Felhasználod-e ugyanazt a jelszót több weboldalon is?

 ( Csab | 2019. május 25., szombat - 14:18 )
Minden weboldalhoz egyedi, nehezen visszafejthető jelszavaim vannak.
28% (88 szavazat)
Minden weboldalhoz egyedi, könnyen visszafejthető jelszavam van (pl. algoritmussal a weboldal nevéből generált jelszó).
4% (13 szavazat)
A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.
40% (124 szavazat)
Van néhány nehezen visszafejthető jelszavam, amit ismételgetek a weboldalak között.
13% (41 szavazat)
Van néhány könnyen visszafejthető jelszavam, amit ismételgetek a weboldalak között.
4% (11 szavazat)
Egy jelszavam van, mindenhová azzal lépek be.
3% (8 szavazat)
Egyéb, leírom.
2% (7 szavazat)
Csak az eredmény érdekel.
6% (18 szavazat)
Összes szavazat: 310

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

*A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

Erre szavaztam de igy pontos:

A fontos oldalakhoz ketfaktoros, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

+1

--
Signal - Private Messenger: https://signal.org

+1

az elsődleges emailemhez egy kellően hosszú (mondat) jelszavam van, többi legalább 18 karakteres generált

"Egy jelszavam van, mindenhová azzal lépek be." - Ez az őrültség 3 szavazatot kapott az eddigi 96-ból. Statisztikailag nem biztos, hogy szignifikáns, de legalább lesújtó.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Mindhez az, hogy p*na.

Nem jó. Túl rövid, nincs benne nagybetű, szám, hieroglifa, emoji. És nem mellesleg a többi x felhasználónak is ugyanez a jelszava.

havernak kellett egyszer beállítani valami fiókot
- mi legyen a jelszavad?
- p*na
- az nem jó, legalább 8 karakter kell
- hm, akkor p*nap*na

Ha a lastpass vagy a keepass mesterjelszava derul ki/leakelodik ki, az effektive ugyanaz a vegeredmeny, mintha mindenhova (nagyjabol) ugyanaz lett volna, csak legalabb a fejedben biztonsagban van az utobbi.

Egy lastpass/keepass/etc. tomeges mesterjelszo leak eseten raadasul script kiddie-k es foreach botok tamadnak, mikozben "ugyanaz a jelszo mindenhova" csak celzott tamadas eseten veszelyes, ha emiatt teheted meg, hogy cserebe nem kell hasznalnod jelszomanagert. :)

(Nem arra szavaztam, de nem szeretem, amikor a jelszomanager userek felsobbrendunek erzik magukat. Kerdes, hogy 1, 10, vagy 50 evig lehet meg ekkora arcuk)

A keepass alapvetoen egy offline, titkositott file.
Persze feltoltheted Dropboxba az adatbazist, de amig nem teszed, addig nem ugyanaz, mint a lastpass.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Ez nagyon jol hangzott, amig volt egy gep, amihez leultel, es soha sehol mashol nem kellett sehova belepned. Ellenben ma nem az otthoni vagy a munkas gepednel, hanem akar a vilag masik vegen egy telefonon vagy egy tableten kellhet peldaul a netbankos jelszavad. Nos, ilyenkor valaszthatsz:
-random generalt megjegyezhetetlen jelszo "valami cloudban"
-jelszo, amit azert tudtal megjegyezni, mert mindenhova mashova is ugyanaz
-jelszo a fejedben, amit azert tudtal megjegyezni, mert legalabb hasonlit a tobbire

En a legutobbira szavazok. Es ido kerdese, hogy a szakma is. Az elso ketto szerintem ugyanolyan veszelyes, csak az elsorol meg nem derult ki, hogy atlagos esetben meg a masodiknal is veszelyesebb.

-Randomgeneralt jelszo keepass adatbazisban az otthoni gepemen. (ott kell a legtobbszor)
-Ez szinkronizalodik (ssh+rsync) a telefonomra (meg backup ugyanigy a gepre).
-Laptopra sshfs-sel fel szoktam mountolni az otthoni gepemet meg a telefonomat, ha azon kell valamelyik jelszo.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Ez igy secure, de leginkabb azert, mert kevesen hasznaljatok igy.

Ellenben ezt egy atlagusernek az eletben nem rakod ossze. Neki kell a "goNb a klaudban" hozza.

Én azt választottam, hogy keepass, és syncthing-el syncelem. Évek óta teljesen jól működik. :)
--
"Sose a gép a hülye."

Hogyan "derül ki"?

Azon kívül, hogy az ember elmondja, vagy felírja egy elölhagyott cetlire?

Keylogger?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Akár.

Bár ha a saját laptopomra valaki keyloggert tud tenni, akkor kb. már úgyis mindegy, mert a fájljaimhoz is hozzáfért.
És ha valaki annyira meg akarja szerezni a jelszavaimat, hogy feltörné a laptopomat, hogy keyloggert telepítsen, akkor akár vehetne 5$-ért egy csavarkulcsot is.

Esetleg egy megfelelo optikaju kameraval felvenni, amint eppen beirod valahova?

Most eloszor is ulj le, mert ez a felelet 1-es.

Aztan gondold at, hogy minek a feltoresere van nagyobb esely: egy egyetlen helyen (lastpass) hasznalt jelszo, tobbfaktoros auth-tal megspekelve vagy pedig egy nyakra-faszra hasznalt, ilyen-olyan webshopok plaintext adatbazisaban tarolt, sima HTTP-n atkuldott jelszonak?

Ha megvan a valasz, akkor mar bizonyara az is vilagos, hogy pontosan kinek is kene itt az arcabol visszavenni.
Addig pedig varjuk szeretettel a forrasmegjeloleseket tomeges lastpass/1password/keepass adatbazis toresekkel kapcsolatban.

baszhatod a 2fa-adat, ha bugos a progi/web, es valami miatt kileakeli a jelszavakat, mindenfele auth nelkul.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez igaz. Egy szoval sem mondtam, hogy feltorhetetlen vagy nem lehet benne hiba. Csak azt, hogy meg igy is nagysagrendekkel jobb modszer, mint tobb helyen ugyanazt a (megjegyezheto) jelszot hasznalni.

Amugy ha jol tudom, mar volt tobb biztonsagi incidens is a LastPass-nal, a jelszavakhoz megsem sikerult hozzaferni, szoval valamit azert megiscsak jol csinalnak.

"Addig pedig varjuk szeretettel a forrasmegjeloleseket tomeges lastpass/1password/keepass adatbazis toresekkel kapcsolatban."

Sajnos nem tudok idogepet venni, amivel a jovobe ugrok kicsit, de hidd el nekem, hogy lesz ilyen. Csak ido kerdese. Es addig a napig volt igazatok.

Jo, meglatjuk.

> tomeges mesterjelszo leak

Hogy mi?

Par honapja gondoltad volna, hogy a Facebooknal vannak plain textben tarolt jelszavak?

Es ha nem mesterjelszo, hanem az osszes tobbi, ami nem is lehet hashelve, mert "vissza kell adni tizedmasodpercek alatt" - az leakel? Igen, pont az a jelszo, amit egy script konnyen tomegesen elolvas, te meg buszke voltal ra, hogy meg te se tudtad volna oket megjegyezni, plane, hogy mind teljesen kulonbozo volt.

A lastpass kliens oldalon dekodolja a jelszavaidat a mesterjelszoval (es meg nemtudommilyen PKI kulccsal) tizedmasodpercek alatt js koddal. Hajbazer P3-asan, Win XP alatt is.

Ja, hogy fogalmad sincs a jelszokezelokrol, vilagos.

Attól, hogy valamit nem értesz, még nem biztos, hogy őrültség.

--

nTOMasz
"The hardest thing in this world is to live in it!"

Ez önmagában persze igaz, de nem látom, hogy ezúttal mi az, amit nem értek.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

OpenID

Amelyik oldalra ilyennel nem lehet regisztrálni, arra nem megyek.
Egy jelszó mindenhova, mégis biztonságos.

Csak azért írom, mert kifiguráztátok ezt a választ, meg állítólag trollkodás is, de bizony nem az.
És semmivel sem rosszabb, mint a Keepass meg a többi marhaság.

Persze, ha valaki úgy érti, hogy tényleg minden oldalra külön regisztrál és ugyanazt a jelszót használja, akkor azt nagyon rosszul teszi.

TROLL ON
U.i.: az OpenID-s lehetőség hiánya sajnos a hup.hu számára is hiányosságként róható fel.
TROLL OFF
Na, így kell trollkodni. :)

--

nTOMasz
"The hardest thing in this world is to live in it!"

Erre nem is gondoltam, ez tényleg valid megközelítés.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Már bocs, de ez volt az egyetlen trollkodható válasz. Ezt _kellett_ választani.

Keepass legeneralja - ha kerem, megjegyzi, semmi okom, hogy azonos legyen weboldalak kozt.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

+1 (vagyis nem keepass hanem pass, de a lenyeg ugyan az).
Illetve lehet van meg egy par oldal, ahova igy kb 5 eve leptem be utoljara, ha ott meg meg van az accountom, akkor ott azert lehet hogy kevesbe biztonsagos jelszo van.


I hate myself, because I'm not open-source.

A jelszo feltorhetetlen: Budakeszi
https://youtu.be/h1RzUMP1mgA 14:53-

:D

Idézet:
Egy jelszavam van, mindenhová azzal lépek be.

t4rt0sb3k3

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

lol

Erre szavaztam: *A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

De az igazság az, hogy sok kevésbé fontos weboldalhoz is minőségi jelszavam van, a régen választott ismétlődő/generált jelszavakat időnként lecserélem jó jelszóra, ha valamiért épp arra járok. (főleg az ismétlődőket - talán nincs is már olyan).

Asszem ide vág: https://xkcd.com/936/

Jó lenne ha a túlbuzgó rendszergazdák meg weboldalak is megértenék.
(Nem mellesleg fontos dolgokhoz smartcard kellene, nem jelszó).

Hosszú ideig ugyanazt a jelszót használtam a tét nélküli lapokra (fb, linkedin, stb).

Elkezdtem KeePass-t használni, a fontosabb oldalakon már lecseréltem azóta. Egyedi (de kitalálható) emailt használok minden oldalon, ez elég hasznos tud lenni.

Egyéb, ugyanis egy ilyen kérdésre nem válaszolok.

> Sol omnibus lucet.

Egyéb: minden, jelszót igénylő eszközhöz, szolgáltatáshoz vagy weboldalhoz egyedi, generált, erős jelszót használok.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Egyéb, leírom lehetőséget választottam. Van egy gmail-es fiókom, aminek legalább 20 hosszú jelszava van kis-, nagybetű, szám, metakarakter kombóval. Ebben van egy keepass file, aminek hasonlóan bonyolult jelszava van. A többi oldalra pedig generáltatok a keepass-szal egy 16 hosszú jelszavat, általában kis-, nagybetű, szám kombóval, mivel volt már pár oldal, ahol beleszaladtam abba, hogy metakaraktert raktam a jelszóba, aztán meg nem tudtam belépni, mert utólag közölte az oldal, hogy tiltott karaktert tartalmaz a jelszavam. Ebből a legemlékezetesebb eset a Mass Effect online része volt, ezért meg kellett változtatnom az Origines jelszavamat.

Én is keepassolok, de nem használok public cloudot, hanem onpremes sajátot (Nextcloud).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Androidon is esetleg? Régebben nehézkesen működött az, ha androidon módosult a .kdbx és azt kellett felszinkronizálni a nextcloud szerverre. Ez 1-2 éve volt, azóta nem tudom változott-e esetleg a helyzet.

Androidon is nextcloud kliensből nézem meg. Ez azt jelenti, hogy fizikailag nincs a telefonon. Amikor elindítod a nextcloud klienst, megböngészed benne a mappákat, majd ráböksz a kdbx fájlra, akkor temp folderbe tölti csak le, amit elég hamar letakarít. Onnan csak nézegetni szoktam, frissíteni csak laptopról.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Érdekes választási lehetőségek :D

Mi az hogy "nehezen/könnyen visszafejthető" ???
kitalálhatóra gondoltál?

mert ha bármi másra (pl bruteforce), akkor az leginkább nem a jelszavadon múlik, hanem az alkalmazáson ami bekéri, ellenőrzi...

a kevésbé fontosakhoz ismétlődő / generált jelszavam van
És itt a generált az rossz??
vagy a szoláltatás által "generált" és neked megküldött-re gondolt a költő??

+ szerintem a "minőségi" jelszó is igen tág fogalom... :)

vagy csak én nem értem miről is szól ez? :o

--
zrubi.hu

"Egy komplexebb megfelelo hash-elesi algoritmussal tarolt jelszo erosseget az hatarozza meg, hogy hany percig kell teged utni, verni es kinozni, hogy elaruld."

George Orwell

Én úgy értelmeztem, hogy a generált az, hogy valami minta alapján ő (te, én) generálja fejben.

Pl. PassHUP123 a hup-ra, PassOTP123 az OTP-hez, PassGmail123 a Gmail-hez. Szóval ha valaki meglátja két weboldalhoz használt jelszavadat, akkor a minta alapján tudják (vagy nagyon kevés próbálkozásból lehet kitalálni), hogy mi lesz a harmadik oldalon a jelszavad.

Igen, ennek nem tudom, hogy mi a hivatalos elnevezése. Látszólag különböző jelszavakról van szó, de igazából mind ugyanaz.

A legtöbb gagyi webhelyhez ugyanaz a jelszavam, ahol fontosabb adatok vannak, oda egy másik komolyabb. Ezeken a helyeken szinte mindig van többlépcsős azonosítás, így teljesen mind1, hogy tudják e a jelszavamat.

Alapvetően van 5 még WPA2-höz generált jelszavam, azok már beleégtek az agyamba, kicsit erősítettem rajtük és nagyrészt azokat használom.
Fontosabb oldalakhoz pedig 2FA is bevan lőve. Na de persze vannak random oldalak ahová még a felhasználót se tudom csak a Chrome-ba van lementve mert 1x valamikor kellett onnan valami aztán talán még majd kellhet még valami de max évente 1x lövöm fel és semmi adatot nem tartok rajtuk.


return signResponse.getSignForUser("zeletrik").map(SignResolvable::getSign).orElse(StringUtils.EMPTY);

Mas tema: sokan irjatok a cloud-os lastpass/offline keepass/saját cloudban tarolt keepass db-t a jelszavak tarolasara.

Nade, mivel jobb egy online lastpass mint a google password store-ja?
(tfh. mindkettőben megbizunk)

Vagy epp mivel jobb egy lastpass mint a többi online password tarolasra hasznalhato alternatíva?

Én a LastPass-t hardware kulccsal használom. Egyébként azért választottam, mert amikor volt issue, elismerték és javították. Nem volt sunnyogás. Azóta a LogMeIn megvette, úgyhogy külön öröm, hogy magyar cégnek fizetek éves díjat.

Egyébként a céges jelszavamat és a privát email jelszavamat fejben tárolom, így 3 mester jelszót kell megjegyeznem (LastPass a 3-ik), ezeket viszont praktikusan nem változtatom és van hozzájuk MFA is. MFA egyébként mindenhol van, ahol kicsit is értékes adatot tárolok (ebből szomorú módon egyedül a https://smugmug.com a kivétel, de 6 havonta nyitok rá ticket-et).
--
https://naszta.hu

Én offline keepass -olok (kdbx file a local fájlrendszeren), ami nextcloudos sync-ben van, de a nextcloudot én üzemeltetem.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene