Az én hupos jelszavam nem szivárgott ki eszerint az oldal szerint. Ezt a jelszót 2018 óta használom. Megnéztem a korábbi jelszavamat is, de azt sem találtam.
Ez elég érdekes annak tudtában, hogy a Drupal nem plaintextben tárolja el a jelszavakat, hanem egy hash-ként (asszem még salt is van). Azt nem hiszem hogy a hash-t visszafejtették, tehát valahogy másként történhetett a dolog. Talán egy keylogger, vagy MITM támadás még a HTTPS korszak előtt.
Bírtam a mókust aki magyarázta, hogy a hűdetutibiztos nagyonhozzáértőáltal előállított nagyonweblapján valamiért mindig csúnya fekete háttér és piros betűk köszöntik, míg kiderült, hogy a teamviewer mellett még vagy 5-6 másik no-name "távirányító"-s alkalmazás streamelte, hogy mit kontárkodik a szerencsétlen.. és persze a legnagyobb szivárogtató saját maga /és az általa khm-khm "felügyel"-t gép/ volt :)
Szerintem Párhuzamosé, vagy mittudomén mi van? Faszér’ kell idecitálni ezt a vén félhulla retket... Bazz, már kezdtem elfelejteni a plakátokról. Van még valami, esetleg a négerbarát-homár utódjára számítanom kell helyben?
Miért retek? Többet tett értünk, mint te valaha is fogsz. Jó, árnyalja a képet - na jó, erősen beárnyékolja - hogy orbánt is pénzelte. Az kidobott pénz volt. Illetve kifejezetten káros.
Az, hogy az életedre közvetlenül nem hat - nem kaptál pénzt, paripát, bármit - attól még lehet hatása az életedre. Már azon túl, hogy obrian most haragszik rá, mert jobb neki a buta nép és Soros más irányba rángatózik.
Dehogy trollkodtam! Ruhelltem mar 20 eve is, egy oncelu ocska manipulator, nagy tetekkel, akar nemzetek ellen. Vagy megosztott nemzetek egyik oldalan, vagy valasztasokban valahol, csupan ket csapasiranyban: megerzes es penzszag. Ket kezemen mar nem tudnam megszamolni hany orszagban szeretnenek tobbe nem hallani felole.
Nem tudom te mit szoptal be vagy ki, es epp leirtam hogy orulok a reklamtablakrol eltuntenek, dehat idecitalja valaki a feketegyurikat. Nem eleg az Origo fooldalan nezni a rusnya pofajat, itt is elzombitja a szalat.
Ugy tunik treynek ide kell hanynia nehany RS232 baratait triggerelo szalat is, hatha atmegy az uzenet.
Remélem nem baj, bár végül is akkor jó sokan vagyunk frusztráltak a világban e téren.
Gyuribánál meg aztán ok nincs ellenérzésre, egy csendes és mesebéli-jóságos, segítőkész és tisztességes öregember :) imádják is mindenütt.
Nem bántam volna, ha pl. any*dat hülyézed elsőként - dehát Gyuri bácsi szelleme az láthatóan Gyuri bácsi szelleme: aki ellent mond, az mittudomén biztos a zorrbán meg a plakátyaji! Vagy valami ilyesmi, meg hülye - hiszen minden út Rómába vezet.
Wow és amelyik lista nem letölthető ott ugye nem küldi be a formba a kereséshez? Főleg nem anyagiakért valami keresztszerződésben. Tudom gonosz és nullskilles kérdés, dehát az emberek is begépelik a mail címüket vagy/és jelszavukat egy pwned keresőbe mehhehehe.
Nah gyerekek hányan gépeltétek be akár most? Az ellenoldal “tuti” megbízható.
Amúgy a HUP alatti motor is biztonságos. Gépeld ide a jelszavad és a motor kicsillagozza. Vagy nem, de tutira igen. Kitudja? :D
Az email beírását nem érzem a problémát. A jelszóval már inkább, ezért is letölthető az adatbázis és checkelhető anélkül, hogy elküldenéd illetve van api-ja, ami sha-1 hash alapján keres, illetve támogatja a hash-range lekérdezést is (első 5 karakter alapján kilistázza mindet).
Én azt is annak érzem. De mindegy is, ember-“barátaink” vígan gépelnek be mindent, s lőn 4 gigás dbf, bár a fele kamu. Bár ha jelszóval együtt gépelik a mail címet, már csak a negyede hamis :D
Mert az nem evil, vagy valami ilyesmi.
Amúgy ez az ellenőrzés király, csakhát’ mindig lépéshátrányban találok ki dolgokat. Vagy valaki tényleg olvas a gondolataimban jeah.
Ez a HaveIBeenPawned API-ját használja. Alapból csak szól, hogy szivárgás volt az oldalon, ekkor nem ellenőrzi az e-mail címed. A Monitorral lehet feliratkozni az e-mail címedre vonatkozó értesítésekre (az is a HaveIBeenPawned-ot használja).
Nem kell megadni, próbálgatással spammelnek mindenhova. Van egy lista a legvalószínűbb létező email címekről, és megy rá a spam, nem kell ehhez email címeket gyűjteni.
Levelező szervertől pedig le lehet kérdezni, hogy adott email cím létezik-e vagy sem. Így karbantarthatóak, illetve akár építhetőek az ilyen adatbázisok.
Ez egy szabványos feature, amit ajánlott server oldalon tiltani. (SMTP VRFY) Megfelelően konfigurált mail serveren a tényleges küldési kísérlet sem lesz járható workaround helyette.
Ez a dolga. Ez a reject a sane default, gyakorlatilag feltételezik is a probe mechanizmusok a meglétét. Arra gondoltam fentebb, hogy sok esetben blacklist-re kerülhet, aki folyamatosan ilyetén ellenőrzéseket végez, amennyiben az üzemeltető gondot fordított erre.
Sosem néztem még ilyesmit, de most kipróbáltam 4 db jelszóval, amit használok eltérő weboldalakhoz. A négyből csak a HUP-os volt kiszivárgott a Haveipwned szerint.
És amúgy ír valami weboldalt hozzá, hogy honnan szivárgott ki? Mert ha a HUP-os email címed nem található az email adatbázisban, csak a random jelszó a jelszavas adatbázisban, akkor akár véletlen jelszó egyezés is lehetséges.
Oldalanként egyedi e-mail címet és egyedi jelszót használok 32 karakterrel (kisbetű, nagybetű, szám, írásjel, password managernek mindegy) - se az e-mail cím, se a jelszó nem található meg az adatbázisukban. (Igen, azóta generáltam újat.)
Ezek alapján vagy nem volt adatszigvárgás vagy nagyon régi lehetett.
Ugye aki égbe-világba küldözgeti a jelszavát, utána nem használja többet és meg is változtatja? :)
Mit kéne rá mondanom? Én nem felelek azért, hogy mások hogyan kezelik a jelszavaikat. Ha valaki nem biztos benne, hogy nem kiszivárgott ki akárhonnan a jelszava, a legokosabb amit tehet, hogy megváltoztatja. Opcionálisan: kikényszeríthetem, hogy mindenki váltson jelszót. Vagy, kikényszerítem, hogy rendszeresen váltsatok jelszót, de már előre hallom a rinyát, hogy minek ez?
Ennyit, csak azért vontalak be a témába, hogy üzemeltetőként / tulajdonosként te vagy az aki ki tudja jelenteni hogy szerver oldalról (és CMS oldalról, nem törték meg a hupot, nem futott rajta NSA kliens, stb, a föld lapos) nem történt semmi olyasmi ami miatt bármi is kiszivároghatott volna.
No offense. Tényleg csak ennyit szerettem volna.
ps.: Valóban nem felelsz azért hogy ki milyen jelszót ad meg és hogyan kezeli, itt az szerver oldalon van a hangsúly / az üzemeltetői oldalon, mivel abban viszont van felelősséged, hogy mennyire "secure" az adott oldal ahova az emberek a jelszavaikat gépelgeti be és hogy az esetleg kikerülhetett-e bármikor is bárhova.
Oké. Tudomásom szerint nem. Most előbbre vagyunk? Vagy elfogadod, hogy nincs 100%, leellenőrzöd, hogy az általad használt jelszó sérült-e, ha igen jelzed (ezzel segítesz), majd fogod és megváltoztatod.
Eddig is figyeltem a topikot, de amíg nincs konkrétum, vagy gyanú arra, hogy ez nem egy user error, addig felesleges lármát csinálni.
Jó példával elöl járva: én megnéztem az egyébként gyakran változtatott jelszavam (nem sérült), majd azon nyomban meg is változtattam. Ez kb. 1 percet vett igénybe.
Trey, tényleg 'no offense' kategóriaként tettem ezt a hozzászólást. Amit leírtál az szerintem elég, de lehet hogy előbb is le lehetett volna írni. Ennyi. És akkor a huphu oldalról zárva van ez a történet.
Valóban, előbb is le lehetett volna írni. Pl. ha főállásban finanszírozza valaki a HUP tevékenységemet. Amíg ez nincs így, addig, ha megengeded, az adatvédelmi irányelvekben rögzített bejelentési csatornákon érkezett adatvédelmi kérdéseket dolgozom fel, a megadott reagálás időn belül (2 munkanap). Az adatvédelmi bejelentési csatornán eddig 0 darab kérdés érkezett. Az meg nem kötelességem, hogy random fórumtopikokat lessek 0-24-ben.
Nekem is feldobta, de én több oldalon is használtam ugyanezt a jelszót és már sokkal korábban kikerült valahonnan (kb egy, másfél éve), mert spambot megtalálta egy ezer éve nem használt messenger fiókomat vele. Eddig lusta voltam megváltoztatni, most megteszem, örüljön :)
Email, bank és egyéb fontos esetekben úgyis véletlen jelszót használok.
Egyébként aki azt állítja, hogy csak ide használta a generált jelszavát (és azóta ugye megváltoztatta), az nyugodtan kiírhatja plain textben is ide a kikerült jelszót. Az alapján már adatbázisokból meg lehet állapítani, hogy mikor és honnan került ki (ami alapján jelez a böngésző). Egy időben én is gyűjtöttem ezeket, de már nem érdekel. Valakinek viszont biztos megvannak, aki tudna segíteni.
Nekem csak 218 van, de én is úgy érzem, hogy megterhelő rendszeresen cserélgetni, pedig igen, az lenne az igazi. Mikor jutunk el post-password érába? Már nagyon várom...
Nem bízom bennük. Ugyanúgy feltörik a manapság trendi, tegnap óta a semmiből felbukkant securitystartupokat is, akkor meg nem csak 1 account megy a levesbe, hanem a masik 100 is. Vagy 623! Milyen fasza is az!
Regisztráció óta nem változtattam jelszót. (Basszus veterán vagyok) Nem került ki elméletileg a jelszavam, pedig annyira nem is erős. Szóval szerintem nem törték meg a hupot.
Hozzászólások
data breach on a site => valamilyen oldalon amit megtortek ugyanazt a jelszot hasznaltad mint itt
tehat nem a hupon
generalt jelszavakat hasznalok.
Haveipwned szerint az én hupos jelszavam is kikerült, ami
- kis és nagy betűket
- speciális karaktert
- számokat
is tartalmaz.
Minden oldalhoz egyedi jelszót használok, pont azért, hogy kiderüljön, hogy honnan történt a szivárgás.
:(
Az én hupos jelszavam nem szivárgott ki eszerint az oldal szerint. Ezt a jelszót 2018 óta használom. Megnéztem a korábbi jelszavamat is, de azt sem találtam.
A https előtti időszakból is kikerülhetett a jelszavam, ha a többieknek nem szivárgott ki, akkor még az lehet.
Ezt hogy érted? Két éve vagy tag. Korábban egy másik fiókkal használtad ugyanezt a jelszót?
Arra céloztam, hogy léptem már be hup-ba nyilvános wifiről sima http-n is. Nem olyan rég lett https az oldal.
Ez elég érdekes annak tudtában, hogy a Drupal nem plaintextben tárolja el a jelszavakat, hanem egy hash-ként (asszem még salt is van). Azt nem hiszem hogy a hash-t visszafejtették, tehát valahogy másként történhetett a dolog. Talán egy keylogger, vagy MITM támadás még a HTTPS korszak előtt.
Drupal 7-ig salt nélküli md5-el volt tárolva a jelszó. (Tudtommal 1 éve is még Drupal 4.x alatt futott a hup)
Forrás:
https://github.com/drupal/drupal/blob/4.0.x/modules/user.module#L100
https://stackoverflow.com/questions/5031662/what-is-drupals-default-pas…
Drupal 5.x
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
Sima md5 az szívás.
Soros György feltörte.
Jelszó máshogy is kikerülhet, regisztráció óta én még nem változtattam itt jelszót, most azt is megtettem.
pl az illető saját gépéről :).
Bírtam a mókust aki magyarázta, hogy a hűdetutibiztos nagyonhozzáértőáltal előállított nagyonweblapján valamiért mindig csúnya fekete háttér és piros betűk köszöntik, míg kiderült, hogy a teamviewer mellett még vagy 5-6 másik no-name "távirányító"-s alkalmazás streamelte, hogy mit kontárkodik a szerencsétlen.. és persze a legnagyobb szivárogtató saját maga /és az általa khm-khm "felügyel"-t gép/ volt :)
https://goo.gl/muWzKz (digitalocean)
Ha a többi jelszavam más oldalakhoz is kikerült volna akkor gondolhatnék erre is :-)
Marad a https előtti verzió.
Eközben a mellékelt DB “képet” minden blokkolja ami követés ellen van. PC-n és smartphonon egyaránt
Anarchia, totális anarchia,
Aki más az halál fia!
:)
Vortex Rikers NC114-85EKLS
A szivárogtatás ellenőrző oldal is a Sorosé.
Szerintem Párhuzamosé, vagy mittudomén mi van? Faszér’ kell idecitálni ezt a vén félhulla retket... Bazz, már kezdtem elfelejteni a plakátokról. Van még valami, esetleg a négerbarát-homár utódjára számítanom kell helyben?
Ui tényleg RS232 tulajdona?
Vortex Rikers NC114-85EKLS
Miért retek? Többet tett értünk, mint te valaha is fogsz. Jó, árnyalja a képet - na jó, erősen beárnyékolja - hogy orbánt is pénzelte. Az kidobott pénz volt. Illetve kifejezetten káros.
Nem érzem amit értem tett.
Vortex Rikers NC114-85EKLS
Vett inkubátorokat, fizettet angol tanári képzést, stb. Én szívem szerint visszaadatnék mindent. pl az angol tudást egy egyszerű agyműtéttel.
Az agyműtétet vállalom, az angol tudásod oda lesz egy pillanat alatt. Az is.
Az, hogy az életedre közvetlenül nem hat - nem kaptál pénzt, paripát, bármit - attól még lehet hatása az életedre. Már azon túl, hogy obrian most haragszik rá, mert jobb neki a buta nép és Soros más irányba rángatózik.
Könyörgöm, mondd hogy csak trollkodsz és nem csak beszoptad az ócska manipulációt.
Roses are red
Violets are blue
Unexpected '}' on line 32
Dehogy trollkodtam! Ruhelltem mar 20 eve is, egy oncelu ocska manipulator, nagy tetekkel, akar nemzetek ellen. Vagy megosztott nemzetek egyik oldalan, vagy valasztasokban valahol, csupan ket csapasiranyban: megerzes es penzszag. Ket kezemen mar nem tudnam megszamolni hany orszagban szeretnenek tobbe nem hallani felole.
Nem tudom te mit szoptal be vagy ki, es epp leirtam hogy orulok a reklamtablakrol eltuntenek, dehat idecitalja valaki a feketegyurikat. Nem eleg az Origo fooldalan nezni a rusnya pofajat, itt is elzombitja a szalat.
Ugy tunik treynek ide kell hanynia nehany RS232 baratait triggerelo szalat is, hatha atmegy az uzenet.
Vortex Rikers NC114-85EKLS
Szerintem ez inkább csak a te személyes frusztrációd ékes bizonyítéka. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Remélem nem baj, bár végül is akkor jó sokan vagyunk frusztráltak a világban e téren.
Gyuribánál meg aztán ok nincs ellenérzésre, egy csendes és mesebéli-jóságos, segítőkész és tisztességes öregember :) imádják is mindenütt.
Vortex Rikers NC114-85EKLS
Ja, nekem aztán nem, mindenki alanyi jogon lehet hülye. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nem bántam volna, ha pl. any*dat hülyézed elsőként - dehát Gyuri bácsi szelleme az láthatóan Gyuri bácsi szelleme: aki ellent mond, az mittudomén biztos a zorrbán meg a plakátyaji! Vagy valami ilyesmi, meg hülye - hiszen minden út Rómába vezet.
Vortex Rikers NC114-85EKLS
Szegény fóbiás, ne bántsd, nem tehet róla...
Mivel fogadott? Én nem értem a topik felvezetőjét.
Pár hónapja a chrome automatikusan ellenőrzi egy központi adatbázisból, hogy kiszivárgott-e valahonnan a jelszavad:
https://hup.hu/node/166975
Wow és amelyik lista nem letölthető ott ugye nem küldi be a formba a kereséshez? Főleg nem anyagiakért valami keresztszerződésben. Tudom gonosz és nullskilles kérdés, dehát az emberek is begépelik a mail címüket vagy/és jelszavukat egy pwned keresőbe mehhehehe.
Nah gyerekek hányan gépeltétek be akár most? Az ellenoldal “tuti” megbízható.
Amúgy a HUP alatti motor is biztonságos. Gépeld ide a jelszavad és a motor kicsillagozza. Vagy nem, de tutira igen. Kitudja? :D
Vortex Rikers NC114-85EKLS
Az email beírását nem érzem a problémát. A jelszóval már inkább, ezért is letölthető az adatbázis és checkelhető anélkül, hogy elküldenéd illetve van api-ja, ami sha-1 hash alapján keres, illetve támogatja a hash-range lekérdezést is (első 5 karakter alapján kilistázza mindet).
Én azt is annak érzem. De mindegy is, ember-“barátaink” vígan gépelnek be mindent, s lőn 4 gigás dbf, bár a fele kamu. Bár ha jelszóval együtt gépelik a mail címet, már csak a negyede hamis :D
Vortex Rikers NC114-85EKLS
De, miért kellene a GChrome-ra, ellenőrző site-ra bízni a jelszavam ellenőrzését? - Azért hogy első kézből legyen meg neki???
Mert az nem evil, vagy valami ilyesmi.
Amúgy ez az ellenőrzés király, csakhát’ mindig lépéshátrányban találok ki dolgokat. Vagy valaki tényleg olvas a gondolataimban jeah.
Vortex Rikers NC114-85EKLS
De evil, épp ma tüntetettek ellene a "fiatal" demokraták!
mozilláék is :)
https://support.mozilla.org/hu/kb/firefox-lockwise-alerts-breached-webs…
https://goo.gl/muWzKz (digitalocean)
Ez a HaveIBeenPawned API-ját használja. Alapból csak szól, hogy szivárgás volt az oldalon, ekkor nem ellenőrzi az e-mail címed. A Monitorral lehet feliratkozni az e-mail címedre vonatkozó értesítésekre (az is a HaveIBeenPawned-ot használja).
Mert te sem látod a képet.
Vortex Rikers NC114-85EKLS
Ja, ha valami reklámszerverre került fel, akkor így jártunk?
Jaja :)
Vortex Rikers NC114-85EKLS
Annak idejen en egyedi emailcimet adtam meg a profilomban az ertesitesekhez. Tutira nem adtam meg senkinek azt, megis elkezdtek spammelni.
Nem kell megadni, próbálgatással spammelnek mindenhova. Van egy lista a legvalószínűbb létező email címekről, és megy rá a spam, nem kell ehhez email címeket gyűjteni.
Levelező szervertől pedig le lehet kérdezni, hogy adott email cím létezik-e vagy sem. Így karbantarthatóak, illetve akár építhetőek az ilyen adatbázisok.
BTW az én jelszavamat nem lopták el innen.
Ez egy szabványos feature, amit ajánlott server oldalon tiltani. (SMTP VRFY) Megfelelően konfigurált mail serveren a tényleges küldési kísérlet sem lesz járható workaround helyette.
Hihetetlen, hogy az embernek állandóan tudnak újat mutatni. Mindenesetre default postfix válasza:
És amikor RCPT TO: -ra válaszol úgy a kedves levelező szerver hogy "Recipient address rejected: User unknown in virtual mailbox table" ?
Ez a dolga. Ez a reject a sane default, gyakorlatilag feltételezik is a probe mechanizmusok a meglétét. Arra gondoltam fentebb, hogy sok esetben blacklist-re kerülhet, aki folyamatosan ilyetén ellenőrzéseket végez, amennyiben az üzemeltető gondot fordított erre.
danke!
(btw by default disabled)
Sosem néztem még ilyesmit, de most kipróbáltam 4 db jelszóval, amit használok eltérő weboldalakhoz. A négyből csak a HUP-os volt kiszivárgott a Haveipwned szerint.
Ne kattints ide!
És amúgy ír valami weboldalt hozzá, hogy honnan szivárgott ki? Mert ha a HUP-os email címed nem található az email adatbázisban, csak a random jelszó a jelszavas adatbázisban, akkor akár véletlen jelszó egyezés is lehetséges.
Semmi ilyesmit nem láttam (de nem is kerestem). Kb. ennyi is részemről a téma, leálltam vele :)
Ne kattints ide!
Oldalanként egyedi e-mail címet és egyedi jelszót használok 32 karakterrel (kisbetű, nagybetű, szám, írásjel, password managernek mindegy) - se az e-mail cím, se a jelszó nem található meg az adatbázisukban. (Igen, azóta generáltam újat.)
Ezek alapján vagy nem volt adatszigvárgás vagy nagyon régi lehetett.
Ugye aki égbe-világba küldözgeti a jelszavát, utána nem használja többet és meg is változtatja? :)
Aki biztonságosan akarja ellenőrizni a jelszavát az adatbázisban (sha1-el hasheli, majd a hash első 5 karakterét küldi csak el, firepwned-ból lopva):
Nekem negatív lett a hup-ra egyedi jelszavam:
De ez hogy ellenőrzi, ha mondjuk salt nélküli md5 került csak ki?
Sehogy, ez csak a plaintext-ben kiszivárgott (vagy visszafejtett) jelszavakat csekkolja.
Salt nélküli md5 esetében a törési idő:
(25 karakter * 2) + 10 szám = 60 karakter
1db Nvidia GTX2080 md5: 37 085 MHash/s
Ez alapján: days = math.pow(60, len(password)) / 37_085_000_000 / 60 / 60 / 24
Tehát lerosszabb esetben:
- 8 karakter: 1.2 óra
- 9 karakter: 3.1 nap
- 10 karakter: 188 nap
Ezek a számok nem jelszavanként, hanem adatbázisonként értendők (valószínű azért valamivel lassabb nagy mennyiségű hash egyszerre törése)
Rainbow table-el (előre kalkulált hash-ek adatbázisba helyezésével) az idő ennek a töredéke. (max pár perc/jelszó)
Mert ti nem változtattok rendszeresen jelszót?
Ide szerintem még az a jelszavam, amit anno treynek küldtem emailben a regisztrációkor, aztán mégse törték még meg a hup accountom.
szerk.: Tévedtem. Nem az.
gabu, te vagy az :D
Volt olyan időszak, mikor a jelszót úgy kellett küldeni? Nem is rémlik. :-)
Egy időben egészalakos meztelen fotót is kért.
Hm, mondjuk ebben a kérdésben 'trey' is megszólalhatna igazán, mint a portál üzelemtetője / tulajdonosa. Legalább annyit hogy "uff" :)
Protipp:
trey @ gépház
Köszönjük! Ezzel mindenki nyugodt lehet! :)
Mit kéne rá mondanom? Én nem felelek azért, hogy mások hogyan kezelik a jelszavaikat. Ha valaki nem biztos benne, hogy nem kiszivárgott ki akárhonnan a jelszava, a legokosabb amit tehet, hogy megváltoztatja. Opcionálisan: kikényszeríthetem, hogy mindenki váltson jelszót. Vagy, kikényszerítem, hogy rendszeresen váltsatok jelszót, de már előre hallom a rinyát, hogy minek ez?
trey @ gépház
Ah beleszerkesztettél :)
Ennyit, csak azért vontalak be a témába, hogy üzemeltetőként / tulajdonosként te vagy az aki ki tudja jelenteni hogy szerver oldalról (és CMS oldalról, nem törték meg a hupot, nem futott rajta NSA kliens, stb, a föld lapos) nem történt semmi olyasmi ami miatt bármi is kiszivároghatott volna.
No offense. Tényleg csak ennyit szerettem volna.
ps.: Valóban nem felelsz azért hogy ki milyen jelszót ad meg és hogyan kezeli, itt az szerver oldalon van a hangsúly / az üzemeltetői oldalon, mivel abban viszont van felelősséged, hogy mennyire "secure" az adott oldal ahova az emberek a jelszavaikat gépelgeti be és hogy az esetleg kikerülhetett-e bármikor is bárhova.
Szerinted ilyet ki lehet jelenteni? Te ebben a szakmában dolgozol?
trey @ gépház
100%-ban nyilván nem. De azért egy "tudomásom szerint nem" ~90%-ra szerintem mehet :)
Oké. Tudomásom szerint nem. Most előbbre vagyunk? Vagy elfogadod, hogy nincs 100%, leellenőrzöd, hogy az általad használt jelszó sérült-e, ha igen jelzed (ezzel segítesz), majd fogod és megváltoztatod.
Eddig is figyeltem a topikot, de amíg nincs konkrétum, vagy gyanú arra, hogy ez nem egy user error, addig felesleges lármát csinálni.
Jó példával elöl járva: én megnéztem az egyébként gyakran változtatott jelszavam (nem sérült), majd azon nyomban meg is változtattam. Ez kb. 1 percet vett igénybe.
trey @ gépház
Trey, tényleg 'no offense' kategóriaként tettem ezt a hozzászólást. Amit leírtál az szerintem elég, de lehet hogy előbb is le lehetett volna írni. Ennyi. És akkor a huphu oldalról zárva van ez a történet.
Valóban, előbb is le lehetett volna írni. Pl. ha főállásban finanszírozza valaki a HUP tevékenységemet. Amíg ez nincs így, addig, ha megengeded, az adatvédelmi irányelvekben rögzített bejelentési csatornákon érkezett adatvédelmi kérdéseket dolgozom fel, a megadott reagálás időn belül (2 munkanap). Az adatvédelmi bejelentési csatornán eddig 0 darab kérdés érkezett. Az meg nem kötelességem, hogy random fórumtopikokat lessek 0-24-ben.
Egyébként megnézted a jelszavad?
trey @ gépház
trey, ne menj át ennyire "támadóba" kérlek. Nem írtam én semmi olyasmit ami kötelező lenne, vagy bármi ... Elnézést ha így értelmezted.
Ez a téma részemről le lett zárva. Ne pörögd túl, nem támadni akarlak téged, vagy ilyesmi, vagy számonkérni hah..
Jelszóra: meg.
Mondjuk ezzel a válasszal nem vagyok előbbre.
trey @ gépház
meg és csodálkozom, hogy nálam nem sípítoik a chrome, vagy egyik site se... (pedig lenne rá oka)
Tároljátok a legutolsó hup pwd változtatás timestamp-jét?
Nem hiszem.
trey @ gépház
Ellenoriztem, regisztracio ota ugyanaz az egyedi jelszavam az oldalon, no pwnage found!
Nekem is feldobta, de én több oldalon is használtam ugyanezt a jelszót és már sokkal korábban kikerült valahonnan (kb egy, másfél éve), mert spambot megtalálta egy ezer éve nem használt messenger fiókomat vele. Eddig lusta voltam megváltoztatni, most megteszem, örüljön :)
Email, bank és egyéb fontos esetekben úgyis véletlen jelszót használok.
Egyébként aki azt állítja, hogy csak ide használta a generált jelszavát (és azóta ugye megváltoztatta), az nyugodtan kiírhatja plain textben is ide a kikerült jelszót. Az alapján már adatbázisokból meg lehet állapítani, hogy mikor és honnan került ki (ami alapján jelez a böngésző). Egy időben én is gyűjtöttem ezeket, de már nem érdekel. Valakinek viszont biztos megvannak, aki tudna segíteni.
Azért a mostani fullextrás jelszókezelő appok mellett nehogy már gond legyen akár havonta cserélgetni a jelszavakat.
Lol... tekintve hogy 623 jelszavam van elmentve, ezért de, úgy érzem hogy gond havonta cserélgetni.
Nekem csak 218 van, de én is úgy érzem, hogy megterhelő rendszeresen cserélgetni, pedig igen, az lenne az igazi. Mikor jutunk el post-password érába? Már nagyon várom...
Igazából volna már rá mód, ott a Google/Facebook/akármi login, sok weboldalon használható, nem kell külön jelszót kezelni.
Aztán ha megkérdezel itt 10 embert, legalább a fele ki fog akadni, és átmegy privacy freak-be. Jót nem lehet tenni :)
Sok jelszókezelő app, sok helyre automatán tudja cserélni a jelszót.
Pl. melyik? Pont kipróbáltam, a Lastpass az muhaha.
Nem bízom bennük. Ugyanúgy feltörik a manapság trendi, tegnap óta a semmiből felbukkant securitystartupokat is, akkor meg nem csak 1 account megy a levesbe, hanem a masik 100 is. Vagy 623! Milyen fasza is az!
https://monitor.firefox.com/security-tips#five-myths
Regisztráció óta nem változtattam jelszót. (Basszus veterán vagyok) Nem került ki elméletileg a jelszavam, pedig annyira nem is erős. Szóval szerintem nem törték meg a hupot.
Akit érdekel a Google megoldásának háttere, itt találja:
https://security.googleblog.com/2019/12/better-password-protections-in-…
https://1.bp.blogspot.com/-1LAW-XXeJhc/XfA42ApKvtI/AAAAAAAABV4/m4EtG0kS…
és a mélyvíz:
https://storage.googleapis.com/pub-tools-public-publication-data/pdf/33…