Pa$$word

"Olyan jelszót válasszon amiben kis és NAGYbetűk mellett különleges karakterek vannak."

T. fejlesztő ha vannak benne különleges karakterek, akkor nb. szoftvere konstansan 0-ra fut az ellenőrzésen. #minekfejlesztazilyen

( cherockee v | 2018. 11. 10., szo – 11:27 )

Random webshop, kiírva, hogy 8-16 karakter közötti jelszót adjak meg, elfogadja a 20 karakterest szó nélkül. Másik, ugyan ilyen kiírásnál nem fogadja el a 12 karakternél hosszabb jelszót. Volt olyan is, ahol megadtam 20 karaktert, elfogadta, belépésnél hiba, gyakorlatilag bármilyen jelszót adtál meg, 8 karakterig lerövidítette, és azzal hasonlította amit beírtál.

Neves magyar aukciós portálnál is hasonló volt a helyzet, csupán azzal a különbséggel, hogy jelszó beállításnál levágták 20 karakter után, bejelentkezésnél meg nem. Így soha nem volt jó a jelszavam. :) Írtam nekik és jelezték a fejlesztő kollégáknak is talán.
--
HUP Firefox extension | Hupper hibajelentés

( zeller | 2018. 11. 10., szo – 16:50 )

Kis és nagybetűk... Ugyan már... Minek azt megkülönböztetni! Egyik netbanknál véletlenül derült ki számomra (caps lock benyomva jelentkeztem be), hogy biza nemkülönböztetik meg a jelszóban (sem) a kis- és nagybetűket. AMikor rákérdeztem, hogy wtf?!, akkor a válasz az volt,hogy igen, nincs ilyenmegkülönböztetés, de az oldal ssl és az milyen tökéletesen védi az adataimat és milyen biztonságos... Nem kicsit volt Ciki banktól ;-) ilyet leírva látni :-P

Ez legalabb magyarazhato annyival, hogy

if (pwHash(strtolower(inputPassword)) == storedPasswordHash) {

Ellentetben a "jelszo max 8 karakter lehet" cimu csodakkal, meg a "nem tartalmazhat szokozt, !-et, ;-t" jellegu szinten gyanus elemekkel. Azokra meg ennel is rosszabb belegondolni, hogy megis mi a magyarazat.

Egy kártékonnyá vált adblocker veszélyesebb, mint egy reklám ami csak arra kér, hogy kattints rá; nem?
Pont arra a diára van írva, hogy egy "Chrome dev plugin with 1m+ users hijacked".
Ha a reklám pedig JS-t futtat, akkor a fejlesztők hibáztak - ez esetben csak a probléma elodázása.

És a brute force megoldások többsége hogyan működik? Mármint tetszőleges karaktersorozatra próbálnak vagy értelmes szósorozatra?
Mert ha az előbbi, akkor a megjegyezhetőség miatt az utóbbi jelszóválasztási stratégia hatékonyabb lehet.
Egyébként mennyire elterjedt a brute-force jelszótörési kísérlet?

Tehát akkor az "okos" mód inkább szavanként halad, mivel a jelszó jellemzően egy-két szó néhány számmal kombinálva.
Akkor a sok helyen megjelenő előírás, miszerint kis- és nagybetű is legyen illetve szám és speciális karakter is, nem elvetemült ötlet?

Sőt, ha már tudjuk, akkor a "kritikus" helyeken (pl. bankok) miért nincs olyan ellenőrzés új jelszó megadásakor, hogy az új jelszó néhány szó egymás utáni írása-e? Vagy ez (mondjuk két nyelvre: angol és "hazai") nagyon költséges lenne?

Azert webes szolgaltatasoknal eleg gaz, ha bruteforce-olhato egy jelszo. Csak db leak eseten fordulhat elo. Ellenben FourSimpleWordsP@ssw0rd eseten csak az adott webes szolgaltatas leakje a veszely, bBsbjaB628!£&?-!53yHlj!>fhHg eseten meg a sokkal surubben targetelt password manager szolgaltatase is. (Arrol nem is beszelve, hogy meg nagyobb az eselye annak, hogy bajba kerulve nem a sajat gepedrol es telefonodrol nem tudsz belepni)