- mcbuddha blogja
- A hozzászóláshoz be kell jelentkezni
- 1126 megtekintés
Hozzászólások
onnantól kezdve, hogy pl. az msn titkosítatlanul kommunikál, annyira nem... Pedig régen kódolt volt.
- A hozzászóláshoz be kell jelentkezni
Egyre jobb... :( (Bár szerencsére van GPG plugin a Gaim-hez.)
- A hozzászóláshoz be kell jelentkezni
Lehet, hogy titkosítatlanul kommunikál az msn, de tudtommal a jelszó ellenőrzése titkosítva megy. Azon viszont meglepődtem, hogy az ICQ nem titkosítva küldte a jelszavam a szervernek...
- A hozzászóláshoz be kell jelentkezni
hát, miután a szöveg cleartextben megy át, onnantól nem érdekel különösebben, hogy a jelszó hogy utazik. Senkinek semmi köze, mit beszélek mással, ha meg valaki le tudja hallgatni, az valószínűleg amúgyis meg tudja oldani, hogy a teljes kommunikáció az ő gépén át menjen. Innentől már csak egy lépés az, hogy szoftvert ír, és az én nevemben kommunikál, úgy, hogy megszűri a hozzám eljutó üzeneteket. Nyilván nem én leszek az ideális célpont erre, de elvi lehetősége megvan.
Röviden: ha a teljes kommunikáció titkosítatlan, akkor nem sokat oszt vagy szoroz, hogy a jelszó hogyan megy át a hálózaton, mert a jelszó ismerete nélkül is vissza lehet élni az adatokkal.
- A hozzászóláshoz be kell jelentkezni
Ez azért gáz. Várom azt a protokollt, amiben csak a partner GPG key ID-je kell a kommunikációhoz, és az aláírásom igazol, nem kell külön jelszó.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
No igen, de jelszóval védhetem. No persze ha root, akkor keyloggert is telepíthet, esetleg meghackeli az ssh klienst, és már meg is van a jelszó, tehát ugyanaz, mintha nem lenne jelszó...
- A hozzászóláshoz be kell jelentkezni
Jelzem, az accounts fileban is plaintext. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
Atyaisten. Vannak azért gondok rendesen. Én meg még azon filóztam, hogy GPG-titkosított pendrive-ot kéne készíteni (mountkor kérné a passphrase-t), erre meg ilyenek derülnek ki... Én naiv azt hittem legalább valami hash-t tárolnak...
- A hozzászóláshoz be kell jelentkezni
Tudom ajanlani a TrueCrypt-et (www.truecrypt.org), Windows es Linux alatt is mukodik, en ezt hasznalom jelszavak tarolasara.
- A hozzászóláshoz be kell jelentkezni
jó, de ha titkosítva lenne, akkor kérne jelszót a jelszavadhoz? :)
--
-Have you seen the new Ubuntu release?
-Nah, I'm not really into Pokémon.
- A hozzászóláshoz be kell jelentkezni
Nem, hanem mondjuk az md5 hash-t tárolná, és azzal ütköztetné.
- A hozzászóláshoz be kell jelentkezni
ée az miért jó? Ha megváltoztatod a jelszavad pl. az email szolgáltatód oldalán, akkor már a régi jelszó hasítókódja lesz a fájlban, és azzal összehasonlítva az újat nem fog egyezni, ezért nem enged be. Nem jó 5let. Bár a legröhejesebb számomra a mozilla (firefox, thunderbird, suite) jelszótárolása: base64 kódolással. Tipikus példa a hamis biztonságra.
- A hozzászóláshoz be kell jelentkezni
Ezt nem egészen értem, a helyileg tárolt jelszó akkor sem jó (jelszóváltás után), ha clear text, nem?
A base64-et kifejtenéd?
- A hozzászóláshoz be kell jelentkezni
a cleartext sem jó...
ha helyileg tárolod, hogy ne kelljen megadni, akkor az nem lehet md5-tel kódolt, ugyanis az 128 biten ábrázolt értéket képez viszonylag sok iteráció (ciklus) után, azonban az összes lehetséges bemenetek száma végtelen (elvileg bármilyen hosszú inputja lehet). Tehát ha a jelszavad md5-ben tárolod, akkor csak azt tudod ellenőrizni, hogy egy olyan jelszót adtak-e meg, aminek azonos az md5 hash-e. Az eredeti jelszó nem állítható vissza. Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára.
A base64 egy invertálható kódolás (lehet dekódolni), az inputot 6 bites darabokra vágja (azaz 64 különböző érték lehet). Ezután olvasható karakterekké alakítja (az angol abc 26 kis/nagy betűje, 10 számjegy, a / jel és talán az egyenlőségjel). A kimaradó biteket = jellel helyettesíti (a kapott kód végén egy vagy két egyenlőségjel szokott lenni).
- A hozzászóláshoz be kell jelentkezni
"Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára." -- Most, hogy mondod, tényleg. Bár, ha lenne olyan opció bejelentkezésnél (POP, SMTP mittomén), hogy az md5 hash-t küldi el, akkor jó lenne. De akkor meg megint ott vagyunk, mint az elején, mert akkor meg magát a hash-t kéne úgy tárolni, hogy ne lehessen visszafejteni... Ördögi kör :( Van erre egyáltalán elméleti megoldás?
A base64-es részt tudtam, csak akkor az nem volt nyilvánvaló számomra, hogy ezt nem tudja _mindenki_, és azt hiszik, hogy a base64-gyel most aztán frankón biztonságosak a jelszavak.
- A hozzászóláshoz be kell jelentkezni
Master password?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
amikor bejelentkezem a gépre, akkor már beírtam a jelszavam
ha otthagyom a gépet és a gatyamanók kilopják a jelszavamat, akkor így jártam
--
-Have you seen the new Ubuntu release?
-Nah, I'm not really into Pokémon.
- A hozzászóláshoz be kell jelentkezni