Fórumok
Imádom, mikor sírnak az oldalak, hogy legyen a jelszóba mindenképp speciális karakter, mert attól lesz jó...
Most éppen uniqa ügyfélportál volt.
Benyomtam amit a firefox generált, végigmegy a regisztrációs folyamat, majd szopok, hogy miért nem lép be. Belépés gombra semmi nem történik. Mivel nem az első ilyen, máshol is futottam már ilyenbe, sejtettem ám, hogy túl speciális lett a jelszó: EsU2+)%V*V*%Pz"
Úgyhogy elfelejtett jelszó, új jelszó, generáltattam egy kevésbé speciálisat, megette, beléptem. Micsoda csoda. Csudaweb 3.0.
Hozzászólások
pwgen -cn1 64
de, ezzel meg majd a maximális karakterszámot haladod meg ;)
zrubi.hu
Én mit szeretnél ezzel mondani?
cat /dev/urandom | tr -dc 'a-zA-Z0-9$#<>!?=&@{}[]-_*+' | fold -w 12 | head -n 3
Tudok én is 10 féle képpen/helyen jelszót generálni, nem az a kérdés, ez ráadásul mindig megy, nem kell hozzá semmilyen tool.
"Sose a gép a hülye."
Én valójában sohasem értettem, hogy miért nem lehet bármilyen karakter egy jelszóban, akár szóköz vagy ékezetes vagy bármi. A végén úgy is egy hash lesz belőle, az megy az adatbázisba, lehet base64 is, semmi bajt nem okoz. Ugyan így rejtély számomra, hogy a maximum hossza miért van sok helyen korlátozva durván, mondjuk 20 karakterre. Ebbe egy rendes 3 szavas kifejezés sem fér bele, angol szavakból sem. De növelni akarjuk a biztonságot...
A programozók kényelme, hogy ne kelljen azzal foglalkozni, hogy a jelszónak átvett stringben van-e a nyelv számára vezérlő karakter? Vagy mi az oka? Esetleg 25 évvel ezelőtt 7 bites ASCII-re megírt password library van még használatban mindenhol?
A legjobb, mikor megköveteli a speciális karaktert, és mellé van írva 3 db speciális karakter, amit valójában elfogad... Az is szintén jó amit írsz, hogy elfogadja a jelszót mikor beállítod, de aztán nem tudsz vele belépni, és nem tudod, hogy a jelszóval van baja, vagy tényleg elírod folyamatosan (mert van, ahol meg sem lehet nézni, mit írtam be...).
Tudod hány helyen van még plaintextben tárolva a jelszó? Rohadtul meglepődnél.
Pl. az óvodai étkeztetési rendszerbe most regisztráltak be, kaptam emailben, hogy az ön jelszava a belépéshez: XYZ654
Vagy ott van például a yettel felület, ahol fixen 6 szám lehet csak... Apropó, OTP-nél lehet már 8 karakternél hosszabb jelszó?
"Sose a gép a hülye."
Az ékezetes karakterekkel csak óvatosan... Egy UTF karakter a jelszócserénél=/bevitelnél, és máris gondban vagy ott, ahol nem utf -ben "gondolkodik" a kliensed. De a több bájtos karakterek a jelszóerősséget vizsgáló cuccokon is képesek érdekes eredményt produkálni, mert utf esetén nagyon nem mindegy, hogy bájtban vagy karakterben mérik a hosszát a jelszónak...
nekem volt emoji is régebben jelszavamban.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Jobbat mondok: Magyar Bank. Jelszópolicy: 3 havonta meg kell változtatni, de különbözzön az előző 10-től.
Oké, jelszó begépel elfogad.
3 hónap eltelt, jelszót váltani kell. Megváltoztatom: erre írja, de hát nem lehet ugyanaz, mint az előző. De hát nem ugyanaz, mint az előző, hisz az utolsó 3 karakter különbözik!!!!
Várjunk csak!
Kilépek, belépek, de az utolsó karaktert kihagytam. -->÷ Beenged.
Ó, de jó, kilépek
belépek, de az utolsó két karaktert kihagytam. -->÷ Beenged.
Ó, de jó, kilépek
belépek, de az utolsó három karaktert kihagytam. -->÷ Beenged.
Ez így ment sokáig:
10 karakterig mentette el a jelszót. Na most melyik jobb, ha 3 havonta rövid jelszavaid vannak, vagy ritkán váltott, de hosszú? Az elfelejtett jelszavasokra is gondolni kell.
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Zseniális az is.
Azt hiszem Konica Minolta MFP-k voltak régen olyanok, hogy pl. SMB passwordhöz bármit beírhattál, írta hogy elmentette... Ezt követően illetve by default "security" címszó alatt fixen talán 6 csillagot mutatott a jelszónál. És hetekig szoptunk vele (a mai napig szokásos MFP-scannelés szarakodás mellett), mire rájöttünk, hogy 8 karakternél lecsapja a jelszót. Jah, végül is az első 8 karaktert sikeresen elmentette.
Én azt szoktam javasolni, hogy nem kell 3 vagy akárhány havonta cserélni, mert annak úgyis az lesz a vége, hogy ott lesz a postiten a monitoron vagy a határidőnaplóba az asztalon felírva. Legyen inkább egy rendes jelszó, amit meg tud jegyezni, be tud írni, és kész. Annak több értelme van szerintem.
"Sose a gép a hülye."
Ezeket a háromhavonkénti cseréket úgy oldottam meg (szerencsére már elmúlt), hogy volt egy viszonylag erős és számomra jól megjegyezhető jelszó, amit a legutolsó változtatáskori dátumból származtatott karakterekkel toldalékoltam. Nyilván szar megoldás abból a szempontból, hogy ha valaki megszerzi az alapjelszót, akkor már nincs nehéz dolga, viszont azt nem volt egyszerű megszerezni.
És ezt kb. mindenki így csinálja egy idő után.
Magyarul a biztonsághoz nem ad hozzá semmit, ellenben szopatva van mindenki. És ha elfelejtette melyik nap cserélt jelszót, akkor ugyanúgy jön, hogy üsd ki meg adjál újat.
"Sose a gép a hülye."
adj hozzá egy kétfaktoros azonosítást, de nem adsz hozzá mobiltelefont.
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Az egyik rendszerhez ehhez hasonló a jelszavam: &z2j&q8UQen5D85a^qiD&GQ3 24 karakter, kisbetű, nagybetű szám, különleges karakterek véletlenszerű sorozata. Szerinted megjegyeztem, vagy txt-ben az asztalon van azzal a névvel elmentve, aminek a jelszava? :D Gratuláltam a rendszergazdának az átgondolt jelszópolicyért.
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Nem txt-ben kell tárolni, vannak remek password managerek.
A pwpolicy-t nem a rendszergazda találja ki... Ő is szív vele, hidd el. Csak lehet, hogy neki van password safe alkalmazása,amit tud is használni :-P
Anno security architect koromban kaptam a product managertől olyan feature request-et, hogy lehessen olyan password policy, hogy a korábbi jelszavaktól legalább X karakterben különbözzön. Nyilván mondtam, hogy ezt ugye nem gondolja komolyan. Nevetett, de aztán mondta, ez halál komoly ügyfélkérés, és valahogy mégiscsak meg kéne oldani, mert nagy ügyfél, a termékünk emiatt nem felel meg a policy-jüknek. Kb fejből felsoroltam az összes formális requirement-et, azonosítószámmal, melyik excel táblában van, melyik tabon, amikre hirtelen non-compliantek leszünk ha leimplementáljuk nekik.
Régóta vágyok én, az androidok mezonkincsére már!
Anno a Citibank netbanki felületén a kis- és nagybetűk nem voltak a jelszóban megkülönböztetve... (Pedig a képernyőbillentyűzet, amin egérrel kellett benyomkodni a jelszót emlékeim szerint tudta...)
Es nem ertik, hogy ezzel praktikusan nem novelik, hanem csokkentik az ellenorizendo teret. Valojaban a nagy tobbseg nem fog emiatt tobb specialis karaktert, szamjegyet, nagybetut rakni, vagy hosszabb jelszot generalni, hanem a "kotelezo, tehat egy" es "minimum hossz = hossz" mintat koveti. Igy a ter valojaban lenyegesen kisebb lesz.
Igen, alapvetően igaz, legalábbis elméleti szinten. Ugyanakkor ha nincs a jelszóban kötelezően szám és speciális karakter, akkor a nagy többség nem is fog beletenni, tehát a gyakorlatban a jelszavak túlnyomó része így fog kisebb teret kezelni. Emiatt ha a brute-force jelszótörő először csak az ASCII karakterekkel kezd, várhatóan gyorsabban végez azokkal a jelszavakkal, ahol nem volt policy a szám/speciális karakter.
Egyik utolsó munkahelyemen minimum 14 karakteres jelszó kellett, betű, szám, speciális jel. 3 havonta cserélni.
ÉS nem volt engedélyezett jelszó manager telepítése.
Más helyeken legalább egy KeePasst hagytak feltenni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Mielőtt a KeePasst meg tudnád nézni, be kell írni a loginhoz a jó bonyolult passwordot :) catch 22
Kivéve ha szinkronizálva van mondjuk a telefonodra is, és egy fingerprinttel fel tudod oldani. Évek óta így használom (syncthing). Kiváló.
"Sose a gép a hülye."
Ez igaz kb. a login jelszóra, de nem csak egy jelszó volt egyébként.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
A csodálatos RePont app játszotta el velem múltkor: Legyen spec. karakter, de csak bizonyos felsoroltak, más még véletlenül se!
Mondanom sem kell, regisztrálnom amúgy ettől függetlenül sem sikerült, mert "a felhasználó már létezik", de beléni nem tud, jelszóemlékeztető kérésre pedig "a felhasználó nem létezik" :D
Kicsit olyan érzésem van, mint "Ezt a jelszót már bubuka felhasználó használja, válasszon másikat!"
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
engem azzal az appal az zavar, hogy mégis miért kell 5 naponta kiléptetni? mi olyan szupertitkos abban a qr kódban? ha valaki ellopja, max nekem tud utalni
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
A számlaszámot is tudja módosítani, sőt jelszót is tud cserérlni, ha minden igaz...
jelszó módosításhoz kell a régi jelszó. ahhoz elég lenne akkor bekérni. a számlaszámhoz is lehetne ilyet, és akkor nem az lenne, hogy mikor hetente egyszer megyek visszaváltani, akkor jelentkeztet ki
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
az engem is felbaszott. ráadásul valami beágyazott böngészőbe dob át. nekem megoldás egy screenshot volt a qr kódról. ott figyel a galéria kedvencekben.