a PIN kódok helyett talán célszerû lenne egy állandó, utánozhatatlan "jelszót" alkalmazni. nevezetesen az ujjlenyomatra gondolok. ennek célszerûségét, azt hiszem nem kell ecsetelni. egy komoly bökkenõ van. az ujjnyomat beolvasók magas ára, valamint fizikai terjedelme. pedig milyen kényelmes lenne, ha csak megérintenénk az érzékelõt, és máris mûködne minden.Rad.
phisingel is mit érsz el, hogyha minden tranzakcióhoz sms-ben kapott számot kell bepötyögni megerõsítésnek? sms visszaigazolás nélkül nem mertem volna netes tranzakciókat intézni..
Ez így van. A fizikai elhárításban sokkal jobban bízom, mint az elektronikusban ill az adatmegõrzés is biztosabb fizikailag (noteszben), mint egy flash memóriában v vinyón esetleg DVDn. Egy mobiltelóban, csak ott, nem tárolnék semmi nagyon fontos adatot!
Azért meglep hogy még senki (fõleg a cikkíró) nem hozta szóba a Roboformot. Minden formhoz véletlenszerû kódot generál, és mindenhova egy klikkre beléptet. Még a keylogger sem tudja így ellopni a jelszódat. Persze nem árt mellé ha van anti-virus, tûzfal, meg van eszed a biztonsághoz.
mi a gond azzal ha felírom a jelszavam egy papírra? fogom szépen, összehajtogatom, keresek valami utolsó kacatos dobozt, vagy használaton kívüli iratos mappát, és beleteszem. ha véletlenül elfelejteném a pw-t, akkor is tudom hogy hova írtam fel, és nem valószínû hogy illetéktelen kezekbe kerülne. egyébként ügyfélkapunál is rendesen biztosítva van a dolog, ha jól emlékszem legalább 8 karakter, amibõl legalább 1 nagybetû és 2 szám
Nekem volt még egy nem is Sony-Ericsson, hanem csak szimplán Ericsson, abban is volt ilyen kódgeneráló.Nem sok hasznát véltem, de mindenképpen biztonságosabb egy notesznél, amit az ember a bankkártyája mellett hord.
Egy véletlen jelszavakkal feltöltött adatbázis egyik sora:
Hát aki elég naív annak simán fel lehet "törni" a jelszavát program nélkül ez a cikkben is le van írva.
OTP-nél pl. kell számlaszám, ügyfél azonosító, meg minimum 8 karakter hosszú jelszó. 3 próbálkozás után 24 óráig nem lehet belépni, nagyobb összegeket pedig csak akkor lehet utalni, ha az SMS értesítés be van kapcsolva. Általában nem is ezekkel van a baj, hanem a phishing mailekkel, meg a balga ügyfelekkel, akik a mailben kapott linkre gondolkodás nélkül ráböknek, és már írja is befele a bankszámlája adatait.
Jó, de tegyük fel, hogy õ nagyon ügyes, és képes volt megszerezni a jelszavakat tároló adatbázist, vagy annak egy részletét :) Szóval van neki n darab login neve, meg n darab MD5 kulcsa :) Ekkor az 1. és a 3. pont kiesik, a 2. -ban lévõ idõtartam pedig csökken. De még így is eltarthat egy jó ideig :)
"az elsõ értelmes jelszómenedzsert a Sony Ericsson T610 telefonjában leltem meg anno" Hát az aztán q..nagyon értelmes! Ha Te megbízol a SE memóriájában akkor egészségedre, én inkább maradok a kisnotesznél.. ;)
Milyen jelszó "feltörése" okozhat igazán gondot? Elsõ helyre én a netbankos azonosító/jelszó illetéktelen kezekbe kerülését tenném.
Vannak megoldások, melyeket a bankok használnak, hogy ne tudjanak könnyen megkárosítani.
1. sikeres/sikertelen belépésnél SMS-t küld (ezt asszem a CIB csinálja) 2. bármilyen pénzes tranzakciónál egy SMS-t küld egy kóddal, amivel meg kell erõsíteni az átutalást. Ez a kód 15 perc múlva lejár. (Erste módszer, de csak a lakossági netbanknál :O. Náluk már a belépés is trükkös, mert két azonosítót és egy jelszót kell megadni)
nagyon szép elmélet, hogy mennyi idõ feltörni 6 karaktert. csakhogy: - A jelszavak általában távoli gépre kellenek. - Általában ezek úgy vannak beállítva, hogy: - Nem próbálkozhatsz gyakrabban, mint 5-10 másodperc. - 3-10 hibás próba után kitiltanak egy idõre.
Szerintem biztonsági szempontból a legjobb, ha a tároló csak a használat ideje alatt van a gépben, máskor meg elzárva ésvagy a zsebemben.
Elõbbire a kivehetõ fiók, utóbbira a pendrive a legegyszerûbb megoldás. A páncélt meg próbálja valaki feltörni.
Szerintem legalabb annyira veszelyes az "ottfelejtett" bongeszo este is. Pl: user nezi a freemail.hu -t. elolvasta a leveleit, elmegy a www.kedvencpornooldalam.hu -ra, megnezi, aztan elolvassa a hireket pl a zindekszen. Felall es elmegy, gondolvan az indexen ugysincs semmi titkos. Kovetkezo ember jon, beirja, hogy freemail.hu es nahat...
Jah, és akkor még ezekbõl egyesével generálj egy MD5 hash-t, aztán hasonlísd össze azzal, amit éppen törni akarsz. Mert a jelszavakat illik valami nem visszafejthetõ algoritmussal lekódolni, és nem csak egyszerû szövegként letárolni... Úgyhogy az az ezer lehet, hogy lesz százezer is. Ordó jelölést meg inkább a futási idõ nagyságrendjének jellemzéséhez szokás használni, az input függvényében. Konstans idõ alatt nem igazán szokás jelszót törni.
Erre szokott válasz lenni a biometrikus :P. Azt nem hagyod el, vagy ha igen akkor nagyobb bajod is lesz annál mint hogy nem tudod használni a kulcsod...
Viszont hw kulcs az internet-korszakban elég macerás. Volt bank, amelyik hw-kulcsos netbankos klienssel nyitott, de elég nagy volt az ellenállás irányába. (Mindenhova hurcolnod kell, ahonnan használni akarod, miért nem megy linux alól (valami kártyaolvasó-kütyü volt), stb-stb.) Így a hw-kulcsot leginkább helyi azonosításra szoktak használni (mint pl. beléptetõ-rendszerek...)
Én az ex-barátnõm email-címének a jelszavát "találtam ki". Elõször csak poénból csináltam, aztán 1-2 gyanús levélbõl rájöttem, hogy nem is annyira rendes, mint addig gondoltam:).
Azért van annak is ideje, mig a jelszó feldolgozása megtörténik (ráadásul nemárt ismerni a usernevet is, ha olyan loginról van szó)
Legyen összesen max. 100 alfanumerikus karakter. 6 karakteres pw, az 100^6 féle pw. 100^6=(10^2)^6=10^12. Egy mai mid-range--low-end gép 1GHz-es azaz ~10^9 mûvelet/s. 10^12/10^9=10^3. Tehát O(1000) sec alatt lehet törni, egy 6 karakteres pw-t.
miért nem hardware kulcsot használunk, nem értem. Ez a jelszó dolog biztonsági szempontból egy vicc. Elvileg sem oké, nem hogy a gyakorlatban.
Amíg nem megy a biometria, addig is csak egy egyszerû kulcs kéne.. fizikai.
A jelszavakat legtöbbször nem feltörni/végigpróbálgatni szokás. Ha eltekintük a Social Hacking-tõl (ld. Gizike, az xy rendszergazda vagyok, egy tesztet kéne futtatnom, kérem mondja már meg a fõnökúr jelszavõt, ott van a monitorjára kicetlizve.) akkor a legegyszerûbb módja a programhibák kiaknázása. Ugyanis a jelszó a memóriában tutira ott van, ha meg ki is swap-eli winyóra, akkor jó esetben ott is marad egy ideig a nyoma...
Semmi, pár száz év alatt elévülnek a jelszavak is. Ugyanis valószínû nem egy 6 karaktere csak kisbetûkbõl vagy számokból álló jelszóval kódolja le az adatbázist, hanem mondjuk egy 12-16 hosszúval, azt meg törhetik évtizedekig. Igaz ha sikerül, akkor egybõl egy raklapnyi jelszó pottyan az ölükbe, csak addigra már szart se érnek vele...
Nekem már a tököm ki volt, hogy annyi jelszót meg kell jegyeznem. Letöltöttem egy ingyenes jelszótároló progit, amiben szépen el van tárolva minden. Ennek az adatbázisa titkosítva van, hozzáférni pedig jelszóval lehet. Hát nem egyszerûbb csak egy jelszót megjegyezni? (persze azt az adatbázist célszerû több helyen is tárolni )
van ismerõsöm, akinek ellopták pár profilját (email, iwiw, stb) sok kellemetlenséget okoz még ha nem is bankszámla.
Nem bizony. "E8sßä+" <-- Ilyen jelszó, nagyon nem másodpercek kérdése!!!!
"Egyik reggel felébredve arra eszméltem, hogy elfelejtettem minden jelszavam."
Aztán eszembe jutott hogy az összes jelszó fel van írva, amit gondosan elraktam ilyen esetekre. Aludtam is tovább mivel tegnap jó beté..rugtunk a haverokkal
"Egy hat karakteres jelszó feltörése a mai számítógépekkel másodpercek kérdése" hát nem tudom, de szerintem ez azért nem ilyen egyszerû.
Oké, akkor azért azt is tegyük hozzá, hogy a cikkben hipotetikusan emlegetett középkorú vidéki bácsika valószínûtlen, hogy gigászi tranzakciókat intézne a neten, vagy esetleg életbevágó információkat közölne bárkivel is. Mondjuk naponta ír két e-mailt a szomszéd faluban lakó palibácsinak utána meg keres mókás videókat a neten esetleg szexoldalt néz. Ehhez tényleg nem kell atombiztos jelszó, mert ha urambocsá' esetleg valaki feltöri na bumm...
"fõleg hogy folyton jövök-megyek és sokszor idegen gépekrõl jelentkezem be e-mailt nézni, vagy chatelni. "
Idegen géprõl csak végszükség esetén jelentkezem be bárhova, az ördög, meg a keylog sohasem alszik. Ha mégis muszáj, akkor amint hozzáférek a saját gépemhez, az eddig használt jelszavam azonnal megváltoztatom.