Hogyan valasztasz jelszavat? [ szavazas ]

Security-all

Hogyan valasztasz jelszavat? [ szavazas ]

  • 1230 megtekintés

( szgabor | 2005. 07. 23., szo – 10:35 )

[quote:714c35c46f="dezso21"]Jelszo generalas powered by /dev/urandom, NAGYBETU+kisbetu+szamok. Hosszusag a csillagos eg. Loginolas Brute-attack.

Ugyanez milyen mókás lenne /dev/zero -val :)

( Panther v | 2005. 07. 23., szo – 11:07 )

Nálam ssh, pgp kulcs: kis/nagybetű/szám vegyesen, kb 8-12 karakter hosszú, ha rámjön a jelszókitalálhatnék, akkor ennek többször futtatott kimenetéből válogatom össze:

[code:1:88b3bb6087]$cat /home/panther/bin/genpwd
#!/usr/bin/php
<?php

$length = 8;

if ($argc != 1) {
$length = $argv[1];
}
$str = '';
for ($i = 0; $i < $length; ++$i) {
$str .= chr( rand( 48, 122 ) );
}
echo $str;
echo "\n";
?>[/code:1:88b3bb6087]

De sokszor szótárban vagy máshol megtalálható szót használok, amikor tudom, hogy az biztonságos (nem fér más hozzá, vagy nem fér olyan hozzá, akinek nem kéne). Vagy pedig nem tudnak mit kezdeni a jelszóval. Pl mysql adatbázist kissé átalakítják, akkor nem gond, mert visszamásolom az eredetit + megváltoztatom a jelszót.

Röviden: ahol fontos a biztonság, ott nem egykönnyen megfejthető jelszót teszek, ahol meg nem, oda könnyen megjegyezhetőt.

( mbaron | 2005. 07. 23., szo – 11:44 )

A "/dev/urandom"-ot -ha jól látom- szűrni is kell valamivel... ha ez megvan, tényleg nagyszerű megoldás jelszógyártásra. Összedobtam erre egy egyszerű programot C-ben:
[code:1:ecb6dc53e4]
#include <stdio.h>
void main(void)
{
FILE *veletlenbemenet;
char karakter;
int szam=16;
veletlenbemenet=fopen("/dev/urandom", "r");
while(szam!=0)
{
fread(&karakter,1,1,veletlenbemenet);
if(karakter>=48&&karakter<127)
{
printf("%c", karakter);
szam--;
}
}
printf("\n");
fclose(veletlenbemenet);
}
[/code:1:ecb6dc53e4]
Köszönöm a /dev/urandom-os ötletet. Asszem, a következő jelszómat ezzel határozom meg. :-)

( FoREE | 2005. 07. 23., szo – 11:45 )

en meg arra is oda szoktam figyelni, hogy angol es magyar billenytuzeten lehetoleg ugyanugy kelljen begepelni

( KKata | 2005. 07. 23., szo – 12:00 )

Ha szabad egy off-topic megjegyzest: "valasztasz" egy sz-szel irando, meg szerintem "jelszot" - de ebben mar nem vagyok egeszen biztos... :)

( rigidus | 2005. 07. 23., szo – 12:11 )

[quote:f596f7ccd2="Panther"]Röviden: ahol fontos a biztonság, ott nem egykönnyen megfejthető jelszót teszek, ahol meg nem, oda könnyen megjegyezhetőt.

Igen, en is valami ilyesmire lettem volna kivancsi.

A dolog amiert a szavazast inditottam, az a mostansag divatos jelszo visszaelesekkel kapcsolatos, ki mennyire figyel erre oda.

Ami erre inspiralt az valojaban egy helyi kollegam testverevel kapcsolatos eset, egy kis vagy inkabb kozepesnek nevezheto vallalkozasnal tortent. A ceg akik a teljes rendszert uzembehelyeztek, kihangsulyoztak a jelszavak szigoru szeparalasat a dolgozok kozott es a jelszavakat is ekeppen generaltak. Kesobb atadtak a ceget a ceges uzemeltetonek, aki lecserelte a jelszavakat konnyebben megjegyezhetore, ami azert onmagaban nem baj, majd "sz@rnibele_a_szabalyokba_ettol_vagyok_en_kemenycsavo" mentalitassal, szepen lassan hozzaszoktatta a usereket a jelszavainak az egymas kozti osztogatasahoz freeware modon. Majd tortent az, hogy egy palyazatra meno komplett epuletterv adatai a konkurenciahoz jutottak akik erthetetlen modon, de megnyertek a palyazatot. A dolog lecsengett, mergelodes, szomorkodas stb.

Majd nehany het mulva, valaki elkezdett gondolkodni, hogy a konkurencia nem nagyon tudta volna az adott ido alatt elvegezni a feladatot egyeb velt, vagy valos indokokkal. Mindenesetre akkor dobta magat mindenki hanyatt, amikor egy kesobbi alkalommal meglattak az epulet maketjet es furcsan ismeros pontokat keztek el felfedezni rajta. Mivel a ceg teljes levelezese SQL-be rogzitve van, vissza lett keresve az adott idoszak levelezese, ahol a meg akkoriban felkesz allapotban levo tervrajz el lett postolva X dolgozo belso mailfiokjabol. Az illeto, egy nyugdij fele kozeledo uriember, akirol azt felteteleztek, hogy nyugdij eloleg gyanant nemi kenopenzert eladta a tervrajzok egeszet/reszleteit.

Termeszetesen majd rosszul lett mikor megtudta, hogy mi tortent es senki nem akart hinni neki. Az epuletben valo mozgasukhoz, ki-be jarkalashoz zonak vannak az epuletbe ahol az irodakat berlik. A zonakba csak ervenyes kartyakkal lehet belepni. Minden kartyanak egyedi azonositoja van, az epuletben valo mozgasokat egy evig tarolja az epulet tulajdonosa. Vissza lett keresve, hogy az adott idopontban eppen az ebedloben tartozkodott ebedeles gyanant, majd kb. csak 20 perc mulva ment vissza. Megneztek az adott zonaban valo tartozkodasokat is, ahol az a gep van amelyikrol az email elment. Hamar szukult a kor, hogy ki lehetett. Ami bizonyitotta is a tortenteket, az a bator merenylo beismerese volt. A nyakaba vertek egy halom osszeget karteriteskent (amig el fizethet), 2 ev felfuggesztett, valamint fegyelmivel elbocsatottak. Ennyit nem ert meg.

A kollegam testvere egyebkent igazsagugyi szakertokent lett meghallgatva.

( rigidus | 2005. 07. 23., szo – 12:20 )

[quote:5241692933="mbaron"]A "/dev/urandom"-ot -ha jól látom- szűrni is kell valamivel... ha ez megvan, tényleg nagyszerű megoldás jelszógyártásra. Összedobtam erre egy egyszerű programot C-ben:
[code:1:5241692933]
#include <stdio.h>
void main(void)
{
FILE *veletlenbemenet;
char karakter;
int szam=16;
veletlenbemenet=fopen("/dev/urandom", "r");
while(szam!=0)
{
fread(&karakter,1,1,veletlenbemenet);
if(karakter>=48&&karakter<127)
{
printf("%c", karakter);
szam--;
}
}
printf("\n");
fclose(veletlenbemenet);
}
[/code:1:5241692933]
Köszönöm a /dev/urandom-os ötletet. Asszem, a következő jelszómat ezzel határozom meg. :-)

Ugyes, de ezt shell-bol egyetlen sorbol is meg tudod oldani. :)
Csak demonstracio kedveert, ez egy 10 karakteres random jelszot general, amit utana barmivel osszekapcsolhatsz:
[code:1:5241692933]cat < /dev/urandom | tr -d -c 0-9A-Za-z | head -c10[/code:1:5241692933]

( cemaq | 2005. 07. 23., szo – 12:41 )

Nálam is a használat helye határozza meg. Ha valami csak 1-2 használatra kell, akkor a legvalószinűbb jelszó a "password", de ha új helyre regelek, amit jónak tartok, akkor van egy pin-kód szerű jelszavam, amit majd, ha visszajáró leszek megváltoztatok egy 8-10 karakteres random pass-ra (kis-nagybetű+szám), amit a forefox-om tud (meg egy encríptelt file-ban le van írva..) Olyan jelszó, ami shell-ekhez van (saját gépem/haver gépe/freeshell) az 12-14 karakter hoszú ált, és spec. karaktert is tartalmaz (bár nagyon hasonlók egymáshoz...) A root jelszavam ezen a gépem pedig 17 karakteres. (Bár az a shell, amivel lehetne is valami "komolyat" csinálni, az egyedi, pl a root)

( eax | 2005. 07. 23., szo – 13:58 )

Nalam alapvetoen 4 jelszotipus van:
amit egyszer hasznal az ember (pl. letoltes elott regisztralni), az a "billentyuzetre racsapkodok" modszerrel keszul, es amig kell, a ctrl+ins megjegyzi.
Van a masodik tipus, mint pl. az n+1. ingyenes mailszolgaltato jelszava v. forum-jelszo, amiben bizonyos visszatero elemek vannak (pl. vmi viszonylag ismeretlen rovidites par szammal megszorva).
A 3. verzio a (pl. mezei user jelszonak), valami ismeretlen es semmit ertelmeset nem jelento kifejezes (pl. "luxusmoszkvicsbuszslusszkulcs") random kis/nagybetukkel, szokozokkel/alulvonasokkal, random helyekre random szamokkal.
Root-jelszonak, RSBAC admin pass-nak, PGP kulcs jelmondatnak pedig pwgen 30 -s -N 1, kethetente valtoztatva. De ahol csak lehet (pl. ssh, dmcrypt) jelszoval titkositott kulcsfile-t hasznalok (a kulcsot pl. pendrive-on viszonylag biztonsagosan lehet tarolni).

Udv. eax

( mbaron | 2005. 07. 23., szo – 16:05 )

[quote:d9d7e362d9="rigidus"][quote:d9d7e362d9="mbaron"]A "/dev/urandom"-ot -ha jól látom- szűrni is kell valamivel... ha ez megvan, tényleg nagyszerű megoldás jelszógyártásra. Összedobtam erre egy egyszerű programot C-ben:
[code:1:d9d7e362d9]
#include <stdio.h>
void main(void)
{
FILE *veletlenbemenet;
char karakter;
int szam=16;
veletlenbemenet=fopen("/dev/urandom", "r");
while(szam!=0)
{
fread(&karakter,1,1,veletlenbemenet);
if(karakter>=48&&karakter<127)
{
printf("%c", karakter);
szam--;
}
}
printf("\n");
fclose(veletlenbemenet);
}
[/code:1:d9d7e362d9]
Köszönöm a /dev/urandom-os ötletet. Asszem, a következő jelszómat ezzel határozom meg. :-)

Ugyes, de ezt shell-bol egyetlen sorbol is meg tudod oldani. :)
Csak demonstracio kedveert, ez egy 10 karakteres random jelszot general, amit utana barmivel osszekapcsolhatsz:
[code:1:d9d7e362d9]cat < /dev/urandom | tr -d -c 0-9A-Za-z | head -c10[/code:1:d9d7e362d9]

Ez jó. :-) Eddig nem is tudtam a tr parancsról. De akkor már az áttekinthetőség kedvéért:
[code:1:d9d7e362d9]
cat /dev/urandom|tr -d -c 0-z|head -c16;echo
[/code:1:d9d7e362d9]
:-)

( rigidus | 2005. 07. 23., szo – 16:06 )

Ezeket a 8 karakteres jelszavakat a pwgen-nel generaltam.
[code:1:a1368b9858]Iengoog8 aePao7za ooCha0vi Aeyooxi8 eiyoh2Ae Iu6vijae Cahviv5k Aom1apum
buteeV2t teir2Thu Iech6ohv ahVai7ie Osiegoo5 kahp2ooD Uifei6ai leeH2mep[/code:1:a1368b9858]
Ha jobban megnezzuk pl a kovetkezoket,
[code:1:a1368b9858]aePao7za ahVai7ie Aeyooxi8 Aom1apum[/code:1:a1368b9858]akkor feltunik, hogy egysegesen mindegyik "a" vagy "A" karakterrel kezdodik, ami azert erdekes, mert egy brute-force algoritmus altalaban "A-z" iranyban vagy "a-Z" iranyba keres. Ilyenkor feligmeddig jogosan mondhatjuk is, hogy a jelszavunk 8 helyett csak 7 karakteres, mert ezek egyebkent is kiesnek a leptetociklusbol. Ha szamokkal kezd, akkor ugyanaz a helyzet csak a "0" (zero) kezdes az erdekes.

Termeszetesen ugyanezt "elkoveti" a masik modszer is:
[code:1:a1368b9858]cat < /dev/urandom | tr -d -c 0-9A-Za-z | head -c10[/code:1:a1368b9858]

( rigidus | 2005. 07. 23., szo – 16:11 )

[quote:1704322038="mbaron"][quote:1704322038="rigidus"][quote:1704322038="mbaron"]A "/dev/urandom"-ot -ha jól látom- szűrni is kell valamivel... ha ez megvan, tényleg nagyszerű megoldás jelszógyártásra. Összedobtam erre egy egyszerű programot C-ben:
[code:1:1704322038]
#include <stdio.h>
void main(void)
{
FILE *veletlenbemenet;
char karakter;
int szam=16;
veletlenbemenet=fopen("/dev/urandom", "r");
while(szam!=0)
{
fread(&karakter,1,1,veletlenbemenet);
if(karakter>=48&&karakter<127)
{
printf("%c", karakter);
szam--;
}
}
printf("\n");
fclose(veletlenbemenet);
}
[/code:1:1704322038]
Köszönöm a /dev/urandom-os ötletet. Asszem, a következő jelszómat ezzel határozom meg. :-)

Ugyes, de ezt shell-bol egyetlen sorbol is meg tudod oldani. :)
Csak demonstracio kedveert, ez egy 10 karakteres random jelszot general, amit utana barmivel osszekapcsolhatsz:
[code:1:1704322038]cat < /dev/urandom | tr -d -c 0-9A-Za-z | head -c10[/code:1:1704322038]

Ez jó. :-) Eddig nem is tudtam a tr parancsról. De akkor már az áttekinthetőség kedvéért:
[code:1:1704322038]
cat /dev/urandom|tr -d -c 0-z|head -c16;echo
[/code:1:1704322038]
:-)

Jovannaaa :P
De en pont az _attekinthetoseg_ kedveert bontottam szet. :)

( rigidus | 2005. 07. 23., szo – 18:52 )

[quote:318d60ec0b="KKata"]Ha szabad egy off-topic megjegyzest: "valasztasz" egy sz-szel irando, meg szerintem "jelszot" - de ebben mar nem vagyok egeszen biztos... :)

Jogos. :) A "valasztassz" valoban nem jo. A topic cimeben javitottam is, sajnos a szavazasokba nem tudom mar atirni, mert mar szavaztam. :(

Amugy szerintem a topik cimeben levo helyesirasi hiba jelzese nem offtopic, az most jon :mrgreen:

[off ON]
A "szo" ragozasa rendhagyo:
szo --> szavak (nem szok)
szo --> szavat (nem szot)

Mivel a "jelszo" egy osszetett szo, osszetett szavaknal az utolso tag mindig koveti az onallo tagra vonatkozo ragozasi szabalyokat.
[off OFF]

Koszi a korrekciot :)

( E-Medve v | 2005. 07. 23., szo – 21:09 )

En kritikus desktopokhoz hosszu jelszot + pam_usb-t hasznalok... Aki lenyulja a pendriveomat, az a jelszo nelkul nem tud mit kezdeni vele, es vice-versa...

( Panther v | 2005. 07. 23., szo – 21:16 )

[quote:2dad6d5852="rigidus"][off ON]
A "szo" ragozasa rendhagyo:
szo --> szavak (nem szok)
szo --> szavat (nem szot)

Mivel a "jelszo" egy osszetett szo, osszetett szavaknal az utolso tag mindig koveti az onallo tagra vonatkozo ragozasi szabalyokat.
[off OFF]

Off: a magyar nyelv egyszerűsödik, így is félig már kihalt az ikes ragozás. A szók vs szavak is ilyen irányba tart.

( Panther v | 2005. 07. 23., szo – 21:23 )

[quote:5454ce47df="E-Medve"]En kritikus desktopokhoz hosszu jelszot + pam_usb-t hasznalok... Aki lenyulja a pendriveomat, az a jelszo nelkul nem tud mit kezdeni vele, es vice-versa...

És ezt hogy állítottad be? Gugliban a pam_usb pendrive kifejezésre nem sok találat volt :?

( E-Medve v | 2005. 07. 23., szo – 21:31 )

[quote:9eb2ca5304="Panther"][quote:9eb2ca5304="E-Medve"]En kritikus desktopokhoz hosszu jelszot + pam_usb-t hasznalok... Aki lenyulja a pendriveomat, az a jelszo nelkul nem tud mit kezdeni vele, es vice-versa...

És ezt hogy állítottad be? Gugliban a pam_usb pendrive kifejezésre nem sok találat volt :?

Ez a projekt oldal: http://www.pamusb.org/
Leforditod es a dokumentacio szerint konfiguralod... ennyi...
Turelmetleneknek: http://www.pamusb.org/quickstart.html

( Gael | 2005. 07. 23., szo – 21:37 )

[quote:f2bb233b3d="Panther"][quote:f2bb233b3d="rigidus"][off ON]
A "szo" ragozasa rendhagyo:
szo --> szavak (nem szok)
szo --> szavat (nem szot)

Mivel a "jelszo" egy osszetett szo, osszetett szavaknal az utolso tag mindig koveti az onallo tagra vonatkozo ragozasi szabalyokat.
[off OFF]

Off: a magyar nyelv egyszerűsödik, így is félig már kihalt az ikes ragozás. A szók vs szavak is ilyen irányba tart.

://OFF A magyar nyelv nem egyszerűsödik. A mi nyelvünk 65%-ban hordozza az Ősi etimonokat,
ellentétben más ismert nyelvekkel. A magyar nyelv egy kőszikla. Lefaragni nem lehet belőle és hozzátenni sem. ://OFF
Szerk.: És ezt egy Angol nyelvész mondta a múlt században.....

( Panther v | 2005. 07. 23., szo – 21:53 )

[quote:0c863f9281="E-Medve"][quote:0c863f9281="Panther"][quote:0c863f9281="E-Medve"]En kritikus desktopokhoz hosszu jelszot + pam_usb-t hasznalok... Aki lenyulja a pendriveomat, az a jelszo nelkul nem tud mit kezdeni vele, es vice-versa...

És ezt hogy állítottad be? Gugliban a pam_usb pendrive kifejezésre nem sok találat volt :?

Ez a projekt oldal: http://www.pamusb.org/
Leforditod es a dokumentacio szerint konfiguralod... ennyi...
Turelmetleneknek: http://www.pamusb.org/quickstart.html

Thx. Megnéztem, a pendrive fájlrendszerét nem piszkálja (2 fájlt rak rá a forráskód szerint), így aszem kipróbálom :P

( E-Medve v | 2005. 07. 23., szo – 21:55 )

[quote:1ff41e8007="Panther"]Thx. Megnéztem, a pendrive fájlrendszerét nem piszkálja (2 fájlt rak rá a forráskód szerint), így aszem kipróbálom :P

Nalam kulon particion laknak a fileok a pendriveon... de az teny, hogy hardveresen nem turja . Szoval szerintem a pendrive + jelszo paros eleg szok lenni. A lenyeg, ne hagyd otthon a pendriveot :-)

( gsimon | 2005. 07. 23., szo – 22:07 )

Tudom javasolni a pwgen-t, (többé-kevésbé) kiejthető, megjegyezhető random jelszavakat dobál, állítható a hossz, valamint az, hogy tartalmazzon-e számokat ill. nagybetűket.

( Panther v | 2005. 07. 23., szo – 22:38 )

[quote:f6a8a731f0="E-Medve"][quote:f6a8a731f0="Panther"]Thx. Megnéztem, a pendrive fájlrendszerét nem piszkálja (2 fájlt rak rá a forráskód szerint), így aszem kipróbálom :P

Nalam kulon particion laknak a fileok a pendriveon... de az teny, hogy hardveresen nem turja . Szoval szerintem a pendrive + jelszo paros eleg szok lenni. A lenyeg, ne hagyd otthon a pendriveot :-)

Így müxik csak:
auth sufficient pam_usb.so !check_device !check_if_mounted force_device=/dev/sda1

És megmarad a jelszavas auth lehetősége. Arról nem is szólva, hogy alapból beenged jelszó nélkül az X pam_usb nélkül (notebook, suse 9.3, kde). De más rendszereken még jól jöhet :)

Ahogy elnéztem, 2.6-os kernel sysfs-ével nem boldogul, ezért kellenek az opciók.

( mbaron | 2005. 08. 09., k – 13:37 )

[quote:c2f23aba78="rigidus"][quote:c2f23aba78="KKata"]Ha szabad egy off-topic megjegyzest: "valasztasz" egy sz-szel irando, meg szerintem "jelszot" - de ebben mar nem vagyok egeszen biztos... :)

Jogos. :) A "valasztassz" valoban nem jo. A topic cimeben javitottam is, sajnos a szavazasokba nem tudom mar atirni, mert mar szavaztam. :(

Amugy szerintem a topik cimeben levo helyesirasi hiba jelzese nem offtopic, az most jon :mrgreen:

[off ON]
A "szo" ragozasa rendhagyo:
szo --> szavak (nem szok)
szo --> szavat (nem szot)

Mivel a "jelszo" egy osszetett szo, osszetett szavaknal az utolso tag mindig koveti az onallo tagra vonatkozo ragozasi szabalyokat.
[off OFF]

Koszi a korrekciot :)

Értsünk szót! (Kossuth rádió, Hétfő, 21 óra 35 perc)

( rigidus | 2005. 07. 23., szo – 00:48 )

Mostanaba kezd aktualissa valni a fenti kerdes es kivancsi lettem volna egy HUP-os szavazas eredmenyere, de nem talaltam az eddigi szavazasok kozt ilyent. Tudom, hogy nem sok a valasztasi lehetoseg, de a forummotor valszeg limitalva van kb 10-re, ez felett nem enged ujabb valasztasi lehetoseget hozzaadni.

A kerdesem alatt altalanossagban mindennemu jelszora gondolok, tehat user, root, neten hasznalt stb. Szandekosan nem akarok rogton az elejen belemenni a reszletekbe, hogy az ujdonsult felhasznalok is hitelesebben tudjanak reagalni, aztan majd ki is lehet targyalni a vegen. :)

( _Borisz_ | 2005. 07. 23., szo – 01:34 )

Nálam elsö szempont a fontosság. Ha pl. root, elsödleges e-mail, hup jelszo akkor bonyolult, ha egy vacak mail, vagy huszadrangu forum, akkor "abcd"töl az "12345"-ig terjed a bonyolultság.

( Gael | 2005. 07. 23., szo – 06:06 )

Én egyedi jelszavakat használok az OS belépéshez, de egyforma a root és az user.
Szerk./: A hasonló Webhelyeken egyformát. Jelentéktelen, egyszerhasználatos Webhelyeken könnyen elfelejthetőt, vagyis egyszerhasználatos, eldobhatót.:/Szerk.end. Levelezőmhöz egyedit. A karakter hosszúságról meg annyit, hogy nem szeretem a hosszú és bonyolult jelszavakat. Számokat nem keverek bele.

( meditor | 2005. 07. 23., szo – 08:32 )

Elsődleges szempont, hogy meg tudjam jegyezni. (-::

( dezso21 | 2005. 07. 23., szo – 08:49 )

Jelszo generalas powered by /dev/urandom, NAGYBETU+kisbetu+szamok. Hosszusag a csillagos eg. Loginolas Brute-attack.