Szavakban szélsőségesek vagyunk, tartalomban nem.

Ellenvélemény

Ellenvélemény

Így gyakorlatilag feltörhetetlen a jelszavad

Facebook Tumblr Tweet Pinterest Tetszik
0
2020. december 13. - Frank S. Casetti

Nem csak gyakorlatilag lehetetlen feltörni, de megjegyezhető is.

A minap szembe jött velem egy vidó, ami adatvédelmi tanácsokkal látta el a megtekintőket, ezen felbuzdulva pedig elárulom a tökéletes jelszó titkát.

Miért fontos a digitális biztonság?

Fontos, hogy érzékeny adataink (bankszámla adatok például) mindig biztonságban legyenek. Az adathalászok előszeretettel verik át az embereket, hogy ezekhez hozzáférjenek, vagy csak törnek fel profilokat. Egyszer a Wish profilomat megszerezte egy izraeli illető és az elmentett kártya adataimat felhasználva rendelt magának termékeket. Egyszer csak kaptam az SMS-eket, hogy mennyit és mire akartak levonni, de nagy szerencsémre előzőnap levettem minden pénzemet, így a terve meghíusult.

A másik legnépszerűbb módszer, amikor egy külföldi számról hívnak fel a "rokonok", akikkel nem véletlen nem beszéltünk soha, ezért ezt a hagyományt ne is szakítsuk meg. Szintén volt egy ilyen eset velem. A hangpostámon hagytak egy üzenetet, ami csak creepy nyögésekből állt. Durván tolják ezek a csehek.

letoltes_14.jpeg

Akkor milyen a tökéletes jelszó?

Akkor a legjobb, ha tartalmaz kis- és nagybetűt, van benne szám és speciális karakter is. Ne legyen könnyen kitalálható, profil alapján se lehessen megtippelni. Az sem árt, ha nem szám-, vagy betűsor.

A legegyszerűbben akkor felelhetünk meg ezekenek, ha a következő példát követjük:

Kedvenc film/könyv/bármilyen idézet, a kedvenc szám egy egyenlőségjel, és ami a platformról eszünkbe jut. Hosszú lenne, nem? De! Nna, de itt a csavar:

Kedvenc idézet legyen a Serious Sam-ből az, hogy "I'm really serious!". Kedvenc szám legyen a 2 és ez egy Gmail fiókhoz legyen, amiről az email jut eszembe. Az idézetben szereplő szavak első betűit írjuk le nagybetűvel, a szóköz helyére a szám kerüljön, majd a végére az egyenlőség jel és az "email" szó. Bonyolult? Nem.

Íme a gyakorlatban: I2R2S=email

33 komment
Facebook Közélet Vélemény

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://antivelemeny.blog.hu/api/trackback/id/tr9616334988

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

qwertzu 2020.12.13. 16:13:09

Pont egy fokkal fokkal jobb, mint az 123456, de még mindig szar.

A jelenlegi ajánlás az hogy lehetőleg hosszú pass phrase pl:
I2Am3Realy4Serious7Email
Válasz erre 

Androsz · http://wikipedia.blog.hu/ 2020.12.13. 16:17:17

Ma már ennél hosszabb jelszó az elvárás. Az igaz, hogy egy olyan beléptetőrendszer íróját ló után kéne kötni, amelyiken tízezerszer is következmény nélkül lehet próbálkozni, de ettől még sajnos vannak ilyenek. Sőt, még most is vannak olyan beléptetőrendszerek, amelyeken 8 karakter hosszú, csak az angol ábécéből és számjegyekből válogatott jelszót használhatunk, vagy nemrég még csak olyat használhattunk. Az igazi problémát az jelenti, hogy technikai okból a programozók elég szorosan korlátozzák az egyéb karakterek körét. Tipikusan ki van zárva a használhatók közül az idézőjel, kettőspont, per, backslash, egyenlőségjel, kérdőjel, csillag, és elég bosszantó, amikor erre nekem találgatással, próbálkozással kell rájönnöm. Ma már igazán megoldható lenne a teljes Unicode készlet használata a jelszavakban, és rám lenne bízva, hogy szanszkrit vagy klingon szavakat szúrok-e be a jelszavamba. De persze ezzel munka van, és a Microsoftnak is fontosabb, hogy legközelebb "megújult" külsejű Start menüt tegyen a Windowsba, mint hogy olyan jelentéktelenségre pazarolja a programozói idejét, mint a jelszóbiztonság résmentes támogatása.
Válasz erre 

Billy Hill 2020.12.13. 16:39:44

A lényeg (sok ilyen cikk után), hogy legyen annyira nem hozzád köthető a jelszó, hogy te se tudd már megjegyezni... Illetve legalább annyira bonyolult legyen, hogy már 3-4 sör után se tudd begépelni. :-)
Válasz erre 

kvadrillio 2020.12.13. 19:02:59

EZ VALAMI BETEGSÉGE AZ ORBÁN-KORMÁNYNAK, EZ AZ ARISZTOKRATÁKAT A JÓLFIZETÓ DIPLOMATAHELYEKRE ???
Habsburg György egy szintén arisztokrata családból való nagykövetet válthat, hiszen Károlyi György hivatala jár le hamarosan Párizsban. :o)))))))

RÉG LEVITÉZLETT ARISZTOKRATA DZSENTRISZÁRMAZÉKOK, KIKNEK VISSZAADTA A HÜJJJJE RENDSZERVÁLTÓ-RÉTEG A KASTÉLYAIT, FÖLDJEIT ! :o)))))

NEM SOKÁIG LESZ EZ ÍGY EZEN A FÖLDÖN !!! :o))))))))))))))))))

TÉLLLLLEG NEM VOLTAK SOKKAL JOBB JELÖLTEK ?????

MEGÁLL AZ ÉÉÉÉÉSZ !!!!!! :o)))))))))))))))))))))

RÁADÁSUL AKKORA ALKOHOLISTÁN-BUGYUTA FEJE VAN, HOGY FÁJ MÉG NÉZNI IS !!! :o)
Válasz erre 

kvadrillio 2020.12.13. 19:07:12

TOOOOOOD..., HA APÁM KIRÁLY VOLT, AKKOR AKÁRMILYEN HÜJJE IS VAGYOK ..., AKKOR IS ÖRÖKLÖM A LEGJOBB KIRÁLYI BEOSZTÁSOKAT !!! EZ AZ IGAZÁN DINASZTIÁK URALKODÁSA, AZ IGAZÁN KASZT-RENDSZER, AMI ÚGY NÉZ KI, MEG AKAR TOVÁBBRA IS HONOSODNI E FÖLDGOLYÓN A HÜJJE ORSZÁGVEZETŐK MIATT !!! :o)))))))))
Válasz erre 

Kirándulás · http://www.adventures.hu 2020.12.13. 20:00:56

Az én jelszavam meg O1G@G1O=True , bár ezt könnyű kitalálni...
Válasz erre 

Kovacs Nocraft Jozsefne 2020.12.13. 21:18:41

A témában járatlanként lenne két kérdésem, ,megköszönöm, ha valaki tud válaszolni rájuk:

1) A hash algoritmusok által generált hash hossza általában függ a jelszó hosszától? Vagy bármilyen hosszú jelszóból azonos hosszúságú hasht generálnak?

2) Ha a hacker hozzá tud férni a szerveren tárolt hash értékekhez, akkor némi plusz erőfeszítéssel meg tudja szerezni az esetleges salt értékeket is, nem? Akkor meg nem sokat ér a sózás. :) Vagy mégis
Válasz erre 

kvadrillio 2020.12.13. 21:56:00

CICINÉNE DRÁÁÁÁGA ! AZ OPERATÍV TÖRZS MIT CSINÁL ??? KÖZLI A HALOTTAK SZÁMÁT ?????!

A magyar helyzet drámaibb.....eronews...

Ugyanazon a napon, amikor Németországban 590-en haltak meg a koronavírus szövődményeiben, azaz december 9-én, Magyarországon 160 halálesetet regisztráltak.

Németország lakosainak száma valamivel több mint 83 milliót. Magyarországnak közel 9,8 millió lakosa van, azaz nyolc és félszer kevesebb.

Ha a járvány áldozatainak számát népességarányosan hasonlítjuk össze, akkor az elhunyt magyarok száma Németországban december 9-én 1360 áldozatnak felelne meg.

Angela Merkel ilyen szám alapján vélhetően nem elérzékenyült, hanem könnyekben tört volna ki.

Magyarország november 18-án hirdette meg, és lépten-nyomon népszerűsítette a „Minden élet számít” elnevezésű kormányzati tájékoztató kampányt.

A kampány a mutatók szerint nem eredményes.

Bár a naponta regisztrált fertőzöttek száma szerint nem annyira rossz a járványhelyzet Magyarországon, a halálozások számában az egyik legsúlyosabb az egész világon – jelentettük december 10-én. Magyarországnál egyedül Szlovéniában és Bulgáriában magasabb a halálos áldozatok száma naponta népességarányosan, az elmúlt 7 nap adatait alapul véve.

A tíz ország közül egyébként, ahol a legmagasabb a halálozási arányszám, kilenc Európában található.

Magyarországon a világon a harmadik legmagasabb a Covid19-halálozások száma népességarányosan
Válasz erre 

snowboard 2020.12.13. 23:34:50

@Androsz: Tök fölösleges mindenféle - a billentyűzeten nem szereplő - krikszkrakszot belerakni a jelszóba. Pláne elvárni ezt. Sajnos mostanában nagyon erőltetik, pedig csak nehezebben megjegyezhetőek lesznek tőle a jelszavak. Egyszerűbb és jobb módszer a jelszó hosszának növelése. A lehetséges karakterek számának növelésével az alapot növeled, a jelszó hosszával a kitevőt.
Azaz plusz krikszkrakszok hozzáadásával csak polinomiálisan, a jelszó hosszának növelésével viszont exponenciálisan növeled a lehetőségek számát. És még meg is tudod jegyezni, és kompatibilitási probléma sincs vele.
Sajnos olyan jelszószabályokkal is találkoztam már komolynak tartott helyeken is, amik szó szerint csökkentik a lehetőségek számát. Miközben csak látszólag teszik "véletlenszerűbbé", gépiessé, olvashatatlanná a jelszót, ami a nyilvánvaló hozzá nem értés jele a rendszer kitalálói részéről.
Válasz erre 

fordulo_bogyo 2020.12.14. 00:09:14

A bankkartya kodja (PIN) meg mindig 4 szamjegy, es nem szoktak feltorni... hm?
Válasz erre 

qwertzu 2020.12.14. 00:53:37

@Kovacs Nocraft Jozsefne:
1: Bármilyen hosszú jelszóból ugyanolyan hosszú hasht genrálnak.

"2) Ha a hacker hozzá tud férni a szerveren tárolt hash értékekhez, akkor némi plusz erőfeszítéssel meg tudja szerezni az esetleges salt értékeket is, nem? Akkor meg nem sokat ér a sózás. :) Vagy mégis"

De, sokat ér. A salt kb. a hash mellett van. Definíció szerint hozzáfér a támadó. Azért ér sokat, mert mivel minden user saltja egyedi, ezért minden usernél előröl kell kezdenie a jelszavak próbálgatását.

Salt nélkül
123456 -> hash(123456)
Minden 123456 jelszót használó jelszava megvan

Salt-al
123456+egyedi salt ->hash(123456+egyedi salt)
csak 1 jelszó van meg.

Ha emellé járul egy rendes jelszó policy akkor nehéz visszafejteni a jelszavakat.
Válasz erre 

Wildhunt 2020.12.14. 01:32:09

@fordulo_bogyo: háromszor próbálkozhatsz, azután a rendszer bevonja a fizikai azonosítót.
Válasz erre 

fordulo_bogyo 2020.12.14. 02:54:24

@Wildhunt: Miben kulonbozik ez attol, hogy 3 porbalkozas utan a rendszer tiltja azt a felhasznalot (tovabbi azonositasig, vagy adott idotartamra)?
Válasz erre 

Kovacs Nocraft Jozsefne 2020.12.14. 08:10:01

@qwertzu:

Köszönöm szépen a válaszodat!

@snowboard:

Ha - mint @qwertzu: írja -, a hash hossza fix, akkor a jelszó hosszának növelése egy adott karakterszámon túl nem növeli a lehetőségek számát, hiszen ezt a hash hossza eleve meghatározza. (Amiből egyben az is következik, hogy több jelszó is eredményezheti ugyanazt a (salt nélküli) hasht.

Kérdés persze, milyen hosszú a hash, mert mondjuk száz byte-nál már elég sok lehetőség van. :)
Válasz erre 

Gour 2020.12.14. 08:16:23

Az egyik bankot azért hagytam ott mert havonta kellett a netbankhoz uj jelszó, olyan amilyen még nem volt es persze folyamatosan elfelejtettem.

Én elhiszem, hogy van akinek ez élete parája, de nonszensz, hogy a hbo go tól, a netflixig, a cipőrendelestől a vásarlasig, mindenhez legyen 20 ilyen olyan jelszó, mert ugye nehogy egyformát adjunk meg.
Válasz erre 

snowboard 2020.12.14. 08:32:07

@Kovacs Nocraft Jozsefne: Ez így igaz, de a gyakorlatban jóval "hosszabb" szokott lenni a hash, mint amekkora jelszavakat használnak az emberek. "I2R2S=email"-nél pl jellemzően jóval hosszabb.

megjegyzés: korlátozott karakterkészletből kiindulva azon túl is hövelheti a lehetőségek számát, mert olyan lenyomat is létrejöhet, ami rövidebb input esetén csak meg nem engedett karakterek használatával jöhet létre. Ez már nyilván nem számít, inkább elvárnám hogy elég hosszú hash-t használjanak az idióta jelszószábályok erőltetése helyett, amiket időnként lassan végigolvasni is kín.
Válasz erre 

indanick 2020.12.14. 09:32:52

Az első betűk használata ok, de a platform? sajnos semmi se garantálja, hogy ugyanaz a szó jut eszembe legközelebb. Nekem százas nagyságrendben vannak accountjaim mindenféle "platformon" .
Ez módszer amúgy se jó ott, ahol előírják, hogy pl. pár hetente változtasd meg, de x%-ban el kell térnie az előzőtől, hossza min8 és max(???)12 karakter között lehet, legyen benne spec karakter .
- na ezek azok, ahol az ember egyszerűsíteni próbál, ezért rontja a jelszó minőségét, vagy minden belépést azzal kezd, hogy reset pw és/vagy generált jelszó.
A hülyeség csimborasszója, ha nem engedi beilleszteni a jelszót vágólapról, mert így azt akadályozza meg, hogy ott egy generált kódot használjak, amit nyilván nem tudnék fejből. Persze ha valaki tudja, mondja már el, mi értelme van egy banknál ennek, ahol kétszintű hitelesítés van és a 3. hiba után telefonos ujra aktiválás kell?
A túl hosszú/bonyolult jelszókritérium jelentős Postit fogyást eredményez, azaz max a GDP-re nézve hasznos. Én password tároló programot használok, mert az alap, hogy mindenhova más jelszó, de be is b@szna, ha ennek meg 3 hetente kéne a master jelszavát változtatni. Ha valaki valahogy kitalálná, onnantól ugye minden jelszómat látná, azaz a fenti sok szuperjelszó-okosság mind ennyit ért.
Válasz erre 

Erinaceus 2020.12.14. 10:04:53

A jelszó mint hitelesítési eszköz igen rosszul látja el a feladatát szvsz. Alapvető ellentmondás van abban, hogy egy megjegyezhető, de kitalálhatatlan karaktersorozat visszamondásával igazoljam hogy én vagyok én. A jelszókezelő programok egész jó kompromisszumot jelentenek: elég 1db jelszót tudnom, aminek a hash-e sincs tárolva sehol, csak a titkosított jelszó-adatbázisom oldható fel vele, és mivel egy biztonságra szakosodott cég kezeli, bízhatok is benne hogy nem fognak amatőr hibák miatt adatok kiszivárogni.
A modernebb, kevesebb macerával járó, és biztonságosabb megoldás szerintem a valamilyen elektronikus titkosító modult és valamilyen biometrikus azonosítót kombináló rendszerekben rejlik - pl. egy USB-n vagy Bluetooth-on kommunikáló "kulcs" amit az ujjlenyomatod old fel. A technológia már létezik (FIDO U2F kulcs néven), csak a mind-share hiányzik mögüle.
Válasz erre 

Wildhunt 2020.12.14. 10:18:47

@fordulo_bogyo: a fizikai azonosítót csak igazolvánnyal kapod vissza.
Válasz erre 

Serény Vélemény 2020.12.14. 10:59:27

@fordulo_bogyo: "A bankkartya kodja (PIN) meg mindig 4 szamjegy, es nem szoktak feltorni... hm?"

Honnan tudod?
Válasz erre 

clemens 2020.12.14. 11:20:26

Ha 3 hibás próbálkozás után 10 percre letiltana a rendszer, akkor egy 8 karakteres jelszó feltörése néhány tíz évbe telne.
Egy ilyen feltétel leprogramozása meg fél órába kerülne, mégsem alkalmazzák, helyette a felhasználókat basztatják idióta jelszó választás kikényszerítésével.
MIÉRT???
Válasz erre 

Bobby Newmark 2020.12.14. 13:17:50

Mi lenne, ha végre elfelejtenétek ezt a faszságot?!
Ezt egy kibaszott hozzánemértő balfasz politikus találta ki, aki azóta bevallotta, hogy fingja nem volt a témához, és azóta nem győz bocsánatot kérni miatta.

Ez az egész kisbetű-nagybetű-szám-speciális karakter téma egy agyhalott baromság, és kibaszottul ideje lenne már túllépni rajta.

Aki meg olyan backendet kódol, ami engedi a brute-force módszert, az meg menjen inkább kekszet kapálni, és soha a kurva életbe többet ne nyúljon számítógéphez!
Válasz erre 

Bobby Newmark 2020.12.14. 13:20:52

@clemens: Mert alkalmatlan faszkalapok írták a kódot, azért. Vagy mert az idióta megrendelő elhitte azt a kibaszott ajánlást, és ezt kéri.
Válasz erre 

Bobby Newmark 2020.12.14. 13:23:46

@Serény Vélemény: Onnan, hogy három elbaszás után benyeli az ATM a kártyádat. És anélkül meg már nehéz kipróbálni a maradék 9997 lehetőséget.
Válasz erre 

fordulo_bogyo 2020.12.14. 15:24:19

@Wildhunt: " a fizikai azonosítót csak igazolvánnyal kapod vissza." - mi az akadalya annak, hogy a letiltott accountot is csak igazaolas utan allitsak vissza?
@Serény Vélemény: 3:1000 az esely ra es 3 probalkozasod van HA sikerult megszerezned a kartyamat. Sok sikert. Onnan is tudom meg, hogy nincs tele az ujsag sem azzal, hogy feltort bankkartyaval szereztek penzt, meg onnan, hogy a bankolk nem novelik a PIN hosszat es nem rakjak tele specialis karakterekkel, kis es nagybetukkel. Ha penzt veztenenek rajta, akkor valtoztatnanak.
Vagy a bank, vagy az ugyfel valtoztatna.
Válasz erre 

Wildhunt 2020.12.14. 15:47:03

@fordulo_bogyo: az, hogy pld. a netflixnek semmi köze hozzá.
Válasz erre 

Wildhunt 2020.12.14. 16:28:53

@fordulo_bogyo: nem baj. Egyszeűsítve: van akinek igazolom magam és van akinek nem.
Válasz erre 

fordulo_bogyo 2020.12.14. 16:34:35

@Wildhunt: Igazolod, hogy az a te accountod. Ehhez nem kell szemlyi igazolvany, lakcimkartya, anyja neve... ehhez elegendo egy kod amit emalben vagy sms-ben kapsz meg, vagy par biztonsagi kerdesre adott valasz...
Válasz erre 

qwertzu 2020.12.24. 10:14:18

@clemens: @Bobby Newmark:
Nyilván több ezer securitys és programozó közül egynek se jutott eszébe.

Természetesen minden rendes backend úgy van megirva hogy végesz számú (3-10 az ajánlás) után letiltja a próbálkozásokat. És ezt egy security vizsgálaton ellenőrzik is.

A jelszó erősség nem erre van, hanem arra hogy ha a támadó sikeresen megszerzi a teljes backendet, DBvel, tárolt hashekkel, forráskóddal,stb... akkor se tudja visszafejteni a jelszavakat. Ilyenkor nyilván nincs védelem, a támadó egy szerverfarmnyi GPUt ráereszthet a jelszavakra.
Válasz erre 

Sadist 2020.12.25. 23:14:05

@Kovacs Nocraft Jozsefne: "1) A hash algoritmusok által generált hash hossza általában függ a jelszó hosszától? Vagy bármilyen hosszú jelszóból azonos hosszúságú hasht generálnak?"

A hash, vagy hülye magyar nevükön hasítófüggvények azt csinálják, hogy egy elviekben végtelen értelmezési tartományt képeznek le véges értékkészletre, magyarul a tetszőleges hosszúságú bitsorozatból csinálnak egy fix hosszúságút. Úgyhogy a jelszó hosszának semmi befolyása a hash hosszára, az teljesen fix.

"2) Ha a hacker hozzá tud férni a szerveren tárolt hash értékekhez, akkor némi plusz erőfeszítéssel meg tudja szerezni az esetleges salt értékeket is, nem? Akkor meg nem sokat ér a sózás. :) Vagy mégis"

A sózásnak ott van szerepe, hogy a hash függvények ugyanahhoz a jelszóhoz ugyanazt a hash értéket generálják, viszont mivel mindegyik felhasználó jelszava más sóval van megspékelve, ezért a végső soron előálló hash érték is teljesen különböző lesz, így a támadó nem tudja azt megcsinálni, hogy előre legenerálja a hash-eket az összes lehetséges jelszóra (pl. 6-12 karakter hosszú betűket és számokat tartalmazó jelszavak), hanem minden egyes salt értékhez teljesen újra kell generálni az egészet, ami rengeteg idő és erőforrás.
És akkor még ott van az is, hogy nem biztos, hogy a fejlesztő a backend-en úgy implementálta a jelszó hash generálást/ellenőrzést, hogy a salt értékéket egyszerűen a user jelszava után csapja. Lehet, hogy az elejéhez illeszti, lehet, hogy összefésüli a kettőt, lehet, hogy a salt egyik felét az elejére, a másikat a végére fűzi, azt is megcsinálhatja, hogy egyszer megsózza a user jelszavát, utána pedig az így létrejövő hash-t is és ebből generál egy végső hash-t, amit majd letárol a DB-ben.
Az egész arra alapul, hogy hash értékeket tetszőleges hosszúságú bitsorozatra aránylag könnyen és gyorsan ki lehet számolni, viszont magából a hash értékéből az eredeti inputra vonatkozóan semmit nem lehet megtudni.
Válasz erre 

Kovacs Nocraft Jozsefne 2020.12.26. 10:35:31

@Sadist:

Neked is nagyon köszönöm a magyarázatot!
Válasz erre 
süti beállítások módosítása