Nem talaltad ki, igaz?

A jelszavamat. Legalabbis erre kovetkeztetek abbol, hogy 22:31-tol kezdve folyamatosan kapom a jelszo valtoztatas kerelem emaileket. De hadd segitsek cucukanak egy kicsit: 24 orad van, hogy kitalald az 1x hasznalatos linket. Bar az is lehet, hogy arra megy ki az egesz, hogy ki**sszam a picsaba a @hup.hu domaint spammeles miatt :-) Valami ertelmes limit azert kene a drupalba, mert az nem eletszeru, hogy percenkent 4-5-6 jelszomodositasra felhivo level jojjon user/1-tol...

update: 111 ilyen email jott :-)

Hozzászólások

Én csak ötöt kaptam eddig... Na, jön a többi...

Én is kaptam 6-ot...
Megváltoztattam a jelszavamat, és megint jött 7!
Na most beállítottam egy olyan jelszót, amit sehol máshol nem használok.

Összesen két jelszavam van, egy erős, meg egy kiba erős.
Hogy miért nem több? Mert nem tudnám megjegyezni.
Volt egy harmadik is, de ahol azt adtam meg, oda már be sem tudok lépni.

Szóval memóriakezelési szempontból használok egy jelszót mindenhova..

A HUP-ra most teljesen egyedi jelszót állítottam be, de fel is kellet írnom :D

Használok jelszó kezelőt, mert rengeteg jelszó van ami az egyes admin felületekhez kell...
Viszont minden weboldalhoz, szolgáltatáshoz amit én használok nem állítok be egyedi jelszót, különben be is állíthatnám autostartra a jelszókezelő progit, mert állandóan használnom kellene.
Baromi kényelmetlen lenne folyton onnét nézegetni a jelszavakat.

jelszókezelőnek +1.

Ill +3, mert alapvetően három különböző felhasználói fiókot használok. / +1 ráadás, de az most irreleváns /
- Egyet ilyen netezésre, levelezésre, ilyesmire, minden szirszar időrabló cuccokra.
- egyet 3D, hasonló játszódásra,
- egyet meg az érzékenyebb, fontosabb cuccokra. Ilyenkor nincs hupogás, cseverészés, youtubozás. ilyenkor "munka" :-) van.

És mind a 3 fiókra van külön jelszókezelő, mert mindegyik alapvetően más célokra van, más jelszavak kellenek.

A negyedikre nincs, az egyéb célokra van.

U.I.: persze én egységsugarú fizikai dolgozó vagyok. (kivéve amikor nem :-)

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

A jelszavakat a böngésző is megjegyzi, jobb esetben belépve is marad az adott oldal napokig.
A gond akkor van ha törlődik a cache valami miatt, akkor kell újra előbogarászni a jelszavakat.
És nem használok olyan jelszó kezelőt ami kitölti mezőket a weboldalakon. Külön alkalmazás, amit talán havonta indítok el egyszer, ha a böngésző cacheből eltűnt volna a jelszó.

Tudom én hogy nem biztonságos, de le van szarva az egész.
Egyszer úgy is összeomlik ez az egész informatikai szerencsétlenség és akkor már kurvára mindegy lesz ki kinek tudja a jelszavát :D

A WoW jelszavam maradjon titokban csak az a lényeg!

hat ezert mar megerte bekapcsolni a gepet :-)

Komolyan mondom, az edenhotel, meg a tobbi szar elmehet melletted a csaba a dugasokkal egyutt. Szerintem neked is kene egy webcam-es reality-t nyomnod: lathatnank, ahogy wowozol, fikazod az ugyfeleket, orjongsz, mert nem fizet a paraszt, bicepszezel a taviranyitoval, osztod az aranykopeseket (pl. "Tudom én hogy nem biztonságos, de le van szarva az egész"), etc. En meg fizetnek is erte, b+. Csak ne vetkozz :-)

--
"el nem birom kepzelni, hogy valakinek keves az 1.7 GB-os kvota" (hrgy84)

Nekem a http://www.passwordstore.org/ bevált. GPG-vel titkosítja a jelszót, egyszerű könyvtár/file struktúra, minden entry külön file-ban. dmenu scripttel egyszerű clipboard-ra másolás (fuzzy search). Git verziókezelővel szinkronizálható több gép között. Bash/Zsh completion.

Amit nem próbáltam: firefox extension, android app, titkosítás több gpg kulccsal.

Elég fapados, másszóval nem bloated, nincsenek felesleges függőségek.

Én két kategóriába osztom a weblapokat: 1) nem szeretném, ha megtörnék: erős, egyedi jelszó, amit vagy jelszókezelőben tárolok, vagy titkosított szövegfájlban. 2) bosszant, hogy regisztrálni kell, de az égvilágon semmi olyan nincs rajta, ami hiányozna, vagy amivel vissza lehet élni. Egy darab közepes erősségű jelszó megy az összes ilyen helyre.

Nem igazán érted, hogy mi az a rainbow table, ugye? ;)

Nem _fejted_vissza_ a szó szoros értelmében a jelszót. Ettől még előfordulhat, hogy a sózatlan hash + rainbow table = visszafejtett jelszó. Nyilván minél bonyolultabb a jelszó, annál kisebb az esély rá.

Ha most hash-eltél egy ilyet (zVGvuj4Uq61y), akkor persze esélyes, hogy nem lesz meg, de az átlag jelszó nem is ilyen komplexitású.

De, azt hiszem a vitának megfelelő mértékben tökéletesen tudom, mi az a rainbow table.

Pont azt mondom, hogy hiába van meg __egy__ eredetije a fenti hash-nek, kicsi a valószínűsége, hogy azzal más oldalon be tudsz lépni a nevemben: ott más a hash algoritmus, meg sózva van, stb. Hiába lesz itt "jóskapista"-ból egy adott hash, meg "ezajelszavam"-ból is ugyanaz, attól még a Facebook-on a "jóskapista" jelszóval nem tudsz belépni a nevemben.

Innentől meg, aki itt hozzáfér a DB-hez, s látja a jelszavam hasheletlen, md5 hashét, sokra nem megy vele, mert a világ nagyobbik része túllépett ezen a technikán.

Szóval, továbbra is fenttartom, hogy:
* ha itt hozzáfér a DB-hez, itt úgyis azt csinál a nevemben, amit akar - akár visszafejti a jelszavam, akár nem
* A többi helyen meg nem sokra megy egy olyan sztringgel, aminek az md5 hashe megegyezik a jelszavam md5 hashével

Persze, az egész mögött ott a feltevés, hogy a rainbow table igen kis eséllyel adja vissza az eredeti jelszót, s legtöbbször csak a két string hashe egyezik. Ez, elismerem, megérne egy mérést.

(a fenti hash egyébként egy magyar szó, nagy kezdőbetűvel, majd kisbetűkkel, s egy születési dátum md5 hashe - annyira nem légből kapott, azt hiszem)
--
blogom

Elég kicsi az esélye egy ütközésnek a néhány karakteres hosszúságú sztringeknél. Volt itt erről egy thread, elég sokan beégtek, szerintem ne is kezdjünk bele újra.

Ha van egy hash, akkor két opció van:
1) sikerül visszafejteni. Megvan a jelszó, az esetek 99%-ában ugyanaz lesz a user jelszava FB-n is. Ha a rainbow table visszadobja az "almafa" sztringet, és a "v924h98cj1cj2edj2j2&@ˇ[Đä[k" sztringet, akkor az első lesz a jelszó.
2) nem sikerül visszafejteni. End of story, vagy bruteforce.

Ha egy salt nélküli hsahből visszakövetkezteted a plaintext jelszót, akkor a kutyát nem érdekli, hogy adott esetben a FB überbiztonságosan tárolja a jelszavakat, mert simán a login formba beírod a cuccot, és bent vagy.

> Persze, az egész mögött ott a feltevés, hogy a rainbow table igen kis eséllyel adja vissza az eredeti jelszót

Ez kb. csak a rainbow table nagyságától függ, vannak elég jó cuccok odakint, amikben a hétköznapi userek jelszavai jó eséllyel meg lesznek.

> annyira nem légből kapott, azt hiszem

Nem, csak nem ez az átlag. :)

akkor két opció van:
1) sikerül visszafejteni.

ez kb. az a fajta pongyolasag, mint amikor matekoran a log expr1 = log expr2-bol levezeted, hogy expr1 = expr2, mondvan 'logaritmussal egyszerusitunk'. Amiert szinten kijar a pelokorbacs...

--
"Tudom én hogy nem biztonságos, de le van szarva az egész [...] A WoW jelszavam maradjon titokban csak az a lényeg!" (BlinTux)

Nekem 8. (Eddig.)

ps.: ha az auth nem a megjelenített user név lenne (hanem mail cím), akkor vélhetően egyet sem kapnék.

Valami faszorrú ( 84.3.62.118 ) szórakozik, nem csak neked másoknak is küldeti a levelet. Majd megnézem, hogy mit lehet tenni. Ugyanaz a madár csinálta egyébként mindenkinek.

--
trey @ gépház

Ha látszik hogy _aktuálisan_ valaki valamilyen címről próbálgat, akkor simán szerintem.
Nem örökre, stb, csak hátha ezzel sikerül is leállítani a kis barátunkat.
Gondot nem okoz szerintem ez :)

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"