ugyan már. vannak olyan oldalak, ahol köteleznek, hogy legalább 8 karakter legyen, számmal, nagy betûvel, ennyi a megoldás. Nem kell ez a nyûgös szär...
Ezt hsz-t nem igazán értem.MD5-ben semmit sem lehet ún. "tárolni". Az egy 128 bites hash azonosítót generál bizonyos fileméret korlátig garantáltan egyedit minden file-ra. De egyébként is mindegy, hogy a szerveren miben , avagy milyen formátumban van eltárolva a jelszó, amíg neked a kliens oldalon kell begépelni, begépeltetni egy programmal, és rendszerint a plain/text formátumban érkezék meg tompa puffanással a szerverre.
Igen, lehet, hogy a brute force-ot lehetetlenné teszi, de az is biztos, hogy a userek nagyobbik részének szintén problémát okozna. Arról már nem is beszélve, ha valakit szívatni akarsz, ennél jobb lehetõség nem is kell. Képzelj el egy helyzetet, hogy ilyen rendszer van mondjuk a Facebook-on. Utálsz valakit? Írsz egy scriptet, ami fél óránként megpróbál belépni az e-mail címével és abcd1234 jelszóval. Ha ez a rendszer elterjedne, azonnal megjelennének az ilyen scriptek.
Tényleg laikus módon kérdezem: ha md5ben van tárolva a jelszó akkor az azonos hasheket más karakterkombinációkból is elõállít nem? Szóval ha nem is sokban befolyásolja a 308 milliót de valamivel kéne neki.
Szóval a userekrõl: a user 2db jelszót is képtelen megjegyezni! Tisztelet a kivételenek, de 10-bõl 1 aki nem ilyen. A userekn túlnyomó többsége a saját nevét sem képes megjegyezni rendesen. Saját tapasztalatból tudom. Elözõ heti esete: profile tíltás 3 rossz jelszó miatt. A jelszó a user neve v. a user neve + egy szám. Erre mit csinált az agyatlan: terészetesen a rosszal próbálkozott 3x mondván a jelszó tuti jó, csak a gép lehet a hülye. Hát a másik volt a jó. Amíg a userek átlagosan ezen a szinten állnak addíg felesleges mindefajta bonyolúlt jelszót védelmet beállítani.
A kedvenc dalból generált jelszó: nem rossz :) de tényleg. De ezt egy user nem fogja megjegyezni. Miért? MErt az idiótának több kedvenc száma is van, és akkor most melyik szám hol is van beállítva? A userek soha nem fognak qurvahosszú bonyolúlt karakter sort választani. A userek 90%-nak az asztalán(!) megtalálható a jelszó, nem felirva, hanem maga a tárgy aminek a neve a jelszó. (tudom mirõl besézlek, mert ugye nem mindenki születik báránynak... ;) Szóval amíg ember lesz addíg õ lesz a leggyengébb láncszem a rendszerben.
BruteForce: 3 próbla és tíltás végleg, keresd fel az sysopot. Ennyi. Nálunk az i i5 így mûködik. 3 hiba és sanyi a profile-nak. Lehet engem basztatni, hogy mi van...
Törések: ha nagyon progira akarom vinni a dolgot, akkor olyan szitut is teremthetek, hogy a user maga fogja a jelszavát elárúlni nekem... 10-bõl legalább 5 meg fogja adni gondolkodás nélkûl ha kellõen határozottan adom elõ, hogy én vagyok a 4-rõl a sysop. (holott nem is) BruteForce a leghamarább kibuktatható támadási forma, ui. eléggé erõsen terheli a szever oldalt.
Csapták: jelen esetben úgy állunk, hogy a csaptákat egy soztver hamarább megfejti mint az ember... Ez biztos is. Meg az is, amit lejebb írtak már, Kína/India 5cent per évért töri a kódokat. Ennyi.
Biometrikus azonosítok, csapta helyet... De ez sem jó, mert ha nem akarom az illetõ szemét kioperálni, akkor megint csak az adatbázis felöli részét kell törnöm és ott megváltoztatni az illetõ biometrikus adatait az enyémre. ÉS máris az én szemem lesz az övé :)) és beléptem...
Meddõ harc, golyó vs páncél effekt...
Igen, és akkor felébredtél és bilibe lógott a fejed..
Akkor most leszel szíves elosztani a 300 milliót sok tízezerrel.. és elgondolkodni azon, hogy a Hajóska féle lúzerek 6 betûs jelszavai végett , vajon megéri-e dollármilliárdokból , pénzt, idõt és fáradtságot nem kímélve százezres botnet hálózatot kiépíteni, üzemeltetni, az amúgy egy laza csuklómozdulattal, és egy kapcsával az ügy végére pontot is tevõ megoldások mellett..
Kedves gyerekek. Valaki itt nagyon nincsen képben vagy a brút forsz töréssel kapcsolatban, vagy matematikában, de úgy összességében a számítástechnikában. Vagy a cikk írója, vagy a nagyon nagy fejû biztonsái "szakértõk". SZámolgassunk akkor most egy kicsit!
Adott egy oldal, pl. hogy ne menjünk messze itt az SG.hu, ahogy engedélyezett szinte bármilyen jelszó. Adott egy 6 karakteres jelszó, amelyrõl persze még azt sem tudjuk hogy 6 karakteres, de teszem azt ezt adjuk meg korlátnak a brútforsz programnak. Adott, hogy a lúzer, nem használ se punktuációs karaktert, se nagybetût, se számot, csak a latin abc kibetuit, de még így is, van összesen
26^6-on számú = 308 915 776 , azaz 308 millió lehetõség , ha nem számítjuk hozzá az 5 , a 4, a 3 , a 2 és az 1 betûs jelszavakat sem. Offline brútforsznál, ahogy azt az alábbi hozzászólásomban kitaglaltam, a másodpercenkénti 2200 jelszavas próbálkozásnál, amelyet egy közepes erõsségû gép közepes videókártyája produkál, ez nem sok. De online, ahol még az egy jelszó per másodpercnek is örülsz , ez maga az örökkévalóság... de legalábbis úgy 10 év, és akkor hol beszéltünk még arról, hogy lehet szám, NAGYBETÛ, punktuációs karakter, vagy nem latin ÁBÉCÉS kárákter is a kódban, vagy netán hosszabb , vagy pl. hogy még a szótár töréssel se lehessen nekiesni, mondjuk az a jelszó hogy MÁLCSIK976
Én fognám ezt az egész kézi bejelentkezõsdid/reCapcha õrületet komplett lecserélném és a böngészõre bíznám hogy oldja meg a háttérben ha kommentelni szeretnék valahol.
Maximum egyszer kelljen megadnom az identitásomat a böngészõprofilomnak amikor nekiülök, aztán az generáljon felõlem minden egyes potenciálisan megnyitott oldalnak akár 1000 karakteres kódot amivel belép. Ne nekem kelljen már az ilyen évek óta automatizálható módszerekkel manuálisan vacakolnom.
Esetleg még arra is lehetne opciót adni a felhasználónak, hogy egy felhõszolgáltatásba kelljen csak feljelentkeznie, ami aztán tárolja és intézi szintúgy automatikusan a regisztrálásokat/bejelentkezéseket az oldalakra netezés közben.
(mondjuk friss, a felhasználó által még nem bizonyítottan biztonságos oldalnál kérhet elõtte egy konfirmációt a júzertõl, hogy be e szeretne reggelni a friss oldalra profiljával.)
Felhasználó nem szívna a hírportálokon/blogokon/fórumokon/közösségi oldalakon. Az okos adatlopó meg eddig és ezután is ki fogja tudni játszani a buta felhasználót, ha az feltelepít mindenféle keyloggert a gépére, vagy becsalja egy scam/fishing oldalra. Egyszerûen észnél kell lenni, mint ahogy az élet többi részében is, és akkor igen kicsi az esély hogy problémába keveredjünk.
"A captchákat nem tudom mennyire könnyen fejtik meg a bûnözük, de hogy a tisztességes felhasználók igen nehezen az egészen biztos."
Keressetek rá Google-n, hogy "antirecaptcha". Meglepõ eredményeket fogtok kapni.
"Ráadásul sok esetben nem is a biztonság növelése a céljuk, hanem a netetõk ingyen munkaerejének a kihasználása."
A képkeresõnél nem ugyanez volt? Volt az a hülye játék a Google-nak, aztán a sok birka meg ingyen dolgozott nekik építeni a birodalmukat. Ettõl még az "éhbérért" dolgozó indiai és kínai captchatörõ munkaerõ is jobban keres.
"Persze vezethetnek egy noteszt is a jelszavaikról, de az sem egy kimondott biztonságos megoldás."
Miért is?
Amúgy én beültetném ilyen captcha fejtõ munkára legalább fél évre a köcsög EU biztosokat és utána mindjárt átértékelné mindegyik, hogy a spamerek ellen bármennyire is liberális eszméket vallanak, de hatékonyabb a golyó és az élve megnyúzás fõmûsoridõben horrorrajongók számára, mint a captcha.
Eddig is használtak captcha-t, most nem értem, ez miért újdonság.
Ha meg a site úgy van megírva, hogy nem bír el egy bruteforce-al, hát akkor, sajnálom azt a szerencsétlent, aki rendelt egy oldalt, nem ért hozzá, és kapott egy silány szemetet.
Capchanak a kurva anyját! Egyrészt, rohadul morcos leszek ha egy belépéshez 3 captchan kell átrágni magam, mert sok idõ.
Másrészt a kapcsás szopáshoz nem kell színtévesztõnek sem lenni, mert néha olyanokat generál, hogy az olvashatatlan. Van olyan fasz oldal aminél még a nagy és kis betû is számít, de olyan betûtípusa van, hogy a nagy és kisbetû között csak a méret a különbség (a méretet meg szintén szokták változtatni amúgy is a botok megzavarására, tehát nem lehet tudni hogy tényleg nagy betû-e vagy csak kinagyította. Na meg a recaptchánál fordul elõ gyakran, hogy tökéletesen begépeled, 100%-os bizonyossággal, és kiírja hogy rossz a kód... Nyomorék idióták, a brute force-ot azzal lehet kivédeni hogy x próba után vagy letilt, vagy capcházik, de nem alapból!
A verseny a buta felhasználó és az okos bûnözõ között zajlik. Szegény informatikusok meg próbálnak a buta usernek segíteni a gyõzelemben, kicsit reménytelenül. Mert mi van, ha a buta user annyira buta, hogy a segítséget sem érti meg, sõt, azt hiszi, hogy azzal õt szivatják az informatikusok? Miközben még azt sem hiszik el, hogy részt vesznek a versenyben.
Nem feltétlenül. Évek óta bevett módszer, hogy jelszavakat a következõképp kreálunk: 1. fogod a kedvenc versed/dalszöveged/idézeted egy sorát. pl.: "I can get no satisfaction" 2. kiveszed belõle a szóközöket, "Icangetnosatisfaction" 3. a magánhangzókat számokra cseréled, i=1, e=3, a=4 vagy 6, o=0. "1c6ng3tn0s4t1sf4ct10n" 4. szavak elejét nagybetûsíted, és jé, máris van egy könnyen megjegyezhetõ, mégis atombiztos jelszavad... "1C6nG3tN0S4t1sf4ct10n"
Miért is nem megoldás? Az összes nagygépes rendszer ezt használja. Normál esetben nincs hatása, a brute force lefutási idejét meg 100 évrõl 30000-re tolja ki...
Egyrészt ahogy Mcsiv is megmondta, a Google, a Yahoo már évek óta használ Kapcsát az X-edik hibás bejelentkezés után, másfelõl pedig a gyenge jelszót baromi egyszerûen ki lehetne védeni azzal, hogy az oldal tkp. NEM ENGEDÉLYEZ ún. gyenge jelszót, különbözõ jelszó szabályok szerint, amelyek a teljesség igénye nélkül a következõk lehetnek:
- a jelszó nem tartalmazhatja a felhasználónévben szereplõ Y hosszúságú karaktersorozatot, - a jelszónak minimum Z karakter hosszúságúnak kell lennie, - a jelszónak tartalmaznia kell minimum egy NAGYbetût és/vagy egy sz4m0t és/vagy egy punktuáció$ karaktert
ezenkívül pedig a felhasználók szivatása helyett maga az oldal motorja ellenõrzi le szerver oldalon, hogy nem történik-e gyanús jelszópróbálkozás pl. N jelszó kipróbálása után ellenõrzi, hogy egyáltalán ugyanarról az IP címrõl történt-e a jelszó beírása (mondjuk egy globál-IP összehasonlítás alapján, enyhénszólva is gyanús ha az elsõ európai próbálkozás után, már kínai IP címrõl próbál valaki bejutni, majd újabb fél perc múlva egy dél-amerikai IP címrõl) majd ezután szépen szünetelteti a belépés lehetõségét K percig.
Harmadrészt a brútforsz nagyon jól mûködik lokális , egy adott fájl-ra vonatkozó törésnél, ahol a fájl mérete , a jelszó nagysága és a gép(ek) teljesítményén kívül SEMMI MÁS nem befolyásolja a törés idõtartamát, nem úgy mint az online brútforsznál, holmi internetkapcsolati sebesség, a szolgáltató szervereinek a válaszideje IS befolyásolja a próbálkozások közötti eltelt idõtartamot ami CSILLIÁRD évekre nyújtja az amúgy is BRUTÁLHOSSZÚ idõtartamot egy erõsre kényszerített jelszó esetén...
"Az is jó megoldás, hogy minden emailt egy új postafiókba is elküldi a levelezõ. Mert ha fel is törik az eredeti levelezõt, akkor is gyorsan meg tudjuk változtatni a legfontosabb közösségi oldalak email címeit."
Kivéve azét, amiért feltörték a postafiókját, szóval ez nem jó megoldás.
A feltörõ idõ elõnyben van. Õ azonnal tudja használni a feltört postafiókot, amint feltörte és így meg tudja változtatni a szükséges jelszavakat.
Mire a jogos tulajdonos egyáltalán észreveszi, már elkésett.
Megoldás nincsen, a támadás védekezés macska egér játéka addig tart, amíg ember él.
Nem biztos, hogy az emberek többségének megérné, hogy olyan jelszavakat használjanak az interneten, amit maguk sem bírnak megjegyezni.
Sõt, egész biztos, hogy nem éri meg.
Aki - helyesen - félti a személyes adatait, fényképeit az ne pakolja fel õket "közösségi oldalakra"!
Mert onnantól az hamar közkinccsé válhat, ami után már semmit nem tehet.
Minden bejelentkezésnél captcha? Elõbb kötöm fel magam. Ráadásul a kínai/indiai biorobotok fillérekért írják be a captcha kódokat.
Nem buta a user.
Azért használ egyszerû jelszavakat, mert azok a praktikusak, megjegyezhetõek.
Azok az "okos" felhasználók, akik minden weboldalon más foH4gU6?s3Kef féle jelszót adnak meg, hamar rájönnek, hogy jól megszívatták magukat, amikor a következõ alkalommal is be szeretnének lépni és leszoknak a megjegyezhetetlen jelszavak tömeges használatáról.
Persze vezethetnek egy noteszt is a jelszavaikról, de az sem egy kimondott biztonságos megoldás.
Azért elég vicces, hogy a XXI. században még nem tudják azonosítani az embereket, amikor minden ember minden biológiai tulajdonsága egyedi, és csupán fél percig érvényes jelszót elõállítani sem ördöngösség.
Itt megint a pénzrõl van szó. A biztonság elég kevés cégnek ér meg annyit, hogy sokat költsenek rá. Webes tartalom szolgáltatónak végül is tök mindegy ki a felhasználója, elmúlt-e 18 éves vagy sem stb. Miért is akarná olyan nagyon feltétlenül azonosítani? Joga sincs hozzá.
Úgyhogy maradnak ezek az olcsó captcha féle nem megoldások.
Egyetértek a kritikusokkal, a captcha rajongókkal pedig nem. A captchákat nem tudom mennyire könnyen fejtik meg a bûnözük, de hogy a tisztességes felhasználók igen nehezen az egészen biztos.
Ráadásul sok esetben nem is a biztonság növelése a céljuk, hanem a netetõk ingyen munkaerejének a kihasználása.
Bedigitalizálnak könyveket, majd a szavakat kettesével kiadják captchának. A netetõk lefordítják a képet szövegre ingyen és máris kész a képbõl a szöveg.
A 2 szót kérõ captchák mind ilyenek. A két szóból csak az egyik a valódi ellenõrzés, a másik csupán az ingyenmunka. De a felhasználó persze nem tudhatja, hogy melyik, sõt ezt a módszert sem ismeri. Ezért van az, hogy a két szavas captcháknál sokszor akkor is elfogadja a megfejtést, amikor az rossz volt.
Szerintem a megoldás nem ez a sok captchás hülyeség lenne, hanem valami USB portra csatlakoztatható fizikai hardver, amolyan digitális személyi igazolvány, ami percenként egy új kódot generál ÉS jelszó.
Így minden ember egyértelmûen azonosítani tudná magát a saját eszközével és az anonim, rossz szándékú netezés visszaszorulhatna.
Igazából kezd vicces lenni, hogy a XXI. században a választásokat még papír alapon, szavazófülkékben tartják egy halom választási bizottsággal.
E megoldás természetes az életkor szûrését is megoldaná. Ne bemondásra menne ki hány éves.
No persze a nagy testvér figyel téged világtól félõk, meg a személyes adatokért aggódók aggasztónak találhatnák a megoldást, bár az emberek nagy része félelem nélkül pakolja fel a személyes adatait, fényképeit a netre.
Persze tökéletes rendszer nincsen, de valahogy nem érzem, hogy ezek a captchák az én érdekemet szolgálnák, amikor internetezek. Inkább csak idegesítésnek jók, meg az ingyen munkaerõ kihasználására.
Vannak jó megoldások. Például van ahol kérdéseket tesznek fel, hogy milyen nap van, mi a Magyarország fõvárosa stb. Van ahol oda is írják, hogy kis betûvel kell írni. A lényeg, hogy mindenki által ismert információkra kérdez egyértelmû és egy megoldással rendelkezzen. Van Chapta, ahol meg is lehet hallgatni a megfejtést. Úgyhogy ennyit a vakokról. Nem jó az, hogy az elején nincs chapta, mert ha egy nevet, email címet és jelszót kérõ regisztrációs ûrlappal szerzik meg az adatokat, akkor simán vissza tudnak élni vele. Mint ahogy MSN esetén is van. Tényleg sokan mindenhol ugyanazt a nevet, emailcímet és jelszót használnak, ezért az elsõ próbálkozásra is be lehet jutni egy másik oldalra ezekkel az adatokkal. De ha rögtön azt is be kéne írni például, hogy mi Magyarország fõvárosa, akkor úgy elfogadható és csak az tud bejutni, aki robotok nélkül manuálisan akar belépni. Mert õ látja ezt a plussz könnyen megfejthetõ kérdést. Egyedül az email fiók belépéséhez szükséges jelszó legyen más, mert ezzel új jelszót kérhetünk. De az olyan helyen is érdemes másik jelszót használni, ahol az email cím megváltoztatását nem kell külön emailben is megerõsíteni. Az is jó megoldás, hogy minden emailt egy új postafiókba is elküldi a levelezõ. Mert ha fel is törik az eredeti levelezõt, akkor is gyorsan meg tudjuk változtatni a legfontosabb közösségi oldalak email címeit. Kivéve ha nem õ kattint elsõnek az email cím megváltoztatáshoz szükséges megerõsítõ linket vagy a levelek továbbítását nem veszí észre azonnal és kapcsolja le.
"3. sikertelen próbálkozás után kitilt a rendszer fél órára, és kész."
Ez nem megoldás. Ha kerülendõ lenne, akkor nem használná senki, ehhez képest volt pár epic hack, ahol brute force-ot is használtak.
Ennek az egésznek azért nincs értelme, mert, ha a program, ami a brute force-ot csinálja átjut az elsõ CAPTCHA-n, akkor a másodikon is át fog.
Ez a cikk úgy ahogy van baromság. A Brute force mindig is kerülendõ megoldás volt, mivel pofonegyszerrû védekezni ellene: a 3. sikertelen próbálkozás után kitilt a rendszer fél órára, és kész.
vakokról és gyengénlátókról nem is szólva...
Emlékeim szerint a CAPTCHA-ra eddig kétféle automatizált emberi megoldást olvastam. Az egyiket egy indiai cég kínálta: órabérben fejtenek CAPTCHÁ-kat megrendelésre. 2 USD-ért 1000-et, sok emberrel. A másik, még ennél is olcsóbb megoldás: pornósite oldalaiba illesztették be egy másik site CAPTCHáit, amit a látogatók fejtenek meg és a site továbbítja eredeti helyére. Ez is természetesen megrendelésre.
Igen, ez a jó megoldás, nem az, hogy már az elsõ bejelentkezésnél captcha-val szívassák a felhasználót.
Valószínûleg egy sg fórum belépéshez tök felesleges captcha, de pl személyes adatokat tartalmazó közösségi oldalakhoz, web-es emailhez, paypal szerû oldalakhoz nem árt. Ha már a buta user egyszerû jelszavakat használ, legyen valami védelem brute force ellen.
nem akarom szegény kutatókat megbántani, de a google-nél 2005-ben láttam elsõnek, hogy 3 helytelen jelszó után elkezdett captchat is kérni, hogy nem-e bf megoldással estem-e a fióknak.
Miért is színtévesztõként, néhány chaptat egyszerûen nem látok, akkor most mi van kivagyok zárva csak azért mert nem látok jól? Nem a chapta kéne hogy a legfontosabb legyen, a másik meg minek 20 webhelyhez 20 jelszó, amikor a negyrészük semmi igazi információval nem rendelkezik rólam. Csak a fontosabbak paypal moeybooker ilyesmik kapnak nálam külön jelszót, a többi megy egy egyenjelszóval, engem nem érdekel ha feltörik az sg-s fórumjelszavam.
ha ezeken az oldalakon még egy motornak is futnia kell ami a spammeket szûri akkor majd azt veszed észre hogy az oldal hosszú másodpercekig fog tölteni mire megjelenik. Mellesleg tökéletes spam szûrõt lehetetlen írni.
Ha meg lusta vagy a CAPTCHA kitöltésére akkor ne netezzé!!!
Számomra ez teljesen érthetetlen álláspont. Ebbõl látszik, hogy a felhasználók a saját jelszavaik terén is mennyire lusták és felelõtlenek. Nem véletlen, hogy a többségnél egy jelszó van 15 helyre.
ha minden bejelentkezéshez reCapcha-t akarnak integrálni mindenhova, én mondom leszokok az összes szolgáltatásról és visszatérek a lokális megoldásokra.
Már az is éppen idegesítõ amikor a regisztrálásoknál/letöltéseknél kérik, de az egyiket legjobb esetben csak 1x kell végigrágni, másikra meg van alternatíva, mint pl a torrent. Fene akarja a szabadidejének, netán a melójának a harmadát azzal tölteni, hogy guborodik a kiadott hieroglifák elõtt és hunyoríva próbálja kiolvasni, majd bepötyögni (és még akkor is megesik hogy visszadob, mert valamit nem "úgy" láttál ahogy õ elképzelte).
100x inkább legyen spamáradat fórumokon, emailekben amit szûr/töröl egy motor a háttérben. Viszont ettõl a reCaptha-tól nincs sok kiemelkedõen idegesítõbb modern fejlesztés...