Prody Parrot miért maradt ki?
Többé-kevésbé ő is idetartozik, azt hiszem.
Egyébként a chatbot és az AI azért nincsenek olyan szoros kapcsolatban, attól tartok. Egy IRC bot nem igazán intelligens pl. ;)
Alexáról nem is beszélve. :D
@különvélemény: Szerintem senki nem akasztaná fel magát ha szólna neki a levelező, hogy "több hibás próbálkozás miatt 5mp szünet után tudsz újra próbálkozni kivéve ha beirod a kedvenc kisállatod nevét amit a regisztrációkor megadtál mert akkor azonnal. "
De publikus szolgáltatásnál, mint pl. fórum, email, chat, discord, akármi, nem is tudsz korlátot tenni login névre, mert azonnal kitiltatnak minden nevet és használhatatlan lesz a szolgáltatásod.
Ott max az működik, ha érvénytelen login névre tiltasz, de annak sincs sok értelme.
@eßemfaßom meg áll:
Egyszerre megy általában mindegyik, tehát 1 user max 3x mondjuk óránként, 1 IP max 3x mondjuk szintén óránként. Egyéni beállítás kérdése.
De ezek adatbázisból dolgoznak, leggyakoribb login nevek, leggyakoribb jelszavakkal párosítva, tehát váltogatja az algoritmus folyamatosan, figyelve, hogy ne kapja meg ugyanaz a célpont túl sűrűn ugyanazt az IP-t, vagy login nevet. Mivel milliónyi van, így ez nem probléma.
Ezek manapság csak azért futnak, mert szinte ingyen van, és így is van találat.
@steery:
Megy a direkt 24/7, de mint az elsőben is írtam, már leszokóban vannak róla, pont a bannolások miatt.
De csak azért, mert sok helyről sokan jelentkeznek be, profiltól függően nem tiltogathatsz sejtésekre alapozva.
Persze lehet regionálisan tiltani, vagy bizonyos országokból, ha megteheted, mert mondjuk belföldre szánod csak a szolgáltatást. De mindig egyensúlyozni kell az ügyfélélmény és a biztonság között. Ha jó a jelszó policy, akkor úgy sem jutnak be, kit érdekel.
Szinte mindenkitől loptak már adatot, nincs 100%-os védelem, itt egy gyors keresés utáni első lista találat guglin, van ott mindenki, face, twitter, linkedin, adobe, ebay: www.upguard.com/blog/biggest-data-breaches
@különvélemény: A direkt brute force szerintem nem működhet, mert a megtámadott gép észleli, hogy különböző című gépekről, a világ különböző részeiről próbál valaki bejelentkezni ugyanoda, mindig háromszor hibásan próbálkozva. Ezt azért illene felismerni és kivédeni. Mert ott még nem tartunk, hogy a felhasználók ilyen star trekes transzporterrel átugráljanak a világ egyik részéből a másikba és különböző számítógépekről akarjanak bejelentkezni a fiókjukba. Amit ráadásul, egyes szolgáltatók már akadályoznak is, eléggé bosszantó módon. Mivel így nem lehet hozzáférni a rendszerhez egy másik gépről, ami egy agyrém.
Az indirekt brute force meg csak akkor működik, ha ki tudják lopni az adatbázist, mert a rendszer annyira nyitott és védtelen, hogy ez lehetséges.
@steery:
Szinte minden login így működik, vagy egyszerűen lockol, de nem így megy a direkt brute force.
Legenerálják az adatcsomagot és szétküldik hármasával milliónyi zombigépnek és eszköznek, amik proxy-ként működnek, így mindegyik csak max 3-at küld el a támadott oldalra, utána egy másik oldalt támad újabb adatokkal. Nincs ott megnyitva az oldal, csak az adatcsomag jön-megy egy vagy több irányító gépről, ami elemzi a válasz csomagot.
Az indirekt brute force meg lopott jelszó hash-en megy lokálisan, ahogy CoolKoon írta.
Magyarul kilopják az adatbázist, majd a generált jelszó hash-ét összehasonlítják az adatbázisban lévőkkel, ha stimmel, akkor az adott azonosítóhoz megvan a jelszól.
Itt egy jelszó kétféle hash-e, csak hogy érthetőbb legyen, általában e kettő valamelyikét használják, mert ugye a plaintext jelszót nem kell feltörni.
Plaintext: P@ssw0rd123
MD5: ccf5538dc31d435d6bab145c924041d8
SHA1: 0f0d959bca569bf2b0a8bff3e2f1e88920ee7c5f
@steery: "Mondjuk a felhasználó 5x egymás után írhatja be hibásan a jelszavát, utána nem próbálkozhat tovább, helyette várnia kell mondjuk 1 napot?" - Személy szerint utálom mint a bűnt, és ezért tartom a HP webes felületét egy nagy marék fosnak.
"Ezzel szerintetek ki lehetne zárni a jelszófeltörő programok próbálkozásait?" - A jelszófeltörő programokat általában adatlopás során összegyűjtött, kódolt jelszavak feltörésére használják.
Az ostoba felhasználónak meg kell hagyni a lehetőséget, hogy ostoba legyen. A többfaktoros azonosítással csak rabolják az emberek idejét, talán kivétel a bankolás, ahol "ennyit megér" a biztonság, az nem kell egyfolytában.
Az pedig végképp érhtetetlen, hogy mi a reteknek a túlzott komplexitás... egyszerű matek, +1 karakter több nagyságrenddel nehezebben fejthető meg, mint pl. speciális karaktereket megkövetelni...
Hibás jelszóbeírás esetén meg nagyon régen bevált módszer, hogy az első hiba "ingyen" van, és utána minden további hiba hibaszám*10mp pihenő, 5 hiba után fél óra pihenő... aztán játszhatnak a szótárakkal is, semmire nem mennek vele.
Mi a véleményetek arról a megoldásról, hogy a jelszó bevitelnél korlátozzuk a hibás jelszó megadásának lehetőségét? Mondjuk a felhasználó 5x egymás után írhatja be hibásan a jelszavát, utána nem próbálkozhat tovább, helyette várnia kell mondjuk 1 napot? Ami után újra megpróbálhatja 5x? És minden próbálkozás közt el kell telnie mondjuk minimum 10 másodpercnek? Amennyi reálisan kell a kézzel történő begépeléshez? Ezzel szerintetek ki lehetne zárni a jelszófeltörő programok próbálkozásait? Ez mennyit javítana a biztonságon?
A kétfaktoros azonosításhoz nagyon jók a pl. YubiKey-kulcsok. Mindazonáltal a sima jelszavas megoldás is jó, ha ésszel használjuk, pl. a Firefox által generált véletlenkarakter-sorozatokat és azokat a böngésző saját megoldásán kívül egy külső jelszókezelő program segítségével tároljuk (több helyen is!).
Banki körlevél a 2010-es évekből:
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó jelszót egy rendszerhiba miatt illetéktelen kezekbe került, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük allítson be egy új jelszót.
Banki körlevél a 2030-as évekből:
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó biometrikus adatok egy rendszerhiba miatt illetéktelen kezekbe kerültek, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük fáradjon be egy plasztikai sebészetre ujjlenyomatainak, arcának átszabására majd egy szemészeti klinikára íriszének átrajzolására majd ezek után fiókunkba az új hozzáférés beállításáért.
@Tesztelo.hu: "Más kérdés, hogy ki képes ilyen hosszú, véletlen karakterekkel teli jelszót megjegyezni, és azt évente cserélgetni, és azt is megjegyezni." - Természetesen senki, csak hát ezt az a sok agyament komplett idióta aki ezeket a marhaságokat kitalálja nem tudja és nem is akarja belátni.
@steery: "Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször." - Na pontosan ez az ami egy kolosszálisan nagy marhaság. Ugyanis ennek az égvilágon semmi értelme azon kívül hogy a monitorokra felragasztott, sárga jelszavas cetlik számát növelik csak. Az igazán jó jelszó hosszú, még ha kizárólag értelmes szavakból (legalább 3-4 szóból) is áll. A mindenfelé kötelező kétfaktoros azonosításnál pedig már csak a biometrikus azonosítás a nagyobb agyrém.
"
Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször. Plusz: adott időközönként (mondjuk évente 1x) jelszó frissítésre kéri a felhasználót
"
..ééés ezek a jelszavak lesznek felírva a monitorra ragasztott cetliken azonnal... (de láttam már filcel billetnyűzetre írt banki belépési adatokat is könyvelőnél.. de legalább bonyolult volt ám!)
@steery:
Az első pont okés, több helyen használják is, a hossz is rendben van.
A bonyolultság és a cserélgetés viszont hülyeség, többször cáfolták már, sőt kontraproduktív.
Egy hosszú mondat sokkal biztonságosabb, mint a "p@ssw0rd123".
Valamint a brute force egyre ritkább, gyakorlatilag csak adatszivárgáskor jelent problémát, de akkor le lehet cserélni automatikusan mindenkinél.
A biometrikusat tényleg nem kellene erőltetni. legjobb megoldás valami nyílt logikán alapuló az authentikátor 2FA-ra, mint a google authentikátor, vagy az authy,
@steery: Hidd el, a komolyabb rendszereknél van is ilyen. Más kérdés, hogy ki képes ilyen hosszú, véletlen karakterekkel teli jelszót megjegyezni, és azt évente cserélgetni, és azt is megjegyezni. És 50-100 helyre 50-100 ilyen jelszót... Ez egyszerűen lehetetlen.
Információs Technológia
IT BLOG
Utolsó kommentek:
Mesterséges Geci 2022.10.09. 10:20:35
Többé-kevésbé ő is idetartozik, azt hiszem.
Egyébként a chatbot és az AI azért nincsenek olyan szoros kapcsolatban, attól tartok. Egy IRC bot nem igazán intelligens pl. ;)
Alexáról nem is beszélve. :D
Bejegyzés: A chatbotok rövid története
eßemfaßom meg áll 2022.06.05. 08:46:33
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.06.02. 12:00:01
De publikus szolgáltatásnál, mint pl. fórum, email, chat, discord, akármi, nem is tudsz korlátot tenni login névre, mert azonnal kitiltatnak minden nevet és használhatatlan lesz a szolgáltatásod.
Ott max az működik, ha érvénytelen login névre tiltasz, de annak sincs sok értelme.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.06.02. 11:48:29
Egyszerre megy általában mindegyik, tehát 1 user max 3x mondjuk óránként, 1 IP max 3x mondjuk szintén óránként. Egyéni beállítás kérdése.
De ezek adatbázisból dolgoznak, leggyakoribb login nevek, leggyakoribb jelszavakkal párosítva, tehát váltogatja az algoritmus folyamatosan, figyelve, hogy ne kapja meg ugyanaz a célpont túl sűrűn ugyanazt az IP-t, vagy login nevet. Mivel milliónyi van, így ez nem probléma.
Ezek manapság csak azért futnak, mert szinte ingyen van, és így is van találat.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
eßemfaßom meg áll 2022.06.01. 19:51:11
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.06.01. 16:45:43
Megy a direkt 24/7, de mint az elsőben is írtam, már leszokóban vannak róla, pont a bannolások miatt.
De csak azért, mert sok helyről sokan jelentkeznek be, profiltól függően nem tiltogathatsz sejtésekre alapozva.
Persze lehet regionálisan tiltani, vagy bizonyos országokból, ha megteheted, mert mondjuk belföldre szánod csak a szolgáltatást. De mindig egyensúlyozni kell az ügyfélélmény és a biztonság között. Ha jó a jelszó policy, akkor úgy sem jutnak be, kit érdekel.
Szinte mindenkitől loptak már adatot, nincs 100%-os védelem, itt egy gyors keresés utáni első lista találat guglin, van ott mindenki, face, twitter, linkedin, adobe, ebay:
www.upguard.com/blog/biggest-data-breaches
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
steery 2022.06.01. 11:27:57
Az indirekt brute force meg csak akkor működik, ha ki tudják lopni az adatbázist, mert a rendszer annyira nyitott és védtelen, hogy ez lehetséges.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.06.01. 08:24:23
Szinte minden login így működik, vagy egyszerűen lockol, de nem így megy a direkt brute force.
Legenerálják az adatcsomagot és szétküldik hármasával milliónyi zombigépnek és eszköznek, amik proxy-ként működnek, így mindegyik csak max 3-at küld el a támadott oldalra, utána egy másik oldalt támad újabb adatokkal. Nincs ott megnyitva az oldal, csak az adatcsomag jön-megy egy vagy több irányító gépről, ami elemzi a válasz csomagot.
Az indirekt brute force meg lopott jelszó hash-en megy lokálisan, ahogy CoolKoon írta.
Magyarul kilopják az adatbázist, majd a generált jelszó hash-ét összehasonlítják az adatbázisban lévőkkel, ha stimmel, akkor az adott azonosítóhoz megvan a jelszól.
Itt egy jelszó kétféle hash-e, csak hogy érthetőbb legyen, általában e kettő valamelyikét használják, mert ugye a plaintext jelszót nem kell feltörni.
Plaintext: P@ssw0rd123
MD5: ccf5538dc31d435d6bab145c924041d8
SHA1: 0f0d959bca569bf2b0a8bff3e2f1e88920ee7c5f
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
CoolKoon 2022.05.31. 19:17:49
"Ezzel szerintetek ki lehetne zárni a jelszófeltörő programok próbálkozásait?" - A jelszófeltörő programokat általában adatlopás során összegyűjtött, kódolt jelszavak feltörésére használják.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
Mestermérnök 2022.05.31. 18:46:01
Az ostoba felhasználónak meg kell hagyni a lehetőséget, hogy ostoba legyen. A többfaktoros azonosítással csak rabolják az emberek idejét, talán kivétel a bankolás, ahol "ennyit megér" a biztonság, az nem kell egyfolytában.
Az pedig végképp érhtetetlen, hogy mi a reteknek a túlzott komplexitás... egyszerű matek, +1 karakter több nagyságrenddel nehezebben fejthető meg, mint pl. speciális karaktereket megkövetelni...
Hibás jelszóbeírás esetén meg nagyon régen bevált módszer, hogy az első hiba "ingyen" van, és utána minden további hiba hibaszám*10mp pihenő, 5 hiba után fél óra pihenő... aztán játszhatnak a szótárakkal is, semmire nem mennek vele.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
steery 2022.05.31. 18:20:26
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
Neo07 2022.05.31. 15:41:19
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
nick066 2022.05.31. 13:22:15
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó jelszót egy rendszerhiba miatt illetéktelen kezekbe került, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük allítson be egy új jelszót.
Banki körlevél a 2030-as évekből:
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó biometrikus adatok egy rendszerhiba miatt illetéktelen kezekbe kerültek, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük fáradjon be egy plasztikai sebészetre ujjlenyomatainak, arcának átszabására majd egy szemészeti klinikára íriszének átrajzolására majd ezek után fiókunkba az új hozzáférés beállításáért.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
CoolKoon 2022.05.31. 11:42:31
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
CoolKoon 2022.05.31. 11:28:14
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
CoolKoon 2022.05.31. 11:27:02
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
F.E.K. 2022.05.31. 08:13:27
Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször. Plusz: adott időközönként (mondjuk évente 1x) jelszó frissítésre kéri a felhasználót
"
..ééés ezek a jelszavak lesznek felírva a monitorra ragasztott cetliken azonnal... (de láttam már filcel billetnyűzetre írt banki belépési adatokat is könyvelőnél.. de legalább bonyolult volt ám!)
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.05.31. 05:09:47
Nem kell lecserélni a jelszót, az is fontos része a többfaktoros azonosításnak.
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
különvélemény 2022.05.31. 05:08:39
Az első pont okés, több helyen használják is, a hossz is rendben van.
A bonyolultság és a cserélgetés viszont hülyeség, többször cáfolták már, sőt kontraproduktív.
Egy hosszú mondat sokkal biztonságosabb, mint a "p@ssw0rd123".
Valamint a brute force egyre ritkább, gyakorlatilag csak adatszivárgáskor jelent problémát, de akkor le lehet cserélni automatikusan mindenkinél.
A biometrikusat tényleg nem kellene erőltetni. legjobb megoldás valami nyílt logikán alapuló az authentikátor 2FA-ra, mint a google authentikátor, vagy az authy,
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának
KékFény6 2022.05.31. 00:25:57
Bejegyzés: A kiberbiztonsági szakértő szerint vége a jelszavak korszakának