Jelszó változtatás

 ( ricsip | 2018. november 19., hétfő - 14:13 )

Regisztráltam egy portálra akkóuntot még régebben. Ma lépnék be, nyafog h. régi jelszó (max. 6 hónapos lehet), szóval azonnal változtassam meg.
Megpróbálom a hülye-módot, hátha sikerül, és megadom neki a régit.

Erre ezt írja:
"Nem használhatja az utolsó 12 jelszót. Kérjük, válasszon egy másik jelszót." --> utolsó 12-t megjegyzitek b+....

Jó, akkor adjunk meg 1 szofisztikáltat. Na, kiderül h. ez se jó nekik. Persze a degenerált UI-k korában tájékoztatást csak azután kaphatsz h. már a falnak rohantál, előre nem lehetett volna ezt a képembe tolni, hogyasszongya:

"A jelszó megadásakor vegye figyelembe az alábbi szabályokat:

10 és 32 közötti számú karaktert kell tartalmaznia. Csak a következő karakterkészletet használja: ! # $ % & ( ) * + , - . / 0123456789 : ; < = > ? @ ABCDEFGHIJKLMNOPQRSTUVWXYZ [ \ ] _ ` abcdefghijklmnopqrstuvwxyz { | } ~
Legalább 1 kisbetűt (abcdefghijklmnopqrstuvwxyz) kell tartalmaznia.
Legalább 1 nagybetűt (ABCDEFGHIJKLMNOPQRSTUVWXYZ) kell tartalmaznia.
Legalább 1 számkaraktert (0123456789) kell tartalmaznia.
Legalább 1 karaktert kell tartalmaznia a következő készletből: ! # $ % & ( ) * + , - . / : ; < = > ? @ [ \ ] _ ` { | } ~
Nem tartalmazhat több mint 3 egymást követő azonos karaktert (AAA, iiii, $$$$$ ...).
Nem tartalmazhatja az Ön felhasználónevét.
Nem tartalmazhatja az Ön e-mail címét.
Nem tartalmazhatja az Ön keresztnevét.
Nem tartalmazhatja az Ön vezetéknevét."

Meg gondolom a lakhelyemet, kedvenc aranyhörcsögöm és zeneszámom címét sem.

Itt már nagyjából tényleg csak a fullrandom szemét marad. Ami kb. garantáltan megjegyezhetetlen, rákényszerítve/rászorulva a pwd managegerre. Ja és gondolom 6 hónapos pwd lifetime-al ezt a játékot évente 2-3x el lehet játszani, ha kb. olyan sűrűséggel látogatod az oldalt csak ez az idegesítő frusztráció fog belőle megmaradni.

Jah, terjed a módi a nagyoknál (asszem Amazon vezette be), h. a Haveibeenpwned.com-ról letölthető hash-eket is végignézik, így az azokban a dump-okban levő jelszavakat sem engedik használni senkinek. Tehát lehet új szavakat és groteszk kombinációkat kitalálni.

A db-t vmi SQL-injectiönnel úgyis kilopják majd a kínaiak/oroszok/egyebek, de itt most legalább a felhasználóikat sikeresen szétszopatták.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

nem a jelszót jegyzik meg,hanem - remélhetőleg - hanem a belőle képzett hasht :)


No rainbow, no sugar

Mernél nagy összeget tenni rá? :)
--

pl. dimag.hu
Akartam venni elektronikus formában dolgokat. Amikor sima szövegként visszakaptam a generált jelszavamat, elment a kedvem. Az se volt pozitív, hogy valami saját formátumban kapja az ember a dolgokat amihez az ő saját alkalmazásuk szükséges? Hagytam inkább az egészet. Szerencsére lehetett törölni az accountot. Ez se alap feature mindenhol.
Találkoztam olyan furmányos oldallal, ahol biztonsági okokból akkor se törlik az adataidat ha kéred... Mondjuk ez még GDPR előtt volt, most már lehet ott is törlik.

Kaptam már vissza plain text emailben webshoptól a kártyaszámomat is :(
(Nem az általad említettől.)

Magyarország legnagyobb egyteme, a tudás és szakmaiság állítólagos fellegvára küldi havonta a jelszavakat plain emailben, hogy el ne felejtsem. Aztán csodálkozunk, ha egy 18 éves úgy töri szarrá a BKK-t, hogy nem is akarja.

A mailman egy fos szoftver ilyen téren. Pedig GNU projekt.

Troll: vagy éppen azért! :P
//sorry :D
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

Az még nem feltétlenül jelenti azt, hogy megjegyzik. Találkoztam már webshoppal, ami regisztráció után kiküldte emailben plain textben a jelszót, de letárolni csak a hash-t tárolta.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

jaja, alapvetően jó ötlet jelszavakat küldözgetni unencrypted csatornán, mi baj lehet végülis

Jelszókezelő app kell neked. Az nem oldja meg a fenti szopatást de legalább kényelmesen és biztonságosan lehet nehezen megfejthető jelszavakat generálni és tárolni. A fő ficsőr bennük hogy nem kell megjegyezned, hanem előveszed / automatikusan előveteted vele.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

És a db-t hol és mennyire biztonságosan fogja tárolni? Ha csak helyileg, akkor hogy lesz róla ellenőrzött elosztott mentés? És az hova kerül? A db-t kezelő cucc mennyire sebezhető? ;)

Én pl. a KeePass db-t Google Drive-on tartom, illetve az összes eszközön, ahova szinkronizálom, a kulcsfájlt az asztali gépemen, a notebookomon és a telefonomon (mindegyiken titkosított fájlrendszeren), az egészhez tartozó mesterjelszót a fejemben.

Nekem hasonló, csak nextclouddal, van nextcloud androidra is, meg keepassos nézegető is. Nekem csak mesterjelszó van, fejben :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

A keepass kulccsal vagy jelszóval titkosítja a jelszó db-t, nyugodtan szétoszthatod pendriveon vagy felrakhatod a netre, "nem lehet" feltörni.

"Ha csak helyileg, akkor hogy lesz róla ellenőrzött elosztott mentés"
Rendes embernek eleve van nextcloudja, vagy valami public cloud alapú mentése, tárhelye.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

> Rendes embernek eleve van nextcloudja, vagy valami public cloud alapú mentése, tárhelye.

-1

"Rendes ember" oda backupol, ami felett neki teljes kontrollja, másnak meg hozzáférése sincs.

https://en.wikipedia.org/wiki/Nextcloud

"Nextcloud is a suite of client-server software for creating and using file hosting services. It is functionally similar to Dropbox, although Nextcloud is free and open-source, allowing anyone to install and operate it on a private server."

Egyébként meg nyilván. A public cloudot én sem használom, de mivel "mainstream", ha nem írom le, rögtön jön egy hülye lecseszni. :) Ti a kollega fejfájása abban állt, hogy jó-jó, van egy jelszó db-m, de hogy fog ez eljutni/szinkronban maradni a különböző eszközeimre automatikusan.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Elnézést, nem ismertem konkrétan ezt a Nextcloud cuccot, nem tudtam, hogy ezt a saját szerverre lehet pakolni; azt hittem egyike a gombamód szaporodó "tárold nálunk az életed" szolgáltatások egyikének.

A keepass kulccsal vagy jelszóval titkosítja a jelszó db-t, nyugodtan szétoszthatod pendriveon vagy felrakhatod a netre, "nem lehet" feltörni.
És teszem azt, cron-ból lefut egy rsync?

Nem egészen értem a kérdést. Arra gondolsz hogy több eszközön miként lesz szinkronban a db file? Mert erre egy tetszőleges google-drive szerű megoldás rögtön megadja a választ. (én saját nextcloudot üzemeltetek)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Szerintem másképp használom - nálam csak egy eszköz van, onnan egyszerűbb felhőbe feltölteni konfliktusok nélkül (ahogy blr írta).

Hát, azért az elég nagy szívás lenne, ha az egyik eszköz felülcsaphatná a másik módosításait…

A windowsos kliens észreveszi, ha megváltozott alatta a fájl, és képes szinkronizálni a memóriában, illetve a diszken található db. Amit Androidon használok, azzal eleve a GD-ről szedetem a fájlt, de ha offline vagyok, a cache-t tudja később szinkronizálni.

- Kérem, adja meg jelszavát!
- Alma
- Sajnálom, a jelszónak legalább 8 karakterből kell állnia!
- Reszeltalma
- Sajnálom, a jelszónak tartalmaznia kell legalább 1 számot!
- 50reszeltalma
- Sajnálom, a jelszónak legalább 1 nagybetűt kell tartalmaznia!
- 50KIBASZOTTreszeltalma
- Sajnálom, a jelszóban nem követhetik egymást nagybetűk!
- 50,Kibaszott,Reszelt,Alma,Feldugva,A,Seggedbe!
- Sajnálom, a jelszó nem tartalmazhat írásjeleket!
- 50KibaszottReszeltAlmaRohaggymegHaNemFogadodElEztSe.
- Sajnálom, a jelszó már foglalt!

Bekeretezném, és elküldeném az IT bandájuk postacímére.
--

ROFL, +1.

:D
____________________
echo crash > /dev/kmem

Ez annyira biztonságos jelszó lesz, hogy kellhet hozzá egy ilyen jegyzetfüzet, hogy ne felejtsd el. aka offline lastpass :-)

https://i.imgur.com/Fh5HLWq.jpg

Júúúj :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Nekem a kedvencem az, amikor bizonyos funkciókhoz nem elég csak úgy belépni, még biztonsági kérdéseket is meg kell válaszolni. Egy oldalon folyamatosan küzdök azzal, hogy mindig "elfelejtem" a válaszokat, pedig tudom mi lenne a helyes válasz, csak nem tudom már hogyan adtam meg (kisbetűvel, nagybetűvel, "ph"-val "f" helyett vagy fordítva, stb.). Ráadásul több kérdésre kell válaszolni és nem írja ki melyik volt a rossz. Ezután jön az, hogy vagy otthagyom az egészet vagy továbbpróbálkozok és kizárom magamat a saját accountomból és jöhet a kálvária a meg nem érkező emailekkel, hogy visszaszerezzem. :_)

Én mindenhol beállítottam az "incorrect"-et jelszónak

ha rosszat írnék be, akkor megmondja, h. az ön jelszava incorrect :D

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

Felhasználói oldalról ez is egy megoldás, de így ugye értelmét veszti az egész. Ennyi erővel ki is vehetnék az egészet.

Valami nyomorult win10 telepítésnél futottam bele ilyenbe a minap. És nem enged tovább, amíg a kutyám nevét be nem írom, meg még két hasonlót... Értem én, de ez legyen már opcionális legalább advanced telepítési módban.

Próbáld meg a "L0fasztASeggetekbe!" sztringet; megfelel minden kritériumnak és még passzol is a helyzethez. :P

Nem jó mert ez az előző jelszava.

Akkor tegyen a végére még két felkiáltójelet. Nyomatéknak, meg salt-nak. :P

a jocegnel csereltem jelszot iden ev elejen, vagy tavaly ev vegen - nem tudom pontosan. parszor meg begepeltem a regit es o kozolte hogy nem jo, mert *ezt* xy hete megvaltoztattam. szuz gepen es bongeszoben is, idegen halobol is.

hogy basznak meg mar vegre az anyjukat!

--
Vortex Rikers NC114-85EKLS

A kezelésem alatt van 5 darab Steam account, hogy lanon pöröghessen a cs könnyen. A múltkor egységesíteni akartam a jelszavaikat, és amikor az ötödiknél akartam ugyanazt a jelszót megadni, kiírta, hogy ezt már túl sokan használják, válasszak másikat. Na, ilyet még nem láttam sehol :)

A múltkor egy (etikus) hackelést oktató (=biztonságtechnikai) videoban használtak egy olyan oldalt ami tárolt nagyon sok jelszóhoz tartozó hash-t, többfélét. Azaz ha csak a hash van meg, akkor is nagyon könnyen meg lehet tudni a jelszót, ha gyakori. Engem meglepett, hogy ilyen publikus DB egyáltalán létezik...

Ezért szokás "sózni", akkor ugyanis azonos raw text és algoritmus esetén is más lesz a hash.

Amúgy pedig itt van majdnem mind: https://databases.today/

pl. https://databases.today/search-nojs.php?for=linkedin
--

Én általában ezt használom: https://hashkiller.co.uk/md5-decrypter.aspx
De van egy rakás ilyen db, vannak multi keresők is stb.

Az is jó, amikor limitálva van a jelszó hossza, de ezt nem írják ki előre a jelszó létrehozásakor. És jelszókezelővel szépen generálsz mondjuk egy 22 karakteres jelszót, szépen ki is tölti vele a jelszó mezőt, el is fogadja a rendszer, idáig rendben. Csak aztán amikor be akarsz lépni, akkor kiderül, hogy a rendszer levágta a jelszó végét, és csak az első 16 karaktert fogadta be, merthogy max. 16 karakter hosszú lehet a jelszó. És így nem tudsz belépni, kérheted a jelszóemlékeztetőt, merthogy nem derül ki továbbra sem, hogy max. hány karakter lehet a jelszó...

szomorú kórképet festenek ezek a kommentek a mai websecurity állapotáról!
--

Mint erintett fejleszto halkan megjegyzem, hogy az ilyen eloirasok altalaban kotelezoek kulonfele sec. policykben, nem a fejlesztok szivatjak a felhasznalokat... Lassan lemasznak az elefantcsonttoronybol a donteshozok, lasd pl. a NIST uj ajanlasait (tudtommal korabban epp a NIST ajanlasai irtak elo a rendszeres cseret es az egyeb, szerintem ertelmetlen/kontraproduktiv megkotest - amik miatt egy csomoan gyakorlatilag 1-2 memorizalt sztringet varialnak szamokkal, legtobbszor datumokkal kiegeszitve).