor minek szenvedünk utánzatokkal.
ne érts félre, a módszered még mindig ezerszer jobb, mint a jelszó. csak mégse az igazi.
#43: mutass linket, hogy beépített eszközökkel, otthon hogy csinálod meg w7-ig bezárólag. ne gyere te is dc telepgetéssel.
az ujjlenyomat az olyan, hogy nekem inkább jelszó. ha belegondolsz csak technika kérdése lemásolni akárhonnan.
[ Szerkesztve ]
-
e=mc²
őstag
Valaki vilagositson fel legyen szives, mert sok minden nem tiszta.
Azt meg ertem, hogy egy oprendszerbe 3rd-party programmal ujjlenyomatot lehet regisztralni, de ott is jelszohoz kotott!Adott egy(sok) honlap, ahova van regisztraciom. Maganak a szoftvernek(bongeszo/fingerprint manager) kene felismernie, hogy most egy bejelentkezes fog kovetkezni, es feldob egy "huzza le az ujjat" gombot? Vagy a honlapokon kell ezt megoldani valamilyen script/program meghivassal, vagy egyeb megoldassal?
Ez kinek a feladata? Adott oprendszer gyartojae, vagy a weboldal uzemeltetoje/keszitoje? Ennek fenyeben ki fogja ezt megvalositani? Megvalosithato-e egyaltalan?Szoval ilyenek jutottak eszembe.
Jelenelg pusztan mint otthoni felhasznalokent kerdem, napi hasznalathoz. Nem csak egy pc-n, nem csak lokalisan megoldva.Ambulimax Provider
-
Jester01
veterán
Szerintem hash brute-force visszafejtéssel csak egy jelszót kapsz, aminek a megadott érték lesz a hash kódja. Viszont semmi nem garantálja, hogy ez az lesz, amit a felhasználó ténylegesen megadott.
Ennek két következménye van:
1) más rendszerhez nem biztos, hogy ezáltal hozzáférhet a támadó, még ha a felhasználó ugyanazt az eredeti jelszót használja is (mert a másik rendszer hash leképezése már eredményezhet más kódot a visszafejtett jelszóhoz)
2) hiába használsz bárhány trillió karakter hosszú jelmondatot, ha pechedre a generált hash kódhoz van egyszerűen visszafejthető jelszó.Jester
-
x123456
aktív tag
Ezt a példát csak azért hoztam, mert számomra ebből az következik, hogy egy chipkártyás pam plugint sem lehet nehezebb megírni és telepíteni... és ugye egy ilyet simán be lehetne tenni az alaprendszerbe úgy, hogy a kedves felhasználónak ne kelljen vele külön töketlenkednie.
-
8nemesis8
veterán
Sokan örülnek az erőseb GPU-k miatt, van aki a game miatt, van aki a törés miatt.
Szerintem különben is sokkal komolyabb technikákkal törnek be egy oldalra, mintsem brutal force-t használva. Elég sokszor van kiskapu amit "egyszerűbb" kihasználni.
-
rt06
veterán
Hi!
bar igazad van, en a masik oldalarol nezem a dolgot, legalabbis, ami a kovetkezmenyeket illeti
1: rengeteg helyen nem hasznalnak sozast, es emellett egyre tobb olyan site letezik szeret a neten, ami valamilyen nyilt rendszert hasznal, s ezek kombinacioja tokeletes lehetoseget biztosit egy hash visszafejtesevel tobb helyre valo bejarasra
2: pontosan emiatt - amit te is irsz masodik pontodban - van letjogosultsaga a rainbow tablaknak - sulyosbitva ezt azzal, hogy egyes alkalmazasok 2-3 alklaommal egyas utan futtatnak md5 hash eloallitast md5( md5( md5( pass ) ) ) , ami azt eredmenyezi, hogy meg ha a toldi elso kotetet is irtad be jelszonak, ok kvazi legyengitik azt egy 32 karakteres jelszo erossegerePolitikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
eppenhogy nem ugyanaz a ketto, es nem is az a gond, hogy nem ert hozza mindenki, hanem hogy emellett nyilatkozik rola
par alapveto kulonbseg akozott, amirol te irtal, s amirol en:
ha jelszot generalsz, s azt probalod megetetni a rendszerrel, annak elo rendszernek kell lennie, elerhetonek kell lennie. megakadalyozhatja a bejutast a mar tobbszor emlitett varakozasi ido a belepesi kiserletek kozott, de meg ennek hianyaban is lenyeges lassulast okozhat az alkalmazas valaszideje (foleg web-es alkalmazasnal)
ezek hash generalaskor es annak egy meglevo hash ertekkel valo osszehasonlitasakor egyertelmuen nincsenek - emellett ez utobbi lenyegesen konnyebben oszthato el tobb eroforras kozott
itt emlitenem meg pl a gi john nevu, magyar kiegeszitest a JtR-hez, mely kimondottan egy elosztott jelszotoro alkalmazas, ahol anelkul tudsz adott (nepszerubb) algoritmusokkal keszitet hash-eket tesztelni, hogy akar csak azt tudnad, milyen alkalmazashoz kell
tovabba hash osszehasonlitaskor, ha van egy rainbow table-od, megcsak a generalassal sem kell torodnod, mig a jelszavakat annak ellenere ki kell egyenkent probalnod, hogy felvitted a gepre a hetkotetes magyar ertelmezot....[ Szerkesztve ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
Új hozzászólás Aktív témák
- Milyen okostelefont vegyek?
- A fociról könnyedén, egy baráti társaságban
- HiFi műszaki szemmel - sztereó hangrendszerek
- Telekom mobilszolgáltatások
- DIGI Mobil
- Motoros topic
- Megérkezett a Google Pixel 7 és 7 Pro
- Motorola Edge 50 Pro - több Moto-erő kéne bele
- Honor Magic5 Pro - kamerák bűvöletében
- Xbox tulajok OFF topicja
- További aktív témák...
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen