- Információbiztonság, kiberbiztonság, adatvédelem
- Milyen routert?
- Musk, X, a deepfake-törvény és a szólásszabadság
- One otthoni szolgáltatások (TV, internet, telefon)
- A konzolok, a GTA VI és az új Switch húzzák előre a játékipart
- Tényleg megbüntette az Apple-t és a Metát az EU, jön a megtorlás?
- YouTube
- Videó stream letöltése
- Mesterséges intelligencia topik
- Proxmox VE
Új hozzászólás Aktív témák
-
bambano
titán
válasz
sghc_toma
#23
üzenetére
"tenyleg nem latod, hogy az, hogy a feltoreshez botnet kell, miert csokkenti a kockazatot?": valószínűleg azért nem látom, hogy miért csökkenti a kockázatot, mert egyáltalán nem csökkenti.
a rendszergazda ellen az igazi védelem a totális naplózás, de nem ilyen hulladék syslog szinten, hanem mondjuk scb szintjén, és a logok külső hiteles *rendszeres* auditálása. ha ilyened van, akkor teljesen mindegy, hogy tárolod a jelszót, mert a jelszó mezőhöz való hozzáférés kísérlete is kiderül és akkor a rendszergazda megbukott. az, hogy kiadott egy selectet a jelszavadért, bukta, függetlenül attól, hogy plaintext vagy hash választ kapott.
ha meg nincs rendes auditált logolás, akkor meg soha nem kapod el a rendszergazdát, teljesen mindegy, hogy hogyan tároltad a jelszót, mert feltakarít maga után. azt sem tartom elképzelhetetlennek, hogyha a rendszergazda olyan rossz fajta, hogy jelszót akar törni, akkor azt is meg tudja oldani, hogy legyen botnetje. kell neki a te jelszavad, ad még mellé másik párezret fizetségül és bérben feltörik neki a csúnya bácsik.
tehát leszögezhetjük, hogy a rendszergazda ellen nem nyújt érdemi védelmet a hash.
a külső, rossz szándékú betörőnek meg egyébkét is van botnetje, mert a törés elejét az csinálja, nem a cracker. ha meg már betörni is botnettel tör be, nem nagy durranás feltörni pár hasht is.
szóval a kérdésem áll: neked hash jó, plaintext nem, pedig a kockázatuk egyenlő. miért?
-
válasz
sghc_toma
#23
üzenetére
"...igy kezdtem az egeszet.. mint felhasznalo, nem erdekel az a 90%, akinek a jelszavat kikopi egy john, vagy rcracki_mt.. mint felhasznalo, csak az erdekel, hogy a kicsit is fontos jelszavaim eleg nehezen legyenek torhetok annyi ido alatt, amig nem cserelem oket.. ha valaki olyan szivarvanytablaval jatszik, amiben benne vannak a hasheim, am legyen - ez a felvallalt kockazat resze a dolognak.."
Neked, mint felhasználónak, nem is kell foglalkoznod semelyik másik felhasználóval sem, Neked a szolgáltatóval kell foglalkoznod, mert őrá bízod a személyes adataidat. A biztonsági incidensekről az érintett cégek nem azonnal adnak tájékoztatást, hanem sokszor csak hónapokkal később, az meg már szerintem nem felvállalható kockázat jelszócsere esetén sem... de Te tudod, nekem tökmindegy, csak felhívtam a figyelmed arra, hogy önhibádon kívül is adatvesztés érhet...
-
sghc_toma
senior tag
@sh4d0w:
"en, mint felhasznalo" - igy kezdtem az egeszet.. mint felhasznalo, nem erdekel az a 90%, akinek a jelszavat kikopi egy john, vagy rcracki_mt.. mint felhasznalo, csak az erdekel, hogy a kicsit is fontos jelszavaim eleg nehezen legyenek torhetok annyi ido alatt, amig nem cserelem oket.. ha valaki olyan szivarvanytablaval jatszik, amiben benne vannak a hasheim, am legyen - ez a felvallalt kockazat resze a dolognak..@bambano:
"több szöveg létezik, aminek azonos az md5 hash-se, következésképp nem lehet
egyértelm?, hogy mit írtál."
ezert irtam, hogy onmagaban valoban nem egyertelmu, de a plusz informaciokkal egyutt nagyon nagy valoszinuseggel ki lehet valogatni a plaintextek kozul az eredetit.. de igazad van, valoban nem egyertelmu.."ugyanis az állításom nem az volt, hogy én, egy darab pc-vel fel tudom törni normális idő alatt a hasht, hanem az, hogy a csúnya bácsik többszázezres botnetekkel tudják ezt. mivel nincs botnetem, rám nem vonatkozik az állítás."
nem, azt allitottad, hogy az MD5-tel hashelt, es a plaintext jelszo tarolasa pontosan ugyanazt a kockazatot jelenti.. tenyleg nem latod, hogy az, hogy a feltoreshez botnet kell, miert csokkenti a kockazatot?"ha egy rendszergazda meg akarja szerezni a jelszavad, akkor a szervereken vagy a köztes hálózati csomópontokon nyomkövetéssel fogja megtörni a jelszavad, nem md5 töréssel."
kiveve, ha plaintextkent vannak tarolva a jelszavak, mert akkor csak lekerdezi adatbazisbol.. ennel kicsit tobb raforditast es idot igenyel, illetve nagyobb lebukasi kockazattal jar kb. minden mas modszer, amivel a rendszergazda hozzajuthat a jelszavaimhoz.."másrészt a rendszergazdának valójában egyáltalán nincs szüksége a jelszavadra ahhoz, hogy hozzáférjen a cuccaidhoz, neki ugyanis van root jelszava minden rendszerhez. és gondolom te sem használod két különböző rendszeren ugyanazt a jelszót."
amikor hozzafer az adataimhoz a root jelszoval, azt a root felhasznalo neveben teszi.. amikor a jelszavamat hasznalva bejelentkezik az alkalmazasba, akkor az en nevemben tevekenykedik.. a ketto nagyon nem ugyanaz.. -
bambano
titán
válasz
sghc_toma
#20
üzenetére
több szöveg létezik, aminek azonos az md5 hash-se, következésképp nem lehet egyértelmű, hogy mit írtál.
"feltetelezem, ennek ellenere nem tudod, hogy mi volt az eredeti szoveg, nem tudtal mit kezdeni a hashel..": azt feltételezd, hogy nem is érdekelt, ugyanis az állításom nem az volt, hogy én, egy darab pc-vel fel tudom törni normális idő alatt a hasht, hanem az, hogy a csúnya bácsik többszázezres botnetekkel tudják ezt. mivel nincs botnetem, rám nem vonatkozik az állítás.
ha egy rendszergazda meg akarja szerezni a jelszavad, akkor a szervereken vagy a köztes hálózati csomópontokon nyomkövetéssel fogja megtörni a jelszavad, nem md5 töréssel. másrészt a rendszergazdának valójában egyáltalán nincs szüksége a jelszavadra ahhoz, hogy hozzáférjen a cuccaidhoz, neki ugyanis van root jelszava minden rendszerhez. és gondolom te sem használod két különböző rendszeren ugyanazt a jelszót.
-
sghc_toma
senior tag
onmagaban nyilvan nem egyertelmu, ha ez egy jelszavam hashe lenne, sokkal konnyebb dolgod lenne plaintextet talalni hozza, mint megtalalni a tenyleges valaszomat..
hozzateszem, hogy ebben az esetben nem csak a hash all rendelkezesedre, van plusz informaciod: ez egy valasz szovegenek a hashe, nagy valoszinuseggel magyar nyelvu szavak, mondatok szerepeltek az eredeti szovegben.. persze igy sem csak egy plaintext letezhet, de ez nagymertekben szukiti a lehetosegek szamat.. feltetelezem, ennek ellenere nem tudod, hogy mi volt az eredeti szoveg, nem tudtal mit kezdeni a hashel..
leirom mashogy ezt az egesz dolgot:
bent vagyok abban a 20%-ban, akinek a jelszavat nem torte meg egy kivancsiskodo rendszergazda egy ISP-nel VS. egy kivancsiskodo rendszergazda futtatott egy selectet az adatbazison, es megszerezte a jelszavam.. tenyleg ugyanaz a kockazat.. -
sghc_toma
senior tag
nem is kell, hogy megnyugtass.. nyilvan tisztaban vagyok a jelszavaim erossegevel, es azzal, hogy milyen idokozonkent cserelem oket.. ha emellett tudom, hogy a szolgaltato nem plaintextben dobja be egy adatbazisba, hanem legalabb MD5-tel hasheli, az szamomra mar egy felvallalhato kockazat..
-
bambano
titán
válasz
buherbela
#14
üzenetére
"enélkül a júzernek esélye sincsen, hogy egy jó (>10 karakter) jelszóval megússzon egy biztonsági incidenst."
az állítás ezen oldalát nem vitatom. a másik oldalát vitatom, hogy hasheléssel van.(#13) sghc_toma: "pl. en, mint felhasznalo szeretnem tudni, hogy a tisztesseges jelszavam nem kerul az egesz vilag kezebe, ha valaki megtor egy altalam hasznalt szolgaltatast..": nem tudlak megnyugtatni.
eleve mozog bennem a konspiráció teóriás kisördög, hogy mi a búbánatos francnak vesznek annyi szupergépet időjárás előrejelzésre. amennyi procit meg egyebet eddig elpazaroltak rá, ahhoz képest 3 napra előre se tudnak semmit mondani. így inkább elhiszem, hogy 500 ezer prociból 3-on fut az idokep.hu, a maradék 499997-en meg jelszót tör az nsa meg a kínai párja.
-
buherbela
csendes tag
Én, mint megélhetési jelszótörő tapasztalatból állítom, hogy nem mítosz. A hashelés azért fontos, mert enélkül a júzernek esélye sincsen, hogy egy jó (>10 karakter) jelszóval megússzon egy biztonsági incidenst. Emellett a korszerű kulcsszármaztató eljárások (PBKDF2, Bcrypt, ...) még a viszonylag gyenge jelszavakat is hatékonyan képesek védeni.
-
#13
sghc_toma
senior tag
dragon1993
#11
sghc_toma
senior tag
válasz
dragon1993
#11
üzenetére
@dragon1993 (#11): ha mar valaki kidumpolta a hasheket, akkor kidumpolta a saltot is..
ja, es 199310@bambano (#10): pl. en, mint felhasznalo szeretnem tudni, hogy a tisztesseges jelszavam nem kerul az egesz vilag kezebe, ha valaki megtor egy altalam hasznalt szolgaltatast..
-
#11
dragon1993
őstag
bambano
#8
dragon1993
őstag
Sózott hash ?
Nem az user jelszavás hasheled hanem mondjuk a
RNX[;fQ|Z+~1gmyT]L85[|oh<56|<o + user jelszóItt van a SHA512 hash
DEF9595BAD89B3551D281E398E337DD1521FD730996FA84D0DD40170FA1A19D64FF4D88EC53DBCDEF3D555EC0B94D91527E3D2E02AB1F3C1B57C723514E85E43Írj ha megvan az eredeti
Az user jelszó nagyon triviális 6db szám. -
bambano
titán
nyugodj meg Pali, figyelmesen olvastam.
bankkártya infó, lakcím, egyéb adat nem kell spammeléshez és én ezt hoztam fel példának.
ha van mellette pop3/imap4 jelszó, akkor azzal lehet az egyik fajta spammelési trükköt használni, ha nincs, akkor más spammelési trükkel lehet szemetelni.meg lehet találgatós jelszókeresőst játszani a pop3 szerverrel és akkor lesz jelszó is.
-
dajkopali
addikt
"itt megszereztek a poszt szerint 1.2 milliárd email adatot."
nem olvastad figyelmesen, ezek egyszerű címek, egyéb infók nélkül - spamelésre persze kiváló, de nem tartozik hozzá - legalábbis az általuk megtalált adatbázisokban - egyéb adat
ahol ilyenek voltak, az a 360 millió rekord - hogy pontosan milyen megoszlásban, azt nem részletezik -
bambano
titán
nekem egy darab processzormagon 1 év alatt a saját előfizetői adatbázisom 80 százalékát sikerült megtörni.
mindezt úgy, hogy jól beállított tipp-szótárral a felét 3 másodpercen belül feltörte Johnny.tehát nekem, aki nulla erőforrást áldozott a feladatra, HÁROM másodpercbe került az 50%-os siker. Akkor azok a bűnözők, akik százezres botneteket hajtanak, mennyi idő alatt érik el ugyanezt a végeredményt?
az userek jelszava nem Tvcer4E#1 formátumú, hanem egyszerűbb.
itt megszereztek a poszt szerint 1.2 milliárd email adatot. ha ennek csak a 10%-kát törik meg egy elosztott botnettel mondjuk 3 nap alatt (fentiek alapján ez egyáltalán nem lehetetlen feltételezés, sőt, inkább valós), akkor is bőven elég postafiókot szereznek ahhoz, hogy egy ekkora spammelést elindítva fejreálljon a teljes levelező architektúra a-tól z-ig.
következmény: a titkosítva tárolt jelszavak a rosszindulatú bűnözőket egyáltalán nem lassítják, egy kicsit se.
fogadjuk el bizonyítás nélkül, hogy a szolgáltató számára nehezebb a titkosított jelszó kezelése.
következmény2: a jelszó titkosítás érdemben kizárólag a szolgáltatót és a jogosult felhasználót akadályozza.de szívesen meghallgatok minden érvet, ami bizonyítja, hogy a titkosított tárolás haszna nem mítosz.
-
dabadab
titán
"nem értem egyébként a titkosítatlan jelszó körüli hisztériát. a titkosított jelszó csak a szolgáltatás üzemeltetését akadályozza, a rosszindulatú betörőket nem, nekik úgyis van elég erőforrásuk ahhoz, hogy feltörjék."
1. Akadalyozza? Ne mar...
2. Persze, azt fel lehet torni, hogy "123456". Azt, hogy "Tvcer4E#1", meg nem. -
bambano
titán
eddig megvoltak ezek az adatok a cégeknél, az nsa-nál, a cia-nál, meg még pár hasonló hárombetűsnél, most még egy helyen van róluk backup...
nem értem egyébként a titkosítatlan jelszó körüli hisztériát. a titkosított jelszó csak a szolgáltatás üzemeltetését akadályozza, a rosszindulatú betörőket nem, nekik úgyis van elég erőforrásuk ahhoz, hogy feltörjék.
Az user jelszó nagyon triviális 6db szám.
Új hozzászólás Aktív témák
it Különösen nagy a kockázat a még nem ismert forrásokból megszerzett adatok esetében, ugyanis a jelszavak jó része nem volt titkosítva.
- Samsung Galaxy A35 5G 256GB, Kártyafüggetlen, 1 Év Garanciával
- Nothing Phone 2 5G 256GB, Kártyafüggetlen, 1 Év Garanciával
- Új Apple iPhone 16 Pro 256GB, Kártyafüggetlen, 3 Év Garanciával
- PHONELIST.EU - Használt Apple Nagykereskedés Cégeknek. Iphone 12 PRO
- PHONELIST.EU - Használt Apple Nagykereskedés Cégeknek. Iphone 12 Széria
- Huawei Watch GT 4, 1 Év Garanciával
- Lenovo Yoga Pro 9 (16IMH9) - Intel Core Ultra 9 185H, RTX 4060, 32GB, érintős ELKELT
- Lenovo ThinkPad 40AF + Lenovo 135W + Lenovo USB-C kábel (hybrid) DISPLAYLINK
- BESZÁMÍTÁS! Gigabyte AORUS B450 R5 5600X 16GB DDR4 512GB SSD GTX 1080 Ti 11GB ASUS GT 301 FSP 700W
- Xiaomi Redmi Note 10s 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest