Hirdetés
Hirdetés
Talpon vagyunk, köszönjük a sok biztatást! Ha segíteni szeretnél, boldogan ajánljuk Előfizetéseinket!
Új hozzászólás Aktív témák
-
LordX
veterán
Mi van? Ezt gondold át, mert se füle, se farka. Értelemszerűen nem a generált jelszavakat lehet szótárral feltörni, hanem a user által megadottakat.
Na, de a titkosított adatnál a védelmet kifejlesztő egyén mindig hagy (legalább) egy backdoort.
Ez, már elnézést, de úgy hülyeség ahogy van. AES-128 publikus algoritmus, aminek nem egy opensource implementációja van. Mutass egy darab backdoort. A Firefox Sync működik azzal a rókával is, amit magadnak fordítasz forrásból. Mutass egy darab backdoort benne. Ezért jó az opensource, mert ellenőrizni tudod, mi van ott.
Értem én ha valaki szereti biztonságban tudni a dolgait, de ne képzelj be olyanokat, ami ellenőrizhetően nem igaz. És ne keverjük az implementációs hibát a direkt berakott backdoor-al.
-
Pixa
aktív tag
Az esetek többségében elhangzik, hogy számok, kis- és nagybetűk valamint speciális karakterek váltakozása illetve XY darab karakter az erős/jó jelszó.
Ezt ugye enyhén pofán veri az, hogy szótárban, karaktertáblában szereplő dolgokat jelszófejtőkkel fel lehet törni. Ekkor már ugye értelemszerűen jön az az ominózus mondat, hogy a titkosítás miatt...Na, de a titkosított adatnál a védelmet kifejlesztő egyén mindig hagy (legalább) egy backdoort. Tehát olyan védelem, titkosítás sosem lesz ami ténylegesen megvédi az embert.
S itt beszélhetünk zero day jellegű userrel vagy haladó felhasználóról!
Amiről nem tudunk az nem fáj szokták mondani. Ki tudja hányszor törtek már fel dolgokat úgy, hogy arról az ember semmit sem tudott...
-
LordX
veterán
Azért lássuk be, mindenképp jobb védelmet ad a program által generált jelszó, mint amit a user megad (hogy aztán szótárral "pikkpakk" fel lehessen törni). Az említett hibát meg már ezer éve kijavították. (Persze van másik, de azt is ki fogják - a usert már nehezebb patchelni.)
-
Pont a Netscape-ben (aminek vegulis a Firefox az utodja) volt pl. egy olyan hiba, hogy az SSL kapcsolatokhoz a kulcsot a gettimeofday() alapjan generalta, amit igy eleg egyszeru volt bruteforce-olni (meg ott a debianos sshd kulcsgeneralasi bugja) - szoval az, hogy a bongeszo generalja, onmagaban meg nem feltetlenul jelent vedelmet.
-
-
persil
nagyúr
Ez csak akkor lenne lehetséges az írás szerint, ha:
- 7 milliárd ember élne a földön
- mindenkinek lenne a bolygón fejenként 10 számítógépe
- ezek a számítógépek egyenként le tudnának tesztelni 1 milliárd kombinációt másodpercenként
- és átlagosan a lehetőségek 50%-át elég lenne letesztelni
-
Ha monjduk a jelszo 123456, akkor azert eleg gyorsan megy am a dolog
Meg akkor is, ha valami malware beszerzi a jelszot, pl. A titkositasoknal altalaban maga az algoritmus a legkevesbe lenyeges, nem azon fog megbukni a dolog, hanem a millionyi egyeb hibalehetoseg valamelyiken. -
Ribi
nagyúr
Régen volt a hekkelés a pusztítás öröméért, manapság inkább csak az adatszerzés és azokkal való visszaélés a cél. Emiatt is fontosabb egyre az adatbiztonság. Régen letörölték az adataid, morcos voltál. Most ellopják az adataidat, visszaélnek vele, megkárosítanak téged és mást is. Elsőnél csak bosszúságot okoztak, most viszont már anyagilag is megkárosítanak.
-
Pixa
aktív tag
-
"ez mennyire biztonságos....?"
Amennyire a Google biztonsagos.
Az valoszinu, hogy a konyvjelzoket meg egyebeket adatbanyassza a Google a hirdetesek celzasahoz (meg talan a keresohoz is), a jelszavakat magatol valoszinuleg nem adja ki, de ettol meg unatkozo rendszergazdak, szerencses hakkerek meg termeszetesen az USA kormanyhivatalai siman hozzaferhetnek.En a magam reszerol masok online cuccaira nem biznek semmit.
-
Pixa
aktív tag
Egy makulátlan elme örök ragyogása...
Vársz egy céges e-mailt, viszont hazafelé odacsukod az ujjad egy ajtóhoz. Na, máris elmarad a gépelés sebessége. De ugyanez a szitu ínhüvelygyulladásnál is...
Persze az ötletedből kiindulva énekelni is lehetne, mondván a hang alapján azonosítson. Csak hát ez nem a Voice! -
Ribi
nagyúr
Gépelés ritmusával?
Ha fáradt vagyok, vagy épp eszem és 1 kézzel gépelek akkor nem enged be? Kösz nem.
Plusz a token lényege még mindig az, hogy bárhol tudd használni és key logger ellen védve legyen.
Bár a MITB ellen talán a token sem véd.
Amire pedig a secure browsert találták ki Viszed a pendrive+smartcard egybe kulcsot és oda dugod ahova ... szóval oda. -
Ribi
nagyúr
Ohh, kicsit régen néztem, hogy mit is tud, meg én más oldalról találkoztam ezzel, de ahogy látom már ők is kihoztak OTP appot telefonra.
Én még arra gondoltam, hogy egy saját szervertől kérdezi le az OTP helyességét.
De azóta ők is fejlesztettek.Enszuke Gmail hova küldje az emailt, ha pont hozzájuk akarsz bejelentkezni
-
-
#103
Ribi
nagyúr
Hisztogram
#98
Ribi
nagyúr
válasz
Hisztogram
#98
üzenetére
Elnézést, igazad van.
Csak annyi baromságot olvasok itt a fórumon, hogy mire a végére jutottam pont neked szóltam be
"guriga1234" pl igencsak összekeveri a sima jelszó tárolást és a fentebb említett tanúsítvány alapú azonosítást.
Viszonylag sokat tudok ezekről, én is használom weboldalak jelszavának mentésére és tanúsítvány is kell bizonyos oldalak eléréséhez. Emiatt nagyon kiütközik ha valaki "nem helytálló" dolgot ír.Lehet kellene már írni egy cikket erről a PHn, mert nagyon sok a tévhit és nagy a homály ezen a téren.
Google ezen a téren támogatja a One Time Passwordöt is, csak ez macerás mert kell egy autentikáló szerver ami egyszerű usernek nincs
-
#102
Intelligencs
őstag
HummeRC
#8
Valószínűleg a titkos kulcs - publikus kulcs elvén működő megoldásra gondol a Google. Ilyen elven működik például az elektronikus aláírás (tanúsítvány), vagy a PGP. Ebből lehetetlen kinyerni a titkos kulcsot, legalábbis még nem hallottam róla, hogy bárkinek is sikerült volna.
A módszer sajátossága, hogy egyértelműen azonosítja a felhasználót. A kulcsot általában tokenen vagy csipkártyán tárolják, amelyet PIN kód véd.
-
#101
dabadab
titán
KevinMulder
#95
válasz
KevinMulder
#95
üzenetére
Megpontosabban: mindket fel hasznalt ceruzat (bar az, ahogy mondtad, eleg problemas), az urtollat nem a NASA, hanem egy feltalalo fejlesztette ki, nem dollarmilliokert, aztan a NASA meg a Roszkoszmosz is vett belole (szinten nem dollarmilliokert).
Volt már linkelve a topicban, de nem lehet elégszer: 
Új hozzászólás Aktív témák
- XFX RX-69XTATBD9 Xfx Radeon RX 6900 XT 16 GB GDDR6 videókártya csere Rtx 4070Ti
- AKCIÓ!!! GAMER PC: RYZEN 5 4500-5600X +RX 9060XT/9070/9070XT +16-64GB DDR4! GAR/SZÁMLA!!!
- AKCIÓ!!! DDR5 GAMER PC: RYZEN 5 8400F/9600X +RX 9060XT/9070/9070XT +16-64GB DDR5! GAR/SZÁMLA!!!
- Asus X299 TUF / Beszámítás OK!
- AKCIÓ!!! GAMER PC: RYZEN 7 5700/5800X +RX 9060XT/9070/9070XT +16-64GB DDR4! GAR/SZÁMLA!!!
- Telefon felvásárlás!! Samsung Galaxy S21/Samsung Galaxy S21+/Samsung Galaxy S21 Ultra
- LG 65BX - 65" OLED - 4K 120Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDMI 2.1 - PS5 és Xbox Ready!
- 122 - Lenovo Legion Pro 5 (16ARX8) - AMD Ryzen 7 7745HX, RTX 4070 - 4 év garancia
- Tablet felvásárlás! Samsung Galaxy Tab S10+, Samsung Galaxy Tab S10 Ultra, Samsung Galaxy Tab S10 FE
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
Állásajánlatok
Cég: FOTC
Város: Budapest