Jelszószabályok miatti sírás, 4825. rész

Gondoltam viszonylag régóta élnek a mostani jelszavaim, ideje lecserélni őket. Valami szörnyű, hogy hogyan kezelik a jelszavakat egyes szolgáltatók.

Nagy cégek, mint pl. a Blizzard előírják, hogy maximálisan milyen hosszú lehet a jelszavad és még véletlenül sem rakhatsz bele speciális karaktert, nehogy már azt állíts be magadnak amit szeretnél. Erre már csak legyint az ember.

Mások, mint pl. az Origin viszont biztonsági kérdéssel keserítik meg az ember életét. Én naiv azt hittem, hogy ez a "lost password" funkcióhoz kell majd. Hát nem. Felhasználói névvel, jelszóval szépen azonosítottam magam (kétszer is, mert az Origin átdob az EA oldalára, mondván hogy csak ott lehet ilyen bonyolult dolgokat csinálni, mint a jelszócsere, viszont ott már nem élt a sessionöm), rákattintok a Change password linkre, erre fogad egy ablak, hogy adjak választ a beállított kérdésre. Egy nevet kellett volna megadnom, viszont akárhogy próbáltam, ékezetekkel, teljes névvel, rövid névvel, ezek mindenféle permutációjában, nem fogadta el. Emlékszem rá, hogy mikor beállítottam is voltak gondok vele, de gondoltam password manager használatával úgysem "felejtem el" a jelszavam, így nem lesz rá szükségem. Hát lett... azóta se tudtam átírni a régi jelszavam, így ezt most szépen megjelöltem magamnak, mint nem biztonságos jelszó.

Csak egyszer érteném meg ezeknek a szabályokat a létjogosultságát... :(

( uid_17720 | 2017. 08. 16., sze – 21:17 )

Ja, és ami még kimaradt:

Egyes szolgáltatók tevőlegesen akadályozzák jelszókezelők használatát, ugyanis tiltják a Ctrl+V-t a jelszó mezőben (de csak a jelszóváltoztató formon). Két-három ilyenbe is belefutottam, ha jól emlékszem a Blizzard is ilyen volt.
Lehet azzal érvelni, hogy így védik magukat az ellen, hogy olyan jelszót másolj be amit valójában nem is ismersz, ezzel kizárva magad a fiókodból, csak ügyesebbek ezt egy "show password" checkbox-szal megoldották.

Az értelmesebbje nem a személyre, hanem a jelszókezelőre vonatkozott. ;)

Az meg hogy csökkenti-e, jó kérdés. Az alapvető probléma ugye a vágólappal, hogy egy shared resource, arra van tervezve, hogy minden szar hozzáférjen, szóval nem olyan jó hely a szenzitív információnak. Hogy lehessen kontrollált csatorna, ahhoz más útvonal kell. Ez vagy egy extension, ami tud valahogy authentikáltan kérdezni egy jelszókezelőtől (és egyébként nem lenne neki muszáj kitalálni, hogy melyik a password mező, tudhatná azt, hogy "ebbe a textboxba kérem"), vagy pl egy billentyűzet, mert az inputot egy android alapvetően védi, nem fér hozzá random app, és jó arra, hogy bárhova írhass, ahova szeretnél.

És igen, ettől még UX antipattern, és kő undorító, viszont legalábbis ezen a vonalon szerintem határozottan javít a risk analízisen.

javascript kikapcs :-) majd bekapcs.

Ezek egyszeruen balfaszok. Van egy prekoncepciojuk, es a "megoldasuk" csak arra jo, hogy irritalja az embert. Valodi haszna nincs a nagyobb security-re.

Ha mas jelszora emlekszel, mint amit beirtal, arra ott az elfelejtett jelszo funkcio.

Ahol meg biztonsagi kerdesekre kell valaszolni, na az meg a legalja, a t-systems fele fucked by design iskolapeldaja...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

paypal-nál találkoztam ilyennel.

De ez pont nem a jelszókezelőt akadályozza, hanem azt, hogy valahová felírjad magadnak.

A jelszókezelő vidáman begépeli neked a jelszót a mezőbe, amikor megkéred rá.

Jelszókezelő _nélkül_ lenne nagy szívás egy bonyolult jelszót használni és kézzel begépelni.

( kroozo v | 2017. 08. 16., sze – 22:28 )

"Egy nevet kellett volna megadnom, viszont akárhogy próbáltam, ékezetekkel, teljes névvel, rövid névvel, ezek mindenféle permutációjában, nem fogadta el. Emlékszem rá, hogy mikor beállítottam is voltak gondok vele, de gondoltam password manager használatával úgysem "felejtem el" a jelszavam, így nem lesz rá szükségem".

Én ezeket is passwordként kezelem. Egyrészt random generálok vmit, mert tök insecurenak tartok ide olyat megadni, amit social engineeringgel simán meg lehet szerezni, másrészt ebből következően be is írom a pass managerbe. Mondjuk ezt egyébként is csinálnám, mett úgyse fogok emlékezni a pontos válaszra...

( zeller | 2017. 08. 17., cs – 09:29 )

Citi netbankja anno (írásba is adta a cég...) a kis- és nagybetűket nem különböztette meg a jelszóban...

Nem azért vezették be.

Eredetileg úgy ment, hogy a jelszó mezőt a képernyőn megjelenő virtuális billentyűzettel lehetett csak kitölteni, egérrel. A billentyűzetről érkező gombnyomásokat nem fogadta el.
Gondolom azért, hogy ne lehessen egy keyloggerrel betámadni. Persze mondjuk ha minden egérgomb nyomásra screenshotot készítene egy keylogger... na mindegy.
Szóval a virtuális billentyűzeten nem volt shift gomb, tehát nem lehetett kis és nagybetűt írni, csak egyfélét.

Később a rendszer változott, virtuális keyboardot elfelejtették, de a jelszavak maradtak. És ha az ember kis és nagybetűt használt, akkor az is illeszkedett a régi jelszóra, szóval valahol menet közben ügyesen mindent kicsire vagy nagyra konvertáltak.

És ezt nem csak a magyar Citibank csinálta, angol Citibank weboldala ugyanígy működött.

Szerintem volt shift rajta, de mindegy - az biztos, hogy idővel nullára redukálódott az értelme, viszont a kivezetése után már semmilyen indok nem volt a hülyeségre - meg arra a marketingbullshit-re sem (arra mentség se nagyon...) amit a wtf?? jellegű kérdésemre válaszoltak ezügyben... (tömören: igen, szar a jelszópolicy, de az ssl, amit a szerver és a böngésző használ az aztán extra biztonságossá teszi a bankolást, mert az így meg úgy ennyi meg annyi bites és hogy hűhadefajagyerekek vagyunk...)

Tetszik a válasz. Olyan megnyugtató.

Én határozottan úgy emlékszem, hogy nem volt shift, ezért hiába szerettem volna, nem tudtam kis és nagybetűket használni.

Az OTP-nek a netbankja volt valamikor 98 környékén egy java applet (azt hiszem). Az ugyan elméletileg tudott volna nagybetűt, de amikor a shiftet nyomtam, csipogott és nem vette be, amit gépeltem. Így végül ott is kisbetűs jelszavam volt.
Mondjuk egy idő után lecserélték simán webesre, és úgy emlékszem, akkor már lehetett nagybetűt is használni.

Igazad lehet, google képkereső csak shift nélkülit hoz. Szerencsére már nagyon régen volt...
A válasz az tényleg fenomenálisan ott van a szeren... Csak azt nem tudták, hogy picivel több közöm van (akkor még volt, de már elmúlt) a netbankolás világához, mint az emberek kilencvensok százalékának... :-)

( khiraly | 2017. 08. 17., cs – 18:31 )

live.com, vagy epp hogy hivja magat az MS office kotelezo regisztracios oldala:
a jelszoban nem szerepelhet az emailcim @ elotti resze.

Nem gond, csak amikor a@kisfasz.om az emailcim, akkor kar az abc-bol az 'a' betut szamuzni.

Lamer banda. Legalabb egy minimum 2 karakteres feltetelt beleirhattak volna.

De ezek honaprol honapra valtogatjak a jelszoszabalyaikat. De komolyan.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Wow, ezt nem is tudtam :D Ennek is csak úgy látom értelmét, ha egyedül azt tiltják hogy a jelszó egy az egyben a @ előtti string, pl. "richard@cegem.hu" esetén nem lehetne "richard" a jelszavam is. De ha már "sózom" a stringet (plusz remélhetőleg ők is), nem mindegy nekik?