"A jelszó legfeljebb 8 karakter hosszú lehet"

Én vagyok az egyetlen, aki ilyenkor "rosszra gondol"? Nekem ugyanis valahogy azonnal a "password VARCHAR(8)" jut róla eszembe (aminek következtében plain textben tárolják). :(

( BaT | 2014. 07. 06., v – 22:16 )

Engem a speciális (de ascii) karakterek tiltása szokott felidegesíteni, sose értem, hogy a rendszer melyik része nem bír el azokkal a karakterekkel.

Engem meg az, amikor kötelező egy kisbetű, egy nagybetű, egy számjegy és egy speciális karakter. Talán az Émász ellenőrzője szerint az "Ab1$Cd2~" erősebb jelszó, mint a "HorseStapleCorrectTrumpet". Amikor meg ezt megírtam, jött a robotválasz, mi szerint "kötelező egy kisbetű, egy nagybetű, egy számjegy és egy speciális karakter".
--
Fight / For The Freedom / Fighting With Steel

Uh, a DiákhitelDirekt is ilyen. Ráadásul sehol nem írják le, mi kell nekik, csak miután elküldted a formot, jön a hibaüzenet, hogy még rakjál bele ezt is, meg azt is. Meg ne legyen ugyanaz, mint amit két éve használtál (na, erre viszont kíváncsi lennék, hogy vajon hash alapján mondják meg, hogy te ezt a jelszót már használtad, vagy plain textben van az egész.)

De ezt a „HorseStapleCorrectTrumpet” sosem értettem. Vagy nekem nagyon erős logikai csúsztatásnak tűnik, hogy az xkcd-s szerző elfeledkezik arról, hogy ez négy szó, s akkor máris nem 2^44, hanem csak x^4 a variációk száma.
--
blogom

( saxus | 2014. 07. 06., v – 22:57 )

Egyébként bármennyire is hihetetlen, nem minden esetben opció a tényleg visszafejthetetlen jelszó. Pl. amikor össze kell kapcsolni több rendszert.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Konkrét példák, amivel szívtunk:

Adott egy webshop, SHA1-el tárolt jelszavakkal. Adott egy ERP rendszer, utólag lett a webshop mögé rakva. Az ERP rendszer képes kezelni az összes regisztrációval kapcsolatos dolgokat, adott volt a teljesen jogos igény, hogy szükség esetén onnan is tudjanak az userek jelszót változtatni. Az ERP rendszer egy 3rd party fejlesztés, nem tudunk (és még inkább: nem is akarunk) belenyúlni. Az ERP rendszer MD5-tel titkosítja a jelszavakat.

Ezt a problémát még sikerült abszolválni azzal, hogy ha az ERP-ben változott utoljára a jelszó, akkor átvesszük az MD5-ös hasht és azt is elfogadjuk, ha nem SHA1-es hash van. (Szerencsére ugye a CHAR(40) mezőbe belefér.)

Következő challenge: hozzánk került egy másik cég adatbázisa, szerencsére ugyanazt az ERP rendszert használták, így az átvétel nem okozott nagy nehézséget. Persze, meg kellett oldani, hogy elfogadjuk a másik rendszer régi jelszavát is. Ha valami számunkra ismeretlen módon lett volna sózva vagy rendszerenként tök egyedi módon, vagy egyedi sóval (anélkül meg mi értelme, ugye...), neadj'isten valamilyen cégadattal, licenckulccsal összefüggő módon, a feladat határozottan nehezedett volna.

...ééés ami meg is történt. Másik cég, webshopjukból kellett volna adatokat átvenni. A webshop egy szolgáltatásként árult termék, kódját a büdös életben nem láttuk, egy db dumpot kaptunk, ahol sóvzva, keverve-kavarva voltak a jelszavak. Szerencsére a rendszer fejlesztői elérhetőek voltak és voltak olyan jó fejek, hogy elmondták a pontos metodikát, így újra tudtuk implementálni.

Végeredmény? Weboldalunkon 4 féle módon fogadunk el jelenleg jelszavakat. Megoldható volt, csak annyira nem szép.

Viszont ha nem saját webshopunk lenne, hanem teszem azt az ERP rendszerhez megvásárolható webshop rendszert használnánk, a feladat nagyjából a megoldhatatlan kategória lenne a második esetben. Vagy akár akkor is, ha a saját webshopunkról akarnánk átállni. Mert az ERP fejlesztőinek nem érdekük ilyen egyedi gányolásokkal hátráltatni a saját munkájukat.

Persze, mondhattuk volna azt is, hogy regisztráljon újra a kedves vevő, csak annyira nem túl professzionális hatást keltő megoldás egy beolvadó és/vagy újraalapuló cégnél. Ezzel szemben mi van? Security szempontok, amely az ügyfél jelszavát védi az adatok kikerülése, illetéktelen kezébe kerülése esetén. Na, most itt két eset játszik:
- belső adatlopás: ha IT-s, az gáz, nyilván azonnali faszkorbács és tarkonlövés. Ha nem IT-hez tartozik... Nos, sokkal értékesebb adatokat is tud lopni mint egy jelszó listát.
- külső adatlopás: ez szintén az az eset, ahol a kikerült jelszavak lesznek a legkisebb problémánk.

Szóval szép meg jó ez az egész jelszó hashelés, csak megint érzek benne egy ordas nagy aránytévesztést. Kapcsolódó XKCD: http://xkcd.com/1200/

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

( mogorva v | 2014. 07. 07., h – 08:39 )

Pont ezt néztem én is.
Paypal-nél max 20 karakter vagy ilyesmi.
Nem túl bizalomgerjesztő, de hátha valaki meg tudja magyarázni.

( peterszky | 2014. 07. 07., h – 15:07 )

Kicsit más jellegű, de nekem a UPC-vel volt egy aranyos kérdő tekintet pillanatom. Email fiók jelszóváltoztatásánál folyamatosan jött a "SEQUENCE DETECTED" hiba. Néztem, mint borjú... Aztán hosszú idő után jött Pickard kapitány: már egy három karakteres sorozat is SEQUENCE, amit nem fogadnak el :))) Pl.: Pistike123 -> 123 miatt hibára megy, 321-nél is :D

( winben | 2014. 07. 07., h – 15:46 )

Az én jelszavaim általában 13-18 karakteresek. Van is bajom velük sok helyen...

-------------
Command line Russian roulette:
[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo *Click*

Winben blogja

Reklámmentes képfelt

( manfreed (nem ellenőrzött) | 2014. 07. 07., h – 19:25 )

Telenor Online-nál ha jól emlékszem 6 számjegy lehet a "jelszó". Kíváncsi vagyok hány embernél 111111 vagy 123456