- Az USA nem akarja visszafogni Kína növekedését
- DIGI kábel TV
- Mikrotik routerek
- A pápa egyre jobban tart a romlott AI veszélyeitől
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- Windows 10
- OpenMediaVault
- YouTube
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Milyen program, ami...?
Új hozzászólás Aktív témák
-
Gergosz2
veterán
ilyen trehányul bánni a felhasználók adatival.
Kb ennyi lenne.
2. Véreres fszt a hackereknek, hogy ellopták ezeket, ahelyett hogy szóltak volna.
WTF??
hogyan kellett volna kellően védeni az adatokat?
Azért valami titkosítás illett volna.
[ Szerkesztve ]
Nokia 6030 Hardcore User // I Panic Restaurant by Taito
-
k.
őstag
Nézd, én megmondom őszintén ehhez nem értek. Ahogy ahhoz sem, hogy hogyan lehet egy házat megépíteni.
Azt tudom, hogy valamit nagyon elcsesztek, hiszen nem úgy működnek a dolgok ahogy kellene. Ahogy lecsesznéd pl a Seatot is, ha odamenne a srác az autódhoz és 10 másodperc mulva minden különösebb szakértelem nélkül kinyitná, és lelépne a kocsival. Hiszen itt sem volt olyan hű de bonyolult a bejutás, aztán az adatok elvétele. -
-
Jhonny06
veterán
"az én tippem: semennyivel."
Lelassítani mindenképpen lelassította volna őket, mert evidens, hogy egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat, általános iskolai logika. Ezért bizony a Sony a hibás, az SQL injection kb. az a szint, amit egy középiskolás megvalósít, Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál.
[ Szerkesztve ]
-
dabadab
titán
"hogyan kellett volna kellően védeni az adatokat?"
Ez mennyire komolyan kérdezed egy SQL injectionös támadás után?... Basszus, SQL injections, van ennél lejjebb?
Vajon mikor linkeli valaki little Bobby Tablest?
(#14) bambano: az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.
[ Szerkesztve ]
DRM is theft
-
dabadab
titán
"ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó?"
Igen.
Basszus, plaintextben nem tárolunk jelszót, ez olyan elemi hiba, amiért kapásból ki kellene csapni mindenkit a cégtől, akinek köze volt hozzá. Itt mondjuk sikeresen meg is válaszoltam azt a kérdést, hogy van-e lejjebb az SQL injectionnél: van, a plaintextben tárolt jelszó.
"ebből nyithatnánk vitát, de nem érdemes."
Bölcs döntés, tényleg nem érdemes Ezek azért jók, mert csak az egyik irányba működnek, ami titkosításnál annyira nem nyerő dolog
Az más kérdés, hogy jelszavaknak csak a hashét tárolja az ember, de azt nem titkosításnak nevezzük."Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet"
Még az is segítene, mert az, hogy md5-nél találnak collisiont, alapjában véve nem akkora nagy tragédia, mint az, ha kikerülnek a jelszavak.
[ Szerkesztve ]
DRM is theft
-
Jhonny06
veterán
A kérdésed az volt, hogy lelassítja-e őket, nem az hogy akadály-e. Igen, lelassítja. Azt meg nem lehet tudni, hogy kinek mi az akadály. Lehet, hogy nem tudtak volna túljutni rajta, egy plaintext nem akkora kaland.
"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."
Ezt hogy sikerült kilogikázni?
[ Szerkesztve ]
-
dabadab
titán
"az én meglátásom és tapasztalatom szerint teljesen mindegy, hogy egy plain text jelszó kerül ki vagy a hash-e."
Egy MD5 hash-sel hogyan tudsz bejelentkezni a GMailre? Sehogy. Ugyanis ilyenkor nem az a probléma, hogy kiderül, hogy az adott site-ra mivel lépett be a user, hanem az, hogy jó eséllyel máshol is azt a jelszót használta, pl. a webmailes accountjánál (amit elég könnyű megtalálni, mert az emailcímek is kikerültek), onnan kezdve meg a jelszóemlékeztetőkkel nyitva áll minden.
"A főbenjáró vétség az én szememben az, hogy kikerült. A formátum az én szemeben nem oszt-nem szoroz."
A védelemnék mindig mélységinek kell lennie, nem lehet egyetlen rétegre alapozni. Márpedig az ilyen mélységi védelemnek az egyik abszolút alapvető, általános iskolai szintű technikája az, hogy nem tárolunk plaintext jelszavakat, csak hasht.
[ Szerkesztve ]
DRM is theft
-
WN31RD
addikt
Plaintext jelszavak esetén az áldozatoknak nulla idejük van reagálni, mielőtt a jelszavakkal visszaélnének, kódolt jelszavak esetén pedig már gyenge-közepes jelszó mellett is sok nap, erősebb jelszónál sokkal több.
''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
Cathulhu
addikt
De ha annak az egymillio embernek csak 1% (tippre viszont 90) ugyanazt a jelszot hasznalta mondjuk egyeb, kritikus adatot tarolo rendszerhez, akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja. Es epp emiatt a szmemeben nagyobb bun igy tarolni az adatokat, mint a sajat rendszert nem megfeleloen vedeni.
szerk:
#29, most olvastam csak[ Szerkesztve ]
Ashy Slashy, hatchet and saw, Takes your head and skins you raw, Ashy Slashy, heaven and hell, Cuts out your tongue so you can't yell
-
M3Ny3'T
senior tag
Teljesen igazad van.
Nem is értem, hogy Unix esetében miért szarakodnak holmi passwd, shadow felbontásokkal és egyéb védelmekkel, ahelyett, hogy beb*sznák az egészet egy txt fájlba. Tovább megyek, mindenki root-ként rohangászna a szerveren. Sokkal kevesebb észt, időt, energiát igényel és egyébként is teljesen mindegy, mert úgyis feltörik.Skype-on lány az informatikusnak: Milyen színű a szemed? Informatikus: #0034ff
-
ep75w
csendes tag
"...Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg..."
Így van, nem a LEGVÉRESEBB, de azért eléggé gáz rájuk nézve
De a lényeg, só ide vagy oda, amíg a legtöbb user, mit user, rendszergazda olyan jelszavakat használ, hogy uhh, addig nincs miről beszélni...És ebben a történetben a behatolás volt a lényeg, a többi, már csak a hab a tortán.
"...Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép..."
Felhő rulez?
[ Szerkesztve ]
-
M3Ny3'T
senior tag
Alapvetően szöveges, igen, de pl a jelszó el van kódolva MD5-be. Minden féle-fajta kódolás nélkül, egyetlen fájlban értettem.
És az, hogy mindenki root, arra meg mit mondjak? Talán a megfelelő fogalom: idiotizmus.Skype-on lány az informatikusnak: Milyen színű a szemed? Informatikus: #0034ff
-
WN31RD
addikt
Potenciálisan sokkal több ideje lett volna reagálni annak, aki normálisabb jelszót használ, mert azokat, főleg ha salt is volt a hash mellett (ami már régóta standard practice), nem feltétlenül fejtik vissza hónapok alatt sem. Az sem minden esetben igaz, hogy a behatolók hosszú ideig tudnak rejtőzködni. A plaintext jelszó egyszerűen iszonyatos felelőtlenség, mert a fejlesztői oldalon viszonylag kis spórolást jelent, de nagyban csökkenti azon felhasználók fiókjának biztonságát is, akik egyébként ügyelnének arra, hogy megfelelő jelszavakat használjanak.
Az sem mindegy, nagyon nem, és minél nagyobb a felhasználói bázis, annál kevésbé, hogy a jelszavak 60-65% vagy 100%-a kerül-e ki.
Hogy a plaintext jelszó a "legvéresebb" pontja-e a történetnek, azon lehet vitatkozni, de hogy "véres" pontja, az szerintem nem kérdés.
''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
Pl. kivédeni az SQL injection lehetőséget. Pl. megfelelő mértékű titkosítással, salting alkalmazásával megnehezíteni a támadók dolgát.
A dolog egyébként annyira valós, hogy az Associated Press találomra felhívott egy számot a nyilvánosságra hozott adatok közül, sikerrel; ezenkívül minden más adata is stimmelt az illetőnek.
https://www.coreinfinity.tech
-
WN31RD
addikt
"az md5 salt nélkül gyakorlatilag semmit nem ér."
Tessék, egy szerintem közepes erősségűnek számító jelszó (12 karakter, írásjelek nélkül - még segítettem is) MD5 hash-e bármiféle salt nélkül, törd fel:
45cf96fa998b778932aa0a41a55d4ac6''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
Az is amatőrizmus, meg a plain textben tárolt jelszó is.
Male #53: szivárvány táblák. Ha nincs salting, nincs iteratív hash, a hashelési algoritmus pedig gyenge (pl. 128 bit), akkor az általánosan elterjedt 8 karakteres jelszavakhoz relatíve rövid idő alatt lehet ilyen táblákat generálni. Lásd még a blogomon a HBGary-sztori első fejezetét.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Male
nagyúr
Ez mondjuk igaz... viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz. (nomeg ezért kell elvárni a spec. karaktereket és kis-nagy betűket a jelszóban... persze akkor meg nagybetűvel írja a macskája nevét és mögétesz egy felkiáltójelet, de ez már az ő hülyesége)
sh4d0w: Igen, de a salt is alap lenne azért...
[ Szerkesztve ]
-
ep75w
csendes tag
"... ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét..."
Na ebben van az igazság; engem alapvetően h*lyének néznek az ismerősök,
mert egy jelszó csak egy helyen, azok is véletlenszámok, ok ennek van hátránya is, én sem tudom a jelszavaim De bizony ismerek olyat, ahol qwert, 12345...birthday paradox, ne menjünk bele, felesleges. Aki technikailag, tudásban, ott van hogy bejut egy RENDES (ezek szerint a Sony nem az) szerverre, szórakozik az FBI szervereivel, annak már adhatsz akármilyen sót, főleg, hogy NEM konkrétan emiatt mentek be. Meg a só lényege, hogy kulcsként szerepel. Remek, ha szépen ott lesz az adatbázisban, na volt értelme... Értelme akkor van, ha maga a hash kikerül ugyan, de a só, a kulcs nincs meg hozzá.
De itt szerintem nem emiatt mentek. Hanem azért, hogy bent legyenek, ennyi, borstörés orr alá. Ha, csak szórakozó gyerekek, elég egy mesterkulcs, hidd el. Kár bonyolítani. 10 év alatt nálunk is csak egyszer történt betörés, ott is a rendszergazda hibája volt.
#64: "...viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz..."
Ezt karattyolom én is. Emiatt, hiába ad az előző hozzászóló külön sót mindenkinek, ha ott lesz az adatbázisban... Na de, szerintem nem ezzel szokott általában a gond lenni.
#66: Na, azért vannak már remek szótárak ehhez, nem csak a BF az egyetlen út manapság... És valóban, én el bírom képzelni lassan azt is, hogy akár felhőben számoljanak és szótárazzanak a srácok...
[ Szerkesztve ]
-
Cathfaern
nagyúr
Nem mint ha sokra tartanám a Sonyt, de miből gondolod, hogy a többi multi jobb nála? Nem is beszélve a "hirtelen kinőtt" cégekről (facebook, twitter pl.). Én úgy gondolom, hogy az esetek jó részében a biztonságot a jogászok érik el, ugyanis ahogy feltörhetetlen rendszer nincs, úgy elkaphatatlan hacker se, és az esetek jó részében nem éri meg ilyennek szórakozni. Viszont ha valaki, valakik elvi kérdést csinálnak a dologból, akkor ez a "védelem" máris megszünt. Szerintem ez történt a Sonynál, és ez megtörténhet bárki másnál is (lásd a múltkorit, mikor egy netes biztonsággal foglalkozó céget törtek meg...)
-
najó, de ha van hárommillió adat, akkor azt mind visszafejteni elég sok idő (nyilvános kulcsú védelemnek pont ez a lényege).
plaintextnél meg ellopták, és onnantól nem kell dekódolással szórakozni.
dabadab: igen, nekem is a kis bobby tables jutott eszembe... azért ez nagyon amatőr volt.
[ Szerkesztve ]
Don't dream it, be it. // Lagom amount.
-
rt06
veterán
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
akkor ostobabb vagy, mint gondoltamakarom mondani, hogy amit egy nem erre specializalodott user, minimal technikai hatterrel kevesebb mint 30 napon belul visszafejt, az harmatgyenge
[ Szerkesztve ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
Új hozzászólás Aktív témák
- gban: Ingyen kellene, de tegnapra
- Az USA nem akarja visszafogni Kína növekedését
- Kormányok / autós szimulátorok topicja
- Xbox Series X|S
- BestBuy topik
- VR topik (Oculus Rift, stb.)
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- League of Legends
- Ukrajnai háború
- Call of Duty: Modern Warfare III (2023)
- További aktív témák...
- Új Hp Pavilion 15-eh Fémházas Szuper Laptop 15,6" -30% AMD Ryzen 7 5700U 8Mag 16/1TB FHD MATT
- ATI RADEON RX 480 -8 gb DDR5 256 bit videokártya
- Geforce GTX 460-1 gb DDR5 256 bit videokártya
- Geforce G 210 -1 gb videokártya
- Díszdobozos Lenovo Yoga Slim 7i Pro "Kis Gamer" Ultrabook 14" -40% i5-11300H 16/512 QHD+ 2,8K OLED