Jelszó változtatás

Regisztráltam egy portálra akkóuntot még régebben. Ma lépnék be, nyafog h. régi jelszó (max. 6 hónapos lehet), szóval azonnal változtassam meg.
Megpróbálom a hülye-módot, hátha sikerül, és megadom neki a régit.

Erre ezt írja:
"Nem használhatja az utolsó 12 jelszót. Kérjük, válasszon egy másik jelszót." --> utolsó 12-t megjegyzitek b+....

Jó, akkor adjunk meg 1 szofisztikáltat. Na, kiderül h. ez se jó nekik. Persze a degenerált UI-k korában tájékoztatást csak azután kaphatsz h. már a falnak rohantál, előre nem lehetett volna ezt a képembe tolni, hogyasszongya:

"A jelszó megadásakor vegye figyelembe az alábbi szabályokat:

10 és 32 közötti számú karaktert kell tartalmaznia. Csak a következő karakterkészletet használja: ! # $ % & ( ) * + , - . / 0123456789 : ; < = > ? @ ABCDEFGHIJKLMNOPQRSTUVWXYZ [ \ ] _ ` abcdefghijklmnopqrstuvwxyz { | } ~
Legalább 1 kisbetűt (abcdefghijklmnopqrstuvwxyz) kell tartalmaznia.
Legalább 1 nagybetűt (ABCDEFGHIJKLMNOPQRSTUVWXYZ) kell tartalmaznia.
Legalább 1 számkaraktert (0123456789) kell tartalmaznia.
Legalább 1 karaktert kell tartalmaznia a következő készletből: ! # $ % & ( ) * + , - . / : ; < = > ? @ [ \ ] _ ` { | } ~
Nem tartalmazhat több mint 3 egymást követő azonos karaktert (AAA, iiii, $$$$$ ...).
Nem tartalmazhatja az Ön felhasználónevét.
Nem tartalmazhatja az Ön e-mail címét.
Nem tartalmazhatja az Ön keresztnevét.
Nem tartalmazhatja az Ön vezetéknevét."

Meg gondolom a lakhelyemet, kedvenc aranyhörcsögöm és zeneszámom címét sem.

Itt már nagyjából tényleg csak a fullrandom szemét marad. Ami kb. garantáltan megjegyezhetetlen, rákényszerítve/rászorulva a pwd managegerre. Ja és gondolom 6 hónapos pwd lifetime-al ezt a játékot évente 2-3x el lehet játszani, ha kb. olyan sűrűséggel látogatod az oldalt csak ez az idegesítő frusztráció fog belőle megmaradni.

Jah, terjed a módi a nagyoknál (asszem Amazon vezette be), h. a Haveibeenpwned.com-ról letölthető hash-eket is végignézik, így az azokban a dump-okban levő jelszavakat sem engedik használni senkinek. Tehát lehet új szavakat és groteszk kombinációkat kitalálni.

A db-t vmi SQL-injectiönnel úgyis kilopják majd a kínaiak/oroszok/egyebek, de itt most legalább a felhasználóikat sikeresen szétszopatták.

( tomsolo | 2018. 11. 19., h – 14:22 )

nem a jelszót jegyzik meg,hanem - remélhetőleg - hanem a belőle képzett hasht :)

No rainbow, no sugar

pl. dimag.hu
Akartam venni elektronikus formában dolgokat. Amikor sima szövegként visszakaptam a generált jelszavamat, elment a kedvem. Az se volt pozitív, hogy valami saját formátumban kapja az ember a dolgokat amihez az ő saját alkalmazásuk szükséges? Hagytam inkább az egészet. Szerencsére lehetett törölni az accountot. Ez se alap feature mindenhol.
Találkoztam olyan furmányos oldallal, ahol biztonsági okokból akkor se törlik az adataidat ha kéred... Mondjuk ez még GDPR előtt volt, most már lehet ott is törlik.

Az még nem feltétlenül jelenti azt, hogy megjegyzik. Találkoztam már webshoppal, ami regisztráció után kiküldte emailben plain textben a jelszót, de letárolni csak a hash-t tárolta.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

( Gyuszk v | 2018. 11. 19., h – 14:26 )

Jelszókezelő app kell neked. Az nem oldja meg a fenti szopatást de legalább kényelmesen és biztonságosan lehet nehezen megfejthető jelszavakat generálni és tárolni. A fő ficsőr bennük hogy nem kell megjegyezned, hanem előveszed / automatikusan előveteted vele.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

A keepass kulccsal vagy jelszóval titkosítja a jelszó db-t, nyugodtan szétoszthatod pendriveon vagy felrakhatod a netre, "nem lehet" feltörni.

"Ha csak helyileg, akkor hogy lesz róla ellenőrzött elosztott mentés"
Rendes embernek eleve van nextcloudja, vagy valami public cloud alapú mentése, tárhelye.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

https://en.wikipedia.org/wiki/Nextcloud

"Nextcloud is a suite of client-server software for creating and using file hosting services. It is functionally similar to Dropbox, although Nextcloud is free and open-source, allowing anyone to install and operate it on a private server."

Egyébként meg nyilván. A public cloudot én sem használom, de mivel "mainstream", ha nem írom le, rögtön jön egy hülye lecseszni. :) Ti a kollega fejfájása abban állt, hogy jó-jó, van egy jelszó db-m, de hogy fog ez eljutni/szinkronban maradni a különböző eszközeimre automatikusan.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Nem egészen értem a kérdést. Arra gondolsz hogy több eszközön miként lesz szinkronban a db file? Mert erre egy tetszőleges google-drive szerű megoldás rögtön megadja a választ. (én saját nextcloudot üzemeltetek)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Hát, azért az elég nagy szívás lenne, ha az egyik eszköz felülcsaphatná a másik módosításait…

A windowsos kliens észreveszi, ha megváltozott alatta a fájl, és képes szinkronizálni a memóriában, illetve a diszken található db. Amit Androidon használok, azzal eleve a GD-ről szedetem a fájlt, de ha offline vagyok, a cache-t tudja később szinkronizálni.

( zeller | 2018. 11. 19., h – 14:44 )

- Kérem, adja meg jelszavát!
- Alma
- Sajnálom, a jelszónak legalább 8 karakterből kell állnia!
- Reszeltalma
- Sajnálom, a jelszónak tartalmaznia kell legalább 1 számot!
- 50reszeltalma
- Sajnálom, a jelszónak legalább 1 nagybetűt kell tartalmaznia!
- 50KIBASZOTTreszeltalma
- Sajnálom, a jelszóban nem követhetik egymást nagybetűk!
- 50,Kibaszott,Reszelt,Alma,Feldugva,A,Seggedbe!
- Sajnálom, a jelszó nem tartalmazhat írásjeleket!
- 50KibaszottReszeltAlmaRohaggymegHaNemFogadodElEztSe.
- Sajnálom, a jelszó már foglalt!

( thomasrc | 2018. 11. 19., h – 15:43 )

Nekem a kedvencem az, amikor bizonyos funkciókhoz nem elég csak úgy belépni, még biztonsági kérdéseket is meg kell válaszolni. Egy oldalon folyamatosan küzdök azzal, hogy mindig "elfelejtem" a válaszokat, pedig tudom mi lenne a helyes válasz, csak nem tudom már hogyan adtam meg (kisbetűvel, nagybetűvel, "ph"-val "f" helyett vagy fordítva, stb.). Ráadásul több kérdésre kell válaszolni és nem írja ki melyik volt a rossz. Ezután jön az, hogy vagy otthagyom az egészet vagy továbbpróbálkozok és kizárom magamat a saját accountomból és jöhet a kálvária a meg nem érkező emailekkel, hogy visszaszerezzem. :_)

( TCH | 2018. 11. 19., h – 18:12 )

Próbáld meg a "L0fasztASeggetekbe!" sztringet; megfelel minden kritériumnak és még passzol is a helyzethez. :P

( kovi | 2018. 11. 19., h – 20:24 )

a jocegnel csereltem jelszot iden ev elejen, vagy tavaly ev vegen - nem tudom pontosan. parszor meg begepeltem a regit es o kozolte hogy nem jo, mert *ezt* xy hete megvaltoztattam. szuz gepen es bongeszoben is, idegen halobol is.

hogy basznak meg mar vegre az anyjukat!

--
Vortex Rikers NC114-85EKLS

( Pene | 2018. 11. 19., h – 21:01 )

A kezelésem alatt van 5 darab Steam account, hogy lanon pöröghessen a cs könnyen. A múltkor egységesíteni akartam a jelszavaikat, és amikor az ötödiknél akartam ugyanazt a jelszót megadni, kiírta, hogy ezt már túl sokan használják, válasszak másikat. Na, ilyet még nem láttam sehol :)

A múltkor egy (etikus) hackelést oktató (=biztonságtechnikai) videoban használtak egy olyan oldalt ami tárolt nagyon sok jelszóhoz tartozó hash-t, többfélét. Azaz ha csak a hash van meg, akkor is nagyon könnyen meg lehet tudni a jelszót, ha gyakori. Engem meglepett, hogy ilyen publikus DB egyáltalán létezik...

( Charybdis | 2018. 11. 20., k – 09:32 )

Az is jó, amikor limitálva van a jelszó hossza, de ezt nem írják ki előre a jelszó létrehozásakor. És jelszókezelővel szépen generálsz mondjuk egy 22 karakteres jelszót, szépen ki is tölti vele a jelszó mezőt, el is fogadja a rendszer, idáig rendben. Csak aztán amikor be akarsz lépni, akkor kiderül, hogy a rendszer levágta a jelszó végét, és csak az első 16 karaktert fogadta be, merthogy max. 16 karakter hosszú lehet a jelszó. És így nem tudsz belépni, kérheted a jelszóemlékeztetőt, merthogy nem derül ki továbbra sem, hogy max. hány karakter lehet a jelszó...

( wildy | 2018. 11. 20., k – 15:15 )

Mint erintett fejleszto halkan megjegyzem, hogy az ilyen eloirasok altalaban kotelezoek kulonfele sec. policykben, nem a fejlesztok szivatjak a felhasznalokat... Lassan lemasznak az elefantcsonttoronybol a donteshozok, lasd pl. a NIST uj ajanlasait (tudtommal korabban epp a NIST ajanlasai irtak elo a rendszeres cseret es az egyeb, szerintem ertelmetlen/kontraproduktiv megkotest - amik miatt egy csomoan gyakorlatilag 1-2 memorizalt sztringet varialnak szamokkal, legtobbszor datumokkal kiegeszitve).