Egyes mentett jelszavait megtaláltuk az interneten

Security-all

Google-töl jött az email. És összeszedte, h milyen oldalakon van ugyan az a jelszó.  Mégis honnan tudja a google, h melyik oldalon mi a jelszavam? És mi az a gennyes duma h megtalálták az interneten? 

  • 3002 megtekintés

Thx! 

Vivaldit használok, annak a felhős jelszótárolójában (sajátjuk van, nem a googlét hasznalja) szerepelnek a jelszavak titkosítva. De ha ahhoz hozzáfértek volna és azt megtörték volna, akkor minden jelszó kitudódott volna, nem csak néhány. 
HUP-os jelszó is érintett - legalábbis tudja, h ugyan az a jelszó máshol! Meg egy sor nagy site jelszava is. 

 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

1. Mégiscsak kérdés, hogy a hup-os pw valóban ua mint (rnd) máshol. Igen/nem. Tanulságos lehet, egyetlen szóval tudsz segíteni másoknak.

2. man hash

3. Valahol beszoptad a “jelentkezz be Google fiókkal” dumát, onnantól egy pw lista és csá, össze lehet fésülni.

4, Inkább megyek aludni, szóval nem egy atomfizika. Katika néninek is azért jön méretes lábszár méretű lőcs reklám mindenütt, mert be volt jelentkezve valahová gmail segedelmével,  ahol erre keresett. S így tovább, ezen az úton. Vagy valami oldal G cookie barát, miközben a Vivaldi tudja ki vagy.

Ui annyiból nem rossz dolog ez, hogy a nullskilleseket óva inti.. ha nem fogyatékosok pl.

Vortex Rikers NC114-85EKLS

Igen, valóban az. Rémisztő. 

nullskilles kérdések:

>  man hash

Mán h a fullskilles elgondodolásod szerint a hash-elt jelszó a különzö oldalakon pl. Drupal és egyéb oldalak ugyan az lenne, és így a jelszó ismerete nélkül is megállapítható az azonosság?

> Valahol beszoptad a “jelentkezz be Google fiókkal” dumát, onnantól egy pw lista és csá, össze lehet fésülni.

Kérhetem értelmesen? pl. Milyen "pw listáról" van szó? 

> Vagy valami oldal G cookie barát, miközben a Vivaldi tudja ki vagy

Kérhetem értelmesen? 

> ha nem fogyatékosok 

LOL

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Mán h a fullskilles elgondodolásod szerint a hash-elt jelszó a különzö oldalakon pl. Drupal és egyéb oldalak ugyan az lenne, és így a jelszó ismerete nélkül is megállapítható az azonosság?"

Nagyon remélem, hogy salt nélkül már senki nem tárol jelszavakat. Persze az egyedi jelszó is alap lenne, szóval ki tudja.

Részemről arra tippelek, hogy sokévtizedes jelszó, ami valamikor mégis elkerült a Google-höz.

Azért amikor jelszóváltoztatáskor azt a hibaüzenetet kapja az ember, hogy az új jelszónak legalább n darab karakterben el kell térnie az előző x darab jelszótól, az azért elég gyanús.

Persze nem 100%, de azért izé.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ez helyesen implementált esetben úgy szokott működni, hogy a jelszóváltoztatás egy olyan művelet, aminek két inputja van: a jelenlegi jelszó, meg az új jelszó. A jelenlegi jelszót egyrészt hasheli, és összehasonlítja az adatbázisban lévő hash-elt értékkel, nyilván elvárt az egyezés. Másrészt a jelenlegi jelszót ahogy megkapta plain text-ben hasonlítja az új jelszóhoz, és akkor már lehet vizsgálni, hogy mennyire is új az új.

A pontos egyezést tudja vizsgálni, ha az előző jelszavák hash-ét is eltárolja a szerver. Ez pl. a Windows Active Directory-ban 25 éve alapbeállítás, ha jól emlékszem több mint 20 előző jelszó hash-t tárol. És nem, nem tudod kipörgetni őket 1 másodperc alatt, mert arra is van beállítás, hogy legalább mennyi időnek kell eltelnie két jelszóváltoztatás között.

Ha arra gondolsz, hogy elegendően sok karakterben legyen eltérő az összes előzőtől, azt nyilván nem lehet ezzel a módszerrel kezelni.

Ha arra gondolsz, hogy elegendően sok karakterben legyen eltérő az összes előzőtől, azt nyilván nem lehet ezzel a módszerrel kezelni.

Erre gondoltam. Amúgy erre való a visszafejthető titkosítással tárolás. De azt kulturhelyen nem szeretik bekapcsolni, mert ha onnan kikerül az előző 20 jelszó, az még fájdalmasabb.

-Regisztrálsz és/vagy bejelentkezel gmail szolgáltatásokkal a Részeges karatemester és társa Bt. webshopjába. A webshop hanyag és a begépelt jelszavad eltárolja, esetleg plain textbe :D ahogy kell. Felnyomják a webshopot, viszik a jelszavakat amik bekerülnek egy közkézen forgó jelszólistába. Az utolsó amit láttam valami 3giga körüli plaintext volt. A G kétsoros programja pedig egész sűrűn végigszkenneli ezt a rengeteg sztringet és ha egyezést talál, akkor jelez neked.

-Nem gmail accoddal jelentkezel be, de a gmail címeddel regisztrálsz. Sajnos ipari mennyiségben látni olyat, hogy a mailcím jelszavát gépeli a delikvens.

-Ha egyik sem ilyen ^^ felállás, akkor az is lehet, hogy a Köcsög és társa bt. valójában G tartományban van, honlappal mindennel. Ha ugyanazt a jelszót adtad meg náluk mint a saját mailcímedét, elsőként a G fog tudni róla.

-A Vivaldiban nem tudom hogyan van, de fixme a megnyitott tabok simán átláthatnak egymáshoz.

-Nagyon hasznos szolgáltatása a G-nek ez a warning, de csak akkor ha a figyelmeztetett tag nem szefós. Nekem legutóbb a feleségem volt figyelmetlen, de a warning valós egyezést mutatott. Megtettük a szükséges jelszócserét ill. amit lehetett két faktorra állítottam. A szefósokat viszont nem igazán érdekli az ilyesmi. A leginkább fárasztó válaszok a "és akkor mi van", "nekem nincs semmi dugdosnivalóm", "a bankhoz úgysem férhetnek hozzá", "vigyék ami kell nekem nincs semmi olyanom", "leszarom akkor majd megyek a rendőrségre ha baj lesz belőle" stb.

Bónusz: ha ghecchi lennék, megvenném a gmail.hu levelezési tartományát és begyűjteném a gmail.com accokat, majd eladnám kilóra. Vinném a hozzá kapcsolt facebook fiókokat mindent. A világért sem akarok tippeket adni a khm.. "kockázati befektetőknek" :D, sokkal inkább figyelmeztetést a lehetséges áldozatoknak. Annyi hülyét láttam, aki gmail.hu-ra gépeli a fióknevet és jelszót, vagy kapkodásában a levélkliensben ezt állítja IMAP címhez. Tehát a lehetőség egészen valós. 

Bárhogyan is, az ilyen jelszómizériában mindig az emberi tényező a ludas. Jó esetben az áldozat figyelmetlenségéből adódóan, rossz esetben a csalók szándékából.

Vortex Rikers NC114-85EKLS

Bónusz: ha ghecchi lennék, megvenném a gmail.hu levelezési tartományát és begyűjteném a gmail.com accokat, majd eladnám kilóra

miből lenne pénzed rá? a google se tudta megvenni a tulajdonostól annak idején. de hajrá! bohóc

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Regisztrálsz és/vagy bejelentkezel gmail szolgáltatásokkal a Részeges karatemester és társa Bt. webshopjába. A webshop hanyag és a begépelt jelszavad eltárolja, esetleg plain textbe :D ahogy kell. 

Szerintem ez pont nem lehet. Ha a g szolgáltatással lépek be az autentikáció pont nem a részeges bt oldalán zajlik, hanem google aaját felületén. a résheges bt bem lát semmiféle jelszót, főként nem plain text jelszót.

De majd kijavítanak az okosok, ha rosszul gondolom.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Részben jogos, hiszen én is pongyolán fogalmaztam. Akkor már működik, ha nem a G bejelentkező oldala/ablaka jön be, következésképpen a webshop kéri az adatot és majd ő próbálja átadni a G-nek. Tavaly az évvégi rohanásban jött szembe ilyesmi csoda, talán szlovák területről, nem emlékszem már rá pontosan. Egyszerű lenne rákiáltani, hogy adattolvaj csaló, de egy látszólag működő cucc volt, vadászattal/sportlövészettel összekapcsolva. Utóbbira volt kihegyezve, nem adathalászatra, pedig arra is alkalmasnak tűnt.

Vortex Rikers NC114-85EKLS

No ilyennel én még szerencsére nem találkoztam. Tapasztalatom szerint az a cég anelyik képes implentálni a g authot az oldalába már megugrott egy szintet, ami biztató. Az, hogy ez már egy jó szintet jelent az pedig elkeserítő...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Mondjuk az is elég meredek lenne, ha egy noname senki oldalán kellene megadnom a google account email címet + jelszót, és ők majd azt valahogy továbbproxizzák(?) valahogyan a google felé.

Ennél már csak az volt extrémebb, mikor a visa 3dsecure bevezetésekor (2018 környékén?, már nem emlékszem) jött a kártyás fizetés valamelyik weboldalon. Aztán mikor a kártyaadatokat megadtam, felugrott egy címsor nélküli pop-up ablak, ahol a netbankos belépési adataimat kérte. Mondom wtf, adjam meg a teljes netbank loginomat egy kitudja milyen oldalnak csak mert kártyával fizetnék, h. utána leemeljenek róla minden pénzt?! Ráadásul a címsort elővarázsolva valami gpp-s teljesen ismeretlen domain volt látható. Aki nem keres utána, az életben nem fejti meg h. ez egy legitim szolgáltatás.

Számomra a password reusage a rémisztő.
Soha ne használd ugyanazt a jelszót különböző helyeken.
Üdvözlendő, hogy elkezdődött az erre való figyelemfelhívás.

Nálam ez úgy van, hogy külön random generált jelszó van mindenhová. Ezeket egy password manager (Bitwarden rulz) tárolja.

Még 1x: nincsenek illúzióim. Annyit vártam volna, h. szekusok közül valami dep. head-nek elmegy a levél, és megköszöni h. jó ötletek, esetleg valamit érdemben reagál is. Ha már a pénzemmel hazardíroznak, és nem szorítja a töküket az MNB elég lilára.

Nem baj.

Nem csak olyan kérdéseket tettem fel itt, ami a háttér szeku rendszereik titkait fedné fel, ha elárulnák a választ.

Kérdeztem token / hardver kulcsos használat lehetőségét is. Kérdeztem bankfiók-hoz kötött személyes megjelenést igénylő nagyösszegű tranzakció bebiztosításának lehetőségét is. Mindet leszarták reagálni rájuk.

Persze, majd a ~80+ webshopban mindenhol különböző jelszót fogok használni.

Szerintem sokkal fontosabb, hogy mindent olyan fontossággal kezeljünk, amit érdemel. Google fiók külön jelszó, bank külön jelszó, ügyfélkapu külön jelszó, de MINDENHOVA teljesen felesleges külön jelszót használni. Egyébként ahol 2FA van, ott még a külön jelszó sem annyira fontos.

Bár én már nagyon-nagyon szeretnék eljutni oda, hogy a gépbe dugott fizikai kulcs azonosítson, és ne a jelszavak.

Amelyik account nem fontos oda persze minek! De most annyira problémás egyszer megadni az egyedi jelszót amit utána automatikusan beír Foo-épptémabeli.ooF plugin, böngésző, stb? Ha nagyon secure akarsz lenne fejedben tartasz pár jelszórészt, különb a kritikus rendszerekhez, külön közepesen fontosakhoz, külön leszarom.de.azért.ne.törjékfel accountokhoz és azokat mindig manuálisan írod be az automatikusan szinkronizált jelsző közepébe (lehetőleg ne a végére). És ehhez jön a 2FA, aminek azért szintén vannak árnyoldalai. Egy elvesztett vagy összetört mobil authentikátorral a legjobb út az accountod elvesztéséhez. 

Egy elvesztett vagy összetört mobil authentikátorral a legjobb út az accountod elvesztéséhez.

Yubikey-nél ezt érdekesen oldották meg: az OTP-s authenticator-nál az auth app futhat bárkinek a telefonján, mert magát az OTP-t a security key számolja és adja ki az app-nak. Ergo ha a telefon tört össze, de a security key megvan, akkor bármilyen nfc-képes telefont használható 1 gyors loginre. A security key-ből is persze kell 2, ha az egyik elveszne / összetörne. De az amúgy egy strapabíróbb kütyü, mint 1 nagyképernyős telefon.

Nyilván mindent a megfelelő fontossággal kell kezelni. De ha már öt helyre tudok egyedi jelszót generálni, akkor tudok 205 helyre is. Nem cél, hogy kézzel kelljen beírni. Kézzel beírós jelszóm csak email-re van (bár erre is ritkán van szükség), a PC login-hez, valamint a password managerhez (itt jelszón kívül vannak más azonosítási lehetőségek is, így gyakorlatilag ez is fallback).

A fizikai kulcs nem elég generális.

Szerintem jó ötlet, amit az OTP csinált a QR kódos beléptetéssel: generál egy QR kódot, amit a telefonoddal lepittyentesz, és be is léptél. Olyasmi megoldás, mint a SQRL.

Szerencsére nem csak a LastPass van. Igen, ők valóban balfaszok voltak.

Bitwarden rulz.
Ha nem tetszik, még mindig használhatsz local-t, drive-on, dropbox-on, syncthing-en keresztül szinkronizálva a blob-ot.
Vagy használhatsz local only-t.

Igazából a LastPass breach se azonnali és közvetlen veszélyt jelentett. Csak a régen elmentett jelszavaid, amik még szarul voltak salt-olva, úgymaradtak. Nem forgatták be őket újra a szabályok szigorításaikor. Ezek vannak elméleti veszélyben. De plaintext jelszó tudtommal ott se került ki.

Nem amatőr lámerek a Logmein-es fiúk, ma már goto. Dolgoztam velük, szerencsére pont nem lastpass-on :)

A Chrome beépített jelszókezelője a legbiztonságosabb megoldás. Biztonságban a Google mindig kiemelkedett. De tervezem én is elhagyni a Chrome-ot mint elsődleges böngészőt. Ennek oka elsősorban az API változtatás miatt ellehetetlenített uBlock origin. De a jelszókezelés eszközök közötti szinkronizálását nem adom át egy kisebb társaságnak a kezelésébe. 

Azért szeretem a Bitwarden-t, mert univerzális. Böngészőn kívül is működik. Pl. Android appokban. Meg lehet tenni default jelszókezelőnek, szépen integrálódik.

LogMeIn-nel nincs tapasztalatom. LastPass fiaskó után nekem a Bitwarden lett szimpatikus. Oda migráltam.
Mindenesetre bármelyik jobb választás, mint a password reusage.

Én sem tudom, nem szakmai állásfoglalás volt részemről, hanem csak tényközlés. Egyébként jó lenne leválni a Googleról, és itt pl. lehet. Elégedetten használom a Vivaldit. Sync működik faszán - nagy könyebbség. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Mondjuk böngészőbe én se mentek jelszavakat, egyikben sem. Bár nem bizalmi oka van, csak szerintem nem elég generális. A webes jelszavak csak egy részhalmazát adják az összes jelszónak. Valamint cross-browser sem szinkronizálódnak. Ezért részesítem előnyben inkább a password managert.
(Bele lehet kötni persze mindenbe, de szerintem egy pw manager még mindig nagyságrendekkel jobb, mint a password re-usage.)

( zrubi v | 2025. 06. 03., k – 09:29 )

szerintem először vond le a (számodra) hasznos következtetéseket:

1. ne használj ugyan olyan jelszót több helyen :)

2. ne mentsd el a böngészőben a jelszavaidat (és teljesen mindegy hogy hívják a böngészőt ;)

3. nagy valószínűséggel az egyik általad látogatott oldalt valamikor megtörték, és megszerezték a password adatbázist. Aztán ennek eredménye bekerült egy 'publikus' adatbázisba, mások meg rápróbáltak más oldalakra is a megszerzett adatokkal, és kiderült hogy nem tartod be az 1. és 2. pontot ;)

 

Ha ezeket a problémákat megoldottad, utána lehet 'továbbtanulni' hogy ilyesmi ne forduljon elő legközelebb.

(aztán persze ez a loop kezdődhet előről, mert ugye senki nem tartja be őket 100%-ban, és amíg lesznek jelszavak, addig azok - előbb vagy utobb -  ki is kerülnek a zinternetre)

 

szerintem.

zrubi.hu

Mindenképpen nagyszerű h segítesz levonni az általad számomra fontosnak tartott következtetéseket, amik nem csak a problémát segítenek megoldani, de a zinterneten való létezésemet is nagymértékben megkőnnyítik. Köszönet érte és továbbra is számitok a támogatásodra! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Speciel ebben az esetben a Google a kvázi jófiú. Más kérdés h ha tovább árnyáljuk a dolgot akkor azért felvethető h a user beparáztatása 10 évnél régebben kiszivárgott jelszavak miatt nehezebben értéklehető emberbaráti cseéekedettnek. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nem így kell felfogni. Nem kémkednek utánad. Téged az zavar, hogy szembesítenek vele, ha balfasz voltál.
Pszichológiailag nehéz helyzet, amikor lebukás van és elkerülhetetlen, hogy az ember szembenézzen saját magával. Ugyanakkor ez egyben lehetőség is: nem a múlt hibáin kell pörögni, helyette jövőorientáltan kell hozzáállni, és fejlődni, tanulni belőle.

Inkább örülni kellene, hogy valaki figyelmeztet, ha egy egyszerű kereséssel megtalálható a neten a jelszavad.

Ha a jelszavam mondjuk az, hogy „egy egyszerű kereséssel megtalálható”, akkor ez is megtalálható, mert benne van az előző hozzászólásodban. Nem az a lényeg, hogy ne legyen megtalálható, hanem az, hogy ne tudják, mi a jelszó. Tehát nem balf.ság, mert ki-ki maga dönti el, milyen jelszót választ, legyen akár egy üres string is, még annak is lehet létjogosultsága. Marhára tudatos döntés. Ne csak bankban gondolkodj, hanem lehet saját gépeden, csak lokálisan elérhető virtuális gép például.

Amit a Google csinál, az zaklatás. Ne szóljon bele a döntéseimbe, ne presszionáljon! Így veszítjük el a szabadságunkat, mert lassan semmiről sem magunk hozunk döntéseket, csupán elvárásokat teljesítő robotokká silányítanak. Te meg épp ennek örülsz. Nem lepődöm meg, mert manapság nincs igény a szabadságra.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ehhez van jogod, csak root joggal kell kiadni a passwd parancsot. Nem erről beszéltem, hanem arról, hogy ne zaklasson egy cég kéretlenül, ne presszionáljon, ne küldözgessen spam-eket nekem - mondjuk nekem nem tud, mert nincs Gmail címem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerintem ennek az égvilágon semmi köze nincs a szabadsághoz.

Mellékszál, hogy mindig a Szabadjon! volt a jelszavam.
Az egyetemen tárgyakat vettem fel, amik a szabadság filozófiájával, vagy a szabadságjogokkal foglalkoztak.
Az évek során azonban tapasztaltam pár dolgot, amik mellett nem lehet elmenni, amikor az elméletet gyakorlatba akarjuk ültetni. Kettőt kiemelnék:

  • Téves szabadságértelmezés.
    ,,Egy ember vágott magának egy szeletet a pitéből, és egy másik is.
    Úgy tűnik, mindketten éltek a szabad jogukkal, hogy tökpitét egyenek. Egyikük azonban négy ember jogát sértette meg abban, hogy egy egész szelet pitét kaphasson."
    cnBEcq-JNX.jpg (630×690)

  • Annyi kibaszott troll van, hogy ha nem vigyázol, ellehetetlenítik, szétbasszák a rendszert.
    (Erre szerintem nem az a jó válasz, hogy ,,akkor legyen kevesebb szabadság". Kezelni viszont muszáj ezt a jelenséget.)

Nem presszionál, csak felhívja rá a figyelmedet, hogy ahogy ők megtalálták, más is megtalálhatja.

Ezzel nem veszíted el a szabadságodat. A saját hülyeségedtől próbálnak megvédeni. Gondolom tele van már a faszuk a sok balfasszal, akik utána meg sírnak, amikor takelik az accjukat vagy visszaélnek vele.

akkor ez is megtalálható, mert benne van az előző hozzászólásodban

Feltételezem nem így értelmezik a megtalálhatót. A loginoddal / email címeddel együtt megtalálható, esetleg része direkt ilyen célra karban tartott adatbázisnak.
A data breach-ek egyik legkellemetlenebb következménye, hogy sosem tudod, milyen adataid szivároghattak ki - ezeket akár később is valaki megtalálhatja és visszaélhet vele. Most végre valaki ennek preventíven elébe megy. Ez nem zaklatás, és nem csak téged érint: a hülyeséged miatt téged megszemélyesítve másokat megtéveszthetnek, átbaszhatnak.
Csodálkozom, hogy éppen te nem érted ezt. Így legalább nincsenek illúzióim a populáció műszaki analfabéta részének ez irányú tudatosságával kapcsolatban.

Nekem a gyámkodással van problémám. Nem, ne akarják ellehetetleníteni, hogy elüssön a vonat. Ha elüt, az a tudatos döntésem. Ezért mondom, hogy a szabadság elvétele, mert megmondják, mi helyes és mi nem. Szerintük. Attól élem az én életem, hogy én döntöm el, mi a helyes, nem helyettem más. Ez az egyén degradálása, gyámkodás fölötte, a szabadságától való megfosztás.

Azért veszélyes irány, mert van egy felsőbb hatalom, jelen esetben a nagy tech. cégek managerei, akik kisajátítják maguknak azt a jogot, hogy mindenki helyett eldöntsék, hogyan kell helyesn élni. Mi lesz a következő? Ideológia? Világlátás? Politikai állásfoglalás? Hit, ideértve az ateizmust is?

Ne védjen meg a hülyeségemtől, mert az szerinte hülyeség csupán.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Egyik oldalról azt vallom, hogy felnőttként kell kezelni az embereket, és akkor egy napon talán valóban felnőnek, és felnőttként fognak viselkedni.

A másik oldalról viszont azt is látni kell, hogy amikor júzerek hatalmas tömegét kell kezelned, és annak akár csak egyjegyű százaléka legyen balfasz, az mekkora mocskos nagy idegtépő meló. Nyilván mederben akarják tartani a szart. Szerintem ez nem gyámkodás. A google számomra különösen azért szimpatikus, mert nem döntik el helyettem ezeket a dolgokat. Lehetőség van opt-out-olni, vagy ignorálni. Ők a default-okat lövik be úgy, hogy a balfasz lehetőleg eleve a kevésbé rögös útra lépjen. IGEN, ezek a dolgok NEM NEKED vagy nekem szólnak. Ugyanakkor csúsztatás azt állítani, hogy rám erőltetnének valamit. Politikai állásfoglalást belekeverni abba, hogy figyelmeztetnek security risk-ekre, ez pedig teljesen nonszensz.
Azt gondolnám, hogy ezeket a dolgokat éppen egy tech beállítottságú ember a helyén tudja kezelni.

Mindegy, nincs vele dolgom, nincs Google fiókom, nincs Gmail címem, nincs Androidom, s nem használom a Google térképet és a Google keresőt sem. Néha a YouTube-ot igen, de nem belépve, hiszen nincs hova belépni. Ha életkor korlátos a tartalom, akkor így jártam, nem nézem meg, számomra az nem létezik. Mit veszítek vele?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerintem elég ritkán járnak a MÁV vonatok olyan kis utcákban amelyek pontatlanul szerepelnek az OSM térképeken de GMaps-en pontosan. Illetve ha véletlenül ott "járnak" az már régen rossz. De, hogy valamit hozzak az OSM mellett is, amiben az jobb, sípályákban erdei túrautak tekintetében az OSM jobb, illetve 3 éve még jobb volt. 

Igy van, főleg ha kitekintünk a kis tech buborékunkból:

  Kötelező biztonsági Öv? Minek az.

  Mi az hogy leszabályozzák hogy mennyivel megyek az utakon?

  Mi az hogy KRESZ?

  Mi az hogy kötelező földelt vagy kettős szigetelésű elekrtomos készülékeket árulni?

  Mi az hogy kéményvizsgálat?

  Mi az hogy kötelező kanyaró elleni oltás a gyereknek?

  Mi az hogy nem verheted le a szomszéd gyengébb fickót ha tetszik a nője?

Jalos

Kifelejtetted, hogy egy virtuális világról beszélünk! 
 

"  Kötelező biztonsági Öv? Minek az."

Igen minek?! Meghal a karaktered a játékban. Na és?! Visszatöltöd az legutolsó mentést és folytatod onnan. 

"  Mi az hogy leszabályozzák hogy mennyivel megyek az utakon?"

Egy játékban pont az adja az élményt általában, hogy megszeged a sebességhatárt. Igen hallottam arról a szubkultúráról, akik valami online szimulációban vezetnek vonatokat minden szabálynak megfelelően. De az egy niche réteg. 

"  Mi az hogy KRESZ?"

Vannak erre is vezetésszimulátorok. Többségüknek a grafikája pocsék és a 2000-es évek játékvilágát idézik. De ha valaki tud olyan kresz szabályokat pontozó vezetésszimulátort aminek a grafikája megközelíti a mai szintet érdekel.

"  Mi az hogy kötelező földelt vagy kettős szigetelésű elekrtomos készülékeket árulni?"

Erre is van szimulátor már. Azokon kívül meg hagyjál már ezzel a hülyeséggel!

"  Mi az hogy kéményvizsgálat?"

Nos elárulom neked, hogy ez a játékvilágon kívül a valós világban sem kötelező családi házaknál. A te felelősséged. Ha nem akarod nem kell ellenőrizned. Egyébként adott periódusonként ingyen van ha megrendeled. Egyébként csak társasházakban kötelező, mert ott a szomszédod egészségét is veszélyezteted ha nem ellenőrzöd a kéményedet. 

"  Mi az hogy kötelező kanyaró elleni oltás a gyereknek?"

lásd korábbiak

"  Mi az hogy nem verheted le a szomszéd gyengébb fickót ha tetszik a nője?"

hát semmit sem tanultál a GTA5-ből?! :)

A kulcsmomentum, hogy itt egy virtuális világról beszélünk. Vehetjük akármennyire komolyan akkor sem a valóság. Ma már sok tekintetben befolyásolja a valóságot, de még így sem valóság. 

Ezért rossz az összes "példa" amit idecitáltál. 

Elfelejtetted az első mondatomat idézni ("Igy van, főleg ha kitekintünk a __kis tech buborékunkból__:"), de a többi pontos vagy kevésbé pontos példára legalább volt bőven időd reagálni.

De ha neked az összes pénzed megléte vagy elvesztése ugyanannyi mint egy szimulátorban vagy GTA V-ben akkor hajrá! Való igaz hogy a lemmingeket nem lehet megmenteni.

Jalos

Gmail-en van a teljes levelezésem. Soha nem éreztem még, hogy bármivel traktálna a google.
A security alert-jeik (új bejelentkezés történt dömdöröm ípécímről...) szerintem rendben vannak a mai világban. Nem esik nehezemre nyomni rájuk egy Del-t.
Azt valóban érezni néha, hogy tolnak valami fele. Pl. a TOTP felől a notification-alapú 2FA-ra. Ezekben a dolgokban azonban nem ,,érdeket" vélek felfedezni. Szerintem inkább a faszuk van tele a sok balfasz júzer bénázásával. Arrafele tolnak, amiből a legkevesebb kérdés, baszakodás fog születni.

Nem lehet, hogy nálad valamiféle tünet ez a paranoia?

Nem lehet, hogy én vagyok fixen egy helyen, s ezáltal látom, hogy a világ mozdul el? Nekem még a TOTP is új az Ügyfélkapu+ miatt, azzal már megbékéltem. Ne alakuljon át minden kétévente! Egyszer megszokom, az életem végéig legyen úgy. Ezért használok mail klienst - jellemzően Claws Mailt POP3-mal és IMAP4-gyel, meg persze SMTP, esetleg Thunderbird-öt. Nem mellesleg a Yandex nem cseszeget állandóan efféle üzenetekkel, nem presszionál, egyszerűen csak működik. A netszolgáltatóm e-mail szolgáltatása is, és a freemail is.

A Gmail vacakabb bármelyiknél.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Igen, a világ mozdul el. Folyamatosan, a kezdete óta.
Bár magam is mint egyfajta érték tekintek az állandó dolgokra, gyakran emlékeztetem magam, hogy irreális elvárás az életem végéig legyen úgy. (Nem lesz.)
Mostanában többször gondolkodtam rajta, mi lehet ennek a pszichológiai háttere. Kimondva vagy kimondatlanul, az ember bizonyára nem mindig dolgozza fel könnyen, hogy öregszik.

Freemail-t a Gmail-lel szemben emlegetni amúgy eléggé perverz. Nem tudom, változott-e valami a házuk táján az elmúlt évtizedben, de régen olyan címre is kaptad a spam-et, amiről nem is tudott senki. Gagyi volt a webmail, kicsi a tárhely. Ezzel szemben a Gmail tisztességesen meg volt csinálva, normális webmail, jó spamszűrő, elegendő tárhely.

Az Ügyfélkapu+ TOTP-t szerintem pont a password reusage meg a jelszavak megosztogatása miatt tolták. Gondolom voltak esetek...
Sajnos végül a balfaszok miatt csak betették az sms-t is (amit én nem tekintek második faktornak).

Sajnos azt kell mondani, hogy manapság a security alert-ek létjogosultsága teljesen megalapozott. Lehet, hogy az esetek nagyrészében te magad állsz az aktivitás mögött, ilyenkor szimplán ignorálod. Csak a szűk családban két acc is taken lett az elmúlt évtizedben, és ismerősi körben is van olyan, akinek olvasgatták az üzeneteit. A security alert egy korai figyelmeztetés, hogy valaki trükközni próbál.

Részemről azért utálom az állandó változást, mert olyan dolgokat kell újra megtanulni, amit már tudok, ami ezáltal semmi többletet nem ad az életemhez. Ha megtanulok valami újat a szakmában, az rendben van, azzal több lettem. Ha viszont olyan dolgot tanulok meg, ami ugyanazt nyújtja, csak másképp, mint eddig, illetve a régi metódust eltörték, akkor a semmiért tanulok, azért, ami a változtatás nélkül ment volna tovább, én meg rutinból használom.

A legjobb, amikor GUI-t innoválnak, és az a hatalmas innováció, hogy az OK gomb felcserélődött a Cancel-lel, vagy nem alul középen van, hanem jobbra lent, majd két év múlva Done lesz belőle, és balra fent. Kezdheted elölről megszokni a semmit, kizökkent a munkából, mire kibogarászod, hol van a gomb, amire kattintanál, már elfelejted, mit akarsz csinálni, rontja a hatékonyságot, növeli a hibázást, terheli az agyat, elfáraszt.

Olyan, mintha az autódban kétévente permutálgatnák a pedálokat, néha kormányváltó lenne, mint a Trabantban, és így tovább. Ennek semmi értelme, csak valakinek kellett, hogy megsimogassák a buksiját, elmondják neki, milyen jó munkaerő a multinál, így aztán innovált egy nagy semmit.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Épp említetted, hogy a TOTP-t is megtanultad, tehát mégis olyan dolgot tanultál meg, amely többletet adott (ha mást nem, többlet tudást). Az, hogy a felhasználói felületek időnként tök feleslegesen változnak, jogos, bár ez se mindig, van, hogy az ember rájön, hogy hopp, ez nem is volt hülyeség.

Itt a topicban többek közt - és talán ez a fő hangsúly - arról volt szó, hogy a klasszikus jelszó sok esetben nem elég, de ha mást nem, a jelszavakat másként kell kezelni, mint korábban (egyre hosszabbak, bonyolultabbak kellenek, és természetesen mindenhová más. Ezeket már fejben nem lehet megjegyezni, így aztán vagy valami értelmes, és biztonságos tárolási módokat kell kitalálni, használni, és/vagy bizonyos eszközalapú azonosításra áttérni. Ez nem analóg a lart-pour-lart módon áttervezett GUI-val.

Az autós példádat pedig fogalmazd át úgy, hogy a Trabantban/Wartburgan elég volt a pedál, kormány, sebességváltó, azóta viszont van tempomat, légkondicionáló, és még sorolhatnám (ha tudnám, elvégre ehhez sem értek, és tapasztalatom sincs), nem pedig a pedálok csereberéjéről van szó (bár a kuplung tudtommal egyre több típusban megszűnt).

Az eszközalapú azonosítással épp az a baj, hogy mi van, ha az eszköz elhullik, nem viszek magammal desktop gépet mini torony házban nyaralásra, meg effélék. Sőt, az eszközt ellophatják. A lényeg, hogy én tudjam a jelszót és felhasználónevet. Jó volt ez, csak azok miatt, akiknek 123456 volt a jelszavuk, elkezdték ezt elbonyolítani.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A "szerintemnem találnád ki" nem jelent semmit - nem nekem kell kitalálni, hanem annak, aki elviszi a fájlt, _és_ kvázi tetszőleges erőforrással próbálkozhat annak a megfejtésével - mivel a próbálkozások száma nem limitált - és jellemzően a totp secret-et nem szokás cserélni, ergo ideje is bőven van. 

Csak azt bizonyítottad be, hogy a TOTP nem egyéb, mint egy másik jelszó. Tehát hol is tartunk? Sima username, password login, csak van benne egy stressz, az idő nyomás, hogy be tudd írni adott időn belül, azaz, aki jogosult belépni, annak se sikerüljön és mindenképp undorítóan bonyolult legyen az egész.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A TOTP-nek az a nagy előnye, h. nem tud 1 konkrét jelszó kiszivárogni, hanem 1millió ismert és lehetséges jelszókombináció közül (mivel 6 számjegyű szinte minden TOTP jelszó a világon) kell betippelned az 1 jót az adott 30 másodperces időablakban (de általában a következő és az előző érvényeset is elfogadja, tehát akár 3 is jó lehet az 1millióból).

Ez nincs így. Ha a secret szivárog ki, vagy az a jelszó, ami védi a secret kódot, akkor ugyanott vagy, mint sima jelszó esetében. Az, hogy idő alapján kell beírni egy változó valamit, csak egy elbonyolított interface, ami azon kívül semmire sem jó, hogy a jogosultnak bonyolult legyen és elronthassa.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha yubikey-ben tárolod a secret-et, és nincs elmentve sehova máshová ahonnan könnyebben kiszivároghatna, az 1 elég alacsony rizikójú megoldás. Szerintem.

Tökéletes biztonság? Nyilván nem. De sokkal jobb, mint az 1faktoros jelszó, ami ha kikerült, akkor viszont azonnal és 100%  bizonyossággal kampec van.

Viszont egy magas rizikó abból a szempontból, hogy ha bármilyen probléma történik az eszközzel, hasra esek benne, rálépek, beleborítom a kakaót, egy atomvillanás gamma-sugárzása törli a flash memóriáját, akkor nézek, mint hal a szatyorban. Következésképpen vagy papírra fel kell írni a secret-et, vagy file-ban el kell azt tárolni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Vagy 2 kell belőle, mindkettőre fel-szetap-olod a TOTP-t, aztán az egyik key-t magadnál tartod, másikat meg elpakolod gammasugárzás-védett, de hozzáférhető helyre.

Úgy érzem csak kötözködsz már ezen a szinten, ahelyett h. elkezdenéd használni és nyugodtan hátradőlhetnél, h. a szekuritit letudtad vagy 20 évre, és az emberiség 99,999%-ánál biztonságosabb az accountjaid állapota.

Ez kettős "hiba", hiszen a statikus jelszónak _is_ és a totp secret-nek (és ha van, az azt védő jelszónak is, bár ennek a bruteforce kitalálására tetszőleges próbálkozás és idő állhat a támadó rendelkezésére) a rossz kezekbe kerülésére van szükség.  Úgyhogy a "semmire sem jó" nagyon nem igaz. Persze ha ott tárolod a secret-et, ahonnan a logint intézed, akkor elég egy keylogger meg a totp-s secreteket tartalmazó fájlt elvinni, azaz elég bejutni egy eszközre. Ez persze még bőven jobb, mint  a sima usernév/statikus jelszó, de jobb, ha a totp secret másik eszközön található, de még jobb, ha ott, ahol csak lehet fido/fido2-t használ az emberfia - Ha sok totp-t kell még használni, akkor érdemes a drágább, ilyet tudó yubikey felé fordulni, ha viszont elsősorban fido/fido2 -t is tudó szolgáltatások védelméhez kell, akkor az olcsóbb security key-ből tessék venni kettőt :-P

Ez mennyire felhasználó konform? Elképzelem, amint Julcsi néni megy haza a tejjel, kenyérrel a boltból, eszébe jut, hogy be kellene fizetnie a 3000 Ft-os villanyszámláját, amit utalni szokott, de hogy ezt megtegye, előránt a fiókból egy Yubikey-t, mint ahogy a Jedi-lovag a fénykardot szokta, majd a használatával belép a bank webes felületére, s már utalja is a pénzt. Mindezért persze előbb vesz egy Yubikey-t néhány tízezer forintért.

Így képzeljem? Mert eddig beírta a felhasználónevét, jelszavát, belépett, utalt, kilépett.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Eddig _sem_ csaj usernév/jelszó volt a banki felületen, hanem usernév/jelszó és valamilyen 2. faktor - értelmesebb esetben push a mobilra, kevésbé jó esetben sms a mobilra. Most a DÁP-os login "van a csőben" a banki (és más üzleti szereplők esetén), hogy ez hol, hogyan, mikortól lesz elérhető, arról nincs információm - akkor meg a login során lesz olyan opció, amikor egy DÁP alkalmazással beolvasható/jóváhagyható QR-kódot kap a netbanki felületre belépéskor, és a mobilt rántja elő, és DÁP-pal lép be. 

Igaz. Nem zavar, ha okostelefonra *is* megcsinálják ezeket, csak ne legyen anélkül használhatatlan a webes felület. És persze legyen webes felület. Azaz számítógép - nem csak Mac, Win - és egy butatelefon elegendő legyen, vagy lehessen hardware tokennel, de akkor az menjen Linuxon is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezek igények, és vagy belefér a security elvárásokba és a fejlesztési büdzsébe, vagy nem. Ha nem, akkor majd tetszik menni személyesen ügyeket intézni. Mint írtam, jelenleg a DÁP az, ami "must have" fejlesztés a szolgáltatói/pénzintézeti körnek, hogy ez _után_ akarják-e a fido-t, vagy sem, az más kérdés. Ha nagyon szűk réteg igénye lesz, akkor nem fognak vele foglalkozni, mert hasonló szintű biztonságot a DÁP is "tud", és az ahhoz szükséges eszköz (okostelefon) gyakorlatilag mindenkinél ott van, vagy ott lesz pár éven belül. A Yubikey-t a fido-s loginhoz meg meg kell venni (14E körül volt darabja, amikor néztem, ebből kettő kell), a szerver oldalon fejlesztésre van hozzá szüksg - ezeket az extra költségeket egyik oldal sem fogja tömegesen akarni.

Igen, de a time-based egy eufemizmus. Mögötte a secret vagy az azt védő jelszó éppen úgy statikus. A time-based mivolta csak a jogosulttal való kiszúrásra jó, arra, hogy elmenjen a kedve az adott felületre való belépéstől, annak használatától.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Dehogy volt jó. Gyenge jelszavak, egy jelszó minden accounthoz, adathalászattal kicsalható nem is csak egységsugarú userből, az elfelejtett jelszavaknál teljes eljárásrend kialakítása a resethez stb. Egy jelszómentes, eszközhöz kötött, többfaktoros azonosításnál hiába lopják el az eszközt. 

Szerintem ebből kár ennyit kihozni. Két okból.

  • Egyrészt a bosszankodás impact nagyobb, mint maga a probléma. Valójában hamar megszokod ezeket a változásokat, és tovább lépsz. Ami igazán basz, az nem maga a változás, hanem a bosszankodás. Pedig jobban belegondolva az esetek többségében nem is lényeges változások ezek.
  • Másrészt miatt a dolgok miatt legfeljebb aggódsz, de nem vagy rájuk hatással -> tök fölöslegesen pörögsz ezeken.

Ennek semmi értelme, csak valakinek kellett, hogy megsimogassák a buksiját, elmondják neki, milyen jó munkaerő a multinál, így aztán innovált egy nagy semmit.

Welcome. Ez így működik, mióta világ a világ. Az igazgató unokaöccse másként lépdel a céges ranglétrán, kellenek látvány projektek, amik a rátermettségét ,,igazolják". Ezekre a dolgokra megint csak nem vagy hatással.
Nem azt mondom, hogy megalkuvónak kell lenni ezekkel az esetekkel kapcsolatban. Erkölcsileg magam is elítélem az ilyesmit, de pörögni rajta meg magamat bosszantani ettől még tök felesleges.

IMHO tartogasd olyan dolgokra a figyelmedet, energiádat, amikre valóban hatással vagy.

All-in-all, az életben való beválás messze nem az ember tudásától függ.
Szerintem az is túl van értékelve, hogy adott esetben kinek van igaza. Ez jóval kevésbé fontos kérdés, mint legtöbben gondolják.

csak ugye ezeket a kommunikációs csatornákat nem egyedül használja az ember... szóval bően elég ha másik fél haszálja az általad nem preferált céget/szolgáltatást, és máris a Te adataid is a kezében vannak. Jó, lehet a jelszavaid épp nem, csak minden más ;)

 

szóval, attól hogy neked nincs facebook/google/apple/akármi accountod, attól még ~mindent tud(hat)nak rólad, az 'ismerőseiden' kesztül.

zrubi.hu

- nagyon sok
ennyi erővel icloudot se. Facebookot se. Webshopot se, ételrendelést se. Semmit se. Mond le az internetet. Legközelebbi óraátállításnál évtizedet állíts inkább, jöhet vissza ásó kapa nagyharang kőbalta.
És valószínűleg -kivételesen- ez itt épp a Google jófejsége, nem ez a legjobb szituáció, mikor ezen pontokat fel kellene vetni... 

( Nyosigomboc v | 2025. 06. 03., k – 10:02 )

Ha van gmail/youtube/whatever G-s accountod, akkor ha hashelve taroljak (100%) is idonkent hozzajutnak a jelszavadhoz, amikor belepsz. Ilyenkor le tudja ellenorizni, hogy a jelszavad es a feltort weboldalakrol szarmazo sozott hash egyezik-e, es tud ertesiteni.

Lehet, hogy nem azonnal ertesit,  ha nem tudjak, hogy melyik jelszo tartozik meg hozzad, akkor vegig kell szamolnia mindet, ami eltarthat egy ideig ha hosszu a pipeline.

A strange game. The only winning move is not to play. How about a nice game of chess?

Te amúgy érted amit írsz? 
Kicsit olyan érzésem van, mint amikor nők által írt recept alapján próbálnék főzni, és idegbajt kapok tőle, h az illető h nem volt képes a saját irományát "külsö" szemmel elolvasni és nem veszi észre, h kb érthetetlen amit közreadott. 

> Ha van gmail/

Van

> akkor ha hashelve taroljak 

Kikről van szó és mit?

> idonkent hozzajutnak a jelszavadhoz

Mi az h hozzájutnak? Kik? Mi az h időnként?

> amikor belepsz

Mi van?

>  Ilyenkor le tudja ellenorizni

Ki tudja leellenőrizni?  Miről van szó? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A normál digest authentikáció során (ami kb a HTTP Basic authtal egy idős) a szerveren clear-text kell tárolni a jelszót. Ha hasheled akkor meg a klienstől is a hash kell, de ebben az esetben a támadó a hash ismeretében is be tud lépni, nincs szüksége a jelszóra, azaz ilyenkor a hash lényegében a jelszó a protokoll felől nézve. Mindenképp szükséged van egy közös titokra amivel a szerver oldalról bárki meg tud személyesíteni. Egy Kiss Pista Bt webshop esetén ez nem akkora gáz, de egy Csak Milliárdosoknak Svájci Bank Zrt. esetén már lehet szempont.

A SCRAM ad erre megoldást, de én még nem láttam sehol sem használni. Ebben az esetben is több mindent kell a szerveren tárolni de a jelszó nem szükséges.

Mert úgy múködik. A fentebb linkelt wikin is írják.

However, this presents a problem for many (but not all) challenge-response algorithms, which require both the client and the server to have a shared secret. Since the password itself is not stored, a challenge-response algorithm will usually have to use the hash of the password as the secret instead of the password itself. In this case, an intruder can use the actual hash, rather than the password, which makes the stored hashes just as sensitive as the actual passwords. SCRAM is a challenge-response algorithm that avoids this problem.

Az Apache oldaláról (https://httpd.apache.org/docs/2.4/mod/mod_auth_digest.html):

This module implements HTTP Digest Authentication (RFC2617), and provides an alternative to mod_auth_basic where the password is not transmitted as cleartext. However, this does not lead to a significant security advantage over basic authentication. On the other hand, the password storage on the server is much less secure with digest authentication than with basic authentication. Therefore, using basic auth and encrypting the whole connection using mod_ssl is a much better alternative.

Nem pontosan így működik (nagyon nem), de a logika talán érthető:

  • A szerver elküld neked egy egyedi challenge-et, egy random stringet és küldd vissza a hash( challenge + password ) eredményét.
  • Te megcsinálod, a neten csak ez a hash megy át amiből a jelszó nem található ki.
  • A szerver kap egy bithalmazt, amiről el kell döntenie hogy jó-e. A challenge értékét ismeri, ahogy a hash algoritmust is, de kell neki még a jelszavad is hogy elő tudja állítani az eredményt. Mivel a neten nem megy át a jelszavad még titkosítva sem, ezért helyileg kell tudnia előkotornia.

A SCRAM ezt bonyolítja el egy kissé hogy a jelszó mégse legyen letárolva, de Digest auth az még RFC2617, míg a SCRAM RFC5802, jóval későbbi.

De most pont arról volt szó amikor a jelszó nem utazik egyáltalán a dróton. Amikor átmegy a jelszó - TLS-ben - akkor utána egy salted hash-ben letárolhatod és bejelentkezéskor ugyanazzal megsózva a kapott jelszót tudod ellenőrizni hogy ugyanaz a végeredmény. Ez tiszta, de én erre reagáltam: "hanem egy "kodolt" valtozata, igy a server sosem tudja meg a jelszavad".

Mármint kinek a számára? A szerver számára? Ez miben különbözik attól hogy egy basic auth esetén a salted hasht állítottad be a jelszavadnak? Mindig csak ugyanazzal tudod megsózni a hasht különben a szerver nem fogja tudni megállapítani hogy ugyanazt kapta. Ugyanolyan statikus bithalmaz mint egy jelszó, nincs benne replay attack védelem, ha kikerül ugyanúgy meg lehet téged személyesíteni vele. Azaz ilyenkor is átmegy a "jelszó" a dróton. Itt a "jelszó" azt jelenti hogy az a statikus bithalmaz amivel igazolni tudod hogy te vagy te.

Az egész thread a challenge-response authentikációval indult, ha jól értem amit írsz ez egyáltalán nem az.

Vagy mire gondolsz egyáltalán? Leírnál egy konkrét folyamatot?

Legközelebb ha jelzed hogy melyik részére reagálsz akkor talán egyszerűbb megérteni és nem beszélünk el egymás mellett.

Ok, akkor átfogalmazom, lehet hogy az én hibám hogy próbáltam kicsit egyszerűsíteni és nem elveszni a részletekben. A szerveren clear textben kell egy olyan információt tárolni amit ha egy támadó (külső vagy belső) megszerez akkor meg tudja személyesíteni a felhasználót, pont mint ha a jelszavát szerezte volna meg.

Ha jól emlékszem ez a Digest auth esetén az md5(realm:user:password) és a responseban ezt az értéket kell felhasználnod. Ilyenkor ez a hash érték pont ugyanolyan szenzitív mint maga a jelszó, hiszen az ismeretében a challenge-ekre (szerver álal küldött nonce értékekre) megfelelő response-t tud generálni a támadó és ezzel bejelentkezni.

Ezt most fejből írom de nekem ez rémlik:

- szerveren tárolva: Hs = md5(realm:user:password)
- szerver elküldi a realm-ot és az egyedi nonce-t a kliensnek
- mind a kliens mind a szerver kiszámol még egy hash-t a requestre: Hr =md5(method:http path)
- a szerver által elvárt response pedig: Hf = md5(Hs:nonce:Hr)

Ahhoz hogy ezt a támadó ki tudja számolni elég a Hs-t ismerni, a nonce-t a szerver adja, a Hr pedig egyértelműen jön abból hogy hova csatlakozik. Ekkor a Hs értékének az ismerete az ugyanannyit jelent a user és a password ismerete.

Szóval az állításom: Digest authnál clear textben kell tárolnod olyan információt amivel felhasználónk be tud lépni. Hogy ezt most username:password-nek hívod vagy Hs-nek, az mindegy. Ez így rendben?

Én ebben az esetben a bithalmazt hívom clear textnek, hogy a forrása egy (sózatlan!) md5() kimenete vagy a billentyűzetem, teljesen mindegy. Ha a támadó hozzáfér akkor minden további extra művelet nélkül rögtön be tud lépni a nevemben. Ahogy ugyanezt a szervert üzemeltető is meg tudja tenni. Ezekre egy sózott hash esetén nincs lehetőség, az nem clear text.

Ebből egyébként te meg tudod mondani hogy ezek közül melyik a jelszavam és melyik az abból képzett hash?

* 2b93830ee595bede6923d42750d44a29
* 3928e59992713d268961e89a058aee83

Akkor ponrtosítom: a szerveren clear textben kell tárolni azt a karaktersorozatot, amit a kliens felől érkező adat helyességének vizsgálatához szükséges. Teljesen mindegy, hogy a P megy át a dróton, és a szerver oldalon is a P van tárolva, vagy S=f(P,s) megy át, és a szerver oldalon is az S=f(P,s) van tárolva. 

Ez rendben is volna. De nekem az email címemre négy találatot hoz, ebből egy valós site (MyHeritage), a többi pedig valami összesített pool, Telegram channelből kikerült adatok (nem használok Telegramot), egy LeadHunter, és egy Collection nevű (két utóbbi 2019 illetve 2020-ból). Szerintem itt kikerültek listák, amelyek email címet biztos tartalmaztak, jelszót meg vagy igen, vagy nem, de azt legalább nem tudni, hogy honnan.

( BehringerZoltan | 2025. 06. 03., k – 20:29 )

Mindenesetre le lettek cserélve a jelszavak. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ezt nehezen hiszem. Lehet egyes oldalakon megtörténik, de lehetnek olyanok, ahol nem lép életbe az új jelszó, hacsak nem jelentkezel ki és be. Jól írják előttem, a biztonság kedvéért nem árt erre rámenni, biztos, ami tuti.

A másik, hogy tényleg ne használj többé azonos jelszót. Teljesen együttérzek, nekem is ez volt sokáig a taktikám, hogy azonos vagy nagyon hasonló, vagy egy sémára menő jelszó, de mióta párszor megszopattam magam, hogy elfelejtettem pár oldalon, meg a Faszbukom kétszer megtörték (a FB kivédte mindkettőt, nem jártak sikerrel, de ijesztő), azóta szépen beadtam a derekam, használok password managert, mindenhol más a jelszavam, mindenhol, ahol csak lehet, 2FA be van kapcsolva. Sajnos tényleg nem paranoia, olyan görény, szenny világot élünk, ahol szükséges ilyennel cseszekedni, különben ráfázik az ember. Sokáig én is tagadásban éltem, hogy ez csak alusipkás, összeesküvés-elméletes, konteós hülyéknek a baromsága, hogy a jelszóbiztonságot túlparázzák, de az élet bebizonyította, hogy igazuk van.

Ami engem megijesztett, hogy mikor másodszor nyomták fel a FB-om, akkor már ráadásul egy hosszabb, egyedi, bonyolultabb, 10 karakter körül, változatos, nem szótárazható jelszó volt (meg 2FA, mégis kaptam az e-mailt, hogy belépési kísérlet volt, ezt csak akkor küldi a rendszer, ha a jelszót jól írták be), azóta ezt rendszeresen cserélem egy 64 karakteres, teljesen random, szkript által generált, megjegyezhetetlen jelszóval, azóta lepattantak a fiókomról, nem is próbálkoztak be többet.

Nálam még az se játszik, hogy valami pishing oldalon adtam meg az adataim, mert erre figyelek, meg nem használok Windowst, vírustanya rendszereket, törött/crackelt vagy ellenőrizetlen forrásból származó programokat, keygent, nem nyitom meg ismeretlen emailek mellékleteit, gyanús böngészős addont, stb., meg jelentett publikus FB adatszivárgásban sem került még ki adatom, így nem is értem a mai napig, honnan szerezték meg a jelszavakat. Oltári nagy szerencsém van, hogy a FB kivédte, mert gyanús volt neki, hogy olyan helyről próbálnak bejelentkezni (másik ország), ahonnan én nem szoktam.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Koszi a tanacsot! Tobb esetben a jelszo azonos volt de a login kulonbozott. De ezek regen megadott jelszavak voltak foleg olyan oldalakon amiket mar evek ota meg sem neztem. Szal google nem eppen up-to-date forrason alapulva paraztatott be. 
Azt tapasztaltam h a G domainben megtortenik az automatikus kileptetes a jelszovaltoztatas utan. Minden eszkozon, bongeszoben ujra be kell jelentkezni 2faral. 
apg -vel generaltam jelszavakat es belementettem a Vivaldi password menedzserebe. Ha az torik akkor minden el van veszve. De arra jutottam, h meg mindig jobban jarok ha rajuk bizom, mintha magam akanam megoldani a jelszavak biztonsagos tarolasat. Persze a kepernyo szelere ragasztott postit lenne a legbiztosabb, csak kurva sok cetli kozul kene mindig keresni az aktualisan szuksegeset. 
 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

( kovi | 2025. 06. 03., k – 20:59 )

Szerkesztve: 2025. 06. 03., k – 21:00

Nemide

Vortex Rikers NC114-85EKLS

( end | 2025. 06. 04., sze – 06:15 )

Ezzel kapcsolatban jutott eszembe.., használta valaki közületek ezt a szolgáltatást? (Jó, pénzbe kerül, de... :) ) Pl. ilyen esetben képes lenne eltávolítani az ilyen listákban megjelenő személyes adatokat is? - Van tapasztalat a hatékonyságáról?

https://incogni.com/

Köszönöm, ez(ek!) nagyon jó, tárgyilagos, valós információkat közlő videó(k). (Nem ismertem eddig a készítőt, tehát éppen jó helyre linkelted nekem.) 

Az "Incogni"-reklám, - a Nord* mellett, - folyamatosan szerepel egy hazai "utazós"-influenszer videóiban, - kíváncsi lettem, mennyire reális szolgáltatás ez...!? -- (A VPN-ek éppen arra valók, hogy minden adatunk átfolyjon egy adott, "keskeny és halászható" csatornán. (Nem hiszem, - mondjanak erről bármit, - hogy legalább tudományos vagy szociál-projektekben, adatbrókerként nem használják ki.)

Remélem másnak is jól jött, ha még szélesebb körben nem "terült" volna. - Mindenkinek meg kéne néznie, hallgatnia egyszer legalább, aki interneten valamilyen formában megjelenik, mert az átlagfelhasználó nagyon távol áll ezektől a hasznos ismeretektől.

( YleGreg | 2025. 06. 04., sze – 08:38 )

Régen csak ezt a hibaüzenetet kellet implementálni: Ez a felhasználói név már foglalt, kérjük válasszon másikat.

De most a webprogramozók elkezdhetnek dolgozni ezen: Ez a jelszó már foglalt, kérjük válasszon másikat. :-)

"– Kérem, adja meg jelszavát!
 Alma.
 Sajnálom, a jelszónak legalább 8 karakterből kell állnia.
 Reszeltalma.
 Sajnálom, a jelszónak tartalmaznia kell legalább egy számot.
 50reszeltalma.
 Sajnálom, a jelszónak legalább egy nagybetűt kell tartalmaznia.
 50ROHADTreszeltalma.
 Sajnálom, a jelszóban nem követhetik egymást nagybetűk.
 50,Rohadt,Reszelt,Alma,Feldugva,A,Seggedbe.
 Sajnálom, a jelszó nem tartalmazhat írásjeleket.
 50RohadtReszeltAlmaRohaggymegHaNemFogadodElEztSe.
 Sajnálom, a jelszó már foglalt!"

:)

forrás

Az elég nagy baj volna. Éppen ezért nem egyetlen kód a login, hanem egy látható részre - login name - és egy nem publikus részre - password - van bontva. A login name egyedi, de megismerhető, egyedisége ellenőrizhető, a password nem egyedi, az ütközhet. Ha ütközésnél figyelmeztetést küldünk arra, hogy van már ilyen, máris szereztünk egy valid jelszót, lehet próbálkozni vele.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( hrgy84 | 2025. 06. 05., cs – 08:15 )

Na, a végtelen hülyeség után ami itt elhangzott.

Ha jól sejtem, a Vivaldi előtt a Google Chrome-ba mentetted el a jelszavaidat (vagy valamikor átszinkrózott, ezt a https://passwords.google.com/ oldalon tudod ellenőrizni), emiatt a Google tudja ezeket. Több cég is - köztük a Google - figyeli a különböző leakelt adatbázisokat, amik kikerülnek az internetre, és legyűjtik belőle a email címeket és jelszó hasheket. Mivel a jelszó hasheket előállítani könnyű, csak feltörni nehéz, ezért megnézik, hogy az általad használt jelszavak hashe egyezik-e valamelyik leakelt adatbázisban talált jelszó hash-sel, ha igen, akkor ezt jelzik. Illetve futtatnak egy keresést a náluk tárolt jelszavakon, hogy más oldalaknál is használtad-e azt a jelszót, aminek a hashe egyszer már kikerült.

Ez nem jelenti azt, hogy a többi oldalon is leakelt a jelszavad! Azt jelenti, hogy mivel a jelszavad EGY hashe már kikerült az internetre, HA azt a hash-t vissza tudják vezetni a jelszavadhoz AKKOR a többi oldalon is sérülékeny lesz a jelszavad. Ez ellen úgy tudsz védekezni, hogy minden oldalon más-más jelszót használsz.

A Vivaldiról nem tudok nyilatkozni, de a standard Chrome minden regisztrációs/jelszócserés fomon felajánlja, hogy generál neked egyedi jelszót. Érdemes a legtöbb helyen ezt használni. Nekem az a vezérelvem, hogy csak olyan helyre választok én jelszót, amit utána nekem jelszószéf nélkül is be kell tudnom gépelni (pl pont a Google ilyen), de itt is generált jelszót használok, csak vagy megcsavarom, vagy olyan generátort használok, ami kifejezetten megjegyezhetó jelszavakat generál (pl figyel a mássalhangzó-magánhangzó eloszlásra a jelszóban, az y/z 0/o 1/l egyértelmű használatára). A többinél azt csinálom, hogy "Erős jelszó ajánlása" - és ezt automatikusan el is menti.

Jelenleg amiket hoz nekem ilyen "sérülékeny" oldalak, azokra vagy kétezer éve nem léptem be (valószínűleg már a fiókom se él), nem is tervezek ilyesmit.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-