Feltörték a felhős jelszókezelőt!

Security-all

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

"A mai napig megállapítottuk, hogy a felhőalapú tárhely hozzáférési kulcsának és a kettős tárolókonténer visszafejtési kulcsainak megszerzése után a hacker a biztonsági mentésből másolta ki az alapvető ügyfélfiók-adatokat és a kapcsolódó metaadatokat, köztük a cégneveket, a végfelhasználók neveit, a számlázási címeket, e-mail címek, telefonszámok és IP-címek, amelyekről az ügyfelek hozzáfértek a LastPass szolgáltatáshoz."

Na "ezért jó", ha "felhőre" bízzuk a jelszavainkat a saját fejünk helyett. Fejben van legbiztonságosabb helyen, addig amíg azokat körültekintően használjuk. (Pl. fontos hozzáférések jelszavait nem mentjük be mindenféle böngészőbe úgy, hogy azt sem tudjuk mi van bennük.)

- Elvileg intelligens lények vagyunk, talán nem késő megérteni, hogy az online térben minden ellenünk dolgozik. A médiás "agymosás" esetét leszámítva, csak a fejünk a megfelelő biztonságos tárhely. - Persze nem árt, ha azokat sűrű időközönként felelevenítjük a "memória tár" frissítése érdekében. Jó agytorna.., - amíg pl. 50 + 10-20 karakteres jelszót meg tudunk fejben jegyezni, addig legalább biztosan nem kell "alzheimer doktor" rémével orvoshoz fordulnunk. :)

(Lehet, én nem találtam a HUP-on erre vonatkozó információt, ha redundáns lett, akkor sem "gáz" ismételten megemlékezni erről.)

Továbbiakban békés Szenteste napi ténykedést mindenkinek!

  • 2379 megtekintés

( BlinTux v | 2022. 12. 24., szo – 09:59 )

Lehet fejben tárolni a legjobb, de az én agyam, az olyan mint a szita! Azt is képes vagyok elfelejteni amit 5 perce mondott valaki. 
Legjobb amikor ügyfél felhív, hogy ezt, meg azt szeretné... Mire elköszönünk, már fogalmam sincs mit mondott és írhatok neki mailt, hogy akkor most írja is le amit akar! :)
De pl. saját születésnapomon kívül csak páromét tudom, azt is 15 évbe került megjegyeznem. 

Szóval az, hogy én random jelszavakat megjegyzek, az esélytelen. 
Magam részére két jelszavam van, abból is a második az első permutációja. Ezeket is csak azért tudom fejből, mert már 20 éve használom őket :)

Amúgy én a fontosabb dolgokat Bitwardenen tárolom. Ha felnyomják, akkor az szopás... Ez van. 

Nálam érdekes a helyzet, a számokat nem tudom megjegyezni, ellenben jelszavakat kényelmesen bármikor, akár összevissza karaktereseket is. 2-3x beírom és onnantól megy, ellenben párom telefonszámát akit anno naponta 5x hívtam fel kb 5 év volt mire megjegyeztem. Sőt, mondok jobbat, saját telefonszámomat mind a mai napig nem tudom fejből, pedig 5 éve nem változott és naponta ha 30x nem látom a leveleim végén akkor egyszer se.

Ellenben fejből tudom a párom és saját bank és szépkártya adatait (ami érdekes mert csak szám, de megragadt), személyi és személyi igazolványszámokat (ez is szám, de van benne betű, így megragadt), pedig ezeket se nézegetem sűrűn. Illetve fejben megvan az összes jelszó amit használok, igaz ezek a pw-k saját kis képlet alapján alakulnak ki. Pl tudom hogy mikor regisztráltam így bekerül az év valamilyen formában, a hónap, illetve egy ahhoz közel álló esemény leetspeek-el meg néhány speckó karakterrel megdobva. Így az összes PW könnyen megjegyezhető és sose használom ugyanazt két helyen, de legalább cserébe minden pw 12-15 karakter vagy több.

Érdekes hogy kinek hogy van drótozva az agya.

hányszor volt már , hogy mire végeztem egy Redhat telepítéssel - de közben valaki megzavart - én meg nem tudok belépni, mert elfelejtettem, hogy mit adtam root jelszót telepítéskor...

visszatértem a régi módszerhez, hogy mindig 'azt' a jelszót adom meg és finomhangoláskor pedig egy jó bonyolult generáltat - amit a saját nyilvántartásomból másolok be - majd beléptetem AD-ba..

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

Először én is így voltam vele, hogy majd megjegyzem, de néhányszor kiderült, hogy mégse emlékszek jól a jelszóra, és út közben a telón nem tudtam kulcsfontosságú fiókokba belépni, így beadtam a derekam, használok jelszókezelőt.

Előbb keepassxc-t (GUI), majd keepass-cli (CLI alkalmazás, de volt sajnos egy hülye Perl crypto rijndael függősége, ami állandóan eltört), volt a bejáratott eszköz, de ezt felváltottam saját megoldással. Egy shell script, ami egy OpenGPG AES-256-tal szimmetrikusan ki/betitkosított plain text fájlt hív meg, és azt less-be pipe-olva kiteszi egy terminálba. Van egy másik script, az fordítva csinálja, titkosítatlan plain text fájlt betitkosít a megfelelő jelszóval. A titkosított fájlban ott van soronként minden oldalhoz, ábécésorrendben a user, pass, mail, regisztrációs mail, egyéb megjegyzés, majd új bekezdésben a következő. Egyszerű, mint a szög, kézzel szinkronizálom eszközök között, de használhatnék rá git-et, ha nem lennék lusta. Adataim így a kezem közül nem adtam ki, és van egy minimalista terminálos megoldásom, ami mindenhol fut, ami POSIX kompatibilis rendszer. Az összes mobilplatformon is kezeli ezt a megoldást a OpenKeyChain nevű ingyenes, reklámmentes app. Szög egyszerű, bombabiztos megoldás. opengpg-n kívül és gnu-utils-on kívül nincs más függősége, de ezek vagy az ezekkel kompatilis megoldás minden rendszeren elérhető, és általában már alap telepítésben jelen van. Kényelmi funkciói nincsenek azonban, pl. böngészőbe nem illeszti be magától a jelszót (ezt kijelölés, majd középső egérgombos beillesztéssel pótlom), de legalább nem is törik meg.

Gondolkodtam még az openssl-en és a pass-on (ez egy POSIX tool, jelszókezelésre), vagy a neten nem ajánlották az elsőt, vagy a pass esetében csak túl bonyolultnak tűnt a tárolót beállítani, meg aszimmetrikus kulcsozást használni.

A jelszavaim nekem is többségében szisztéma szerint vannak régről, 1-2 sablon permutációi. Ez azonban egy oldalnál nem volt elég, a Facebookom kétszer is feltörték, és ugyan a FB rendszere megfogta mindkét támadást, de azóta 64 karakteres, random generált jelszót használok, nem volt újabb sikeres belépési kísérlet, lepattant az illető a témáról.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Akkor már megette a fene, ha annyira hozzáfér valaki a rendszerhez. Egyébként igazad van, ez a megoldás csak annyira biztonságos, mint amennyire az alkotóelemei. De most komolyan, ott van egy csomó gépen, szerveren a less, opengpg, ki patchelne bele akármit is. Ráadásul úgy, hogy pont a bleeding edge Arch Testing rendszerem függőségeihez igazodjon, kompatiblitis legyen az Arch-kernellel és glibc-patchekkel, amivel az Arch dolgozik, és legyen akkora mákja, hogy a napi két frissítésem során nehogy frissüljön a gnu-utils csomag. Nem hinném, hogy sokat tudna mókolni rajta akárki.

Ráadásul a gépeimen az SSD-k (HDD nincsen már egyikben sem) mind titkosítva vannak (hardveres titkosítás), de még a külső HDD-k is (AES-256 XTS LUKS). Bootkor jelszót kér a feloldáshoz, plusz boot után is bejelentkezést kér a rendszer, jelszó nincs lespórolva, ráadásul tty-os bejelentkezés, így még a felhasználói nevet is ki kell találnia egy esetleges támadónak, és még a rootra se tud támaszkodni, mivel nem lehet benne biztos, hogy rootless rendszer-e, és mikor épp felállok a géptől, reflexből zárolom. Már eleve oda se tud belemókolni. Plusz ha ettől a patcheléstől tartanék nem biztonságos rendszeren, akár még azt is belevehetném a scriptbe, hogy induláskor forráskódból fordítsa újra az opengpg-t és less-t, vagy húzza le valami spéci tárolóból, és használja azt, ne a rendszeren lévőt, de annyira paranoid nem vagyok. Ráadásul a scriptem memóriába dolgozik, nem ment el semmit a lemezre sehová.

Igazából nekem még opengpg se kéne a titkosítás miatt, de használom ezt a megoldást Andorid telón is, ami viszont nincs titkosítva, és a Google megbízhatatlan, rootolatlan stock szutyka van rajta, így ott nem tárolhatom plain text fájlban a jelszavaim, fiókadataim, bekészíteném vele a kulcsot a lábtörlő alá. Természetesen ez is c#200000
sak addig biztonságos megoldás, amíg az OpenKeyChain nevű ingyenes opensource app nincs meghekkelve a Play Store-ban, de nem hinném, egy opensource app, reklámmentes, a fejlesztő töltögeti fel, így nem látom, hogy ki nyúlna bele.

Ennek az opengpg és less megoldásnak az a lényege, hogy szög egyszerű megoldás, kevés kódsorból állnak, ezáltal nem csak hogy könnyen portolható, multiplatformos meg kis hardverigényű, de könnyen áttekinthető megoldás, a kevés kódsor miatt kisebb az esélye, hogy valami bug, biztonsági rés lesz benne. Az általában nagy, bloat kódokat fenyeget, hogy már alig látják át, minden van benne, mint a Fradi levesben, és akkor nő meg az esélye, hogy valami bug, sérülékenység is belecsúszott, nehezebb debugolni, stb..

Konkrétan ez a Lastpass nem is opensource, eleve már itt kockázat használni. Viszont alapból felhős, nem igényel külön szinkronizációt, meg kényelmesebb, böngészőben beilleszti a megfelelő oldalakon a jelszavakat. A kényelem és a biztonság mindig is ellentétes követelmények voltak.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Nem saját, abban még jobban nem bíznék, mint a szolgáltatóéban: vault.bitwarden.com

Van rajta egy kétfaktoros auth, plusz a master jelszó amit fejből tudok is! :)
Itt aztán bankkártya adatoktól kezdve a crypto 12 szavas jelszaván át, az ügyfél adatokig mindent tárolok. 
De még apám dolgai is vannak, aki szintén nem bír megjegyezni semmit. 
Szóval aki ezt feltöri, az jól jár nálam :D

( ncc1701 | 2022. 12. 24., szo – 10:05 )

Szimplán le kell írni papírra. Azt nem törik fel. :)

Először nevettem és eszembe jutotottak a régi szép(?) idők, a monitorra ragasztott, jelszavakkal teleírt postitekkel.

Ellenben jobban belegondolva, manapság kevésbé kockázatos egy postiten tárolni a jelszót a billentyűzet alján, mint a felhőben. Az előbbihez fizikai hozzáférés kell (és persze senki nem tudja, hogy a "XcKtra3+gh" melyik alkalmazáshoz való és hogy mi a felhasználónév), ellenben az online tárolt hozzáférések  (user, pass, app kombó) esetében, ahol eleve a nagyobb a felület a sebezhetőségre.

Az utóbbit használom, de lehet, felírom a jelszavakat inkább egy postitre és berakom a pénztárcámba, ami mindig nálam van. Meg hát nyilván 2F és OTP...

Lathatatlan UV reagens filccel kell felirni, kulcscsomon mini UV lampa, es hiaba nezi a betoro, nem latja, hogy a billentyuzet aljara ra van irva, hogy "Annak a hulye ugatos kutyanak a neve (plusz az utca nev es haz szam) amitol feltem gyerekkoromban.".

Amugy a jelszo persze annyi, hogy "Annakgyerekkoromban." keszulve a demenciara. :-)

(és persze senki nem tudja, hogy a "XcKtra3+gh" melyik alkalmazáshoz való és hogy mi a felhasználónév)

Nem 1 db jelszó megjegyzése a nagy kunszt. Nálam most 246 jelszó van a jelszókezelőben + minden olyan hely TOTP secret-je, ami tud olyat. Ja, ha egy 10 karakteres alfanumerikus sztringet kell rögzíteni, arra jó a posztit, csak akkor kell gyártani még 245 posztitet, és megjegyezni, hogy mondjuk a 123. posztiten van a hupos jelszavam, vagy ugyanazt a jelszót kell használni minenhova, ami egészen új problémákat vet fel. :)

Viccen kívül lehet egyes esetekben opció. De vannak vele elvi síkon gondok, még ha nem is komolyan gondoltad a smiley-ból ítélve. Pl. ha valaki megtalálja a papírt, vagy elhagyod, elveszik, olvashatatlan lesz, épp nincs nálad valahol útközben, stb.. Ezer sebből vérzik, de aki pl. biztonságosan tudja tárolni, és csak egy helyen kell neki, akár még a papírozás is játszik, tény, hogy azt szoftveres meg felhős mókolással nem nyomják fel.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( _Franko_ v | 2022. 12. 24., szo – 10:47 )

Ez kimaradt az idézetedből: 

These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass.

https://iotguru.cloud

Ez azert nem segit annyit mint amilyen jol hangzik mivel innentol tudnak brute-force-olni.

https://www.hivesystems.io/blog/are-your-passwords-in-the-green

Eszerint PBKDF2 SHA-256 (amit a lastpass hasznal), 8 karakteres legbonyolultabb master pw-el (kisbetu, nagybetu, szam, specialis karakter), egy 8 x A100 GPU-s amazon instance-en megvan 1 ev alatt, ami az atlag felhasznaloknak nagyon nem jo hir.

Raadasul a Lastpass a blogjaban kiemeli hogy ok 2018 ota enforce-oljak a minimum 12 karakteres master passwordot, de azt elegansan elfelejtik megemliteni hogy a regebbi felhasznaloknak ezt nem enforce-oltak, csak az ujaknak...

Eszerint PBKDF2 SHA-256 (amit a lastpass hasznal), 8 karakteres legbonyolultabb master pw-el (kisbetu, nagybetu, szam, specialis karakter), egy 8 x A100 GPU-s amazon instance-en megvan 1 ev alatt, ami az atlag felhasznaloknak nagyon nem jo hir.

Az átlag felhasználó adatait nem fogják egy éven át törni, mert a kutyát nem érdekli annyira az adata, hogy ekkora ráfordítással törjék. Akinek meg igen, az ne 8 karakteres jelszót használjon...

Raadasul a Lastpass a blogjaban kiemeli hogy ok 2018 ota enforce-oljak a minimum 12 karakteres master passwordot, de azt elegansan elfelejtik megemliteni hogy a regebbi felhasznaloknak ezt nem enforce-oltak, csak az ujaknak...

Oszt? PEBKAC.

https://iotguru.cloud

Az átlag felhasználó jelentős része ugyanazt a jelszót használja mindenhol, ezért van rá esély, hogy benne lesz egy korábban leakelt adatbázisban.

Ha ez csak 1 százaléka egy 10 milliós felhasználói tábornak, az is 100 ezer vault-hoz biztosít hozzáférést.

viszont az egészet végigtolják a sok100 gigányi korábban kiszivárgott/megfejtett jelszó listán, azokból gyártott törzs szavakon + a maradékot a kinyert szabályok alapján generált listán; ha csak a felhasználók 1%a kompromittálódik már az is durva eredményekhez vezet.

A dump kikerült, pár év és lesz hozzá kapacitás, hogy kinyerjék belőle a hasznos infot... ..ami sajnos nem veszti teljesen aktualitasat..

A külön dedikált 8 darab NV A100 azért elég drága megoldás, dedikálni kell a hardvert, megeszik egy csomó áramot, beletelik egy csomó időbe, és hiába 1 év, nem lehetnek benne biztosak, mikor bruteforce-olják, hogy a jelszó nem 16-64 karakter-e mégis. Ennyit általában senkinek nem ér meg hogy valaki fiókadatait megszerezze. Itt inkább annyi a lényeg, hogy ne mindenhol azonos legyen a jelszó, meg böngészőbe ne legyen bekészítve, kémprogrammal ne legyen kifigyelhető, stb., azaz a legkönnyebb, legtipikusabb támadási faktorokat kivédje valaki.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

8 x A100 GPU

Aminek az ára egy éves hűséggel nettó 168 367 dollár, szóval kicsi az esélye, hogy random userek vaultját így akarnák feltörni, ha meg célzott támadásra készül valaki, és van is rá ekkora büdzsé, akkor nem biztos, hogy így kezdenek neki, mert az ürgének is esélyes, hogy nem 8 karakteres master key lesz beállítva.

Ha én lennék a helyükben, nem feltetlenül arra mennék, h fogok egy random usert az ABC elejéről és addig nyomon, amíg fel nem töröm, majd így tovább.

 

1. On-premise számítási kapacitással mennék neki.

2. Bepróbálkoznék a legygyakoribb (kis számú pw-vel az összes accounton. Aztán amiket sikerült dekódolni, azokból válogatnám le az értékeseket.

( ibenny v | 2022. 12. 24., szo – 10:52 )

amíg pl. 50 + 10-20 karakteres jelszót meg tudunk fejben jegyezni
 

Én pl. nem tudok.

Egy ilyenre képes vagyok, na az a mester jelszó, ami sehol nincs leírva.

De amikor több cégnek dolgozol, ahol külön AD-s, külön DB-s hozzáférés van, ezeket 30 naponta változtatni kell, egyik helyen se használd a másikat, nem egyezhet meg az előző nem tudom mennyivel, ez nem lehet benne, az nem lehet benne, de ez meg legyen benne, akkor megmondom őszintén, hogy inkább lecserélek mindent, ha jön hír, hogy megtörték a jelszókezelőt...

( zolti v | 2022. 12. 24., szo – 14:49 )

Aki kitalálta a jelszó kötelező megváltoztatását azt kellene felakasztani, és egy bizonyos hosszúság után tök felesleges a kötelező szám is. Sokáig minden a fejemben volt, de most már KeePassXC-t használok.

( zdesigner | 2022. 12. 24., szo – 14:59 )

Ez elég egybites gondolkodás. Nem csak felhő meg memória van, a kettő között is rengeteg a lehetőség. Pl. Keepass és saját storage, rögtön nem vagy akkora mozgó célpont, mint egy óriási jelszókezelő adatbázisa. Akinek kitalálható, egy sémára felépülő jelszavai vannak a könnyű megjegyezhetőség miatt, az majdnem ugyanaz, mintha mindenhol ugyanazt a jelszót használná. Sokat megjegyezni meg képtelenség.

Pár éve auditáltunk egy közel 300 alkalmazottal működő helyet (szándékosan nem írom, hogy kft, rt., hivatal, stb.).
Beléptető rendszerük volt. Amíg nem terjedt el, hogy megy egy audit, addig simán a kollégákkal besétáltunk bármelyik bejáraton, bementünk irodákba, leültünk a bekapcsolt gépek elé, amik úgy 90%-ban vagy jelszó nélkül voltak vagy a monitorra ragasztva volt a jelszó. Egyszer ülök egyedül egy ilyen irodában és írom a jegyzetet, hogy bár az iroda nem volt zárva, de legalább a gép jelszóval védett, amikor bejön a dolgozó. Köszönök, és határozottan fellépéssel mondom a kamut, hogy belső ellenőrzés van az infósoknál és ellenőriznem kell, hogy települtek-e a bizonyos programok az összes gépre, de valamit elcsesztek a legutóbbi frissítésnél és nem tudok az adminnal belépni. Megadná-e a felhasználónevét és a jelszavát. Simán megadta.  
Mondtam, hogy máskor legalább egy megbízólevelet kérjen el, mert bárki lehettem volna :)

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Mi azzal játszottunk Magyarország egyik legnagyobb szoftverfejlesztő cégénél pár éve, hogy elhagytunk 15 pendrive-ot.

A pendrive-okon egy HR_fizetések.XLS volt, ami kérte a makró futtatását, hogy le tudja húzni az adatokat.

Nyilván ez helyett log-olta a felhasználónevet. :)

( g3rg0 | 2022. 12. 25., v – 18:45 )

A kedvencem a 2-3 havi jelszócserére kényszerített alkalmazottak, akiknek kb. 90%-a ezzel egy egyszerűbb jelszóra, és valami primitív rotálási módszerre áll át. Szerencsére az mfa azért menti a helyzetet.

2évente kell ügyfélkapun jelszót cserélni, ha jól rémlik

Ehhez képest a balfasz oracle timereport szarban (amúgy sehol máshol nem szinkronizálódik ez a jelszó, igazi single-sign-on: azaz csak ide jó) 3 havonta kell, és A/4-es lap méretű lista van minek kell benne szerepelnie, mi lehet, mi meg nem. Nyilván nagyon kreatívan rotalja az ember azon a kurva jelszót.

Értem a szarkazmusodat, az abnornális 3hónapos ilyenfajta kikényszerített jelszórotálás attól még seggfájás marad a hülye dolgozónak.

Üzeneltetői szemmel persze nekem se lenne az égvilágon semmi bajom vele, főleg ha leszarhatnám mennyire nem a dolgozó kényelmét szolgálja, és nem kellene foglalkoznom a jobb alternatívákkal mert a dolgozóknak kuss van és azt csinálják amit én kitaláltam.

"az abnornális 3hónapos ilyenfajta kikényszerített jelszórotálás attól még seggfájás marad a hülye dolgozónak"

Ezt viszont abszolút nem vitatom, pláne amikor a copy-paste is le van tiltva, mert "úgy a biztonságos", sőt, a konkrét konzol billentyűzetkiosztását jobb mindig ellenőrizni, mert 50%-ban nem is en_US.

Aztán hogy most pl. a 1password begépelős funkciója mennyit segít, azt nem tudom, már máshol dolgozom :)

A legfrissebb NIST ajánlásban már kifejezetten szerepel, hogy a rendszeres jelszócsere kontraproduktív, nem ajánlott. Csak sok helyen még mindig le vannak maradva 5-10-20 évvel. 20 évre egy példa: nem lehet hosszabb a jelszavad 10-16 karakternél, ami egy rossz vicc manapság.

Pedig pont hogy de, szerintem ajánlott jelszót cserélni, csak nem túl gyakran nyilván. Pont a címben szereplő hír egy példa: megszerzik a tárolt titkosított jelszavakat.

Tegyük fel, hogy olyan erős mesterjelszót használsz, ami esetében 100 évig tartana feltörni a titkosított jelszavaidat, ha valaki megszerzi az adatbázist.

De az is lehet, hogy elszámoltad magad, vagy közben fejlődik a számítási kapacitás, vagy hasonló dolgok. És lehet, hogy valójában 3 év alatt is fel lehet törni a jelszavakat.

De biztos ami biztos, ha te évente lecseréled a főbb jelszavakat (pl. banki jelszavak és hasonlók), akkor hiába szerezte meg valaki a titkosított adatbázist. Mert elkezdi törni az adatbázist, de mire lenne elég ideje feltörni, te már megváltoztattad a jelszavad, tehát ha fel is töri a jelszót, a támadó már csak a régi jelszót látja, amit már megváltoztattál.

Tehát ez alapján szerintem igenis hasznos a jelszócsere a kritikus oldalaknál. Extra védelmed ad.

Azt nem mondom, hogy mind az 1000 jelszavadat cseréld le 3 havonta, nyilván nincs értelme a befektetett időnek.

de ha mondjuk évente lecseréled a legkritikusabb 10 jelszavadat, az miért nem növeli a biztonságot? Feltételezve, hogy a régi és az új jelszavak is mindig erős jelszavak.

> nem lehet hosszabb a jelszavad 10-16 karakternél, ami egy rossz vicc manapság.

Ja igen, ez tényleg gáz.

Egy példa: az egyik internetbank (!!!) esetében látom, hogy ezek a követelmények a jelszóra:

A jelszó hossza min. 8 és max. 12 karakter lehet!
A jelszó a következő karaktereket tartalmazhatja: A-Z a-z 0-9.
A jelszó tartalmazzon legalább 1 nagybetűt!
A jelszó tartalmazzon legalább 1 kisbetűt!

Mentségükre legyen mondva, legalább kötelező az SMS kód belépéskor, meg azért az is igaz, hogy néhány rossz próba után letilt a rendszer, de miért fájna nekik ha én 50 karakteres jelszót akarnék használni speciális karakterekkel?

( zrubi v | 2022. 12. 25., v – 19:57 )

Fejben van legbiztonságosabb helyen

:)

Ez már 20 éve sem volt valós kijelentés, mert ugye nem egy jelszót kell(ene) fejben megjegyezni....

 

Nekem pl 100+ jelszavam van, amihez 20+ usernév tartozik.

Ezek többségét rotálni kell - az elavult és elbaszott szekuritty policy-k miatt.

Van köztük amit naponta, de van amit csak évente kétszer kell használni.

 

Ezt fejben managelni teljességgel lehetetlen.

 

Nem beszélve arról, ha valakivel meg is kell osztani ezeket. Ehhez bizony jelszókezelő kell.

A választási lehetőséged az, hogy online, vagy offline 'működésűt' választasz, utána pedig a számodra leg megbízhatóbb 'gyártót' választod ki.

Az online nyilván kényelmesebb, bármilyen eszközről működik, és biztonságosan megosztható, ha épp arra van szükség. Csérebe online, és egy profit orientált cég ígéretében kell 101%-ban megbíznod. - egy ettől független MFA-val mondjuk sokat lehet ezen javítani.

 

De, még a leg konzervatívabb esetben is ott lesznek valahol egy helyen... de ez még mindig nagyságrendekkel, kisebb kockázat mint fejben tartott, sok helyen újrahasznált, és/vagy gagyi jelszavakkal próbálsz operálni.

 

Szerintem.

zrubi.hu

Ugy kell, hogy mindenutt az adott ceg neve plusz datum string md5 es utana copypaste.

Mondjuk konzolon begepelni ha nincs copypaste kicsit szopatos, foleg mert meg csilllag sincs, hogy bement-e a karakter, de hat erre talalta fel a joisten a gyakornokokat. :-)

Mindenkinek boldog gonosz karacsonyt! 8-D

Úgy érted hogy a "2b47ddb6c5c943d956820159b7888d1a" jelszó a gyakorlatban érdemben biztonságosabb mint a  "febc5d28cafc1c001fdbb855f0aa6c334111863cba286c6875578d5d8db15405"? (Abrakadabra)

https://www.security.org/how-secure-is-my-password/ : 50 nonillion years

https://password.kaspersky.com/ : 10000+ centuries

https://www.passwordmonster.com/ : 24 trillion trillion years

( Hevi v | 2022. 12. 26., h – 08:31 )

Feltörték a felhős jelszókezelőt!

Amúgy muszáj ezt a ködös-sejtetős-kattintásvadász címadást itt is meghonosítani?

( gee v | 2022. 12. 27., k – 03:20 )

A beidézett rész szerint mindenféle ügyféladatokat megszereztek, de a bejelentkezési adatokat nem.

Ettől függetlenül egyetértek azzal, hogy felhős szolgáltatóra bízni ilyesmit felesleges kockázatot jelent.

Én használok jelszótárat, de nem szolgáltatóét, hanem sajátot (keepass). Aminek aztán a titkosított adatbázisát a saját privát felhős tárhelyemre teszem fel, ahonnan aztán minden számítógépem és mobil eszközöm el tudja érni.

Kb. ugyanazt adja, mint a lastpass, de nincs olyan szolgáltató, aki bármikor cleartextben megkapná a jelszavaimat, így nincs kitől ellopni a cleartext jelszavakat. A titkosított adatbázist azt ugyan el tudná valaki lopni, de egyfelől az AES-256 törése nem egyszerű, másfelől míg egy lastpass, ahol ezrek tartják a jelszavaikat az egy értékes célpont, az én privát felhős tárhelyem sokkal kevésbé az. Ja, és a titkosított adatbázisban is van egy csomó olyan (egyszerűbb) jelszó illetve rövid és egyszerűbb kódok, amik nincsenek kiírva, hanem valami utalás van csak odaírva, amit én értek, de még ha valaki a magyar szöveget meg is érti, akkor se valószínű, hogy rájön, hogy mire gondoltam.

Fejben meg tudok jegyezni bizonyos jelszavakat, vannak olyan jelszavaim, amik nincsenek is a keepass-ben, mert nincs rá szükség + nem akarom, hogy bárhogy kikerüljön. Viszont a legtöbb jelszavam a keepass által generált random karakterhalmaz, amiből még egyet is nehéz lenne megjegyezni, de több száz ilyen van.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.