Tobb ponton is tevedsz.
Eloszor is, letezik a "kitalalom" intezmenye. Bar nem az NCIS a legjobb pelda, mert ott nem is ezen van a hangsuly, de asszem talan valamelyik idoutazos sorozatban volt az, hogy a srac leult a gephez, es korbenezett a szobaban. Valamennyire ismerte a delikvenst (a tarsa ismerte, es beszelgettek rola), igy viszonylag hamar kitalalta (3.-ra) a jelszot, mert a user olyat adott meg, amire konnyen emlekezik (ez tipikusan altalaban a lanyom neve, fiam neve, kutyam neve, kedvenc konyvem iroja korbol szokott kikerulni, a konkret esetre mar nem emlekszem). Szoval az ilyen tipusu feltores letezik, es realis. Nyilvan kell egy kis szerencse is hozza, es messze nem mukodik minden esetben, de azert egesz jo eselyekkel lehet indulni. Ha ismered a feltorendo rendszer standardjait is, es pl. tudod, hogy csak 5. probalkozasra tilt ki, akkor 4 lehetoseged van, hogy ne bukj le (tipikus egyebkent az 5 probalkozasi lehetoseg is).
A valosagban pedig altalaban nem elsore a brute force modszert probaljak ki, hanem a social engineeringet. Egy jol vegzett engineering megsporolhat tobb nap/honap brute force-t.
Masodjara meg dictionary attack-ot.
A rejtett peldad azert necces, mert a forumon nagyon kevesen ismernek teged szemelyesen. Nem tudjuk, hogy peldaul szeretsz-e enni, mert akkor mar rogton tipp lehetett volna a "kaja" amibol (mivel 3 betus a jelszo) mar 2 probalkozasbol megvan a rejtett jelszo. Szoval ez igy szar szemleltetes volt, nem mutatott be semmit.
Ami a jelszavak biztonsagat illeti: amire erdemes figyelni, az az, hogy brute-force -szal es dictionary attack-kal ne legyen torheto a jelszavad. Tehat nem csak az "aaaaaa" a rossz jelszo, hanem peldaul a "jelszo25" is (tipikus a dictionary attack-nal a 1 v 2 szamjegyu szamok hozzaprobalasa, nem noveli meg drasztikusan az idot). Mar az is sokat tud neheziteni a dolgon, ha mondjuk ket szo + 1 szam a jelszavad (TitkosJelszo1964), bar meg jobb, ha a ket szonak nincs koze egymashoz (HarapoKendo456). Ezeket mar nagyjabol eleg nehez kitalalni (dictionary attack ellen elegge vedett, a brute force meg a kis/nagy betuk miatt elegge hosszu ido). Tobb oldalon is olvastam ajanlaskent a szokoz beilleszteset a jelszoba, ennek csak az a veszelye, hogy keves oldal/hely tunteti fel a jelszoban engedelyezett karaktereket, es siman elofordulhat, hogy egy jol kitalalt jelszot pont azert nem tudsz megadni, mert nem engednek szokozt a jelszoba. Ilyenkor megnehezedik a ra emlekezes, mert tudnod kell, hogy az adott site enged szokozt vagy sem. En mindenesetre ezt nem hasznalom a mindennapokban.
Egyebkent meg azert nagy a hype a biztonsagos jelszavak korul, mert az emberek donto tobbsege meg mindig ugy gondolja, hogy a "password1" es a "jelszo1" valamint az "almafa" teljesen jo jelszo a teljes privat szferajanak vedelmere. Ez ellen viszont vedekezni kell, mert akarmennyire is vannak sozva ezek a jelszavak - sajnos a legtobb szotarban az elso ot kiprobalando kozott szerepelnek.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal