Object-based Password (ObPwd)

Titkosítás, biztonság, privát szféra

Gyakori hiba a felhasználók közt, hogy jelszavaiknak nem biztonságos karaktersorozatot (rövid, általában értelmes, kis- és nagybetűt, jeleket és számokat nélkülöző szavakat) választanak, mert a bonyolult jelszavakat elfelejtik. Ezek a jelszavak különböző módszerekkel kitalálhatók, így nem nyújtanak valami komoly biztonságot. A legtöbb felhasználó a bonyolult jelszavakat nem szereti, mert azokat nehéz megjegyezni. Biztonsággal foglalkozó kutatók most egy olyan eljárással álltak elő, amely megfelelően "erős" jelszavakat ad, mégsem kell hozzá hosszú és nehéz karaktersorozatot megjegyezni. A javaslat az, hogy digitális objekumok (képek, szöveg, url, mp3 file, stb.) szolgáljanak a jelszógenerálás és a jelszóra "visszaemlékezés" alapjául.

A HotSec '08 konferencián tartott előadást Mohammad Mannan és P.C. van Oorschot a Carleton University-ről az Object-based Password (ObPwd) témakörben. Az eljárás lényege, hogy nem kell megjegyeznünk a jelszót, elég ha arra emlékezünk, hogy miből generáltuk azt. Ez lehet a kedvenc gitár szólónk mp3-ban, egy családi fotó a nemrégi nyaralásról, vagy egy állandó szöveg kedvenc weboldalunkról. A megfelelő eljárással ezekről a digitális objektumokról generálhatunk "erős" jelszót, amelyet azután felhasználhatunk tetszőleges helyen.

Az eljárást szemlélteti a ObPwd Firefox plugin. A plugint telepítve generálhatunk jelszót például a HUP logóból. Jobb klikk a főoldalon található HUP logón, majd "Get ObPwd from image". Az eredmény: "AbSc8haVOkzB". De generálhatunk jelszót linkből is (https támogatott). Például az előbb említett HUP logó linkjére kattintva és a "Get ObPwd from link" opciót választva a "hJmfutnU1MtK" karaktersorozatot kapjuk.

További részletek itt.

( Jason v | 2008. 08. 12., k – 15:18 )

Tehát ha tudom, hogy a júzer melyik képből/url-ből/empéháromból generálta a jelszót, akkor gyakorlatilag tudom a jelszót?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

"Tehát ha tudom, hogy a júzer melyik képből/url-ből/empéháromból generálta a jelszót"

Nem, akkor mentalista vagy :))

Egyébként a válasz: igen és nem. Csak akkor, ha ugyanavval az utility-vel generálsz róla jelszót. Ha a te utility-d nem azt a hash függvényt használja mint az enyém, akkor nem hinném.

--
trey @ gépház

Mennyi a valószínűsége annak, hogy kitalálod, hogy:

- én ezzel a módszerrel generálok jelszót
- ismered a kedvenc digitális objektumomat, amiről generáltam (nem csak kép lehet, hanem gyakorlatilag bármi)
- kezedben van a megfelelő utility, amivel a jelszót készítettem

Szerintem igen kicsi.

--
trey @ gépház

nyilvan secure

- lasd 3.
- raengedem mindre, es kiprobalgatom. kevesebb ido mint egy komolyabb dict. attack
- tudom mivel generalod (programfiles, firefox plugins, etc...)

Az egeszben az a jo, hogy 0 vedelmet ad a jelszohoz kepest. Mert ok, hogy erosebb magat a stringet kitalalni, de:
- ugyanugy el lehet lopni a vezetekrol.
- a fejedbol nem kiolvashato a jelszo, a gepbol osszegyujtheto az osszes fileod.
- ugyanugy el fogod hagyni a filet(format) ahogy a jelszot elfelejted

szerintem

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

te hány erős jelszót tudsz fejben tartani?
nekem egy-kettőnél több nem sikerül...
innentől kezdve viszont meg vagyok lőve, mert bárhova írom fel vagy jegyeztetem meg a ff-al, akkor az már nem titkos. csak kitartás kérdése elvben hogy megszerezzék... előbb vagy utóbb belépek vele valahova és akkor megvagyok.

-----------------------------
Ubuntu 8.04

Szerintem fontossag szerint osztalyozni lehet a jelszokat.

weben nyilvan nem adok meg eros jelszot, mert ugyis titkositatlanul taroljak es az ellen meg nem ved. Vagy csak http-n megy el tokmindegy.

Amugy 5-6 eros jelszot siman.

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

Mindig mikor hasznalni akarod vhol azt a jelszot akkor le kell generaltatnod vele, kulonben ugyanott vagy mintha megjegyezned vagy lementened vhova. Marpedig ha ismered az illetot akkor konnyen megeshet, h eszreveheted ilyet hasznal, egyben azt is milyen utility-vel, onnan meg mar csak azt kell kitippelned h mit is hasznalt "jelszonak", ami sztem konnyebben kideritheto, mithogy mit utott be jelszonak.

"Ha elterjed, akkor nem lesz nehéz..."

Mármint micsoda? Ez egy eljárás leírása. Szerinted ennek ez az egyetlen implementálási módja? Ez egy proof-of-concept téma. Implementálhatom mondjuk konzolos utility formába, ami egy paraméterként megeszi az object-et. Vagy bármi egyéb mást. Kicserélhetem benne az SHA1-et másra. Te a röntgen szemeiddel megállapítod mi dolgozik benne? Kitalálod, hogy a gépem elrejtett zugjában milyen digitális objektumot adtam be neki? Leütsz, elveszed a gépem, leveszed róla az objetumot és legenerálod magadnak? Vagy nem értelek :)

Értem én, hogy nem jó, de ezek nem azok a kifogások, ami miatt nem jó.

--
trey @ gépház

Tegyük fel csinálnak egy ilyen FF extensiont. Nagy divat lesz, sok ember ezt használja, az ismert UI alapján pedig így simán azonosítható... Ilyenre gondoltam, nem hogy a konzolos cucc alapján "lesik meg" (bár ott is árulkodó lehet a parancs neve)
Ha ismered a programot és/vagy láttad a beállításait a szomszéd képernyőn, a szomszéd gépnél ülőnek már onnantól publikus a jelszava...

Mivel a dolog egyik lényeges eleme, hogy nem ismeri a kívülálló, milyen algoritmus dolgozik, felteszem amennyiben ez extensionként lát napvilágot, valami megfelelően paraméterezhető hash függvény fog dolgozni a cókmókban — az végülis majdnem mindegy, hogy 5000 hashfüggvényt kell-e végigpróbálgatnod, vagy csak egyet, de 50000féle paraméterrel.
—-—-— 

int getRandomNumber() {
return 4;	//szabályos kockadobással választva.
	       //garantáltan véletlenszerű.
}	      //xkcd

( willy v | 2008. 08. 12., k – 15:33 )

Mar megint feltalaltak a spanyolviaszt... Kivallo.

Ezeket a "pwgen 10" dobta ki. Amelyiket könnyű megjegyezni, abban van drill, vagy 2-pár, vagyis azok már nem bonyolult jelszavak. 


ahjae3eC1i xo8Gaehit5 meeNoh4Kei eiloht7Ei1 ouPhahseD4 thei4Ajete Chie2iisoh
Eish6sheaH aelietheS1 OoNgah8eik Hohjai5gei Ku3Ahngaej cae2Ni2tah vei8veeViX
...

( Yorirou | 2008. 08. 12., k – 15:45 )

Én olyan módszert dolgoztam ki a jelszóra, hogy nem tudom magát a jelszót, csak azt, hogy az első billentyűhöz képest hol a második, és így tovább. Így nem tudom magát a jelszót, csak azt, hogy hogyan kell beírni, meg az első gombot, amivel kezdek :)
Jelszóváltoztatás esetén pár billentyűvel arrébb rakom, és teljesen másként néz ki.

Andi, really. Take it from me. If I tell you something, I'm usually right.

( Babszem | 2008. 08. 12., k – 15:50 )

Hát ez nagyon érdekes meg tudományos meg minden... De könyörgöm, login előtt hogy megyek fel minden alkalommal a webre, hogy megszerezzem a jelszavamat? Vagy éppen hogyan futtatok bármit ami végrehajtja ezt az eljárást? Szóval az összes jelszót ezzel tuti nem teszik biztonságossá...

( log69 | 2008. 08. 12., k – 16:46 )

Szerintem ezzel inkább csak a kezdő user-eket akarják valahogy segíteni, nem a rendszergazdák munkájának biztonságosabbá és egyszerűbbé tétele a cél.

Ha legeneráltatja a jelszót, annak csak úgy van értelme, ha megjegyzi. Szóval szerintem arra nagyon jó, hogy egy olyan erős jelszavunk lesz, amit ha elfelejtenénk, akkor nagy ritkán újra le tudnánk generálni.

De amúgy a jelszó megjegyzése kontra emlékezés erőssége a beírások számával nővekedve egyre jobb hányadost ad. Mert ha használni kell, akkor sokat kell használni valószínű, vagyis időben a sok beírástól jobban rögzül (szerintem).

Szóval memória kiesés / defekt ellen vagy mellé kiváló megoldás.

Erről jut eszembe:
- Doktor úr! Mit is mondott, ki az a német úr aki mindig eldugdossa a dolgaimat?
- Alzheimer, mari néni, Alzheimer...

( imi84 | 2008. 08. 12., k – 16:47 )

Az a baj, hogy a usernek előbb loginolnia kell, csak azután tudja megnézni a jelszót. Csak a loginhoz meg ugye tudni kell a jelszót...

( nc | 2008. 08. 12., k – 16:56 )

Valami hasonlón törtem a fejem, de évek óta nem tudok kisütni normálisat :) A dolog gyenge pontja, hogy egy kép nem csak a tulajdonos számára könnyen megjegyezhető, de aki lenézi, annak is.

Olyan helyen, ahol igazabol nem fontos, en is ilyet szoktam hasznalni. Fogok valamilyen file-t/szot, nyomok ra egy hasht, es a kozepebol kivagok annyi karaktert, amennyi a maximalisan megengedett jelszohossz. Ilyen egyszerhasznalatos , regelek-csinalokvalamit-otthagyom oldalaknal teljesen jo. (opcionalisan ki is mentem, hatha kelleni fog meg 5 ev mulva)
Ami lenyeges, ott persze teljesen mas megkozelitest hasznalok.

----
I have a solaris box that does nothing.. its pretty good at it aswell. - besok, deviantart
honlapkészítés

( sjz | 2008. 08. 12., k – 17:34 )

Elsőre jól hangzik, de az itt felsoroltakon kívül is, van még egy lényeges gond.
A leggyengébb láncszem, a felhasználó benne maradt a dologban.
El fogja felejteni még azt is, hogy hová, miből generált jelszót.
Van olyan ismerősöm, aki 3-al ezelőtti szolgáltatónál érvényben lévő e-mail jelszavát (akkor találta meg a cetlijét valahol) akarta beírni egy olyan bróker oldalra, ahol még nem is volt regisztrálva. Csodálkozott, hogy nem engedik be (jó, elismerem, hogy nem mindennapi módon "súlyos" egyéniség, de ilyen is van). Na ő tuti nem fogja tudni, hogy mikor miből generált bármit is, így aztán rajta hiába akarnak segíteni.

Tipikus.
Hány ilyet láttam már :)
Van, akiken nem lehet segíteni :)
(Egyébként pont most akartam erről írni, de így megkíméltél a fáradtságtól :-))
Szegény rendszergazda ad egy megfelelő jelszót, és viszontlátja a monitorra ragasztva.
A rendszeres jelszóváltásokról már ne is beszéljünk.

Szerintem, aki nem képes megjegyezni egy-két karaktersorozatot, az semmi másra sem képes. Jó, elfelejtheti, egy-egy átvirrasztott (haha) éjszaka után, ilyenkor talán jól jöhet a kutya képéből generált segítség (persze erre azért emlékezni kell).

Egyébként a GUI is a felhasználók segítésére (is) jött létre, nem vitatom, hogy néha hasznos is lehet, de most ott tartunk, hogy alapvető feladatok a grafikus felületen egerészve percekbe telnek, billentyűkombinációkkal, vagy parancssorból pedig másodpercekbe.

Ami szerintem még működőképes, hogy mondjuk azt mondom hogy az utolsó 3 valami az életemben. Ezzel megoldódik a jelszóváltoztatás gondja is; mondjuk azt mondom hogy számozva az utolsó 3 pláza amiben voltam, utolsó 3 vasárnapi vacsora, söröző, ország, akármi...

Aztán találd már ki hogy én milyen 'algoritmust' használok.
0NewYork2Párizs4London6

Vagy akár ott van a shift gomb. Legyen a születési helyem+dátum, a számnál shiftelve...
Szolnok'))§§)"%]

Ennek mi a gyengéje?

Milyen vagány-ból?
A magyarázat prózai: A "Medvetalp" volt az első jelöltem, a tartalék pedig az "Áfonya" (ebből "4fonya" lett valami oknál fogva). Miért éppen "Áfonya"? Azért mert az ínyencek szerint a medvetalpat áfonyával kell enni. (Vagy késsel és villával? Fene tudja.) :-)

( Nyosigomboc v | 2008. 08. 12., k – 17:48 )

Akkor ettol kezdve nem a kutyam neve lesz a jelszo, hanem maga a kutyam (object). Jobb lett tole barmi is?

Volt mar eddig is par hasonlo kezdemenyezes, nekem eddig az tetszett a legjobban, amikor furcsa kepekhez kellett betuparokat tarsitani, es bejelentkezeskor a megjelenitett kepekhez tartozo betuket kerte. (a nevet nem tudom, de volt HUPon)

----
I have a solaris box that does nothing.. its pretty good at it aswell. - besok, deviantart
honlapkészítés

Nem tudom. Ingyenes képtárakra (mondjuk 5-re más-más cégnél, nehogy egyszerre szűnjenek meg), plusz a céges saját hálózati meghajtómra, itthon egy-két gépre, meg még egy-két más helyre feltöltök 200-300 darab semleges képet. Az ingyenes helyeken nem teszem publikussá. A cégnél is max. csak egy rakás képet lát a rendszergazda ha turkál. Neki nem mond semmit, de én tudom, hogy a 300 képből a "kutya a pöttyös labdával" kép az, amiről ha generálok egy jelszót, akkor az belépést ad X helyre. Mondjad már meg nekem, hogy ha valaki felkúrja az ingyenes tárhelyet, vagy a turkáló rendszergazda mikor jön rá, hogy a 200-300 semeleges kép közül "a kutya a pöttyös labdábval" képpel kell valamit csinálni valamivel, amiből kijön valami, amivel be tud lépni valahova. Még akkor is, ha tud erről a módszerről, de gyanítom, hogy nem ez jut mindenkinek eszébe. Mennyi az ismeretlenek száma?

De ha gondolod tehetünk egy próbát. Csinálok egy ingyenes mail szolgáltatónál egy fiókot, teszek bele egy levelet. Ennek a fióknak a jelszava egy képről generált karaktersorozat lesz. Ezt a képet feltöltöm egy ingyenes szolgáltatóra sok más társaságában, mondjuk annyit is segítek (de még ezt sem kéne), hogy a Flickr-re. Keresd meg accot, törd fel, találd ki melyik kép volt, milyen hash függvénnyel lett elkészítve, generáld le, lépj be az ismeretlen szolgáltatóhoz és olvasd el a levelet. Szólj ha megvan. :)

Kb. erről szól a dolog számomra. Azzal meg ne jöjjön nekem senki, hogy láthatja. Azt is láthatja valaki, hogy a bankautomatánál a szaros 4 jegyű PIN-t beütöm. Pedig ott komolyabb dolgoról van szó. Figyelni kell. Ez nem mentesít ezalól.

Persze lehet, hogy ebben az elgondolásban is van csont. Idáig már nem jutottam el, mert el kellett mennem. :)

--
trey @ gépház

Teljesen igazad van.
Ugyanakkor én is pont erről beszélek. Rólad ezt simán el lehet képzelni, viszont Te képes vagy akár több karaktersorozatot is megjegyezni, plusz azt is, hogy melyik hová való :D.
Viszont amit fentebb írtál, azt egyik cetliragasztótól sem lehet elvárni (vagyis lehet, de képtelen lesz rá).
Így ezt nem is Neked találták ki, akiknek meg kitalálták azokon úgysem lehet segíteni :)
Persze ez csak szigorúan szvsz.

Egyébként azt nem vitatom, hogy biztonság szempontjából nem kell, hogy rosszabb legyen a dolog, elég sok az ismeretlen tényező, ha jól csinálják.

Egy ötlet az erős jelszó-sárga cetli mintájára, a felhasználónak írjuk elő, hogy a kutya (macska, bébi, anyós, stb) képét ragassza a monitorra, a plugin lemez meg legyen nekitámasztva.

"viszont Te képes vagy akár több karaktersorozatot is megjegyezni, plusz azt is, hogy melyik hová való :D."

Nehogy azt hidd :), nekem van egy password.txt-m, vagy táblázatom, ami gpg-vel el van kódolva, és el van rejtve. Hahahahaah. De ezt is egy jelszó nyitja :) 100+ rendszer felett az nincs az az ember, aki megjegyez ennyi random generált jelszót. Ahol tehetem kulcsot használok, de azt is ellophatják. Sok helyen a belépésre nincs lehetőség kulcsra, ott kénytelen vagy más miatt jelszót használni. Nem véletlenül ötletelnek ennyit ezen a jelszó mizérián, mert nem az igazi.

--
trey @ gépház

Ez is igaz, nekem is van, de itt a felhasználókról lenne szó.
Egy átlagos PostIt usernek valószínűleg nincs 100+ jelszava, de sajna kettőt hármat sem tud megjegyezni.
Szerintem ugyanazt beszéljük, de az a hátránya az ilyen jellegű kommunikációnak, hogy még ilyen esetekben is félrecsúszhat.
Úgyhogy sörözzünk valahol, legközelebb melyik rendezvényen vagy megtalálható :).

Egyébként nem véletlenül írtam az át nem pihent éjszakák káros hatásairól, egyszer még a telpin kódomat is elfelejtettem napokra (pedig csak 4 karakter), de mikor átütöttük, utána eszembe jutott a régi is.
Egyébként néhány jelszót jegyzek meg én is (nem is tartom magam egy memóriabajnoknak), azt is egy biotech algoritmus segítségével képzem :), és néha még ezekhez is puskáznom kell.

Bármi félrecsúszhat, nem beszélve arról, hogy ez az egész security szarakodás csak egy pontig jó, mert ha valaki valami nagyon értékeset meg akar szerezni, rajtad keresztül úgyis megfogja. Elkap, elrabolja a kölköd, anyád, apád, aztán előbb-utóbb eldalolod, amit akar tudni. :)

Különben is a véleményem az, hogy a security-t csak addig érdemes fokozni, amíg az az életed rovására nem megy, mert ha nekem minden percben ez járna az eszembem, akkor hamar megfontolnám, hogy kell-e ez nekem, nem kéne-e inkább elmennem Tibetbe egy kolostorba imamalmot tekergetni, teát szürcsölni jakvajjal, stb :)))

--
trey @ gépház

Tibetbe egy kolostorba imamalmot tekergetni, teát szürcsölni jakvajjal, stb :)))

Na látod, ez egy jó ötlet.
Főleg, hogy ehhez már nem is muszáj elutazni :)

Mivel nem reagáltál, leírom, a sört egy bizonyos határig én fizetem (főleg mivel állítólag Padmaszambava megengedte) :)

( saxus | 2008. 08. 12., k – 18:05 )

Szvsz. ha az user nem képes megjegyezni egy random krix-kraxot, akkor válasszon magának valami dalszövegből/versből egy sort, gépelje be csupa kisbetűvel, oszt' csókolom.

Nekem is így vannak kb. 20-30 karakteres jelszavaim, igaz, hogy csak kis betű van benne, de viszont hosszú, megjegyezhető.

( Nyizsa v | 2008. 08. 12., k – 18:41 )

Ehhez igazán semmi szükség algoritmusra. Vegyük például azt az esetet, hogy az igazolványképem az objektum. Arról azonnal eszembe jut, hogy a jelszavam TeJoIsten. :))

--
Debian - The "What?!" starts not!
http://nyizsa.uni.cc

( vomberg | 2008. 08. 12., k – 19:16 )

Pár gondolat...

Aki konzolos alkalmazást futtat, annak nincs szüksége (általában) ilyen szamárvezetőkre.

Ha a kundcsaft hülye, azon meg úgysem segít semmiféle kép alapú jelszó sem.

Ezeken egyedül valami biometriai megoldás segítene, de akkor is lenne valami hülye yakuza aki felhívja a supportot, hogy "kitolták a fél szememet harcban és a bal kisujjamat is levágtam, hogy jutok be a levelezőprogramba?"

azért az MR scan meg a dnskód picit durva, nem gondolod?

A bejelentkezés folyamata:
1. mossa meg a fülét
2. tegye a 3d scannerbe
3. helyezze tenyerét a scannerre. ügyeljen, hogy mind a 10 ujja jól scannelhető legyen
4. kérem, fáradjon be a rötngenkészülékbe. az Ön kényelme érdekében a hőeloszlástérkép is ott készül. A csontváz után kérem, fogazatát is röntgeneztesse.
5. kérem, mutassa az uv-tetovált vonalkódját
6. legyen szíves, fecskendezze be a kontrasztanyagot, majd feküdjön be az MR scannerbe
7. kérem, adjon dns mintát. A bejelentkezéshez kérem, várja meg a labor eredményét. Átfutási idő 2 hét.

—-—-— 

int getRandomNumber() {
return 4;	//szabályos kockadobással választva.
	       //garantáltan véletlenszerű.
}	      //xkcd

Ééértem!!!
Na, csak rá lehet jönni ennek az object-based passwordnak a lényegére.

Kérem, adjon DNS-mintát! Az alábbi listából kiválaszthatja a minta generálásához használandó objektumot:
Nasty_bithces.avi
Oral_fantasies.avi
Two_blondes_in_a_spot.avi

--
Debian - The "What?!" starts not!
http://nyizsa.uni.cc

( Hiena v | 2008. 08. 12., k – 19:16 )

Kicsit emlekeztet egy nemreg bemutatott captcha eljarasra, ahol egy kepen lathato dolgokkal kapcsolatosan feltett kerdesre kell valaszt adnia a usernek. (Pl. A kepen van ket alak, elottuk egy asztal, rajta egy vazaval. Ilyenkor az egyik kerdes: Ha az allo alak A akkor a mellette ulo alak elott mi van az asztalon?)

Az objektum alapu jelszogeneralasban az a problema, hogy maga a forras a useren kivul, ergo a user nelkul keresheto, probazhato. Ennel szerintem nagysagrenddel jobb a biometrikus azonositas.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( enpassant v | 2008. 08. 12., k – 19:33 )

Az az érdekes, hogy ez már bizonyos értelemben ki is van találva.
Én például használom is egy ideje.
Van két nagyon jó kis progi, amivel titkosíthatunk (TrueCrypt) és eltárolhatjuk a jelszavainkat (KeePassX).
Mind a kettő ismeri a fájl kulcsot.
Tehát a "login"-hez meg kell adni egy fájlt (bárhol lehet, pl. pendrive) és/vagy!! egy jelszót. Én mindkettőt használom.
Ha a jelszavad egy könnyen megjegyezhető szó és a pendrive-on van pár száz állományod, akkor halandó már nem töri fel :-)
Hagyományos jelszót a KeePassX-szel szoktam generáltatni 12-20 karakter hosszan. Nem jegyzem meg, letároltatom vele, és fájlal + jelszóval védem.

Én is Keepasst használok, szerencsére van belőle Linuxos és Windowsos verzió, de ahogy olvastam a hozzászólásokat eszembe jutott, hogy milyen jó lenne, ha lenne belőle symbianos verzió is, így nem kéne pendriveról futtatni a programot ha esetleg olyan helyen vagyok, hanem telefonról is meg lehetne nézni a jelszót. =) Nem akarja valaki átportolni? =D

( BaT | 2008. 08. 12., k – 19:50 )

Az egyszerű júzer meg valahogy úgy fogja csinálni, hogy a pendrivejára rárak két filet:

Jelszavam_____Tokio_Hotel_Nagyon_szar_szam.mp3
jelszogeneralo.exe

És ezután ha ellopják a pendriveot, már nem lesz nehéz kijátszani a védelmet.

Fent jól mondjátok, akkor van értelme, ha a generált jelszót a user megjegyzi, és biztonság esetére hagyja csak meg a jelszó objektumot, sok más hasonló objektum társaságában. De erre az átlag user nem nagyon lesz képes.

en egyik kedvenc versem 2. versszakanak szavainak kezdobetuibol "generaltam" jelszot, termeszetesn "salt- ozva" szamokkal es kis- nagy betukkel. az ilyeneket nem felejtik el. Az osszes useremnek ezt a modszert mondtam, es erdekes modon elfogadtak, es jol mukodik. Akinek nincs kedvenc verse, az nem dolgozik. :)

( uid_1526 | 2008. 08. 12., k – 20:35 )

Passwordmaker anyone? Egy mester jelszó kell hozzá, ebből, és az oldal címéből generálja a jelszót a kiválasztott hash algoritmussal, amit a kiválasztott karakterkészletre képez le. Sokféle kiadás létezik belőle, a parancssorostól a FF pluginon keresztül az online verzióig.

( sdhu | 2008. 08. 12., k – 22:43 )

Megnézném, ahogy a júzer belép a windózba például...
Vagy már a login panel fel lesz szerelve komplett multimédia támogatással?

( Lacyc3 v | 2008. 08. 13., sze – 00:31 )

Van aki a login screen-től is fél..

Ez a képes dolog nekem is érdekesen jön le. Mi van ha elhagyom az állományt?

Talán az lenne a legjobb megoldás, hogy ugye ma minden gépben van mikrofon.. loginnál amikor beírtad a neved, akkor a képernyőn egy rövidke - véletlen szavakból generált - szöveget kellene olvasni, majd a hang alapján felismerné az illetőt.

Amúgy kár ezen a jelszavas dolgon változtatni, a júzereket rá kell kényszeríteni a legalább 5 karakteres - hülyéknek is megjegyezhető - random kódra. Aki gép elé ül, annak elvileg IQ-ja is van, ennyit meg tud jegyezni.

Aki meg otthon éli mindennapjait - nyugdíjas néni - bácsi - úgysem lényeg hogy most mi a jelszava ha van egyáltalán, nem érdeki az senkit.

( enpassant v | 2008. 08. 13., sze – 07:22 )

A megoldás a biometrikus azonosítás. Ujjlenyomat, hang, retina, írisz azonosítás. Paranoiásoknak ezek kombinációja. :-)

( Chip | 2008. 08. 13., sze – 10:00 )

"A plugint telepítve generálhatunk jelszót például a HUP logóból. Jobb klikk a főoldalon található HUP logón, majd "Get ObPwd from image". "

Latom elore mekkora szopas lesz az emberkeknek ebbol ha a HUP design valtason megy at. :)))

(Bocs ha mar irta valaki, nem volt idom vegig olvasni az osszes hozzaszolast)

( uid_14401 | 2008. 08. 13., sze – 11:58 )

szerintem nem jó mert vacakolni kell vele... én ha be akarok lépni valahova akkor arra kb két másodpercet szánok, nem többet. Ha teljesen automatizáljuk akkor elolvasható ha az embernek kell újra legyártani a stringet akkor időigényes.

A legötletesebb amit eddig láttam az volt, hogy sok kis kép volt kirakva és te tudtad hogy a jelszavad: kastély - hal - hajó - macska de a képek mindig mások és random elrendezésűek voltak. neked ebben a sorrendben kellett kattintani a képekre, de a kastély a világ bármely kastélya lehetett stb... ezt viszont muszáj megjegyezni mert gép ilyet nem fog tudni soha.

Egyébként meg nem olyan elvetemült dolog felírni egy jelszót egy papírra: egyrészt elektronikusan ellophatatlan, ha mondjuk a lakásodba nem törnek be a post-it cetlidért akkor már simán lehet rajta akárhány root jelszó. Munkahelyen megint más...

amúgy ahol nem titkosított csatornán megy a jelszó (pl hup), ott nem szoktam figyelni hogy bonyolult legyen úgyis elolvassa aki akarja, de úgyse akarja...

Meg bevallom nem használok mindenhol más jelszót... van kettő nagyon bonyolult ami csak a fejemben van meg, komoly helyen azt használom, aki kitalálja, azt szeretettel látom mindenhol ahol bejön neki.

-----------------------------
Ubuntu 8.04

Tovabba erdemes azt is figyelembe venni, hogy sokszor helyismeretre is szukseg van az adott rendszerek megkozelitesehez (subnetek, tuzfalak, de eleg az egyszeru nevfeloldasra gondolni), szoval hacsak nem pontos, celzott tamadasrol van szo, nincs ertelme ellopni a post-it-et vagy a mobilt.

Hatazert a DNS manapsag nemtul stabil magyarorszagon... teszteltem en is par helyet... es eleg gyatra a biztonsaga...

Amugy meg... ha jelszo kell, akkor azt igy is ugy is valami szep celzott XSS hibat kihasznalo URL-el szepen fakeoldalra iranyitassal ugyan ugy megszerezhettyuk... vagy csak aapbol egy szimpla fakeoldallal... es ha a user hulye... akkor teljesen mindegy, hogy most "kiskutya" vagy a kiskutyajanak fenykepe adta a jelszot... ha meg nem annyira hulye, akkor meg egyszerubb szamara egy jelszotarolo,generalo progit hasznalnia...
--
by lightgod