Új hozzászólás Aktív témák
-
BoC1ka
senior tag
Tehát most nem/nem csak a feketepiacon szerepelnek ezek az információk, hanem egy ezzel foglakozó amcsi cégnek is ugyanúgy meg vannak ezek az adatok. Mennyivel jobb
YNWA
-
eddig megvoltak ezek az adatok a cégeknél, az nsa-nál, a cia-nál, meg még pár hasonló hárombetűsnél, most még egy helyen van róluk backup...
nem értem egyébként a titkosítatlan jelszó körüli hisztériát. a titkosított jelszó csak a szolgáltatás üzemeltetését akadályozza, a rosszindulatú betörőket nem, nekik úgyis van elég erőforrásuk ahhoz, hogy feltörjék.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dabadab
titán
"nem értem egyébként a titkosítatlan jelszó körüli hisztériát. a titkosított jelszó csak a szolgáltatás üzemeltetését akadályozza, a rosszindulatú betörőket nem, nekik úgyis van elég erőforrásuk ahhoz, hogy feltörjék."
1. Akadalyozza? Ne mar...
2. Persze, azt fel lehet torni, hogy "123456". Azt, hogy "Tvcer4E#1", meg nem.DRM is theft
-
anulu
félisten
"Azt, hogy "Tvcer4E#1", meg nem."
naaa dehogynem. a kérdés az, hogy mennyi idő alatt, és hogy megéri-e ez az idő.
[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
nekem egy darab processzormagon 1 év alatt a saját előfizetői adatbázisom 80 százalékát sikerült megtörni.
mindezt úgy, hogy jól beállított tipp-szótárral a felét 3 másodpercen belül feltörte Johnny.tehát nekem, aki nulla erőforrást áldozott a feladatra, HÁROM másodpercbe került az 50%-os siker. Akkor azok a bűnözők, akik százezres botneteket hajtanak, mennyi idő alatt érik el ugyanezt a végeredményt?
az userek jelszava nem Tvcer4E#1 formátumú, hanem egyszerűbb.
itt megszereztek a poszt szerint 1.2 milliárd email adatot. ha ennek csak a 10%-kát törik meg egy elosztott botnettel mondjuk 3 nap alatt (fentiek alapján ez egyáltalán nem lehetetlen feltételezés, sőt, inkább valós), akkor is bőven elég postafiókot szereznek ahhoz, hogy egy ekkora spammelést elindítva fejreálljon a teljes levelező architektúra a-tól z-ig.
következmény: a titkosítva tárolt jelszavak a rosszindulatú bűnözőket egyáltalán nem lassítják, egy kicsit se.
fogadjuk el bizonyítás nélkül, hogy a szolgáltató számára nehezebb a titkosított jelszó kezelése.
következmény2: a jelszó titkosítás érdemben kizárólag a szolgáltatót és a jogosult felhasználót akadályozza.de szívesen meghallgatok minden érvet, ami bizonyítja, hogy a titkosított tárolás haszna nem mítosz.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dajkopali
addikt
"itt megszereztek a poszt szerint 1.2 milliárd email adatot."
nem olvastad figyelmesen, ezek egyszerű címek, egyéb infók nélkül - spamelésre persze kiváló, de nem tartozik hozzá - legalábbis az általuk megtalált adatbázisokban - egyéb adat
ahol ilyenek voltak, az a 360 millió rekord - hogy pontosan milyen megoszlásban, azt nem részletezik"fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter
-
nyugodj meg Pali, figyelmesen olvastam.
bankkártya infó, lakcím, egyéb adat nem kell spammeléshez és én ezt hoztam fel példának.
ha van mellette pop3/imap4 jelszó, akkor azzal lehet az egyik fajta spammelési trükköt használni, ha nincs, akkor más spammelési trükkel lehet szemetelni.meg lehet találgatós jelszókeresőst játszani a pop3 szerverrel és akkor lesz jelszó is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dragon1993
őstag
Sózott hash ?
Nem az user jelszavás hasheled hanem mondjuk a
RNX[;fQ|Z+~1gmyT]L85[|oh<56|<o + user jelszóItt van a SHA512 hash
DEF9595BAD89B3551D281E398E337DD1521FD730996FA84D0DD40170FA1A19D64FF4D88EC53DBCDEF3D555EC0B94D91527E3D2E02AB1F3C1B57C723514E85E43Írj ha megvan az eredeti Az user jelszó nagyon triviális 6db szám.
-
-
sghc_toma
senior tag
válasz dragon1993 #11 üzenetére
@dragon1993 (#11): ha mar valaki kidumpolta a hasheket, akkor kidumpolta a saltot is..
ja, es 199310@bambano (#10): pl. en, mint felhasznalo szeretnem tudni, hogy a tisztesseges jelszavam nem kerul az egesz vilag kezebe, ha valaki megtor egy altalam hasznalt szolgaltatast..
[ Szerkesztve ]
in asm we trust
-
buherbela
csendes tag
Én, mint megélhetési jelszótörő tapasztalatból állítom, hogy nem mítosz. A hashelés azért fontos, mert enélkül a júzernek esélye sincsen, hogy egy jó (>10 karakter) jelszóval megússzon egy biztonsági incidenst. Emellett a korszerű kulcsszármaztató eljárások (PBKDF2, Bcrypt, ...) még a viszonylag gyenge jelszavakat is hatékonyan képesek védeni.
http://buhera.blog.hu
-
válasz buherbela #14 üzenetére
"enélkül a júzernek esélye sincsen, hogy egy jó (>10 karakter) jelszóval megússzon egy biztonsági incidenst."
az állítás ezen oldalát nem vitatom. a másik oldalát vitatom, hogy hasheléssel van.(#13) sghc_toma: "pl. en, mint felhasznalo szeretnem tudni, hogy a tisztesseges jelszavam nem kerul az egesz vilag kezebe, ha valaki megtor egy altalam hasznalt szolgaltatast..": nem tudlak megnyugtatni.
eleve mozog bennem a konspiráció teóriás kisördög, hogy mi a búbánatos francnak vesznek annyi szupergépet időjárás előrejelzésre. amennyi procit meg egyebet eddig elpazaroltak rá, ahhoz képest 3 napra előre se tudnak semmit mondani. így inkább elhiszem, hogy 500 ezer prociból 3-on fut az idokep.hu, a maradék 499997-en meg jelszót tör az nsa meg a kínai párja.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
sghc_toma
senior tag
nem is kell, hogy megnyugtass.. nyilvan tisztaban vagyok a jelszavaim erossegevel, es azzal, hogy milyen idokozonkent cserelem oket.. ha emellett tudom, hogy a szolgaltato nem plaintextben dobja be egy adatbazisba, hanem legalabb MD5-tel hasheli, az szamomra mar egy felvallalhato kockazat..
[ Szerkesztve ]
in asm we trust
-
-
-
sghc_toma
senior tag
onmagaban nyilvan nem egyertelmu, ha ez egy jelszavam hashe lenne, sokkal konnyebb dolgod lenne plaintextet talalni hozza, mint megtalalni a tenyleges valaszomat..
hozzateszem, hogy ebben az esetben nem csak a hash all rendelkezesedre, van plusz informaciod: ez egy valasz szovegenek a hashe, nagy valoszinuseggel magyar nyelvu szavak, mondatok szerepeltek az eredeti szovegben.. persze igy sem csak egy plaintext letezhet, de ez nagymertekben szukiti a lehetosegek szamat.. feltetelezem, ennek ellenere nem tudod, hogy mi volt az eredeti szoveg, nem tudtal mit kezdeni a hashel..
leirom mashogy ezt az egesz dolgot:
bent vagyok abban a 20%-ban, akinek a jelszavat nem torte meg egy kivancsiskodo rendszergazda egy ISP-nel VS. egy kivancsiskodo rendszergazda futtatott egy selectet az adatbazison, es megszerezte a jelszavam.. tenyleg ugyanaz a kockazat..in asm we trust
-
-
válasz sghc_toma #20 üzenetére
több szöveg létezik, aminek azonos az md5 hash-se, következésképp nem lehet egyértelmű, hogy mit írtál.
"feltetelezem, ennek ellenere nem tudod, hogy mi volt az eredeti szoveg, nem tudtal mit kezdeni a hashel..": azt feltételezd, hogy nem is érdekelt, ugyanis az állításom nem az volt, hogy én, egy darab pc-vel fel tudom törni normális idő alatt a hasht, hanem az, hogy a csúnya bácsik többszázezres botnetekkel tudják ezt. mivel nincs botnetem, rám nem vonatkozik az állítás.
ha egy rendszergazda meg akarja szerezni a jelszavad, akkor a szervereken vagy a köztes hálózati csomópontokon nyomkövetéssel fogja megtörni a jelszavad, nem md5 töréssel. másrészt a rendszergazdának valójában egyáltalán nincs szüksége a jelszavadra ahhoz, hogy hozzáférjen a cuccaidhoz, neki ugyanis van root jelszava minden rendszerhez. és gondolom te sem használod két különböző rendszeren ugyanazt a jelszót.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
sghc_toma
senior tag
@sh4d0w:
"en, mint felhasznalo" - igy kezdtem az egeszet.. mint felhasznalo, nem erdekel az a 90%, akinek a jelszavat kikopi egy john, vagy rcracki_mt.. mint felhasznalo, csak az erdekel, hogy a kicsit is fontos jelszavaim eleg nehezen legyenek torhetok annyi ido alatt, amig nem cserelem oket.. ha valaki olyan szivarvanytablaval jatszik, amiben benne vannak a hasheim, am legyen - ez a felvallalt kockazat resze a dolognak..@bambano:
"több szöveg létezik, aminek azonos az md5 hash-se, következésképp nem lehet
egyértelm?, hogy mit írtál."
ezert irtam, hogy onmagaban valoban nem egyertelmu, de a plusz informaciokkal egyutt nagyon nagy valoszinuseggel ki lehet valogatni a plaintextek kozul az eredetit.. de igazad van, valoban nem egyertelmu.."ugyanis az állításom nem az volt, hogy én, egy darab pc-vel fel tudom törni normális idő alatt a hasht, hanem az, hogy a csúnya bácsik többszázezres botnetekkel tudják ezt. mivel nincs botnetem, rám nem vonatkozik az állítás."
nem, azt allitottad, hogy az MD5-tel hashelt, es a plaintext jelszo tarolasa pontosan ugyanazt a kockazatot jelenti.. tenyleg nem latod, hogy az, hogy a feltoreshez botnet kell, miert csokkenti a kockazatot?"ha egy rendszergazda meg akarja szerezni a jelszavad, akkor a szervereken vagy a köztes hálózati csomópontokon nyomkövetéssel fogja megtörni a jelszavad, nem md5 töréssel."
kiveve, ha plaintextkent vannak tarolva a jelszavak, mert akkor csak lekerdezi adatbazisbol.. ennel kicsit tobb raforditast es idot igenyel, illetve nagyobb lebukasi kockazattal jar kb. minden mas modszer, amivel a rendszergazda hozzajuthat a jelszavaimhoz.."másrészt a rendszergazdának valójában egyáltalán nincs szüksége a jelszavadra ahhoz, hogy hozzáférjen a cuccaidhoz, neki ugyanis van root jelszava minden rendszerhez. és gondolom te sem használod két különböző rendszeren ugyanazt a jelszót."
amikor hozzafer az adataimhoz a root jelszoval, azt a root felhasznalo neveben teszi.. amikor a jelszavamat hasznalva bejelentkezik az alkalmazasba, akkor az en nevemben tevekenykedik.. a ketto nagyon nem ugyanaz..in asm we trust
-
válasz sghc_toma #23 üzenetére
"...igy kezdtem az egeszet.. mint felhasznalo, nem erdekel az a 90%, akinek a jelszavat kikopi egy john, vagy rcracki_mt.. mint felhasznalo, csak az erdekel, hogy a kicsit is fontos jelszavaim eleg nehezen legyenek torhetok annyi ido alatt, amig nem cserelem oket.. ha valaki olyan szivarvanytablaval jatszik, amiben benne vannak a hasheim, am legyen - ez a felvallalt kockazat resze a dolognak.."
Neked, mint felhasználónak, nem is kell foglalkoznod semelyik másik felhasználóval sem, Neked a szolgáltatóval kell foglalkoznod, mert őrá bízod a személyes adataidat. A biztonsági incidensekről az érintett cégek nem azonnal adnak tájékoztatást, hanem sokszor csak hónapokkal később, az meg már szerintem nem felvállalható kockázat jelszócsere esetén sem... de Te tudod, nekem tökmindegy, csak felhívtam a figyelmed arra, hogy önhibádon kívül is adatvesztés érhet...
https://www.coreinfinity.tech
-
válasz sghc_toma #23 üzenetére
"tenyleg nem latod, hogy az, hogy a feltoreshez botnet kell, miert csokkenti a kockazatot?": valószínűleg azért nem látom, hogy miért csökkenti a kockázatot, mert egyáltalán nem csökkenti.
a rendszergazda ellen az igazi védelem a totális naplózás, de nem ilyen hulladék syslog szinten, hanem mondjuk scb szintjén, és a logok külső hiteles *rendszeres* auditálása. ha ilyened van, akkor teljesen mindegy, hogy tárolod a jelszót, mert a jelszó mezőhöz való hozzáférés kísérlete is kiderül és akkor a rendszergazda megbukott. az, hogy kiadott egy selectet a jelszavadért, bukta, függetlenül attól, hogy plaintext vagy hash választ kapott.
ha meg nincs rendes auditált logolás, akkor meg soha nem kapod el a rendszergazdát, teljesen mindegy, hogy hogyan tároltad a jelszót, mert feltakarít maga után. azt sem tartom elképzelhetetlennek, hogyha a rendszergazda olyan rossz fajta, hogy jelszót akar törni, akkor azt is meg tudja oldani, hogy legyen botnetje. kell neki a te jelszavad, ad még mellé másik párezret fizetségül és bérben feltörik neki a csúnya bácsik.
tehát leszögezhetjük, hogy a rendszergazda ellen nem nyújt érdemi védelmet a hash.
a külső, rossz szándékú betörőnek meg egyébkét is van botnetje, mert a törés elejét az csinálja, nem a cracker. ha meg már betörni is botnettel tör be, nem nagy durranás feltörni pár hasht is.
szóval a kérdésem áll: neked hash jó, plaintext nem, pedig a kockázatuk egyenlő. miért?
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Olcsóbb lett a Tesla Full Self-Driving szoftvere
- iPhone topik
- Amazon Fire TV stick/box
- Google Pixel 6/7/8 topik
- Milyen routert?
- Így építsd a billentyűzeted!
- Samsung Galaxy A55 - új év, régi stratégia
- Kés topik
- Mobil flotta- ajánló keresés belépéshez
- Anglia - élmények, tapasztalatok
- További aktív témák...
- XBOX ONE/PS4/PS5/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!
- XBOX SERIES/PS4/PS5/XBOX ONE/NINTENDO SWITCH konzolt vásárolnék!
- PS5/PS4/XBOX ONE/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!
- Új Dobozos Lenovo Ideapad Flex 5 x360 Érintős Ultrabook Óriás Tab 16" -40% Ryzen 5 5500U 16/512 QHD
- PS4/PS5/XBOX ONE/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!