Egyes mentett jelszavait megtaláltuk az interneten

Security-all

Google-töl jött az email. És összeszedte, h milyen oldalakon van ugyan az a jelszó.  Mégis honnan tudja a google, h melyik oldalon mi a jelszavam? És mi az a gennyes duma h megtalálták az interneten? 

  • 1720 megtekintés

Thx! 

Vivaldit használok, annak a felhős jelszótárolójában (sajátjuk van, nem a googlét hasznalja) szerepelnek a jelszavak titkosítva. De ha ahhoz hozzáfértek volna és azt megtörték volna, akkor minden jelszó kitudódott volna, nem csak néhány. 
HUP-os jelszó is érintett - legalábbis tudja, h ugyan az a jelszó máshol! Meg egy sor nagy site jelszava is. 

 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

1. Mégiscsak kérdés, hogy a hup-os pw valóban ua mint (rnd) máshol. Igen/nem. Tanulságos lehet, egyetlen szóval tudsz segíteni másoknak.

2. man hash

3. Valahol beszoptad a “jelentkezz be Google fiókkal” dumát, onnantól egy pw lista és csá, össze lehet fésülni.

4, Inkább megyek aludni, szóval nem egy atomfizika. Katika néninek is azért jön méretes lábszár méretű lőcs reklám mindenütt, mert be volt jelentkezve valahová gmail segedelmével,  ahol erre keresett. S így tovább, ezen az úton. Vagy valami oldal G cookie barát, miközben a Vivaldi tudja ki vagy.

Ui annyiból nem rossz dolog ez, hogy a nullskilleseket óva inti.. ha nem fogyatékosok pl.

Vortex Rikers NC114-85EKLS

Igen, valóban az. Rémisztő. 

nullskilles kérdések:

>  man hash

Mán h a fullskilles elgondodolásod szerint a hash-elt jelszó a különzö oldalakon pl. Drupal és egyéb oldalak ugyan az lenne, és így a jelszó ismerete nélkül is megállapítható az azonosság?

> Valahol beszoptad a “jelentkezz be Google fiókkal” dumát, onnantól egy pw lista és csá, össze lehet fésülni.

Kérhetem értelmesen? pl. Milyen "pw listáról" van szó? 

> Vagy valami oldal G cookie barát, miközben a Vivaldi tudja ki vagy

Kérhetem értelmesen? 

> ha nem fogyatékosok 

LOL

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Mán h a fullskilles elgondodolásod szerint a hash-elt jelszó a különzö oldalakon pl. Drupal és egyéb oldalak ugyan az lenne, és így a jelszó ismerete nélkül is megállapítható az azonosság?"

Nagyon remélem, hogy salt nélkül már senki nem tárol jelszavakat. Persze az egyedi jelszó is alap lenne, szóval ki tudja.

Részemről arra tippelek, hogy sokévtizedes jelszó, ami valamikor mégis elkerült a Google-höz.

-Regisztrálsz és/vagy bejelentkezel gmail szolgáltatásokkal a Részeges karatemester és társa Bt. webshopjába. A webshop hanyag és a begépelt jelszavad eltárolja, esetleg plain textbe :D ahogy kell. Felnyomják a webshopot, viszik a jelszavakat amik bekerülnek egy közkézen forgó jelszólistába. Az utolsó amit láttam valami 3giga körüli plaintext volt. A G kétsoros programja pedig egész sűrűn végigszkenneli ezt a rengeteg sztringet és ha egyezést talál, akkor jelez neked.

-Nem gmail accoddal jelentkezel be, de a gmail címeddel regisztrálsz. Sajnos ipari mennyiségben látni olyat, hogy a mailcím jelszavát gépeli a delikvens.

-Ha egyik sem ilyen ^^ felállás, akkor az is lehet, hogy a Köcsög és társa bt. valójában G tartományban van, honlappal mindennel. Ha ugyanazt a jelszót adtad meg náluk mint a saját mailcímedét, elsőként a G fog tudni róla.

-A Vivaldiban nem tudom hogyan van, de fixme a megnyitott tabok simán átláthatnak egymáshoz.

-Nagyon hasznos szolgáltatása a G-nek ez a warning, de csak akkor ha a figyelmeztetett tag nem szefós. Nekem legutóbb a feleségem volt figyelmetlen, de a warning valós egyezést mutatott. Megtettük a szükséges jelszócserét ill. amit lehetett két faktorra állítottam. A szefósokat viszont nem igazán érdekli az ilyesmi. A leginkább fárasztó válaszok a "és akkor mi van", "nekem nincs semmi dugdosnivalóm", "a bankhoz úgysem férhetnek hozzá", "vigyék ami kell nekem nincs semmi olyanom", "leszarom akkor majd megyek a rendőrségre ha baj lesz belőle" stb.

Bónusz: ha ghecchi lennék, megvenném a gmail.hu levelezési tartományát és begyűjteném a gmail.com accokat, majd eladnám kilóra. Vinném a hozzá kapcsolt facebook fiókokat mindent. A világért sem akarok tippeket adni a khm.. "kockázati befektetőknek" :D, sokkal inkább figyelmeztetést a lehetséges áldozatoknak. Annyi hülyét láttam, aki gmail.hu-ra gépeli a fióknevet és jelszót, vagy kapkodásában a levélkliensben ezt állítja IMAP címhez. Tehát a lehetőség egészen valós. 

Bárhogyan is, az ilyen jelszómizériában mindig az emberi tényező a ludas. Jó esetben az áldozat figyelmetlenségéből adódóan, rossz esetben a csalók szándékából.

Vortex Rikers NC114-85EKLS

Bónusz: ha ghecchi lennék, megvenném a gmail.hu levelezési tartományát és begyűjteném a gmail.com accokat, majd eladnám kilóra

miből lenne pénzed rá? a google se tudta megvenni a tulajdonostól annak idején. de hajrá! bohóc

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Számomra a password reusage a rémisztő.
Soha ne használd ugyanazt a jelszót különböző helyeken.
Üdvözlendő, hogy elkezdődött az erre való figyelemfelhívás.

Nálam ez úgy van, hogy külön random generált jelszó van mindenhová. Ezeket egy password manager (Bitwarden rulz) tárolja.

Még 1x: nincsenek illúzióim. Annyit vártam volna, h. szekusok közül valami dep. head-nek elmegy a levél, és megköszöni h. jó ötletek, esetleg valamit érdemben reagál is. Ha már a pénzemmel hazardíroznak, és nem szorítja a töküket az MNB elég lilára.

Szerencsére nem csak a LastPass van. Igen, ők valóban balfaszok voltak.

Bitwarden rulz.
Ha nem tetszik, még mindig használhatsz local-t, drive-on, dropbox-on, syncthing-en keresztül szinkronizálva a blob-ot.
Vagy használhatsz local only-t.

Igazából a LastPass breach se azonnali és közvetlen veszélyt jelentett. Csak a régen elmentett jelszavaid, amik még szarul voltak salt-olva, úgymaradtak. Nem forgatták be őket újra a szabályok szigorításaikor. Ezek vannak elméleti veszélyben. De plaintext jelszó tudtommal ott se került ki.

Nem amatőr lámerek a Logmein-es fiúk, ma már goto. Dolgoztam velük, szerencsére pont nem lastpass-on :)

A Chrome beépített jelszókezelője a legbiztonságosabb megoldás. Biztonságban a Google mindig kiemelkedett. De tervezem én is elhagyni a Chrome-ot mint elsődleges böngészőt. Ennek oka elsősorban az API változtatás miatt ellehetetlenített uBlock origin. De a jelszókezelés eszközök közötti szinkronizálását nem adom át egy kisebb társaságnak a kezelésébe. 

Azért szeretem a Bitwarden-t, mert univerzális. Böngészőn kívül is működik. Pl. Android appokban. Meg lehet tenni default jelszókezelőnek, szépen integrálódik.

LogMeIn-nel nincs tapasztalatom. LastPass fiaskó után nekem a Bitwarden lett szimpatikus. Oda migráltam.
Mindenesetre bármelyik jobb választás, mint a password reusage.

( zrubi v | 2025. 06. 03., k – 09:29 )

szerintem először vond le a (számodra) hasznos következtetéseket:

1. ne használj ugyan olyan jelszót több helyen :)

2. ne mentsd el a böngészőben a jelszavaidat (és teljesen mindegy hogy hívják a böngészőt ;)

3. nagy valószínűséggel az egyik általad látogatott oldalt valamikor megtörték, és megszerezték a password adatbázist. Aztán ennek eredménye bekerült egy 'publikus' adatbázisba, mások meg rápróbáltak más oldalakra is a megszerzett adatokkal, és kiderült hogy nem tartod be az 1. és 2. pontot ;)

 

Ha ezeket a problémákat megoldottad, utána lehet 'továbbtanulni' hogy ilyesmi ne forduljon elő legközelebb.

(aztán persze ez a loop kezdődhet előről, mert ugye senki nem tartja be őket 100%-ban, és amíg lesznek jelszavak, addig azok - előbb vagy utobb -  ki is kerülnek a zinternetre)

 

szerintem.

zrubi.hu

Mindenképpen nagyszerű h segítesz levonni az általad számomra fontosnak tartott következtetéseket, amik nem csak a problémát segítenek megoldani, de a zinterneten való létezésemet is nagymértékben megkőnnyítik. Köszönet érte és továbbra is számitok a támogatásodra! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Speciel ebben az esetben a Google a kvázi jófiú. Más kérdés h ha tovább árnyáljuk a dolgot akkor azért felvethető h a user beparáztatása 10 évnél régebben kiszivárgott jelszavak miatt nehezebben értéklehető emberbaráti cseéekedettnek. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nem így kell felfogni. Nem kémkednek utánad. Téged az zavar, hogy szembesítenek vele, ha balfasz voltál.
Pszichológiailag nehéz helyzet, amikor lebukás van és elkerülhetetlen, hogy az ember szembenézzen saját magával. Ugyanakkor ez egyben lehetőség is: nem a múlt hibáin kell pörögni, helyette jövőorientáltan kell hozzáállni, és fejlődni, tanulni belőle.

Inkább örülni kellene, hogy valaki figyelmeztet, ha egy egyszerű kereséssel megtalálható a neten a jelszavad.

Ha a jelszavam mondjuk az, hogy „egy egyszerű kereséssel megtalálható”, akkor ez is megtalálható, mert benne van az előző hozzászólásodban. Nem az a lényeg, hogy ne legyen megtalálható, hanem az, hogy ne tudják, mi a jelszó. Tehát nem balf.ság, mert ki-ki maga dönti el, milyen jelszót választ, legyen akár egy üres string is, még annak is lehet létjogosultsága. Marhára tudatos döntés. Ne csak bankban gondolkodj, hanem lehet saját gépeden, csak lokálisan elérhető virtuális gép például.

Amit a Google csinál, az zaklatás. Ne szóljon bele a döntéseimbe, ne presszionáljon! Így veszítjük el a szabadságunkat, mert lassan semmiről sem magunk hozunk döntéseket, csupán elvárásokat teljesítő robotokká silányítanak. Te meg épp ennek örülsz. Nem lepődöm meg, mert manapság nincs igény a szabadságra.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ehhez van jogod, csak root joggal kell kiadni a passwd parancsot. Nem erről beszéltem, hanem arról, hogy ne zaklasson egy cég kéretlenül, ne presszionáljon, ne küldözgessen spam-eket nekem - mondjuk nekem nem tud, mert nincs Gmail címem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerintem ennek az égvilágon semmi köze nincs a szabadsághoz.

Mellékszál, hogy mindig a Szabadjon! volt a jelszavam.
Az egyetemen tárgyakat vettem fel, amik a szabadság filozófiájával, vagy a szabadságjogokkal foglalkoztak.
Az évek során azonban tapasztaltam pár dolgot, amik mellett nem lehet elmenni, amikor az elméletet gyakorlatba akarjuk ültetni. Kettőt kiemelnék:

  • Téves szabadságértelmezés.
    ,,Egy ember vágott magának egy szeletet a pitéből, és egy másik is.
    Úgy tűnik, mindketten éltek a szabad jogukkal, hogy tökpitét egyenek. Egyikük azonban négy ember jogát sértette meg abban, hogy egy egész szelet pitét kaphasson."
    cnBEcq-JNX.jpg (630×690)

  • Annyi kibaszott troll van, hogy ha nem vigyázol, ellehetetlenítik, szétbasszák a rendszert.
    (Erre szerintem nem az a jó válasz, hogy ,,akkor legyen kevesebb szabadság". Kezelni viszont muszáj ezt a jelenséget.)

Nem presszionál, csak felhívja rá a figyelmedet, hogy ahogy ők megtalálták, más is megtalálhatja.

Ezzel nem veszíted el a szabadságodat. A saját hülyeségedtől próbálnak megvédeni. Gondolom tele van már a faszuk a sok balfasszal, akik utána meg sírnak, amikor takelik az accjukat vagy visszaélnek vele.

akkor ez is megtalálható, mert benne van az előző hozzászólásodban

Feltételezem nem így értelmezik a megtalálhatót. A loginoddal / email címeddel együtt megtalálható, esetleg része direkt ilyen célra karban tartott adatbázisnak.
A data breach-ek egyik legkellemetlenebb következménye, hogy sosem tudod, milyen adataid szivároghattak ki - ezeket akár később is valaki megtalálhatja és visszaélhet vele. Most végre valaki ennek preventíven elébe megy. Ez nem zaklatás, és nem csak téged érint: a hülyeséged miatt téged megszemélyesítve másokat megtéveszthetnek, átbaszhatnak.
Csodálkozom, hogy éppen te nem érted ezt. Így legalább nincsenek illúzióim a populáció műszaki analfabéta részének ez irányú tudatosságával kapcsolatban.

Nekem a gyámkodással van problémám. Nem, ne akarják ellehetetleníteni, hogy elüssön a vonat. Ha elüt, az a tudatos döntésem. Ezért mondom, hogy a szabadság elvétele, mert megmondják, mi helyes és mi nem. Szerintük. Attól élem az én életem, hogy én döntöm el, mi a helyes, nem helyettem más. Ez az egyén degradálása, gyámkodás fölötte, a szabadságától való megfosztás.

Azért veszélyes irány, mert van egy felsőbb hatalom, jelen esetben a nagy tech. cégek managerei, akik kisajátítják maguknak azt a jogot, hogy mindenki helyett eldöntsék, hogyan kell helyesn élni. Mi lesz a következő? Ideológia? Világlátás? Politikai állásfoglalás? Hit, ideértve az ateizmust is?

Ne védjen meg a hülyeségemtől, mert az szerinte hülyeség csupán.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Egyik oldalról azt vallom, hogy felnőttként kell kezelni az embereket, és akkor egy napon talán valóban felnőnek, és felnőttként fognak viselkedni.

A másik oldalról viszont azt is látni kell, hogy amikor júzerek hatalmas tömegét kell kezelned, és annak akár csak egyjegyű százaléka legyen balfasz, az mekkora mocskos nagy idegtépő meló. Nyilván mederben akarják tartani a szart. Szerintem ez nem gyámkodás. A google számomra különösen azért szimpatikus, mert nem döntik el helyettem ezeket a dolgokat. Lehetőség van opt-out-olni, vagy ignorálni. Ők a default-okat lövik be úgy, hogy a balfasz lehetőleg eleve a kevésbé rögös útra lépjen. IGEN, ezek a dolgok NEM NEKED vagy nekem szólnak. Ugyanakkor csúsztatás azt állítani, hogy rám erőltetnének valamit. Politikai állásfoglalást belekeverni abba, hogy figyelmeztetnek security risk-ekre, ez pedig teljesen nonszensz.
Azt gondolnám, hogy ezeket a dolgokat éppen egy tech beállítottságú ember a helyén tudja kezelni.

Gmail-en van a teljes levelezésem. Soha nem éreztem még, hogy bármivel traktálna a google.
A security alert-jeik (új bejelentkezés történt dömdöröm ípécímről...) szerintem rendben vannak a mai világban. Nem esik nehezemre nyomni rájuk egy Del-t.
Azt valóban érezni néha, hogy tolnak valami fele. Pl. a TOTP felől a notification-alapú 2FA-ra. Ezekben a dolgokban azonban nem ,,érdeket" vélek felfedezni. Szerintem inkább a faszuk van tele a sok balfasz júzer bénázásával. Arrafele tolnak, amiből a legkevesebb kérdés, baszakodás fog születni.

Nem lehet, hogy nálad valamiféle tünet ez a paranoia?

( Nyosigomboc v | 2025. 06. 03., k – 10:02 )

Ha van gmail/youtube/whatever G-s accountod, akkor ha hashelve taroljak (100%) is idonkent hozzajutnak a jelszavadhoz, amikor belepsz. Ilyenkor le tudja ellenorizni, hogy a jelszavad es a feltort weboldalakrol szarmazo sozott hash egyezik-e, es tud ertesiteni.

Lehet, hogy nem azonnal ertesit,  ha nem tudjak, hogy melyik jelszo tartozik meg hozzad, akkor vegig kell szamolnia mindet, ami eltarthat egy ideig ha hosszu a pipeline.

A strange game. The only winning move is not to play. How about a nice game of chess?

Te amúgy érted amit írsz? 
Kicsit olyan érzésem van, mint amikor nők által írt recept alapján próbálnék főzni, és idegbajt kapok tőle, h az illető h nem volt képes a saját irományát "külsö" szemmel elolvasni és nem veszi észre, h kb érthetetlen amit közreadott. 

> Ha van gmail/

Van

> akkor ha hashelve taroljak 

Kikről van szó és mit?

> idonkent hozzajutnak a jelszavadhoz

Mi az h hozzájutnak? Kik? Mi az h időnként?

> amikor belepsz

Mi van?

>  Ilyenkor le tudja ellenorizni

Ki tudja leellenőrizni?  Miről van szó? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A normál digest authentikáció során (ami kb a HTTP Basic authtal egy idős) a szerveren clear-text kell tárolni a jelszót. Ha hasheled akkor meg a klienstől is a hash kell, de ebben az esetben a támadó a hash ismeretében is be tud lépni, nincs szüksége a jelszóra, azaz ilyenkor a hash lényegében a jelszó a protokoll felől nézve. Mindenképp szükséged van egy közös titokra amivel a szerver oldalról bárki meg tud személyesíteni. Egy Kiss Pista Bt webshop esetén ez nem akkora gáz, de egy Csak Milliárdosoknak Svájci Bank Zrt. esetén már lehet szempont.

A SCRAM ad erre megoldást, de én még nem láttam sehol sem használni. Ebben az esetben is több mindent kell a szerveren tárolni de a jelszó nem szükséges.

Mert úgy múködik. A fentebb linkelt wikin is írják.

However, this presents a problem for many (but not all) challenge-response algorithms, which require both the client and the server to have a shared secret. Since the password itself is not stored, a challenge-response algorithm will usually have to use the hash of the password as the secret instead of the password itself. In this case, an intruder can use the actual hash, rather than the password, which makes the stored hashes just as sensitive as the actual passwords. SCRAM is a challenge-response algorithm that avoids this problem.

Az Apache oldaláról (https://httpd.apache.org/docs/2.4/mod/mod_auth_digest.html):

This module implements HTTP Digest Authentication (RFC2617), and provides an alternative to mod_auth_basic where the password is not transmitted as cleartext. However, this does not lead to a significant security advantage over basic authentication. On the other hand, the password storage on the server is much less secure with digest authentication than with basic authentication. Therefore, using basic auth and encrypting the whole connection using mod_ssl is a much better alternative.

Nem pontosan így működik (nagyon nem), de a logika talán érthető:

  • A szerver elküld neked egy egyedi challenge-et, egy random stringet és küldd vissza a hash( challenge + password ) eredményét.
  • Te megcsinálod, a neten csak ez a hash megy át amiből a jelszó nem található ki.
  • A szerver kap egy bithalmazt, amiről el kell döntenie hogy jó-e. A challenge értékét ismeri, ahogy a hash algoritmust is, de kell neki még a jelszavad is hogy elő tudja állítani az eredményt. Mivel a neten nem megy át a jelszavad még titkosítva sem, ezért helyileg kell tudnia előkotornia.

A SCRAM ezt bonyolítja el egy kissé hogy a jelszó mégse legyen letárolva, de Digest auth az még RFC2617, míg a SCRAM RFC5802, jóval későbbi.

De most pont arról volt szó amikor a jelszó nem utazik egyáltalán a dróton. Amikor átmegy a jelszó - TLS-ben - akkor utána egy salted hash-ben letárolhatod és bejelentkezéskor ugyanazzal megsózva a kapott jelszót tudod ellenőrizni hogy ugyanaz a végeredmény. Ez tiszta, de én erre reagáltam: "hanem egy "kodolt" valtozata, igy a server sosem tudja meg a jelszavad".

Akkor ponrtosítom: a szerveren clear textben kell tárolni azt a karaktersorozatot, amit a kliens felől érkező adat helyességének vizsgálatához szükséges. Teljesen mindegy, hogy a P megy át a dróton, és a szerver oldalon is a P van tárolva, vagy S=f(P,s) megy át, és a szerver oldalon is az S=f(P,s) van tárolva. 

Ez rendben is volna. De nekem az email címemre négy találatot hoz, ebből egy valós site (MyHeritage), a többi pedig valami összesített pool, Telegram channelből kikerült adatok (nem használok Telegramot), egy LeadHunter, és egy Collection nevű (két utóbbi 2019 illetve 2020-ból). Szerintem itt kikerültek listák, amelyek email címet biztos tartalmaztak, jelszót meg vagy igen, vagy nem, de azt legalább nem tudni, hogy honnan.

( BehringerZoltan | 2025. 06. 03., k – 20:29 )

Mindenesetre le lettek cserélve a jelszavak. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

( kovi | 2025. 06. 03., k – 20:59 )

Szerkesztve: 2025. 06. 03., k – 21:00

Nemide

Vortex Rikers NC114-85EKLS

( end | 2025. 06. 04., sze – 06:15 )

Ezzel kapcsolatban jutott eszembe.., használta valaki közületek ezt a szolgáltatást? (Jó, pénzbe kerül, de... :) ) Pl. ilyen esetben képes lenne eltávolítani az ilyen listákban megjelenő személyes adatokat is? - Van tapasztalat a hatékonyságáról?

https://incogni.com/

( YleGreg | 2025. 06. 04., sze – 08:38 )

Régen csak ezt a hibaüzenetet kellet implementálni: Ez a felhasználói név már foglalt, kérjük válasszon másikat.

De most a webprogramozók elkezdhetnek dolgozni ezen: Ez a jelszó már foglalt, kérjük válasszon másikat. :-)

"– Kérem, adja meg jelszavát!
 Alma.
 Sajnálom, a jelszónak legalább 8 karakterből kell állnia.
 Reszeltalma.
 Sajnálom, a jelszónak tartalmaznia kell legalább egy számot.
 50reszeltalma.
 Sajnálom, a jelszónak legalább egy nagybetűt kell tartalmaznia.
 50ROHADTreszeltalma.
 Sajnálom, a jelszóban nem követhetik egymást nagybetűk.
 50,Rohadt,Reszelt,Alma,Feldugva,A,Seggedbe.
 Sajnálom, a jelszó nem tartalmazhat írásjeleket.
 50RohadtReszeltAlmaRohaggymegHaNemFogadodElEztSe.
 Sajnálom, a jelszó már foglalt!"

:)

forrás

Az elég nagy baj volna. Éppen ezért nem egyetlen kód a login, hanem egy látható részre - login name - és egy nem publikus részre - password - van bontva. A login name egyedi, de megismerhető, egyedisége ellenőrizhető, a password nem egyedi, az ütközhet. Ha ütközésnél figyelmeztetést küldünk arra, hogy van már ilyen, máris szereztünk egy valid jelszót, lehet próbálkozni vele.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE