"A jelszó szabályok (házirendek) baromságok"

 ( trey | 2017. március 16., csütörtök - 9:19 )

Jeff Atwood, a Stack Overflow oldal alapítója úgy gondolja, hogy a jelszó szabályok baromságok. Itt fejti ki részletesen...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Es megoldaskent a sajat baromsagat (= jelszo szabalyt) hirdeti.

A problemafelvetes jogos (bar semmi uj nincs ebben), de a megoldashoz nem visz kozelebb.

- A minimum jelszó hossz szerintem oké
- A leggyakoribb jelszavak tiltása, hát.. fene tudja, ezt nem erőltetném, de végülis mindegy
- Unique karakterek minimum száma szerintem felesleges, de normális jelszóhossznál matematikailag nagyon kicsi esélye van, hogy ez problémát okozzon
- Special case passwordok nyugodtan tilthatók (username/email nem lehet jelszó)

"- A leggyakoribb jelszavak tiltása, hát.. fene tudja, ezt nem erőltetném, de végülis mindegy"

Pedig az MS research nemrég arra jutott, hogy az egészből gyakorlatilag ennek van csak értelme :)

Tudsz adni linket légyszi? :)

https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf

(egyébként ja, egy minimum 8 karakter azért ők is javasolnak, de nem többet)

Köszönöm, ez tényleg jónak tűnik.

Öööö. Az MS.com egy Wordpress?

a research saját oldala úgy tűnik. vagy csak úgy másolták fel valami belsősről, franc se tudja.

mondjuk amilyen kupleráj azon van, mind tartalmi, mind műszaki értelemben, lehet mindenkinek jobb lenne, ha az egész wp lenne :)

Csak a /research :)

igy nem kell hozza jelszo.

Lol

dupla

Mert ha megtiltod a zembereknek, hogy "password"-ot hasznaljanak jelszonak (mert mondjuk az a leggyakoribb), akkor nem fog mindenki atallni rogton "password123"-ra, vagy mas hasonlo jelszora, ami ezaltal pont ugyanolyan gyakori lesz. Ez nem mas, mint a sz@r pofozgatasa jobbra-balra.

Fundamentalis valtozas kellene, es mar vannak egesz jo megoldasok. Peldaul az oauth2 hasznalata, vagy a 2 faktoros azonositas.

Az Oauth2 pont nem megoldás a jelszóproblémára.
A 2FA sem segít a gyenge jelszón, de kiegészítő védelemnek igen jó.

Az Oauth2 tokeletes megoldas bizonyos tipusu jelszoproblemakra.

Az Oauth2 az miért megoldás? Az csak arról szól, hogy ha van egy tokened, akkor arról megmondja, hogy valós-e. Azt, hogy hogy szerzed meg a tokent (neadjisten jelszóval), ahhoz semmi köze.

Nem kell ezercsillio megjegyezheto (ennek kovetkezteben gyenge) jelszo.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Cserébe ha az az egy gyenge, akkor kvázi minden helyen azonos, gyenge jelszót használsz :)

"The most important – and perhaps only – restriction you should put on your users when creating
passwords is to ban the use of common passwords to reduce your organization’s susceptibility to brute
force password attacks.
Microsoft account was among the first large identity providers to ban a list of known bad passwords
(abdcefg, password, monkey, etc.). We have found that banning common passwords is highly effective
at removing weak passwords from the system.
Microsoft account currently bans patterns which are
commonly used in attacks, or even close to those patterns."

Ami egyébként logikus, és ugyan valóban szar pofozgatás, viszont itt viszonylag kevés iterációval elérhető lesz, hogy fregmentálódjon a hülyeségek használata. Illetve lásd a kiemelést tőlem, olyan tényekkel, amit ekkora userbázison vett mintára alapoznak, elég nehéz vitatkozni.

És igen, fundamentális változtatások kellenek, az ms paperja is azt mondja, hogy
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges

csak nem működik a two factor mindenhol, és igazából azért érdekes az itteni cikk kapcsán, mert a kolléga pont azt az egyet emelte ki, hogy minek, amiről az ms azt mondta, hogy az jó pattern, ellentétben a legyen kurvahosszú, legyen tele megjegyezhetetlen karakterekkel, és kelljen megváltoztatni minden istenverte reggel ruleokkal, amik a gyakorlatban trágyafos password minőséghez vezetnek.

És azért jó az ms papírja, mert végre valaki olyan írta le azt, ami bárkinek nagyjából nyilvánvaló, aki valaha is elgondolkodott már 2 percnél hosszabban ezen az egészen, amit oda lehet dugni vezető orra alá, hogy nézd, mert sajnos hiába a józan ész, a begyepesedett szokásjogon alapuló hiedelmekkel nehéz vitatkozni egyszeri jómunkásemberként. (vagy akár vezetőként, amikor egy hülye külső auditor előadja, hogy ez így szar)

szerk: egyébként az oauth pontosan hogy is jön ide?

Azert jo az oauth, mert nem kell huszonotezer teljesen jelentektelen szajthoz jelszot megjegyezni (termeszetesen legyen mindegyik extra hosszu, speci karakterekkel stb), mert abbol ugyis az lesz (van), hogy van egy jelszo, amit a harmadosztalyu szajtokhoz* hasznalok, ugyhogy ha valaki megfejti a jelszavamat, akkor egy csomo mas helyre is be tud lepni vele. De a fo veszely az, hogy egyszer nem figyelek oda, es valami fontosabb helyen is a gagyi jelszavamat adom meg.

Mi a francnak jelszo? Legyek belepve a google-hoz, ami legalabb rendes 2 faktoros, es onnantol a tobbi szajt fogadja el, hogy onnan jovok, es vagyok XY.

A disqus kivalo pelda, hogy hogyan (es mikor) kell az oauth-ot hasznalni (https://disqus.com/api/docs/auth/).

* harmadosztalyu: termeszetesen nem a szajt tartalmara vonatkozik ez a jelzo (szia hup :)), hanem az altalam meghatarozott biztonsagi szintre.

ui: mint az sejtheto, a jelszokezeloknek sem vagyok hive, mert az megint csak ugyanannak a labdanak a tovabbrugdosasa.

Tudom, hogy működik az oauth, de ez nem oldja meg a jelszó problémáját, csak áttolja másvalakihez, egy pont kell, ahol tudsz rendesen autholni. Persze, jók ezek, de a téma alapvetően a jelszóploicy.

Ráadásul gusztus dolga, de azért annak is igen komoly rizikója van, hogy majd a google mindenkiről megmondja, hogy ő ki. A fontos szolgáltatásoknál én speciel pont nem szeretném ezt.

Engem speciel meg pont nem erdekel, te mit szeretnel. Ami nem penzugyi cucc (PayPal, bank, stb), az hasznaljon nyugodtan csak OAuth-ot.
--
Blog | @hron84
Üzemeltető macik

Jah, tehát nem lehet róla beszélgetni? Fasza :)

Nem hirdeti hanem pont hogy elrettenteto peldat adott.

A legnagyobb probléma márpedig az, ha ugyanazt a jelszót a felhasználók több különbözö rendszerhez is felhasználják, kényelmi okokból.

--
robyboy

+100

EZ az igazi biztonsági probléma, ettől borulnak be komplett életek.

És akkor ott van a Paypal ahol **felső** limit van a jelszó hosszúságra, ráadásul valami <20. De hát vegülis csak pénzről van szó, ki nem szarja le.
--
:wq

+1

Belefutottam meg akkor mikor elfogadta ugyan a hosszabbat is csak eppen valahol elvagta aztan ki es bejelentkezeskor neztem mint sult hal az akvariumban...

Én másik szolgáltatóval jártam úgy, hogy elfogadta a hosszú jelszót (random kb. 60 karakter) jelszót, csak utána belépni nem tudtam vele. Kértem jelszóemlékeztetőt, és a jelszócsere oldalon már írta hogy max. 20 char.
de

Cibes java anno nem szerette a "."-ot. Gondolom, mas extra karaktert sem. Csak ez sajnos sehol nem volt kiirva...
Boldogan megvaltoztattam a jelszot, majd egy ido utan mentem be a bankba, ahol mondtak, hogy "." nem lehet a jelszoban....

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Az ilyen site-okon el szoktam gondolkozni, hogy vajon miért?
1) max annyit még tudnak törni?
2) plain text-ben tartják és akkora a mező?

Én se bírok rájönni, hogy mi az oka. Ráadásul nem is valami Bivalybasznád Kft. ahol nem tudnák, hogy létezik olyan, hogy ITsec, hanem egy nemzetközi óriáscég ahol milliók bankhozzáférési adatai vannak tárolva... Szóval nem értem.
--
:wq

LOL, azt a magyarázatot be kéne keretezni es kitenni a falra.
--
:wq

Qrva jó :D

A majmos? Ja, jól hangzik, de állítólag inkább legenda mint valóság.

--

Maga a majmost kiserlet igen. A DES-es eredet az eleg valoszinu.

marmint a "legenda" is pont egy ugyanolyan majmos teszt?

recursion
See recursion

A csimpanzos tesztnel is csak hivatkoznak egy masik szerzore, aki hivatkozik egy masik szerzore, pont olyan mint a kiserlet.

Egyebkent embereken kiprobaltak, van youtube-os video rola, nem tudom mennyire megjatszott:
https://www.youtube.com/watch?v=MEhSk71gUCQ

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Jó kis kompatibilitási problémákat tud okozni egy tetszőleges hosszú jelszó, nem feltétlenül csak az adatbázisban vannak fix méretű mezők.

Én is szoktam a maximális hosszt limitálni, csak figyelek rá hogy több biten, amennyit a hash el tud tárolni. 512-bites hashnél pl. ez olyan ~85 karakter. Ha valahol SHA-1-et használnak akkor a ~25 karakteres limitnek akár lehet is értelme.

Egy karakter ~6bit, a szűkös karakterkészletet figyelembe véve. Ha figyelembe akarjuk venni a mintázatokat, akkor persze jóval kevesebb, de mondjuk egy 127 karakteres limit szerintem egészséges, az szépen elfér egy előjeles byteon, ha esetleg kellene.

Ha akármilyen problémát okoz egy (nyilván ésszerű keretek között) túl hosszú jelszó, akkor szar a rendszer.

+1

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Persze, de azzal főz az ember amije van. Akár sysadminként akár fejlesztőként elég könnyű belefutni szar rendszerekbe, amikkel mégis együtt kell működnie.

Másrészt pedig mi az "ésszerű keret"? Mondjuk 1023? 255? 127?

Weboldalnál (ami elég gyakori manapság) pl. a max POST méret :) Kézzel hard limitet állítani teljesen felesleges.

Mindegy mekkora bit halmazzal eteted meg a hash-t, annak a kimenete fix nagyságú lesz. Nem látom az érvet abban amit mondasz az mellett, hogy 20 karakternél (vagy kicsit többnél) levágd a jelszót..

Az ideális hash függvény esetében egy adott hash megtalálásához várhatóan annyi esetet kell kipróbálni, ahány lehetséges kimenete van a függvénynek. Vagyis ha olyan hosszú jelszót választasz, ami ennél több értékes bitet tartalmaz, akkor várhatóan létezik egy rövidebb jelszó is, ami ugyan ezt a hasht eredményezi. Ebből a szempontból tehát nincs értelme több értékes bitet tartalmazó (=hosszabb) jelszót választani, mint ahány bites a hash függvény kimenete.

A te szempontodból nincs értelme. A felhasználónak lehet oka arra, hogy 20-nál vagy 100-nál több karakteres jelszót válasszon. Illetve azonos hash kimenethez nagyon sok különböző bemenet létezik, de azokat szerintem ne akard megtalálni ;)

Ha nem ad hozzá az elérhető biztonsághoz, akkor feleslegesen csak ne szívasson engem vele a felhasználó. :-D

Egyébként nyilván lehet nagyon silány minőségű jelszót választani. A lentebbi olvasható egész szavas jelszóban egy szó nagyjából 12 bitet jelent, ugyanakkor ~6 karaktert foglal, ebben az esetben még akár valamivel 255 karakter feletti jelszavaknak is lehet értelme.

Mondjuk ennyi erővel ezentúl használjunk <textarea>t jelszó mezőnek. Sőt, lehessen inkább egyből 3MB .txt fájlt feltölteni. De aztán gépelje is be a user windows loginkor az egészet! ;-)

Szerver oldalon sózott hash-t generálsz a jelszóból és kész. Nem kell foglalkozni az eredeti jelszó hosszával.

Kivéve ha mégis. Mert például LDAP, vagy AD is van mögötte. De pusztán a HTTP esetében is előfordulhat például basic auth ami beleszalad az apache 8KB-os fejléc limitjébe.

A helyzet az, hogy vagy megadom, hogy X és Y közötti jelszóhossz az elfogadott, adott karakterkészlettel*, és akkor ebben a tartományban garantáltan működik minden, vagy nem adok meg maximumot és azzal terhelem a supportot, hogy mi baja a usernek aki 6*10^23 hosszú jelszót választott. Ráadásul egyáltalán nem egyszerű kideríteni, hogy mi a gond, mert ugye jelszót a support nem kér be.

*Természetesen minél több jelszó használható, annál jobb, de nem kell túlzásba vinni. Van ahol érdemes például a @ és % jelet is tiltani a jelszóban, mert meghálálja magát support költségben, ha a user:password@server formátumú erőforrás azonosítókat nem kell URL-escapelni.

Egyetértünk hogy nem kell túlzásba vinni. Én a max 20 char-t nem értem. Lehetne max 100 vagy 200.

Igazad van a hash fuggvenyeket illetoen, viszont arra is felhivom a figyelmedet, hogy itt olyan tokeneket kodolsz el vele, amit felhasznalok gepelnek be. Tehat, lehet, hogy a "En elmentem a vasarba fel penzzel" es a "sN1h0f3`3" ugyanazt a hash-t eredmenyezi, megis, a felhasznalo valoszinuleg jobban szeretne az elozot hasznalni, es ezt neked respektalnod kell.
--
Blog | @hron84
Üzemeltető macik

Oké, de ha egy teljesen más 'jelszót' kapsz a hashre, mint amit a user ténylegesen használ, azt nem tudod más oldalnál felhasználni.

Teljesen feleslegesen erőltetsz ilyen hosszú jelszót. Nem mondom hogy jó ez a tiltás, de annak sincs értelme amit te szeretnél művelni.

--
arch,debian,retropie,osmc,android,windows

Miért? ha meg tudja jegyezni, akkor mi a baj vele?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Baj nincs, csak felesleges effort 20+ hosszú jelszavakat gépelgetni.

--
arch,debian,retropie,osmc,android,windows

Igen, szerintem sem olvasta el a cikket. :)

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Ami egy jó nagy baromság.

Egy ember aktív szókészlete kb. 3-5000 szó. Átlagosan 4000 szó alkotja a szövegek jó 95%-át. 4k^4 = 2,56 * 10^14. 62^8 = 2,18 * 10^14. Tehát nagyságrendileg kb. ugyanott vagy.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem jó a hasonlítás. Arról szól az xkcd, hogy normális ember nem jegyez meg 62^8-asból vett jelszót (esetleg password managerrel), de 4 szavas passphrase-t igen.

--

Miért hülyeség?

ASCII karakter készlet nagysága a véletlen jelszóban, felhasználva a kis- és nagybetű plusz speciális jeleket = kb. 73

log 73 (4000 ^ 4) =~ 7.7
log 73 (4000 ^ 5) =~ 9.7

Vagyis 5 szó használata egy kb. 10 karakteres erős jelszónak felel meg. Szerintem nagyon jó.

Kis javítás: úgy nézem hogy 95 fajta karaktert fel lehet használni az ASCII táblából (most tekintsünk el a unicode-tól), és ezért így módosul a számítás:

log 95 (4000 ^ 4) =~ 7.3
log 95 (4000 ^ 5) =~ 9.1

Tehát 4 szónál 7 karakteres, és 5 szónál 9 karakteres erős jelszónak feleltethetjük meg.

Az átlagos magyar szókincshez forrás: https://www.viharparduc.hu/ez-meg-az/szokincs.html#

Vagyis 3-5 ezer, illetve 5-10 ezer, tehát a 4000 feljebb megfelel szemléltetéshez, de ha 7500-al nézzük, akkor:

log 95 (7500 ^ 4) =~ 7.8
log 95 (7500 ^ 5) =~ 9.8

Vagyis kb. 1 karakter hosszt ugrunk.

Csakhogy a támadó elvileg nem tudja, hogy itt néhány szóról van szó, neki ugyanúgy ki kell pörgetnie a jelszót, nem hagyhatja ki a nagybetűt, számot, spec. karaktert mert az is lehet benne.
És így nézve jelszóként az "anyadnak4palackot" ugyanolyan jó, mint a "Sf8!jkwDsFTQ5*4Vv", és még memorizálni és begépelni is könnyebb. Csak nem engedi a password policy...

Ha tudná a támadó, az sem lenne gond, lásd a feljebbi válaszom.

Az is igaz :)

Szeretek teljes mondatokat használni jelszóként. Így könnyen meg lehet jegyezni akár 40-50 karakteres jelszókat is és nem kell kiejthetelen krix-kraxokat bemagoljak.
--
:wq

Egy 30 karakteres csupakisbetű jelszó a mai számítási teljesítménnyel lassabban törhető mint a kisbetű-nagybetű-szám 8 karakteres baromság.

akkor is, ha a kisbetű-nagybetű-szám random, a 30 karakteres pedig 4-5 angol (ékezet nélküli) szó?

En magyart hasznalok. Es ha a tamado ket nyelv szokincsevel kell megbirkozzon (mert valahonnan tudja, hogy magyar vagyok es akkor angol + magyar szokincset feltetelez) akkor mar mindjart mas. Es ez feltetelezve, hogy *tudja*, hogy mondatokat hasznalok...
--
:wq

Nem mondtam hogy legyen max 8, de a 20+ erős túlzás. Csomó idő elmegy rá, mire bepötyögöd, és ez annyiszor el fog menni, ahányszor eltypozod.

--
arch,debian,retropie,osmc,android,windows

Nem mindegy amúgy neked, hogy mások mennyit pötyögik a jelszavaikat?

Nem nehezebb bepötyögni, mint egy kisbetű-nagybetű-szám-írásjel kombót. És szerintem előbbinek a hibaaránya is jobb.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Egyszer régen (saccra 93, 94 lehetett), dolgoztam valahol, és ha nem tévedek, novell alapú hálózat volt.
Egyszer, csak úgy, kipróbálási célból, valami vers első 6-8 sorát adtam meg jelszónak. Elfogadta. Tetszett.
Egész addig nem volt gond, amíg egyszer valami szünet után, ahogy visszatértem a géphez, ott volt valaki, akinek valami információ kellett.
Eltartott elég sokáig, amíg begépeltem, és hát elég furán nézett az ember :-)

Sokadszor olvasom, hogy "nehéz megjegyezni" meg "sokáig tart bepötyögni".
Csak én használok jelszó managert?

nem. De pl a desktopodba hogy lépsz be? és mikor elmész, nem zárod le?

Én pl. PIN kóddal, ami X hiba után jelszóra vált. Ha esetleg szükség lenne rá, a telefonomra pl. fel van szinkronizálva a jelszókezelő.

Desktop: számomra könnyen megjegyezhető, egyébként összefüggéstelen szavakból és jelekből álló jelszóval.
Igen, természetesen minden esetben lockolom.

Kisebb a hash utkozes lehetosege (nem letezik a jelszavaddal ekvivalens hosszabb krikszkraksz).
Hogy ennek van-e gyakorlati haszna, azt nem tudom.

az hagyján, a takarékszövetkezetes netbankra 10 !!!!!!!!! karakteres lehet a jelszó....

nekem is van takarekszovetkezetes netbankom es az en jelszom hosszabb, mint 10 karakter.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Maga az input mező van korlátozva az enyémnál (netbank.tksz címet használod)?


input type="password" maxlength="10" name="newpassword1"

input name="pwd" size="20" maxlength="12" class="editbox" type="password"

Eddig nem tunt fel, pont belefertem...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Milyen címen éred el a netbankod?

Haljon nagyon durva kínhalált aki kitalálta hogy legyen 8 karater, kisnagy betű, szám.
Nincs ilyen jelszóm, amit tudnék.

Épp ma gondolkodtam hogy írok ki erről (mármint hogy milyen nemben haljon meg) szavazást (újfent) csak hogy kipuffoghassam magam, de ezek szerint nem kell.

Amúgy a g/fb nem igényel semmi speciálisat, ha jól emlékszem.

Qwertz012345
Azért ezt nem olyan nehéz megjegyezni. Más kérdés, hogy minden 2. ember valami hasonlót használ hosszú jelszavak esetén. Így viszont megfelelő algoritmussal hamar ki lehet nyitni.

Oldscool, de en mortal kombat kombokra eskuszom:)
ikjl (fel, le, balra, jobbra), asdf (nagy utes, nagy rugas, kis utes, kisrugas)

Ha valahova szam is kell, akkor !4!!!!4!negy :)

Van vagy 8 eve, hogy utoljara jatszottam vele, ha nem tobb...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Az ilyeneket a legkonnyebb kijatszani amugy oly modon, hogy mittudomen "PirosOrr24!", van benne kis betu, nagybetu szam, specialis karakter.
--
Blog | @hron84
Üzemeltető macik

Igazából a jelszót, mint olyat kellene már elfelejteni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

+1

Sokan el is felejtik

És mi lenne helyette?
Mindenhová chipkártya?
Vagy OTP, amit generál a telefonodon futó akármilyen app?
Retina/ujjlenyomat scan webkamerával? :)

TouchID / Apple Watch pl nyitja a laptopot

Nincs uj Pro-m, de gondolom a Touch ID hasznalhato web loginhoz is Safariban.

Bánom is én, de ez a mindenhova külön jelszó meg regisztráció meg babámfasza ez egy baromság. Egyszer már bejelentkezek a számítógépre, az OS tudja, hogy ki vagyok. Történjen chipkártyával, speciális USB kulccsal, telefonnal, biometrikus akármivel, bánom is én, de utána miért kell *mindenhova* tök külön bejelentkezés? (Ok, pénzügyekhez legyen még egy plusz faktor, csá).

Egyébként hozzáteszem, az OE-n Tóth Ákos egykori - sajnos meghalt - infobiztonság tanár mondta, hogy ha rajta múlna "kettő" internet lenne: egyik a mostani és egy másik, ahol titkosítva menne a kommunikáció és valamilyen hitelt érdemlően azonosítva vagy és mondjuk webshopolni, bankolni, stb. csak úgy lehetne. (pl. chipkártya, miegyéb.).

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Igaza volt Ákosnak, nyugodjon békében.

> Egyszer már bejelentkezek a számítógépre, az OS tudja, hogy ki vagyok [...] de utána miért kell *mindenhova* tök külön bejelentkezés?plusz faktor, csá).

Cégen belül ott az SSO és passz, nincs gond.
De nehogymár a lokális OS jelentkeztessen be a kismacska bt. webshopjába, ahol csellentyűcskét akarok venni.
Mi közük egymáshoz?

BTW ha lenne "Egy Nagy Közponit Autentikátor" (bár igazából van, úgy hívják, hogy Google/Facebook), akkor is nagy hörgés lenne (jogosan), hogy mi köze a Guglinak és a FB-nak ahhoz, hogy én hová regisztráltam és ott mit csináltam?

Szerintem nagyon helyes, hogy minden egyes vacak site-ra saját regisztráció kell. Ezt hívják biztonságnak.

> Ezt hívják biztonságnak.

U wot m8

Jó, ez is része a biztonságnak.

Jó, ezek esélyesek az idei Darwin díj IT tagozatának nagydíjára.

A kérdés csak az, hogy megbízhatsz-e az OS-ben _és_ a böngészőben.
Mert minden user/pass keresztül megy rajta, szóval ha nem tekinted megbízhatónak akkor a csellentyűcske webshop külön jelszava is korrupttá válik belépéskor, sőt, regisztrációkor. Ha pedig megbízhatónak tekinted, akkor akár a webshop beléptetést is rábízhatod.

Nem megbízható egyik sem, de egyszerűen nincs mit tenni, ennyi kockázatot vállalni kell.
Gondolom az nyilvánvaló, hogy azért jó, hogy mindenhová külön account van, mert ha az egyiket valahogy elviszik, akkor nem feltétlenül viszik el azzal együtt mindegyik másikat is.

Nyilvánvaló, persze, de... Hogyan vinnék el az egyiket? Emi eszembe jut most:
- megadod egy phishing site-on - ezt az OS/browser automata beléptetője nem tenné meg,
- public OS/browser sebezhetőség által - így vihetik a többit is,
- célzott támadással,
- kiverik belőled.

Ezek egyike se olyan, aminél húde meg tudnád védeni a többi account-ot.

És ha az autentikátort nyomják fel? :)

Az autentikátor ebben a hipotetikus(?) esetben az os és/vagy a browser. Ha ezeket felnyomják, akkor a rajtuk átmenő jelszavadat le tudják hallgatni akkor is, ha nem tárolod hanem fejből gépeled. Ez ellen csak a 2FA ad valamilyen védelmet, de ha egyszer ezen a megtört gépen beléptél, akkor 2FA ide vagy oda, hozzáférnek ahhoz amihez nem szeretnéd hogy hozzáférjenek.

Értelek, egyről beszélünk, csak kicsit árnyalni akartam a képet. Arra akartam utalni, hogy ha az autentikátor külön álló szerv az OS-től és böngészőtől függetlenül, az sem egész jó megoldás, mert azt is felnyomhatják, tehát megint csak egyben szerzik meg az összes belépést.

Nincs mese, az OS-nek megbízhatónak kell lennie, különben nincs miről beszélni.

Márpedig nem az.
Szóval az a megoldás, hogy nincs megoldás.

Szerintem több és jobb kutatás kellene a nagy cégek részéről.

Azon nem nagyon van mit kutatni, hogy a user input átmegy az OS-en és a böngészőn, szóval mindkettő hozzáfér. Ha bármelyikben van kihasználható hiba - márpedig van, maximum nem ismert, vagy legalábbis nem publikus - akkor ezzel visznek mindent és köszönik szépen.

Nem erre gondoltam. Több információ biztonsággal kapcsolatos kutatások kellene, olyan, aminek az eredménye megjelenik termékekben időszakosan. Lehet van ilyen, csak akkor megtartják maguknak gondolom.

Melyik OS nem megbízható?

Melyik az?
Mindegyikhez jönnek ki rendszeresen a biztonsági javítások, ezek egy része pedig valós támadások elemzése alapján derül ki. De mondok mást, pwn2own: up2date rendszereket törnek rommá böngészőn keresztül.

Ettől függetlenül kénytelenek vagyunk a létező mainstream OS-eket használni, mert ugye nincs más. De hogy ezek megbízhatóak lennének? Hát, ez szerintem nem igaz.

"Cégen belül ott az SSO és passz, nincs gond."

Hát ez az. Szép meg jó meg kényelmes meg minden, de miért tartunk a kőkorszakban még mindig a webes authnál?

Másrészt az átlaguser jelszókezelési szokásait figyelembe véve még mindig sok-sok-sok nagyságrenddel biztonságosabb lenne az Egy Nagy Központi Authentikátor Bt, ami csak annyit kérdez, hogy valóban hozzáférhet-e Pistuka & Máriska co. Zrt. a nevedhez, email címedhez, opcionálisan címhez (pl. webshop), stb, mint az, hogy mindenhova regisztrálgasson ész nélkül az user. Kezdve azzal, hogy nem kell jelszót kiadnia a kezéből, mert számomra Pistuka & Máriska co. Zrt. IT security printerops devlopája által fejlesztett webshop sem feltétlen számít sokkal megbízhatóbbnak.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Pedig az egyetlen olyan dolog, amit ha nem mondasz el (plusz nem látják, nem videózzák le ahogy beírod, nem veszik le a billentyűzetről az ujjlenyomataid alapján, stb.), akkor se fognak megtudni ha kinyírnak. Chip, ujjlenyomat, retina működik utána is.
--
"Sose a gép a hülye."

Ha kinyírnak, akkor tényleg nem, de egyébként egy vasdarab / vödör víz / stb. elég hozzá, hogy elmondd bárkinek, aki kérdezi.

Tegyük fel, hogy akkor se mondod el, ha megkínoznak. Innentől kezdve azt nem fogják megtudni.
--
"Sose a gép a hülye."

xD

Tegyük fel, ja. Hagyjuk már a fantáziavilágot, ahol minden nő tökéletes és minden férfi izmos...

ezzel ugye csak az a baj, hogy az emberek jelentős része nem james bond

De, elmondod.
--
Blog | @hron84
Üzemeltető macik

Egy bizonyos szintig van értelme mert a dolgozókban megvan a hajlandóság, hogy ezt komolyan vegyék. Vannak helyek ahol viszont kis túlzással már a takarítóknak is saját hozzáférésük van és ők teljesen magasról leszarják a szabályokat és nem is tudják nem is akarják megtanulni (egy bizonyos korosztály fölött is nehezen veszik). Kis cetlire felírják az aktuális jelszót amit ráragasztanak a bill aljára, mindenki ismeri a másik jelszavát ami ráadásnak nevetségesen egyszerű szokott lenni még akkor is ha kis és nagy betű és spec karakter van benne.

--
honlapom http://dyra.eu/

> ami ráadásnak nevetségesen egyszerű szokott lenni még akkor is ha kis és nagy betű és spec karakter van benne.

*épp azért, mert

Van, ahol a kotelezo jelszovaltas a kicsit kepzettebb munkaerobol is kioli a moralt. Havonta valtsd jelszot, az utols ot nem lehet, legyen hosszu es bonyolult, megaharaposlo.
--
Blog | @hron84
Üzemeltető macik

Nekem 98-ban egy új munkahelyen azt mondták, hogy a Windows jelszavakat 3 hónaponta kell cserélni, mert a belső hálózaton közlekedő titkosított jelszót* kb. 6 hónap alatt brute force-olva fel tudják törni.
Nem tudom, milyen limitációk voltak, milyen hosszú és hogyan titkosított cucc mászkált a hálózaton, de azóta elég sok idő eltelt. Feltételezem, hogy a brute force gyorsabb lett.
Szóval ha csak jelszó van, akkor azért időnként változtatni nem tűnik butaságnak.
Személy szerint nem csak jelszót használnék. Smartcard belépést vagy jelszó + valami második faktor

* vagy hash-t, nem tudom, hogy működik windows esetében amikor a munkaállomáson belépek és a domain kontroller tudja, hogy mi a jelszavam

Azért akkor egy picit másak voltak a titkosítások is. Van egy kis különbség a caesar meg mondjuk aes256 között..
--
"Sose a gép a hülye."

Jogos. Ezért írtam, hogy nem ismerem a technikai részleteit, hogyan titkosít a Windows a belső hálón.

Akkor mit mondasz? A mostani titkosítást (aes256?) nem lehet értelmes időn belül megtörni, tehát az a 98-as tanács idejétmúlt és igazából csak emiatt a lehetőség miatt felesleges cserélni a jelszót?

Pont a Windows jelszó kezelése még ma is a legsilányabbak közé tartozik. Nem is szokás Windows tartományt kiengedni nyilvános hálózatra.

Na nem mintha bármilyen kézzelfogható előnye lenne annak, hogy "kiengedsz" egy win "tartományt" nyilvános hálózatra...

Ha tudnád, amit én tudok... :)

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Láttam már én is csodákat. ;-) Talán még ma is megvan a leveleim között a magyar oktatási hálózatokon ülő, lukas, internet felől elérhető samba szerverek teljes listája. Kíváncsi lennék mennyi él még ma is.

Alapvetően egy titkosítás mindig akkor jó, ha sem jelen rendelkezésre álló eszközökkel, sem a jövőben várható fejlődést figyelembe véve az adat elévülési idején belül nem törhető.
Anno a caesar kódolás is nagyon jó volt, lévén az emberek 95%-a amúgy is analfabéta volt, a maradéknak meg rá kellett jönni az elvére. Anno jó volt az md5-ös, aztán jött az erősebb hardver, ami rövid időn belül tudja kompromittálni. Az aes jelenleg elég jónak mondható, de a jövőbe nehéz látni, hogy hova fejlődnek a processzorok teljesítményben és sebességben, illetve a kvantumgépek ha megjelennek, ami már egy pár éve téma a tudományban, az összes mai titkosítást lehet kihajítani.
Bizonyos szempontból az md5 is jónak mondható, ha pl. van egy 5 percig érvényes valamid, legyen token, az md5 fejtése legyen 1 óra, akkor az még mindig elfogadhatónak mondható, hiszen egy 55 perccel ezelőtti tokennel nem sokra megy már. Szóval, felhasználás kérdése. Természetesen egy új rendszert nem erre kell építeni, de ha egy régi rendszer működik még így, az még az elmegy kategória.
Ha mondjuk egy webshopod van, és a usereknek fél óránként jelszót kell cserélni, mert 1 óra az md5hash törése, az annyira nem optimális állapot a user részéről. :)
--
"Sose a gép a hülye."

Alapvetoen nem butasag, persze, csak nyűgös, főleg, hogy van, amikor a LastPass nem tud segíteni (a Win jelszó tipikusan ilyen), és teljesen a felhasználóra van bízva a jelszó megjegyzése. És még nekem is bajom van azzal, ha állandóan új jelszót kell megjegyezzek, ott hekkelem meg a dolgot, ahol tudom. Egyszerűen azért, mert akármilyen biztonsági megfontolás is indikálja ezt, azon, hogy elfelejtem a jelszót, nem segít semmi.
--
Blog | @hron84
Üzemeltető macik

Hát azért azt így konkrétan nem írja hogy a jelszó policy az baromság. Csak azt állítja, hogy a jelszó erősségét a bitek számával és az entrópiával kellene mérni. Ez nem teszi az összes jelszó policy-t baromsággá. Pl. a cseréld le a jelszavad rendszeresen, az mindig hasznos. Akkor is, ha nagyon bonyolult és nagyon hosszú jelszavad van.

"cseréld le a jelszavad rendszeresen, az mindig hasznos."

Amig ezt te dontod el magadnak, addig igen. Amikor rad van kenyszeritve, es a helpdesk minden otodik ticketje az ho elejen, hogy "I changed my password but I forgot it", akkor mar nem hasznos, hanem idiotizmus.
--
Blog | @hron84
Üzemeltető macik