PPT a helyes útra jelszóhasználatnál:
https://sites.google.com/site/magyarinformatikus/about-passwords
Remélem valakinek hasznos lesz.
"+" és "-"-os hozzászólások? Minden kommentre próbálok idővel válaszolni!
Kellemes ünnepeket!
- m.informatikus blogja
- A hozzászóláshoz be kell jelentkezni
- 3935 megtekintés
Hozzászólások
Subscribe, alkalomadtán [adódni fog... sajnos] linkelni fogom egyeseknek. A plaintextoffenders link külön jó, még nem ismertem :)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
+
:)
szerintem én is továbbküldöm majd pár kollégának
- A hozzászóláshoz be kell jelentkezni
btw, nem jó egyik download link sem a script-ben
- A hozzászóláshoz be kell jelentkezni
Update-eltem (de lehet 1 nap alatt megint 403) + odaraktam állandóan működő linket is, csakhát azt nem lehet berakni scriptbe röviden
Köszi!
- A hozzászóláshoz be kell jelentkezni
köszi!
- A hozzászóláshoz be kell jelentkezni
Részlegesen "érint" a téma, tehát, amolyan tapasztalatként/motyogásként/whatever:
Elég sok olyan jelszóval találkozok, ami nagyon hasonló, vagy teljesen megegyező a felhasználónévvel. Időnként születési dátummal, vagy a klasszikus nagy kezdőbetű és 1 vagy 01 toldással a végén. Egyáltalán, sok esetben, sok emberrel kell jelszavakról beszélnem, de ezen jelszavak biztonsága 1000-ből 1 emberben merül csak fel. (Sok ügyféllel beszélek nap-mint-nap. Szerintem, havi 1k körüli érték lehet. /nem mind ebben a témában persze/) Kisebbik hányaduk idegen kérésére ki is adja a jelszót. (béna, kínai phishing)
Szinte mindig nagy meglepődést okoz, hogy, mivel könnyen kitalálható volt a pw, ezért éltek vissza a fiókkal/bármivel. (== "miért van sok levél a fiókomban a mailer daemon nevű usertől?" és "miért nem tudok belépni?") Majd beállít/beállításra kér egy teljesen hasonló jelszót. Azt meg sem említem, hogy átlaghasználónak egy min. 6 karakterből álló jelszó kreálása, amiben van min. 1-1-1 kisbetű, nagybetű és szám, fejtörést okoz.
- A hozzászóláshoz be kell jelentkezni
"Azt meg sem említem, hogy átlaghasználónak egy min. 6 karakterből álló jelszó kreálása, amiben van min. 1-1-1 kisbetű, nagybetű és szám, fejtörést okoz."
Azért mert ez az egész túl van magyarázva.
27 dia: https://sites.google.com/site/magyarinformatikus/about-passwords
- A hozzászóláshoz be kell jelentkezni
Tetszik a prezi, egy tartalmi dolog hiányzik: a legjobb password az, ami nincs is. Ld. FIDO alliance, Windows Hello és társaik.
Legfőbb ideje lenne jelszómentes világot biztosítani a Felhasználóknak.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
+0.9
Meg kellene szüntetni azt a tényt, hogy a felhasználó lehessen a leggyengébb láncszem, ami nem egyszerű.
- A hozzászóláshoz be kell jelentkezni
Mi a 0.1?
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Legtöbb ilyesmi megoldásnál, amit láttam, mindig van lehetőség jelszavas belépésre. (ezt a Windows Hello-t viszont valóban nem ismerem még)
- A hozzászóláshoz be kell jelentkezni
Valóban szokott lenni, de akkor ismeretlen eszközön illik második faktort kérni, lehetőleg out-of-band-est, hogy a MITM ellen is védjen.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Nem neztem nagyon utana, de ez a windows hello ilyen biometrikus cucc. Akkor pedig nagyon gyorsan el kell felejteni.
https://www.youtube.com/watch?v=VVxL9ymiyAU
TL;DR
A biometrikus credentiallal az a baj, hogy nem cserelheto. Ha egyszer kompromittalodik, akkor orokre kompromittalodott, nem tudod lecserelni. Vesd ossze ezt egy jelszocserevel.
A prezi a jelszavakrol, azok hasznalatarol szol, es szerintem eleg frankon ossze van rakva. Felesleges ilyen biometrikus bullshitet belekeverni a temaba.
- A hozzászóláshoz be kell jelentkezni
Javaslom ezt tanulmányozni: https://fidoalliance.org/specifications/overview/
Aztán átfutni ezt a listát: https://fidoalliance.org/membership/members/
Nem mindenki osztja a véleményedet "Biometrikus bullshit" témában...
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Javaslom megnezni a videot. Szepek a protokollok meg kenyelmesek, amiket kidolgoztak a FIDO fiuk, ezt nem tagadom. A problema a biometrikus azonositassal van.
Az egyaltalan nem baj, ha nem ert velem egyet mindenki. Sot azt kifejezetten szeretem, ha nagy companyk nem osztjak a velemenyemet.
Erveket viszont meg mindig nem hallottam a biometrikus azonositas mellett. Leszamitva azt, hogy "kenyelmes". Egy broken-by-design security auth eseteben ez szerintem keves.
- A hozzászóláshoz be kell jelentkezni
"My 1st ..."
Ha vmilyen okbol nem kezeli a space-eket a tuloldal, akkor igy konnyen lecsokkenhet a jelszo 2 karakteresre a user akarata ellenere.
- A hozzászóláshoz be kell jelentkezni
Kuglifej ezt mondta erre: https://technet.microsoft.com/en-us/library/security/ms00-072.aspx - elég volt "p"-t írni és beengedett, közben meg "password" lett volna a példajelszó.
Nem tudom milyen sűrűn találkoztál a szóköz után lecsípős példával a valóságban, inkább talán a 8 vagy x karakter után levágós a sűrűbb, de az is elenyésző. Habár pár éve még a Budapest bank webes felületén 32 karakter után szó nélkül megtörtént ez.
Update-eltem a PPT-t a lecsípés említésével.
Köszi!
- A hozzászóláshoz be kell jelentkezni
Közel-monopol-helyzetben levő, az ország elég sok pontján összesen százezres nagyságrendű userrel rendelkező rendszer szó nélkül elhasal, ha 63 karakternél hosszabbra akarod állítani a jelszót, szépen kiírja, hogy sikeresen frissült, miközben nem...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
11. dia nem ugyanannak a célközönségnek szól mint az összes többi?
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack
- A hozzászóláshoz be kell jelentkezni
Odaírtam h. csak Magyar nyelvű könyvem volt scannelésre + linket angol leírásra mi az. De értem h. "illetlen" beszúrni egy non-english részt.
Köszi!
- A hozzászóláshoz be kell jelentkezni
Csak egy apró megjegyzés:
A copy-paste jelszóhasználat rendkívül jó támadási felületet biztosít ha nem FIFO vágólap áll mögötte, mert elegendő egy megfelelően preparált weboldal (lásd: clipboardData.getData() ) és már kinn is van az utoljára használt jelszó. Megsózva ezt a "jelszó ne legyen 63 karakternél rövidebb" policy-vel, még nagyon keresgélni sem kell a jelszavakat.
Tovább ízesíti a dolgot ha "nem felejtő" vagy multi-level clipboard manager van a gépen. Megfelelő választása esetén, minden login jelszava kikerülhet egy kódolatlan, alacsony privilégium szinttel védett tárterületre.
Oh, majd elfelejtettem, a jó öreg clipboard a "warm seat" hacking esetén is segíthet a támadónak.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
Kivettem a "clipboard" szót a PPT-ből, csak egy helyen hagytam meg, ahol figyelmeztetem az embereket az általad említett két problemre (clipboardról még ma is ellopható & ottfelejthető).
Helyette a "drag & drop"-os megoldást hangsúlyozom, abba még nem sikerült logikailag belekötni. Very good!
Nagyon Köszi!
- A hozzászóláshoz be kell jelentkezni
Bookmark.
- A hozzászóláshoz be kell jelentkezni
Közben eszembe jutott még egy, amit láthatóan nem lehet eléggé hangsúlyozni: jelszót nem adunk meg. Senkinek. Még a rendszergazdának se. Különösen neki nem :)
Túl gyakran találkozom a "nekem nincsen titkolni valóm" típusú felhasználóval, többnyire ezt a mondatot szokta azt követni, hogy akkor most változtasson jelszót, mert én meg szeretem a logok alapján egyértelműen őt felelősségre vonni, ne mondhassa, hogy mivel tudom a jelszavát, megszemélyesíthettem...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Erre az ötletre most készítettem egy külön oldalt a PPT-ben.
Köszi!
- A hozzászóláshoz be kell jelentkezni
azt miért írod, hogy soha ne bízzunk meg hardveres randomgenerátorokban?
Nekem az utolsó információm az, hogy a leggagyibb hardveres randomforrások entrópiája is sokkal jobb, mint bármilyen szoftveres megoldásé.
- A hozzászóláshoz be kell jelentkezni
Ezt írtam:
"Never trust hardware based random generators"
A PPT-ben itt látható egy aláhúzás. Az aláhúzás egy URL-t jelent. Az URL ide visz:
https://en.wikipedia.org/wiki/RdRand#Reception
A wiki linken hivatkozzák, mi történik, ha backdooros a HW generator.
Sokkal olcsóbb átnézni a forráskódot mint elektronmikroszkóppal minden CPU-t, mellesleg utóbbi esetén szét lesz barmolva a HW. Hogyan auditálsz minden CPU-t? Biztos RNG-k nélkül nem lehet titkosítani.
Snowden óta meg tudjuk h.:
" there’s a “v[ery] high probability of backdoors” in some hardware RNGs, and that those generators simply can no longer be trusted to provide “good entropy directly.” "
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
Ezt oktatni kellene. Nagy köszönet érte! :)
"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."
- A hozzászóláshoz be kell jelentkezni
sub, koszonjuk
- A hozzászóláshoz be kell jelentkezni