A jelszórotáció (például cserélj lejáró jelszót 90 naponta) biztonsági szempontból szerintem ...

Titkosítás, biztonság, privát szféra

Egyértelműen káros
11% (50 szavazat)
Inkább káros, mint hasznos
27% (118 szavazat)
Nagyjából annyira káros, amennyire hasznos
35% (152 szavazat)
Inkább hasznos, mint káros
20% (89 szavazat)
Egyértelműen hasznos
6% (26 szavazat)
Összes szavazat: 435

( prwnd | 2016. 12. 09., p – 10:02 )

Inkább hasznos, mint káros, de leginkább bosszantó. Bár fél évenként ki lehet bírni nálunk.

Volt olyan munkahelyem, ahol havonta meg kellett változtatni, és a korábbi 10 mindegyikétől legalább X karakterben kellett különbözzön, meg kötelezően kellett tartalmaznia minden spec. karaktert - minden belső rendszerre külön. 3-4 hónap alatt eljutottunk odáig, hogy mindenki a monitor talpa alatt vagy egyszerűen postitre felírva tárolta a jelszavát az asztalán.

"és a korábbi 10 mindegyikétől legalább X karakterben kellett különbözzön"

X>1 esetet hogyan ellenőrizték vajon? Vagy van olyan rendszer ahol nem hash fv-t használnak jelszavakhoz?

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Picit gondolkodva például úgy, hogy a régi jelszavakat az aktuálissal titkosítva eltárolják, és amikor jelszócsere van, a bekért régivel kicsomagol, az újat összevet a régi n darabbal, aztán ha megfelel, akkor a legrégebbit kidob, az aktuálisan lejártat belerak, és a friss jelszóval újracsomagol. Én legalábbis valahogy így állnék neki...

ugy ertem, eleve maga a feladat baromsag, masfelol ha gyenge a jelszo (mert csak hiszed, hogy eros), akkor az utolso N db jelszavad is korrumpalodott, amiben ha fel lehet fedezni valamilyen mintat, akkor az tuti buko. Arrol nem is beszelve, hogy ha van egy jo jelszavad, vegen mondjuk egy 1-essel, akkor miert elvetendo a tole a vegen egy 2-essel eltero jelszo?

> Arrol nem is beszelve, hogy ha van egy jo jelszavad, vegen mondjuk egy 1-essel, akkor miert elvetendo a tole a vegen egy 2-essel eltero jelszo
mondjuk, ha feltörik a LinkedInt, meg a Yahoot különböző időben, s mindkét helyen megszerzik az ottani jelszavam, ami jelszó1 meg jelszó7, akkor abban sem nehéz mintát találni.

nem mondom, hogy a legyen legalább 5 karakterben eltérő jó stratégia, mert biztosan nem az (jelszó11111, majd jelszó22222), de a motiváció mögötte érthető, talán.
--
blogom

na acsi, mert otromban osszekuszaltal par dolgot. Ha a linkedin-t feltorik, akkor miert is van meg a jelszavam? (Jo esetben) csak a sozott hash van meg nekik (meg a csillio szemelyes adat, ehehe), amivel nem sokra mennek a yahoo-nal.

Masreszt nem azt mondtam, hogy jelszo1 van egyik helyen, jelszo2 a masik helyen. Hanem azt, hogy egyik helyen van most jelszo1, majd ha lejar, akkor jelszo2 ugyanott.

( freeoli v | 2016. 12. 09., p – 10:03 )

Jó, de önmagában még kevés.

Szerintem még a következőek fontosak hozzá:

- központi auth forrás (ldap, ad, stb)
- minden auth jogot csoport alapon osztani az erőforrásokra
- kritikus helyzetben mindenképpen 2fa

"központi auth forrás (ldap, ad, stb)"

Hat enelkul jelszo rotaciot eloirni az az igazi pokol. A userek nyilvan ugyanazt a jelszot fogjak beallitani az osszes helyen (ez mar onmagaban security problema, es ugye itt nem a usereket hibaztatom, hanem azt a rendszergazat aki ilyen rendszert ad a usereinek) de az igazi az lesz amikor a user nehany helyen mar megvaltoztatta a jelszavat nehany rendszeren meg meg nem...

( kilvadi | 2016. 12. 09., p – 10:04 )

aki jelszokezelot hasznal annak a plusz 10 masodperc amivel jelszot cserel semmi problemat nem jelent.

a password manager-t én is hasznosnak tartom úgy általában, de sajnos nem megoldás:
- BIOS,
- diszk titkosítás
- login,
- console (root) access,
- master password (pl a password managerhez :)
- és az olyan "nagycéges" agyrémeknél, ahol valami elb*szott ötlettől vezérelve nem lehet copy-paste használatával jelszót "beírni". (Ezúton is gratulálok a a nagy ötlet kitalálóinak!)

Ezen esetekben kifejeztetten elavult és káros a sűrű jelszócsere kiforszolása.

--
zrubi.hu

Mi Keepass-t használunk több, mint 6 éve, azóta semmi probléma a jelszavakkal: az esetek nagy részében működik az Auto-Type (ott is, ahol a copy-paste nem). A fejlesztővel készítettem egy kis kiegészítőt, hogy az eszköztárról is lehessen Auto-Type-ot indítani mindenféle variációban (felhasználó - TAB - jelszó - ENTER, felhasználó - ENTER - jelszó - ENTER, jelszó - ENTER, a felhasználós változatok akár felhasználó@domain.tld és domain\felhasználó variációban is automatikusan összerakódnak), ezzel hihetetlenül komfortos a bejelentkezés.

Az pedig nagyon ritka, ahol nem lehet Auto-Type-ot használni, ezekre az esetekre marad a kézi bemásolás.

Nem tudok róla, hogy tudna ilyet, architektúrájából kifolyólag fából vaskarikának tűnik. És van más is, amit nem tud (és esetleg jó lenne), de én úgy vagyok vele, hogy a Keepass így is sokkal jobb, mint ami az ügyfelek 99%-nál van (ami tipikus és lefedi az esetek túlnyomó részét: valamilyen XLS és/vagy minden rendszergazda által ismert sok helyen használt 1-4 jelszó).
Ez persze nem jelenti azt, hogy minden informatikai szervezet számára alkalmas a Keepass, mindössze az a tanulság számomra, ha mindenki legalább Keepass-t használna, akkor az nagyon jelentős előre lépés lenne.

A Keepass nagyszerűsége abban is rejlik, hogy nagyon egyszerű. Több fájl használatával, esetleg pluginekkel azért elég sokféle folyamat és hozzáférés megoldható.

( gemnon v | 2016. 12. 09., p – 10:09 )

Inkább hasznos mint káros.

De igazából attól függ, hogyan van implementálva.
Ha gonosz akarnék lenne azt mondanám van pár kolléga akinek egynél több gyermeke van (és ezeket "rotálják" : Ákos1991,Marci1993,Lenke1995.)

( BlinTux v | 2016. 12. 09., p – 10:12 )

20 év alatt egyszer változtattam meg a jelszavamat. Akkor is a régit bővítettem ki pár karakterrel.
Ha netán megesik hogy valahova nem ugyanazt a jelszót adom meg, és egy hónapig nem használom azt a szolgáltatást, akkor jó eséllyel soha többet nem tudok oda belépni, mert elfelejtem mi volt a jelszó :D
Bár a chrome megjegyzi, ha ez jelszótárolónak számít. De megeshet, hogy más böngészőben kell belépni, ott pedig nincs előre kitöltve... Kibányászni a mentet jelszót meg csak nyűg...
Szóval rám nézve, egyértelműen káros ezt variálgatni.

A jelszó tároló inkább én vagyok, aki megjegyzi azt az egyet és ennyi

Pedig így van :D
Egy jelszó mindenhez és soha nem változtatom meg.
Nem kell ezret megjegyeznem, nem kell jelszó kezelőt használni, nem felejtem el.
És mivel a kutya nem kíváncsi az én adataimra, nem félek hogy valaki feltöri.
Ahol meg extra védelmet szeretnék, oda van mobil authenticator is: google és battle.net fiók.

Régen nekem is volt egy nem túl bonyolult jelszó, amit változtatás nélkül használtam olyan weblapokhoz, amikről úgy gondoltam, nem baj, ha esetleg valaki kitalálja és be tud lépni a nevemben. Pl. hup.hu :-)
Legrosszabb esetben ír pár kommentet a nevemben és kész, de nem fér hozzá sem adathoz, sem pénzhez, stb.

Aztán elkezdtem jelszó kezelőt használni, és minden új regisztrációhoz generált random jelszó került.

Aztán voltak olyan weblapok, amiket feltörtek, ellopták a jelszavakat, és pár év után ez kiderült. Volt olyan is, ahol a régi általános jelszavam volt használatban. Fene tudja, hogy tárolták. Clear textben vagy valami nem elég biztonságos hash-t használva.
Amikor erről hallottam, megnéztem, és azon a 8-10 helyen, ahol még a régi jelszó volt lecseréltem egyedi generáltra.

De ez véletlen se fordulhat elő. :P 


root@pi:/media/usb/downloads/linkedin# cat 1.sql.txt |grep "b*****x"
                INSERT INTO idemail VALUES ('???407???', 'b*****x@g???l.com');
root@pi:/media/usb/downloads/linkedin# cat 1.txt | grep "???407???"
???407???:nowaytheywillhackmebutmypasswordhashoutinpublictm

Mondjuk azért az önfényezésen kívül másra nem nagyon használt siteért nem is akkora kár. ;)

Többek közt ezért mondom mindig, hogy remekül hangzik az, hogy DevOps, de az általában (tisztelet a kivételnek, mert akad) uralkodó fejlesztői szűklátókörűséget és hanyagságot sosem fogom tudni tolerálni - marad az üzemeltetői ultra-paranoia és rugalmatlanság, mert azzal kompatibilisebb vagyok :) Tudom, hogy a time-to-market nem az én fajtámat szereti és a hipster start-upok sem... de egyre inkább úgy vagyok vele, hogy ez nem is baj, mert mi nem egymást keressük.
------------------------
{0} ok boto
boto ?

( Hydro v | 2016. 12. 09., p – 10:41 )

Előző munkahelyemen volt olyan ügyfél, ahol a vezetőség megkövetelte, hogy "itt aztán legyen nagyon biztonságos jelszava minden dolgozóknak!" Aminek aztán az lett a vége, hogy a 100+ dolgozó kb 20%-a képtelen volt megjegyezni a 90 naponta cserélődő új jelszavaikat amit beállítottak maguknak és végül a laptopukra egy post-ittel felírták, hogy el ne felejtsék..
Ennél már tényleg egyszerűbb lett volna, ha nem kell cserélgetni, aztán legalább az az egy bonyolultat megjegyzik amit egyszer beállítottak.

- - - - -
XetHost

+1

Nekem is elsőre ez ugrott be, mert nálunk is ez van: Ha rá vannak kényszerítve, abból valami triviálisan inkrementálódó jelszó lesz és az is fel van írva valahova :(
Nekem is inkább van 1-2 kellően bonyolult, de már "beépült" jelszavam, amiket viszont adott helyen nem változtatgatok, hogy ne felejtsem el.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

+1

Ezert zavar engem is a gyakori cserelgetes. Legyen egy, de az kvazi-veletlen, aztan lehet akar tiz evig is. Ennyi ido alatt a dolgozok jo resze cserelodik....

(12-14 karakter, kisbetu/nagybetu/szam/irasjel kombobol legalabb harom teljesuljon, egy John the ripper ne torje meg ket perc alatt)

--
http://www.micros~1
Rekurzió: lásd rekurzió.

+1

Én hasonlóképp szívok a netbankommal. Ügyelnék a biztonságra egyéni komplex, hosszú, csak ott használt jelszóval, de folyton cserélgetni kell, és nem használom olyan sűrűn, hogy könnyen megjegyezzem az újat változtatás után. Persze jelszóemlékeztetőt se kérhetek, mennem kell a fiókba megváltoztatni, ha elfelejteném az újat. És tényleg, mit csinál ilyenkor az ember? Persze, hogy felírja valahova (az külön öröm, hogy valamiért a login nem működik automatikus kitöltéssel, gondolom keyup eseményre generálnak valami hasht kliensoldalon :)

Az autofill tiltása teljesen korrekt biztonsági szempontból. A másik véglet a cikibank - bár már nem sokáig rontják a lakozzági/kkv piacon a levegőt idehaza - nálik sim ausernév/jelszó kell a netbankhoz, semmi sms-es kód vagy hasonló - bónuszként a kis- és nagybetűket nem különböztetik meg a jelszóban...

Azért azt megnézném, hogy egy kliens oldali js-ből a jelszó mezőbe került karaktersorozatból onsubmit()-ra generált értékkel feltöltött hidden mezőben utazó jelszóval mit csinálna :-P Volt ilyen feladat, ott az onsubmit()-ra a jelszó mező értéke is felül lett csapva egy generált értékkel. A böngésző nagy bőszen fel is ajánlotta, hogy megjegyzi. Jegyezd... Csak az már nem az, mint amit a dolgozó beírt.
Volt még benne néhány trükk, hogy tényleg jól csinálja, amit kell. Ez nem a login formot védi, hanem a jelszót magát. (Lehet jelszavakat megjegyeztetni master jelszó nélkül - vagyis az adott webes felületen történő bejelentkezést eztán semmilyen jelszó nem védené...

Na de nem az autofillt tiltják. Az működik, csak az úgy beküldött adatok nem érvényesek látszólag. Bekattintok a jelszóba, nyomok egy szóközt, kitörlöm, és úgy login, máris jó. Egyszerű tervezési hibának tűnik, nem gondolnak speciális felhasználási módokra úgymint autofill, beillesztés, stb. Hasonlóan amikor a fancy űrlapon a checkboxok hátterében nem konkrét checkbox van, hanem sima képek + kattintás figyelés, aztán az ember csodálkozik miért nem tudja billentyűzettel sokkal hatékonyabban kitöltögetni. Az ilyen fejlesztők kezét vágnám le.

Biztonsági szempontból miért jó az autofill tiltása?

Azt az egy esetet tudom elképzelni, ha valaki hozzáfér a laptopomhoz, és kitalálja a bejelentkező/screenlock jelszavamat, ezután a böngésző mester jelszavát, és utána ha valahogy megtudta, hogy hol bankolok, akkor a bankom weblapján be tud lépni, és meg tudja nézni az egyenlegemet.

Esetleg tud utalni a tesómnak, a szüleimnek, az asszonynak. Új számlaszámra nem tud, ahhoz már kellene a második faktoros azonosítás.

Számomra ez elfogadható kockázat az autofill kényelméért cserébe.

De rendben. Későre jár már, fáradt vagyok, biztos nem jutott valami triviális dolog az eszembe. Szóval mi az az eset, amikor _tényleg_ van valami haszna?

"[...] akkor a bankom weblapján be tud lépni, és meg tudja nézni az egyenlegemet."

Nade nem muszáj autofill hogy kitöltse a mentett adatokkal az űrlapot, ha vannak mentett adatok ahhoz hozzá lehet férni a böngésző beállításain belül. Oké, nyilván ha autofill van egy login űrlapon akkor (vélhetően) a böngésző nem próbálja elmenteni a dolgokat, ettől még lehet elmentve (pl több helyen ugyanaz a jelszó, vagy mondjuk nem login adatok (mentett bankkártya infók).

A jelszókezelőben ott van az url is, ahol az adott usernév/jelszó használható. És ha ezt nem megfelelő jelszóval védve tárolod, akkor a weboldalon lehet akármilyen szigorú jelszópolicy, a bejelentkezésre effektive nem az, hanem a jelszókezelődre általad kitalált jelszó biztonsága/sértetlensége fog vonatkozni.

A laptopod képernyővédőjére, a böngésződ master jelszavára semmilyen kötelező érvényű korlátozás/szabály nem húzható rá.
Worst case jelszó nélkül végig lehet menni az egyébként szigorú jelszópolicy-t megkövetelő weboldalig.
Van, ahol elfogadható, de van, ahol - főleg a felhasználók biztonságtudatosságának khm. alacsony szintje miatt nem az autofill használata.

Kérdés, mi ellen kell, hogy védjen.

Ha az NSA akar hozzáférni valami weblapomhoz, akkor persze, biztosan el tudják kapni az SMS-t.

Ha a szomszéd asztalnál ülő kollégám akar megtréfálni / lenyúlni egy kis zsét a számlámról, és ehhez meglesi, ahogy begépelem a jelszót, akkor az egyszeri kód SMS-en szerintem bőven elég biztonságos.

( traktor | 2016. 12. 09., p – 11:25 )

"Inkább hasznos, mint káros"

Jo, jo, persze minden user utalja, hogy csinalni kell. En is. Es igen, az is vilagos, hogy a userek 90%-a az "almafa7"-et "almafa8"-ra csereli amikor kell. De egyreszt mar ez is ad egy pici vedelmet, mert egy regebbi jelszoadatbazis a tamado kezeben nem hasznalhato kozvetlenul, legalabbis parszor probalkoznia kell.
De az igazi elony, hogy egy nagy rendszernel, ahol nem egyertelmuen kovetheto, hogy melyik user aktiv meg es melyik nem, ott az inaktiv userek jelszava egy ido utan lejar (mert ugye ahol jelszo rotacio van ott a jelszavak le is jarnak) es igy nem lesz egy felesleges, potencialis veszelyt jelento user a rendszerben.

( toshi_sanyoshi | 2016. 12. 09., p – 11:34 )

Inkább hasznos, mint káros, abban az esetben, ha az új jelszavakat megfelelően választják meg, tárolják és kezelik.

( uid_194 | 2016. 12. 09., p – 11:41 )

Karos, mert az emberek tobbsege kitalal valami metodikat, hogy meg tudja jegyezni a jelszot, ahelyett, hogy valami ertelmes megoldast (pl KeePass & tarsai) hasznalna.

Ha van egy 128+ karakteres full random jelszavam, es minden egyes szolgaltatashoz mas jelszot hasznalok, az messze biztonsagosabb, mintha rakenyszeritenek, hogy X idonkent csereljek.

Persze lehet KeePass-t hasznalni cserelgetos esetben is, de az emberek tobbsege nem fog.

Ezert is gondolom azt, hogy inkabb password managert kene enforceolni, nem pedig jelszovaltasokat.

--
|8]

( asch v | 2016. 12. 09., p – 12:53 )

A jelszó mint autentikációs forma szerintem javításra vár. Egyszerűen nonszensz, hogy elvárjuk egy embertől, hogy minden helyre külön megjegyezzen egyet. Ha csak a mission critical biztonságkritikus jelszavaimat kell összeszednem, az is legalább 10. És én csak user vagyok, nem rendszergazda.

A jelszótároló is pofon a szarnak, mivel ha a futtató számítógép kompromittálódik, akkor a jelszavak is. A jelszó copy paste pedig felveti azt a kérdést, hogy a clipboard-ról nem kerülhet-e véletlenül ki a jelszó?

A megoldás egy hardveres single-sign-on lenne, amivel az ember azonosítja magát, illetve műveleteket autorizál. Ennek célhardvernek kell lenni, saját billentyűzettel és képernyővel, ami semmi másra nem való, mint a PC vagy telefon által előkészített műveletek (belépés, banki tranzakció, stb) autorizációjára. Ezt _talán_ meg lehetne valósítani biztonságosra.

Van pl. a kétfaktoros azonosítás. Hiába szerzed meg a gépem, hiába vannak meg a jelszavaim, ha a második lépcsőt (ami lehet SMS, telefonhívás, célhardver által generált kód, telefonon futó app által generált kód) nem tudod előállítani.

És persze jelszó helyett is lehet mást használni. Belépéshez nekem pl. egy smartcard van. Hiába lesed le a kártya jelszavát, ha azt én kihúzom, amikor elmegyek az asztalomtól.

( xclusiv v | 2016. 12. 09., p – 13:17 )

Egyértelműen károst jelöltem.

Értem én hogy miért van, de a - fentebb is írt létező megvalósítások egyértelműen károsan. Az ilyen
- 10+ karakter
- kisbetű + nagybetű + szám + spec. karakter legyen benne
- 30/60/90 naponta kötelezően cserélendő
- az elmúlt akárhány jelszó nem lehet
- minimum sok karakterrel térjen el (tényleg, ezt hogy ellenőrzik, csak nem plaintext jelszótárolás van?)
policy semmi mást nem ér el, mint hogy a felhasználók felírva tárolják és onnan lassan, betűnként begépelve ütik be. Ennél rosszabb verziót elképzelni se tudok.

bár ez a kettő elvileg ritkán változik

na de miert is? Ezek a jelszavak talan alavalobbak lennenek mondjuk egy login jelszotol? Vagy mi van pl. az ssh kulcsok jelszavaival?

Korabban azon dilemmaztunk, hogy szerverek eseten, ahol az uzemeltetoknek van sajat acc-a, ott is legyen-e password aging beallitva, es ha igen, akkor root-nak is? Aztan felvetettem, mi lenne, ha egyreszt minden real user acc-anal * (vagy !) lenne a shadow file-ban, csak ssh kulcssal lehetne belepni, es lehetne sudo jelszo nelkul.

Egy korábbi cégnél (15 éve) pl. azzal indokolták a domain jelszó rendszeres cseréjét, hogy a hálózati forgalomban ez titkosítva közlekedik, és ha valaki a forgalmat megfigyeli, ezeket elkapja, akkor x idő alatt fel lehet törni.

Ha feltételezzük, hogy tényleg ez az oka, akkor az ssh kulcs jelszava, a bios jelszó, stb. nem közlekedik a hálózaton, tehát ezeket a forgalmat figyelve nem lehet megszerezni. Éppen ezért pl. ugyanennél a cégnél a harddrive-ot titkosító BIOS jelszavakat nem kellett rendszeresen megváltoztatni.

Igen sok helyen ismertem az ilyen évtizedekig élő "default jelszavakat" Ezekkel a legjobb amit lehet tenni, hogy senki nem írja le őket sehová. Így "csak" a fél ország ismer(het)i őket, nem az egész világ ;)

Le lehet-e erről szoktatni a cégeket? NEM.
Még a legprofibbnak tűnő/hangzó cégeket sem.

--
zrubi.hu

( gee v | 2016. 12. 09., p – 13:28 )

De káros, ha az idő túl rövid.
Nálunk 90 nap a domain jelszó, ez elfogadható, de nem szeretem. A bankomnál havonta lejár, tehát gyakorlatilag minden alkalommal új jelszót kell megadnom. Ez teljesen felesleges. Ha nem használnék jelszókezelőt, és nem generált jelszavam lenne, akkor valószínű káros is lenne. Túl egyszerű jelszavakat választanék, hogy emlékezzek.
Ugyanakkor az se jó, ha sohase jár le.

( Aadaam v | 2016. 12. 09., p – 14:18 )

Szenteltvíz kategória, security theater security nerd-öknek.

Kezdjük ott, hogy jelszókezelőt kb. csak informatikai diplomával használnak, aztán folytassuk ott, hogy általában a windows loginképernyőnél jön fel a dolog, ahol nincs jelszókezelő, Gizikénél pláne.

Többen is irták a metodikát, igen, hónapnév vagy évszaknév szokott belekerülni a jelszóba, így egy jelszó ismeretében 2-3 próbálkozásból kitalálható az aktuális.

Ráadásul a jelszószabályokat olyan emberek találták ki, akik matekból dicséretes ötöst kaptak, antropológiából és kognitív pszichológia alkalmazásából viszont 3x is megbuktak volna. XKCD is van a témában: https://xkcd.com/936/

A sűrű jelszócsere-kérés megnöveli a phishing-kockázatot is.

A security alapja szerintem az, hogy minél kevesebb adatot védjél, azt minél erősebben, a fontos dolgok legyenek egy hardveres OTP device mögött (RSA kulcs vagy tudomisén), a napi életre biometrikus azonosító, esetleg atipikus használat figyelése (egérmozgás, mittomén), ha napjába 25x akadályozol valakit az életvitelében az kénytelen a saját ép elméjének megőrzése érdekében ellenmegoldásokat találni, pl. jelszó kiírása monitorra, v "jelszóalgoritmus".

( hzsolt94 v | 2016. 12. 09., p – 15:08 )

A legjobb jelszó policy ha a userek generált jelszót kapnak, pl. a "pwgen -s -1 24" parancs segítségével. :-)

A villamosmérnöki karon megmondták nekünk a frankót.

Egy nagyfeszültségű vezetéket kikapcsolt állapotban pontosan 2 helyen kell rövidre-zárni szerelésnél, mert az okoz a legkevesebb halálesetet.

Meg kérdezte egy kollégia, hogy ha 3-5 helyen kellene rövidre-zárni, miért nő a halálos áramütések száma?

Válasz: a szakik rühellnek pepecselni és maszekban elkezdenek szerelni, megkerülve a hivatalos protokollt. Az egyéni ügyeskedések meg rendszerint halállal végződnek.
A hosszútávú tapasztalat azt mondja, hogy a legkevesebb haláleset 2 rövidzárral történik.

Magyarul: minél jobban vegzálod a felhasználókat, hogy napi munkájukat elvégezzék - mondjuk hülye biztonsági előírásokkal - annál kisebb lesz a valódi biztonság, mert előbb-utóbb kihagynak a buliból és megkerülnek téged. Ezt nem árt tudomásulvenni.

Ez mérhető is. Bevezeted, hogy hetente mindenkinek újra kell a jogosultságot kérvényezni: első héten 100-an kérnek naponta, 3 év múlva csak 30-an. A kérdés, hogy a maradék 70 miért nem kér tőled hetente jogosultságot...

( sigellef | 2016. 12. 09., p – 22:25 )

A jelszócserét forszírozni szerintem csak paranoiás dili. Ha valaki az adataival nem tud bánni felelősségteljesen, az jelszórotáció mellett sem fog. Ha meg egy felhasználó jelszavának illetéktelen megszerzése veszélyes a rendszerre, az meg a rendszergazda hibája.
Szerintem a hosszú jelszavak megadásának elvárása a legjobb megoldás, mindenféle szám/nagybetű/krikszkrakjel elvárása nélkül.
Én régóta egy jelszót használok mindenhová, jó hosszú értelmetlen összetett szót, melyben a szavaknak semmi köze egymáshoz.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

"Ha meg egy felhasználó jelszavának illetéktelen megszerzése veszélyes a rendszerre, az meg a rendszergazda hibája."

Kerlek csinalj az osszes rendszeren amit uzemeltetsz egy "sima" usert, majd ide kommentbe ird be a usernevet/jelszot meg a rendszert ahol hasznalni lehet. Elore is koszi.

( Ape | 2016. 12. 10., szo – 09:20 )

command + f -> "hunger"
no matches
Csalodottan tavozik.

( _Franko_ v | 2016. 12. 17., szo – 15:39 )

Kétfaktoros azonosítással szerintem felesleges...

( peterson v | 2016. 12. 26., h – 07:09 )

Abból a szempontból jó, hogy "tisztább, szárazabb, biztonságosabb érzés". De csak érzés.

A gyakorlatban - pláne ha kényszeríteed is az sokkarakter/kisnagybetű/szám/specchar -t -, a polgár arra kényszerül:
1. felírja papírra (hogy el ne veszítse a telefonja hátlapjára is)
2. vizuálisan rotál, amit szintén könnyű megfejteni

Ennél a két módszernél még a kutyája neve is biztonságosabb lehet, mert:
- viszonylag kevesen tudják az eb nevét
- akik tudják, nem hinnék el, hogy az a jelszava ;)
- mindig emlékszik rá, nem kell leírni
- gyorsan tudja gépelni, a mögötte álló ember sem biztos hogy értelmezi
(- a kutya neve 3Dkw%n9gt=p :) )

---
"A megoldásra kell koncentrálni nem a problémára."

Azért az mekkora, hogy az XKCD-re hivatkozik (rossz példaként) egy bekezdésen keresztül :D

Az is mókás, hogy a "használj vírukergetőt" dogma is valahogy csak belefért a jelszó policy témába ;)

Úgy egyébként meg időszerő lenne a jelenlegi elavult AD jelszó policy-ket aktualizálni, ebben talán segít egy MS pecsétes kiadvány...

--
zrubi.hu

> Az is mókás, hogy a "használj vírukergetőt" dogma is valahogy csak belefért a jelszó policy témába ;)

Ez nem egy egyszerű kérdés. Az átlag ember azt gondolja, hogy a rendszer védje meg magát a vírusoktól a versenyhival viszont nem. Amikor a Microsoft a Windows védelme érdekében saját vírusírtót kezdett tolni, majd szétszedték a különböző országok versenyhivatalai.

Nagy biznisz a vírusírtás, egyes országoknak komoly bevételt hoz, nem engedhetik meg, hogy a Microsoft házon belül megoldja a problémát. Ebben a kérdésben meg van kötve a kezük.