Hirdetés
- CES 2026: Teljesen szürreális lett az ASUS asztali gamer PC-je
- CES 2026: 1 kHz-es modell is akad az Acer idei monitorkínálatában
- CES 2026: Kojima segítségével tesz minden korábbi notebookot elavulttá az ASUS
- Két generációval korábbi GeForce gyártása indulhat újra
- Máris limitálja egy európai disztribútor a GeForce-ok szállítását
- Végleg lemondott a régi gépekről a Steam
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- A legrosszabb CPU-k – az ExtremeTech szerint
- NVIDIA GeForce RTX 5070 / 5070 Ti (GB205 / 203)
- Milyen egeret válasszak?
- Videós, mozgóképes topik
- Milyen TV-t vegyek?
- Multimédiás / PC-s hangfalszettek (2.0, 2.1, 5.1)
- Maduro szerint venezuelai gyerekek gyártják majd az NVIDIA chipjeit
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
Új hozzászólás Aktív témák
-
ArchElf
addikt
válasz
PhlashMan
#176
üzenetére
Élesen sarkítod a dolgokat... Akárhogy is szeretnéd a hackerek nem fogják neked feltörni az RC4 kódodat, mert a lo*@szt sem érdekli, mi van benne. Az RC4 sz@r, mert nem jó a disztribúciója - esetleg olvass utána és aztán sztárold. Nem 10-30 bájton rossz (bár az első néhány bájt erősen korrelál a kulccsal, ezért már ilyen felhasználásnál is módosított RC4 alkalmazása ajánlott), hanem nagy méretű felhasználásnál (GB-ok, TB-ok). Ezért nem szabad pl hálózati/lemez titkosításra használni. Amúgy szerinted miért törhető a WEP wifi titkosítás egy percen belül? Megsúgom, pont az RC4 használata miatt.
Másrészt szeretném felhívni a figyelmed, hogy ez egy szakmai fórum. Ha fröcsögni szeretnél - menj át az OFFTOPIC részbe (vagy csinálj saját logout oldalt és ott dühöngd ki magad), amíg a moderátorok ki nem raknak. Bár a legegyszerűbb az volna, ha ezt a stílust valahol máshol gyakorolnád - mondjuk otthon, lelked "csendességében"... Remélem nem a szomszédban laksz.
AE
-
PhlashMan
csendes tag
Cáfold meg inkább te magad ! Én csak a kész tényeket írtam le.
Nézzétek , nem hiszek én már a dajkamesékben, csak abban, amit tapasztalok, és azt tapasztalom, hogy lépten nyomon eleresztenek olyan hírfoszlányokat, amelyek azt sugallják, hogy a "felsőbb hatalom", "a cionista szabadkőműves páholyok", "a titkosszolgálatok" kezében már régesrégen vannak olyan eszközök mellyel úgy irányíthatnak bennünket GÓJokat, mint a marionettfigurákat, ahogy kedvük szottyan és bármit megtehetnek velünk bármikor. Most éppen állítólag a csúcs GPU-ikkal tudnak megfejteti "bármilyen" jelszót, ezért máris rettegnünk kell tőlük.
Szerintetek miért indult eljárás Phil Zimmermann ellen? Azért mert kanállal ette a mákostésztát, vagy talán azért mert létrehozott egy olyan titkosító eljárást, amelyet még a legnagyobb fejű és orrú cionisták se tudnak visszafejteni?
Vagy miért ilyesztegetik a jónépet azzal, hogy a Skype állítólag feltörhető ,pedig a hekkerek , akik állítólag feltörték, semmit nem reagálnak az általam beküldött RC4-es sorokra, hogy fejtsék mán nekem vissza ha olyan ügyesek..
Azért netán mert a régi verziót tényleg feltörték, vagy inkább azért, mert a régi verzióban még nem volt benne a cionista titkosszolgálatok trójai kémszoftvere, amit persze a zárt forráskód leple mögé dugva se bizonyítani de cáfolni sem lehet?
És ha a cikk még nem is sugallta volna ezt a cionista mozgalom fórumozó pribékjei biztosan rá tesznek még egy lapáttal, itt felettem néhány hozzászólásban, hogy rettegjen minden gój a mindent tudó , mindent feltörő, mindent uraló, mindenkit elnyomó cionista diktátoroktól , na és persze a százezres botnet hálózataiktól, amelyek természetesen a trójai távvezérlő rendszereikkel építettek ki...
-
-
Rive
veterán
Szép elméleti számitások.
Csak az a team meg ugye gyakorlatilag eresztett rá néhány GPU-t egy gyakorlatban használt jelszavakból álló mintára, és gyakorlatilag találta azt, amit.
Nem az számit, hogy egy erős jelszót mennyi idő alatt lehet feltörni: az számit, hogy mennyi idő alatt talál valaki egy könnyen feltörhetőt. Ebben a vonatkozásban pedig a fentebbi elméleti számitgatások semmit se jelentenek.
-
EmberXY
veterán
válasz
PhlashMan
#168
üzenetére
Hát ezeket a számításokat látva már az élettől is elmegy az ember kedve, nemhogy brute force-olgasson...
De azt se felejtsük el, hogy Chuck Norris elsőre kitalálja a kódot, ha mégsem, akkor megkérdezi tőled. Komolyra fordítva, akármennyi lehetőség jöhet is számításba, logikusan belegondolva minél nagyobb erőforrást szán rá valaki, annál valószínűbb, hogy sikerül a dolog, és a "nagy adag szerencse" is többszörös valószínűségű lesz, ha egy százezres botnetet is ráküldünk arra a nyamvadt kódra.
Gondolom, ezért is foglalkoznak a dologgal bizonyos cikkek egyre gyakrabban, mert biztos volt már olyan, akinek sikerült.. Körülnéznék én azért a CIA gépparkjában is (ha beengednének) . -
#170
PhlashMan
csendes tag
Paarthurnax
#169
PhlashMan
csendes tag
válasz
Paarthurnax
#169
üzenetére
botnetezzél csak ! hajrá ! mi meg majd olyan kódokat fogunk használni, hogy odahozhatod az egész galaktikus flottát is
és a top secret.rar-ba beleteszem majd neked a Micimackót egy nem több mint 9 betűs kóddal, hogy 70 éves korodban a 100ezres botnet hálózatoddal a hátad mögött üssön meg a guta.
-
PhlashMan
csendes tag
Hoppá most nézem elszámoltam magam.. száz milliárd helyett csak százmillióval osztottam, így 0.7 naponként lehet egy újabb 4 byte-os karakterlánccal próbálkozni... dehát aki ilyenekkel próbálkozik, kívánom neki tiszta szívből , hogy nagyobb öröme az életben soha ne legyen !
(ja és akkor még mindig annál a nyomorult kis 8 betűs, alfanumerikus kódnál tartunk, amit persze ki használ ma már ?? )
-
PhlashMan
csendes tag
Vagy nézzük a cikkben említett példát. Adott egy darab jelszóval védett file amit meg kéne krakkolnunk... legyen ez mondjuk .rar... legyünk kegyesek és valóban csak az alfanumerikus jelszavakat próbálgatjuk... ami ugye 95 karakter, viszont sajnos az a rosszhírem van, hogy a .rar/7z/uc stb... tömörített állomány esetén nem tudunk mindössze 4 byte-os karakterláncokra keresgélni, mint a truecryptnél, hanem mindig végig kell bontanunk :
1: szolid arhívum esetén az egész .rar-t
2: nem szolid arhívum esetén az egész file-tahhoz hogy a végén megkapjuk a CRC eredményét. Így tehát hiába van 2 teraflopsos procink ami 2 billió aritmetikai műveletet végez el másodpercenként (ez persze nem azt jelenti hogy ennyi kódot próbál ki) ekkor már a file mérete lesz az a tényező ami befolyásolja a másodpercenkénti próbálkozások számát. Nagyon kicsi állomány esetén ( 100-200 byte) újabb nagylelkűséggel kijelenthetjük, hogy másodpercenként maximum 100 milliárdra tehető a 2 teraflopos proci teljesítménye a kibontást illetően (ekkor mindössze kb. 20 aritmetikai műveletet adtunk egy kitörömítésre, ami elég karcsú, még egy szimple store(tárolás esetén is) de most legyünk megint nagylelkűek)
akkor mostmár minden adat adott , jöhet a számolás:
95^8 = 6 634 204 312 890 625 (6.6 billiárd)
/100 milliárd művelet/másodperc = 666 342 043
/3600 másodperc = 18428
/24 óra = 767 napami alig több mint 2 ÉV !
, viszont:- nem tudom érzitek-e a sok ráhagyást, jóindulatot az írásomban és ezek után el lehet gondolkodni, hogy egyáltalán megéri-e a modern titkosítások krakkolásán filozofálgatni...
-
PhlashMan
csendes tag
Rendben , akkor számolgassunk megint egy kicsit:
adott egy valamilyen kódolt állomány, amiről nem tudod, hogy milyen titkosítással van elkódolva és nem tudod, hogy mi van benne, de azért kiválasztasz belőle véletlenszerűen 4 byte-os karaktersorozatokat, (. j p g = 4 byte) és elkezded egyenként próbálgatni rajta brute force egy törő programot.
Mi történik ekkor?
Tegyük fel hogy másodpercenként 2 millió (!) szor vagy képes próbálkozni (persze ez adabszurd a mai legerősebb GPU-val, vagy szuperszámítógéppel is de, most tegyük fel)..
Akkor a fenti példában említett 8 karakteres jelszó törési idejét radikálisan le tudod csökkenteni mindössze 96 évre
HA tényleg megtaláltad a .jpg karaktersorozatot egy kódolt állományban (a tűt könnyebb megtalálni egy szénakazalban)
HA nincs mögötte újabb cipher,
HA valóban CSAK 8 karakteres a jelszó,
HA a megfelelő cipher-t krakkolod,
HA
HA
HA
-
x123456
aktív tag
válasz
PhlashMan
#163
üzenetére
Miért is? Egyik percben jelszófile-ok feltöréséről beszélünk, a következőben már lekódolt vinyótartalomról. Utóbbi esetben azért lehet sejteni a tartalmat, tehát ha pl. tudom, hogy egy windows file-rendszert akarok feltörni, akkor keresgélhetek pl. .jpg .exe .sys karaktersorokat.
Kicsi az esélye, hogy ezek megjelenjenek egy lekódolt állományban. (ex has példa! Nehogy ezekbe kezdj belekötni!
)
Ilyesmikről beszélek. -
-
PhlashMan
csendes tag
Ha tudnál írni olyan programok amely felismeri az "értelmesnek tűnő szó"-t akkor te lennél az AtyaúrIsten, de minimum az első ember a földgolyón aki valódi mesterséges intelligenciát hozott létre
" (feltételezve, hogy a kódolt anyagban van ilyesmi)"
Inkább most azt tételezzük fel, hogy a kiválasztott szakaszban nincs egy árva kanyi értelmesnek látszó szó sem, mert teszemazt egy büdös nagy avi állomány közepébe trafálsz (és még véletlenül sem pont a fejlécébe), vagy execompilerrel tömörített programba, vagy egy animált gifbe, vagy egy második cipherbe (AES+Serpent) vagy bármi másba de semmi képpen nem az "Anyám tyúkjába" ami ugye értelmes...
-
#161
orakulum20
csendes tag
orakulum20
csendes tag
elég furcsa elképzelés h a GPU miatt halnak majd ki
-
EmberXY
veterán
válasz
PhlashMan
#155
üzenetére
Igen, valóban arra gondoltam volna, hogy bár a tartalmát nem, de a tipusát, méretét, stb talán ismerjük, vagy meg tudjuk határozni egyes fájloknak..., de így már nincs több kérdésem.
Előbb-utóbb tökéletesíteni kell a kvantumprocesszort az ügy érdekében.
x123456: valóban ezt kérdeztem, de ő kifejtette, hogy a kódolt tartalomban semmilyen önálló egységre nem lehet következtetni, kvázi nem lehet felismerni, hogy milyen adat van egy adott helyen, így gondolom semmivel nem lehet összevetni. A nagy részét én sem értem, de a lényeget igen.
-
x123456
aktív tag
válasz
PhlashMan
#155
üzenetére
Amit te írtál, az nekem már sok(k)
amit EmberXY kéredezett, az mindössze annyi, hogy a brute force kulcsok próbálgatásából áll. Rápróbál egy kulcsot a titkosított állományra, majd megnézi, hogy az eredményben van-e értelmesnek tűnő szó (feltételezve, hogy a kódolt anyagban van ilyesmi). Ha nincs, akkor jöhet a következő kulcs, ha van, akkor esetleg megtalálta amit keresett. -
PhlashMan
csendes tag
Nem mellesleg pedig vannak azért módszerek arra hogy bizonyos filerendszerek inicializáló fejlécét megtaláljuk. (Jó eséllyel és jó nagy adag szerencsével)
Pl. egy titkosszolgálathoz kerül egy titkosított meghajtó, amely sokáig használta előtte ugyanazt a titkosítást, ilyenkor a meghajtó bizonyos részei jobban igénybe vannak véve a többinél (pl. a hiberfil.sys, a pagefile.sys helye) . Fizikai detektálással , többé-kevésbé fel lehet térképezni hogy hol helyezkedett el, vagy éppen hol nem helyezkedett el egy hiberfil.sys vagy egy ntldr . Tegyük fel hogy 100% pontossággal még meg is találják a titkosított verzióját, viszont ekkor még mindig nem tudják milyen cipherrel, vagy egymásra pakolt cipherekkel van elkódolva (pl. Blowfish+Serpent+AES, vagy AES+Blowfish+Serpent) és persze még mindig nem próbálgatták végig a 18 trillió lehetőséget cipherenként , 8 karakteres jelszó esetén.
-
PhlashMan
csendes tag
végül pedig a "pár ezer év"-re szeretnék reagálni... nagyon-nagy jóindulattal, ráhagyással, pirinyó állományok, rövid jelszavak , és brutálgyors SOKmagos számítógépHÁLÓZATOKat egybekötő törőhálózatok esetén lehet a mai technológiák mellett "csak" ezer évekről beszélni. A valóságban a mega-gigabyte-os állományok, truecrypt meghajtók, getszihosszú és getszibonyolult cipherje(i) , amelyek mellett tulajdonképpen már nem is lenne szükség igazán hosszú kódokat megadni. 8-10-12 karakter felett inkább csak kvadrillió évekről tudunk beszélni.
A többi pedig csak mese habbal.
-
PhlashMan
csendes tag
az összehasonlító szintaktikát arra értettem hogy kiválasztasz egy tetszőleges részt egy titkosított adathalmazból (maradjunk a truecryptes példánál) , amit persze azt sem tudod milyen titkosítással (vagy titkosításokkal) fúztek át, de te teszem azt elkezded "szimpla" AES-ként próbálgatni rajta a 8 betűs kódokat és egy összehasonlítótáblázatként megadsz egy jókora nagy adatbázist, mindenféle filetípúsok egységes fejlécével , HÁTHA beletrafálsz... így tudod növelni az esélyedet annyira , hogy már annyi legyen legalább mint Szálasinak a főtárgyaláson.
-
PhlashMan
csendes tag
nem értem a kérdést, így válaszolni sem tudok, de megpróbálom kitalálni mire gondolsz..
egy titkosított filerendszerben nnicsen mit megtalálni hiszen az egy értelmezhetetlen adathalmaz, nem tudod hogy hol kezdődik benne és micsoda kezdődik ott ahol nézed vagy éppen folytatódik-e... egyébként pedig a legtöbb korszerű titkosítás véletlenszerűen hozzácsap véletleszszerű hosszúságú adatot a titkosított verziókhoz és/vagy eleve nem ott kezdi el a file-t ahol annak elméletileg kezdődnie kéne, a truecryptben nem vagyok biztos, azt hiszem, hogy az csak annyit csinál, a winyók minél gyorsabb kihasználásának érdekében, hogy -viszonylalg nagy- szegmensekre bontja a titkosított particiót (rendszertitkosítás esetén) és a szegmenseket összekavarja mint egy pakli kártyát, persze a szegmensek méretét és elhelyezkedését sem lehet tudni. Így az olvasófej sem ugrál annyit szekvenciális olvasás esetén, viszont a külső töréséi mechanizmusok rendre kudarcot fognak vallani, pont azért amit mondtam: azt sem lehet tudni hogy az adott kiválasztott szakaszt eszik-e vagy isszák, hogy ott milyen file vagy attribútum helyezkedik el a wincseszteren. RAR esetében ab ovo kiesik az azonos méret, hiszen az egyik tömörített míg a másik kicsomagolt verzió, még ha ismersz egy file-t tiikosítatlanul a raron belül a kulcsot az alapján akkor sem tudod visszafejteni (ez eleve csak a nem szolid arhívumokra igaz).. Régebbi ZIPeknél volt az hogy elkövették azt a hibát, hogy ha ismertél egy titkosítva tömörített állományban egy file-t (pl. véletlenül beletömöríted az NTLDR-t) és a zipcracknek megadtad feedként, akkor az alapján egy másodpercen belül kilökte a bármekkora hosszúságú kódot, egy szimple összehasonlítással. AESnél és RARnél ez kiesik, mivel algoritmikusan titkosít a kulCCSAL amit megadsz, ellentétben a zippel, ahol a kulcs csupán egy kaput képez a fixkulcsos titkosítás előtt.
-
EmberXY
veterán
válasz
PhlashMan
#153
üzenetére
Hát ez esetben, ha kvázi azt sem tudjuk, hogy mit keresünk, akkor tényleg nem könnyű a dolog..
Emlitetted, hogy lehetne előre beállitott szintaktikát keresni esetleg, azt nem lehet úgy megoldani, hogy mondjuk átnézi a fájlrendszert, és ha legalább 2 megfelelő hosszúságú értelmes szót talál, akkor valószinű, hogy talált valamit?Nyilván ehhez is kéne pár ezer év, de a brute force megoldható, nem?
-
PhlashMan
csendes tag
Visszafejtésnél tehát a következő problémákba ütközünk:
1. eset:
van egy darab pl. truecryptel titkosított filerendszerünk, pl. 8 mb hosszúságú, amit vissza kéne fejteni, ráereszthetjük ugyan a brute force-t de az automata(brute force) azt sem fogja tudni, hogy mikor találta meg a jelszót, hiszen azt sem tudja mit kéne egyáltalán keresnie a kódolt állományon belül, lehet ugyan előre beállított szintaktikákat keresni benne, pl.: NTFS fejléc stb.. de nem garantált a siker ha pl. nem is NTFS filerendszerű a titkosított állományon belül felcsatolandó meghajtó. Így tehát az "összes lehetőség" (pl. beállítjuk 8 karakter hosszra , ~ 6-10 trillió lehetőség) végigpróbálgatása UTÁN SEM kapjuk meg tálcán a jelszót .2. eset:
adott egy titkosított RAR állományunk, amely ugye AES128-as cipherrel titkosít. RARnál annyival "könnyebb" a helyzet, hogy mindig tartalmaz egy CRC-t is ami legalább megmondja, hogy hibás volt-e vagy nem a kitömörítés. Szolid arhívum esetében azonban csak a teljes állomány végigbontása UTÁN kapjuk meg a CRC által kidobott eredményt : hiba (vagy siker) ezért nagy állományokat ( ~ >10mb) gyakorlatilag esélytelen bármilyen erősségű számítógép is hiszen másodpercenként jó hogyha egyszer kibontja az állományt nemhogy sokszor, amire igazán szükség volna a visszafejtéshez, mint egy falat kenyír...Fejlettebb titkosítások pedig, mint pl. a truecrypt pedig az ellen, hogy eleve egy fix kis állományt lehessen próbálgatni (pl. rendszerpartició titkosításánál a néhány byte röidségű NTFS inicializáló fejlécet) eleve eltolást, véletlen "sózást" (random pool, vagy salt) alkalmaz hogy ne lehessen a fix blokkokat kívülről megtalálni.
-
PhlashMan
csendes tag
Az MD5 az "csak" egy hash, ahol egy darab fix algoritmuson , ha úgy tetszik fix kulcson van keresztülfűzve az amit el akarsz kulcsolni. Ezzel szemben egy "rendes" szimmetrikus titkosítás arról szól, hogy van egy darab input adatot amihez még hozzáadsz egy kódot is, ami az algoritmus lesz amiVEL keresztül lesz kulcsolva az input adat...
MD5nél:
SZÖVEG x FIXMD5cipher"KULCS" = 1f2f514e3d5c5
RC4nél:
SZÖVEG x DINAMIKUSKULCS(ide csak azt nem írsz be amit nem akarsz x RC4cipher"KULCS" = FeD7V!%$0cTCh3
Így tehát a kapott végeredményt nem csak egy kulcsra , vagy csak az adatra, hanem a kulcsra ÉS az adatra kell visszafejtened, EZÉRT aztán teljesen más a helyzet.
-
EmberXY
veterán
válasz
PhlashMan
#149
üzenetére
Még szép, hogy a brute force-ról szól, a kérdés csak az, hogy milyen erőforrásokkal próbálgatunk..
A biztonságosnak tartott titkosítások esetében még a legmodernebb eszközökkel is több száz, több ezer évig tart jó esetben egy visszafejtés, de ez az idő nyilván folyamatosan csökken, hiszen a technológia is fejlődik, továbbá (pl az MD5 esetében) egyre nagyobb lesz az az adatbázis, ami a "lehetséges jelszavakat" kódolatlan és kódolt formában is tartalmazza.Így egy MD5 hash-t meg lehet benne keresni, és ha benne van, akkor megvan a jelszó (pl ezen az oldalon, az "egyszerűbb" szavakat már simán megtalálja, és gondolom folyamatosan bővül, csak a hash-t ne ezen az oldalon állíttasd elő, mert akkor nyilván automatikusan benne lesz, hanem egy másik oldalon, ha ki szeretnéd próbálni)..., egyéb eljárással nyilván nem lehetne visszafejteni.
Tehát nem lehetetlen feltörni egy titkosítást, csak esetenként sok időbe telik, de előbb-utóbb szerintem már nem fog sok gondot okozni - hisz nem túlzás arra gondolni, hogy pár száz év múlva már "kicsit jobb és gyorsabb" lesz a processzor-, de ezt mi már nem éljük meg..
-
-
PhlashMan
csendes tag
Az ilyen jellegű cikkeken mindig fogom a fejem és ütöm a falba
,nyilván AES-ről és mutációiról beszélünk, hiszen a cikk is a brute-forceról szól, és nem az egyéb algoritmusokról amelyek matematikai hiányosságokat vesznek alapul, mint pl. az aszimetrikus titkosításoknál fennáló faktorizációkat és prímszámokat.
Azzal meg senki se jöjjön elő, hogy "..de majd"..., "..."egyszer..." , "...talán.." "...figyeld csak ki..." mert "...addig álljatok csak féllábon és levegő nélkül !..."
amíg majd az AES-re is születik valami algoritmikus visszafejtő mechanizmus... addig is marad a brút forsz és a számok és a teljesítmények pedig önmagukért beszélnek:magyarán a BÉKA SEGGE ALATT SINCSENEK, és bárkinek bátran adok 8 betűs jelszóval kódolt (AES) anyagot , hogy bontogassa csak, ha nem hiszi...
Rémisztgetések ezek én mondom semmi több. És amíg nem látom a bizonyítékokat, nevezetesen, hogy valóban vissza is képesek fejteni , addig jöhet nekem bárki bármivel.
Vagy ott van a manapság sokak által lesajnált RC4 de én azt mondom, hogy az alábbi példasorokat senki a földön nem tudja máig az eredeti mondatra és a 8 betűs jelszóra visszafejteni, ha pedig bárki képes rá itt a lehetősége bebizonyítani:
I9a1t"kzTuosLckZpycWm3rL0kSFmx"44qtXWVdeYB0L9YSCRmVAKnKeO1ZI
uBQLbgzy4Lo -
#148
EmberXY
veterán
Nowhereman
#147
EmberXY
veterán
válasz
Nowhereman
#147
üzenetére
"Talán néhány ezer sikeresen elkapott jelszó után valami matekzseni esetleg már tud tippelni a következő jelszóra"
Azért egy randomgenerátorral még Einstein-nek is meggyűlne a baja...
Egyébként ott van még az ideiglenes ban lehetősége is x elrontott jelszó után, így már nehezebben terhelik túl a szervereket egy brute force támadással....
-
#147
Nowhereman
őstag
EmberXY
#145
Nowhereman
őstag
hja, csak gondold el, hogy milyen káoszt és kárt is lehet már azzal okozni, hogy valaki csak az immunreakcióra építve végigbrútolja egy nagyobb cég fiókjait. Szerintem az informatikus haragossal leghúzósabban így lehet kicseszni.
Különben meg helyből vannak olyan ugrójelszós beléptetők, ahol még a megszerzett jelszó az algoritmus ismerete nélkül se ér egy fabatkát se. Talán néhány ezer sikeresen elkapott jelszó után valami matekzseni esetleg már tud tippelni a következő jelszóra. Persze ezt ugye nem a mezei titkárnő színvonalával működtethető technika. -
#146
Nowhereman
őstag
ntomka
#128
Nowhereman
őstag
akkor megsúgom, mert a saját ragyogásodtól már semmit se látsz: két ok, ami miatt szánalmas, hogy amiatt rugjanak bele egy e-mail-szolgáltatóba, mert nem üthetik bele a kedvenc evangéliumokat jelszónak. Normális beléptető kapuban a 8 karakteres jelszó többet ér, mint valami hányavetin a 20.
-
EmberXY
veterán
A brute force-os dologgal kapcsolatban lehet(ne) védekezni a szerver oldalon is szerintem (biztos van, ahol meg is teszik), egy másik hasonló hírrel kapcsolatos topikban van egy hsz, ami nekem tetszik, speciel hogy x hibás próbálkozás után kapsz egy új jelszót, igy már gyakorlatilag 0 az esélye a feltörésnek (természetesen ha az új jelszót megfelelő csatornán juttatják el hozzád, és csak hozzád.....)
-
PMT
csendes tag
válasz
#06658560
#141
üzenetére
Röviden: nem.
Mivel a Captcha célja pont az, hogy emberi beavatkozásra kényszerít, ami szoftverrel nem helyettesíthető, nem automatizálható, ezért a brute force eleve kizárva.
De hálózaton így is, mire elküldesz valamit és megkapod a választ, eltelik annyi idő, hogy ne lehessen érdemben sok-sok próbálkozást végrehajtani, nem beszélve az olyan minimális biztonsági beállításokról, amik x próbálkozás után lezárják a kapcsolatot, vagy minden tranzakció közé késleltetést raknak, stb.
-
#06658560
törölt tag
Nem azt: 1234.
WN31RD: akkor megpróbálom példával. Legyen a jelszó tizenöt karakteres, s ezen belül tetszőleges karaktert használhatsz. Ez el van tárolva egy gépen, ami ellenőriz téged belépéskor. Ahol beírhatod, mellé kapsz egy captchát, amin számok vannak elválasztva, pl ilyen adatot ábrázolva: 3-7-5-9-14. Ezzel azt jelzi, hogy neked a jelszavad ezen karaktereit kell helyesen beírnod a megfelelő helyre. Itt lehet két út, vagy csak öt mező van, vagy 15, s utóbbi esetben csak ezen mezők értékével fog foglalkozni a rendszer, hogy beazonosítson, a többi töltelék. Minden próbálkozás után új captcha, új karakterkészlet, amit bekér, random. Ezt fel lehet törni bruteforce-szal?
-
PMT
csendes tag
Ekkora egy híg hugy semmitmondó cikket már rég láttam. Kb. csak arra példa, hogy külön "iparág" van rá, hogy megtöltse a médiafelületeket, mindegy, hogy mivel, ha jön a reklámbevétel.
Abszolút semmit nem mond a cikk érdemben arról, amiről szólni próbál.
Mellesleg ahol a primitív brute force-nak van létjogosultsága, ott nincs értelme tovább biztonságról beszélni.
Hálózaton keresztül nem lehet brute force-olni, offline pedig gpu ide vagy oda nincs értelme, feltéve, ha a user nem vétett akkora hibát, hogy faxláma jelszava van. Ennyi.
Ha bárki titkosítani akart valamit, azt eddig is megtehette teljesen megfelelő, ingyenes, transzparens, megbízható megoldásokkal, amik esetében a brute force esélye szinte eleve ki van zárva (nyílván ehhez még mindig kell egy erős jelszó, de az mindig is kellett), mindegy, hogy milyen macsó a gpu teljesítménye.
TrueCrypt, FreeOTFE, AxCrypt, KeePass, PGP. Ennyi.De a lényeg, hogy valahol a téridőben született egy ilyen fasza kis cikk, amit publikáltak, de még ahhoz is qrva kevés, hogy egy jót röhöghessek rajta.
Ja és a biometrikus azonosítást meg nem értem, hogy hogyan jött a képbe a kommentelők részéről, de ez lehet, hogy az én hibám.
-
EmberXY
veterán
Vagy azt, hogy "password".
Ennél is morbidabb eset az lehet, ha nem is 8 karakteres volt, hanem több, és elpocsékoltunk 96000 évet...Bár valahol 500-1000 év környékén már biztos lesz olyan számítógép, ami 10 perc alatt megmondja...
Szerk: egy kvantumprocesszor például...
-
EmberXY
veterán
válasz
PhlashMan
#131
üzenetére
És ha netán szerencséje van, és másodjára eltalálja?? (Chuck Norris számítógép nélkül is elsőre megmondja, és ki is csomagolja)
Amúgy elgondolkodtató, hogy 96000, na jó, legyünk optimisták, 48000 év múlva, amikor a gép megfejti a jelszót, már arra sem fognak emlékezni, hogy mi az a CD..., ráadásul nincs olyan adat a világon, ami miatt megérné kifizetni azt a villanyszámlát.. (ha azt feltételezzük, hogy egyáltalán lesz még akkor világ, és folyamatosan dolgozik a számítógép.)
-
WN31RD
addikt
válasz
#06658560
#130
üzenetére
Nem értem pontosan a kérdést (eleve ritkán akad tetszőlegesen hosszú akármi a valóságban), de ha offline támadás nem lehetséges, akkor a brute force támadások viszonylag egyszerűen megnehezíthetők a bejelentkezések közötti késleltetés kikényszerítésével, illetve bizonyos számú sikertelen próbálkozás után az account lezárásával.
Viszont az, hogy egy rendszerbe "be lehet-e jutni valahogy", a gyakorlatban inkább programozási hibákon és az emberi naivitást kihasználó támadásokon múlik jellemzően.
-
PhlashMan
csendes tag
Ezeknek a buzgómócsingoknak ajánlom figyelmükbe hogy még egy nyamvadt 8 karakteres jelszót , 100 byte környéki file-hossznál (!) se tudott senki se megbontani...
Amint van egy punktuációs karakter, szám a jelszóban , máris 223 hatványa lesz a jelszó variációs lehetőségeinek összes száma, így nyolc betűs jelszónál
223^8 = 6 115 597 639 891 380 481
6,1 trillió lehetőséget kell végigpróbálgatniuk
Megnézem a szuperkompúterük hányszor bont ki másodpercenként egy 500-600 megás phile-t
(0.000000001x ha van benne 8000 mag )de legyünk nagyvonalúak és tegyük fel, hogy olyan izmos gépük van ami másodpercenként 2000szer kibont és végigellenőriz egy 500 megás példafájlt.
Akkor ha jól számolom:
6115597639891380481/2000/3600/24/365= 96 962 164.5
Potom 96ezer év alatt vissza is fejthetik a 8 karakteres jelszóval tömörített CD-met
-
#06658560
törölt tag
Egy tetszőlegesen hosszú karakterfolyamból próbálkozásonkénti random bekért n karakterrel operáló rendszerbe be lehet jutni valahogy a tényleges jelszó ismerete nélkül? Ahol egy képen látod melyik karaktereknek kell egyezni, a többi bármi lehet. Ekkor a brute force működhet bejutásra akár rövid elemeknél is?
-
WN31RD
addikt
Nem lényegesek a GPU-k ilyen szempontból, mindössze a brute force támadásokat tudják a PC-khez képest nem igazán jelentős mértékben felgyorsítani. Ha tízmilliószor (!) gyorsabbak, mint egy PC, akkor is csupán 5 karaktert kell egy kizárólag kisbetűkből álló véletlenszerű jelszóhoz hozzáadni, hogy ezt kompenzáljuk. A jelszavak hasznossága tényleg csökken, de ez nem a GPU-kon fog múlni.
Egy 55 (ötvenöt, nem több száz) karakteres kizárólag kisbetűkből álló de véletlenszerű jelszót a tudomány jelenlegi állása szerint soha nem lehet majd brute force módszerrel feltörni. Kb. annyiféle variáció lehetséges ugyanis, mint jelenlegi tudásunk szerint a részecskék száma a világegyetemben.
-
#128
ntomka
nagyúr
Nowhereman
#127
ntomka
nagyúr
válasz
Nowhereman
#127
üzenetére
Rendben van, de a rosszindulatú oldalakhoz hogy jönnek a mail szolgáltatók és az általuk (elég valószínűtlenül) "kiárusított mail címek"?
Ezt írtad: "mondjuk elég érdekes a mail jelszavakon erőlködni, amikor sok szolgáltató maga olvasgatja meg árulgatja mindenfelé a mail-jeidet..."
Legalábbis ebből nekem ez jött le.
-
#127
Nowhereman
őstag
ntomka
#124
Nowhereman
őstag
Félig meddig erről van szó. Mondjuk be akarsz lépni a fércbú-ra, és tévedésből beütöd az e-mail-fiókod jelszavát. Egy bottal máris próbálkozhat benézni a levéltárodba, letöltheti, majd valami adathalász progival kimazsolázhatja belőle a hasznos infókat...
ha pedig léteznek billentyűzetfigyelő férgek, akkor létezhet kártya-, ujjlenyomat-, retina-olvasót, DNS-azonosítót figyelő féreg is. Ami még bizonytalanabbá teheti a világot, mivel egy kompromitálódott ujjlenyomatot vagy retinát nem lehet egy jelszóhoz hasonlóan megváltoztatni... -
vegyszer
addikt
De 5, 10, vagy max 15 év múlva egy 512 karakterből áttó mesterjelszó is alig fog védeni az új VGA-kban rejlő pontenciál ellen...
ez minden valószínűség szerint reális veszély...van olyan kártékony kód ami a VGA-ban rejlő lehetőségeket használja ki a rendszer bizonyos végett dolgainak a megtöréséhez???
-
#122
ntomka
nagyúr
Nowhereman
#121
ntomka
nagyúr
válasz
Nowhereman
#121
üzenetére
Na hát ebben legkevésbé a mail szolgáltató hibás.
-
lapa
veterán
"Letezik-e olyan technika, ami eleve magat az ujjlenyomatot tarolja el es nem "konvertalja" at kodhalmazza?"
azaz pont az a baj, hogy bármi, amihez hozzáérsz tárolni fogja az ujjlenyomatod pontos másolatát.
nemrég volt róla cikk, a csávó otthoni eszközökkel másolta le a pohárról. valami vegyszerrel megerősítette a zsírréteget, aztán celluxxal leszedte és valami következő lépésben kvázi olvashatóvá tette a kommersz fingertyű számára.
most amellett, hogy ez az adott sztori akár kamu is lehetett beláthatóan nem egy nagy ügy akár szívdobogást is belerakni egy másolt ujjbegybe.
ugyanez érvényes a retinára is, szerintem pár éven belül akár az utcán nyitott szemmel sétáló embereknek is le lehet fotózni a retináját (vagy a kezét) a megfelelő minőségben.
upd: itt a vidi, nem néztem bele szal lehet hülyeséget írtam a procedúra kapcsán.
-
"Letezik-e olyan technika, ami eleve magat az ujjlenyomatot tarolja el es nem "konvertalja" at kodhalmazza?"
Nincs, mert nem lehet: a számítógép bitekkel működik, így az ujjlenyomattal is csak akkor tud valamit kezdeni, ha bitek lesznek belőle.
"Ha meglesz biometrikus azonositas a mindennapjainkban ez nem lesz gond, hogy mindenhova ugyanaz az azonositonk?"
De, ha tényleg elkezdik univerzális azonosítónak használni, abból valószínűleg lesznek gondok.
-
rt06
veterán
nem elszallasrol van szo, az elv meg annyira ugyanaz, mint a kerekpar es a forma1-es kocsi elve (mindketto hatsokerekmeghajtasu)
a gond az, hogy tevedeseket irsz es ragaszkodsz hozzajuk, a kerdezo pedig, akinek valaszoltal, s aki velhetoen nem jartas a temaban, hajlamos lehet azt elhinni
-
#112
ntomka
nagyúr
Nowhereman
#106
ntomka
nagyúr
válasz
Nowhereman
#106
üzenetére
Az adsense + adwords teljesen másról és máshogy szól. Mondtam, hogy hanyagoljuk a sci-fit. Itt fejeztem be ezt a vonalat, ez nem az a topic.
-
Az, hogy a műszer mit érez, csak akkor számít, ha maga a műszer fizikailag biztosított.
Netes felhasználásnál nincs ilyen, ott autentikációnál a szerver kap egy rakat adatot, ami aztán bármiből származhat, nem lehet megmondani, hogy valami rendes szkennerből vagy egy programból származik. -
#108
Integra
titán
Nowhereman
#106
Integra
titán
válasz
Nowhereman
#106
üzenetére
azért néha valaki lezavarhatna ezeknek a bomlott elméjűeknek egy hatalmas pofont. most itt a gugliprezidentre gondolok konkrétan..
micsoda majom. -
-
#106
Nowhereman
őstag
ntomka
#101
Nowhereman
őstag
Valószínűleg mindenféle cél nélkül gyűjtik az emberről olyan betegesen az adatokat, pusztán véletlenül volt minden strítvjú autóban wifitapper...
Ha nyugaton a munkaadók 40%-ban a cyber-előélet alapján utasítják el a jelentkezőt, meg kirúgdossák az embert, mert a főnökről valami rosszat mondott valami fórumon, akkor ne hidd már el, hogy az humán erődforrás osztályokon a keresőbe pötyögtetve néznek utána a titkárnők a polgárnak. Ki van alakulva erre a megfelelő magán-STASI iparág...
ha meg valakinek ez sem ad okot a gyanakvásra... -
"előbb-utóbb a biometrikus azonosító lesz neten is."
Az elég rossz ötlet lenne.
Az egyik legalapvetőbb probléma az, hogy ha kiderül, hogy a jelszavad az, hogy "hülyepistike", azt elég egyszerű megváltoztatni - ellentétben mondjuk az ujjlenyomatoddal (amit ráadásul amúgy is szerteszét hagysz magad után). -
#98
Integra
titán
Nowhereman
#96
Integra
titán
válasz
Nowhereman
#96
üzenetére
???
-
#97
ntomka
nagyúr
Nowhereman
#96
ntomka
nagyúr
válasz
Nowhereman
#96
üzenetére
-
#95
Nowhereman
őstag
rt06
#86
Nowhereman
őstag
abban egyet is érthetünk, hogy az algoritmus inkább véd, mint a jelszó, és ha már benn van a tag, akár fizikailag, akár hálón át, akkor onnan kezdve a biztonság szempontjából egy natúr informatikus agya egy kém-látásmód nélkül fabaltát sem érő védelmet tud csak létrehozni...
-
-
menalcas
őstag
Én végigolvastam a cikket és én csak a címbe kötnék bele, mivel nem maga a gpu ipar öli meg a jelszavakat hanem az ember aki felhasználja ilyen célokra, alapvetően ha nem a gpu val akkor más módszerrel törik fel és szerintem itt nem az ezközön kéne fennakadni hanem új védelmek fejlesztésén amelyeket nem lehet megfejteni, visszafejteni, lemásolni, emulálni.
És terrmészetesen úgy hogy azok a minden napokban is használhatóak legyenek, pl ne legyen minden monitor mellet egy retina-scaner ( csak hogy kicsit sci-fi -s legyen a komment) -
#91
Dark Archon
addikt
FRENK1988
#20
-
-
atus72
őstag
keepass, truecrypt és kellően bonyolult/hosszó jelszó kell, más nem...
de ez is csak addig véd amig nincs keylogger a gépen.. persze arra meg van virtuális billentyűzet egérrel, na meg a kisfaszom csücske.... ha megakarják szerezni az adatot akkor megszerzik ha kell erővel végtelenségig lehet érveket és ellenérveket felkhozni a különböző adatvédelmi technikákra, egy biztos ami hardveres védelem abban én nem bízom... -
#87
Integra
titán
Nowhereman
#85
Integra
titán
válasz
Nowhereman
#85
üzenetére
és erről ezek a derék emberek miért nem ejtenek szót? biztos, hogy tudniuk kellene erről a védelemről is.. így csak féligazság amit mondanak.
mivel én nem fejlesztek, nekem ez, amit most írtál új dolog volt, de teljesen érthető. -
#86
rt06
veterán
Nowhereman
#85
rt06
veterán
válasz
Nowhereman
#85
üzenetére
#5
-
#85
Nowhereman
őstag
Nowhereman
őstag
Nos, ha valaki nem teszi bele egy rendszer beléptetőbe, hogy két próbálkozás közt legalább egy másodperc időt várjon/mert mondjuk hat karakter beviteléhez ennyi azért kell egy emberszabásúnak/, és a másodpercenkénti 50 próbálkozás esetén nem tilt le, akkor a mélyen tisztelt rendszerprogramozó a hülye. Mert normálisan megírt esetben, a nyers-erőzéshez egy szuperszámítógép sem ér többet egy Z80-nál...
-
lapa
veterán
naja, kábé ez a problémám.
sokkal jobban örülnék olyasminek, mint a beépített ca-s / dc-s bohóckodás, csak dc nélkül.
ahogy olvastam domain környezetben nem kell 3rd party, a ca-ból tudod rátölteni a certifikát és visszavonni stb.
amit én szeretnék az ez:
-üres kártya megvesz
-bedug
-vezérlőpultban certifika rátölt + pin bekér
-vezérlőpultban "csak ezzel engedj be" beklikkol
-örül.ez se linuxon, se otthoni winen nincs megoldva, pedig ahogy te is írod a framework ott röhög a sarokban.
-
x007
tag
Hát figyi... valami lenyomatot muszáj tárolni, brute force ellen meg ugye nem tud védeni a kriptográfia.
Én pastpacket használok. Ott két lépcsős az egész. Van egy "nem annyira komolyan vett" jelszó, ezzel hitelesíted magad (ehelyett használhatsz többféle SSO-t is). Ha ezt megadod, akkor át kell menni egy anti phising oldalon, ekkor megkapod a titkosított csomagod, amit egy "nagyon komolyan vett" mesterjelszóval kliens oldalon visszafejtesz. Én korrektnek találom ezt a mechanizmust.
Szerintem az egyjelszavas módszer is sokkal biztonságosabb annál, mint minden oldalra ugyanazzal a jelszóval regisztráljak. Ráadásul vannak oldalak, ahol cserélni kell a jelszavadat, itt nálam pl elkerülhetetlen volna, hogy felírjam telefonba, emailbe... azt hiszem ezt nem kell tovább ragozni...
Az ilyen kényelmi funkció meg hát elég kecsegtető, ráadásul plugin nélkül működik (hogy hogyan, az egy külön mese
:
[link] -
lujó55
addikt
Amíg nincs új titkosítási módszer, amely kényelmes és merőben más architecturán alapszik addig a hardver alapú kulcsokat kéne erősíteni. El kell dönteni mi a fontosabb, a kiemelt biztonság, vagy a kényelem. Addig viszont amíg az egyik fél elkövet mindent adatai védelme érdekében, de a másik felelőtlen, az a közös rendszer sebezhetőségét növeli. Tényleg nem lehet speciális karaktareket alkalmazni bizonyos felületeken.
-
-
L3zl13
nagyúr
"sulyosbitva ezt azzal, hogy egyes alkalmazasok 2-3 alklaommal egyas utan futtatnak md5 hash eloallitast md5( md5( md5( pass ) ) ) , ami azt eredmenyezi, hogy meg ha a toldi elso kotetet is irtad be jelszonak, ok kvazi legyengitik azt egy 32 karakteres jelszo erossegere"
Ehhez minek többször futtatni? Egyetlen MD5 is ugyanúgy 32 karakteres stringet csinál a Toldiból, vagy más tetszőleges hosszú adatból.
-
rt06
veterán
válasz
#06658560
#67
üzenetére
valoszinuleg szo nincs eletek nehezebbe tetelerol, inkabb az lehet a dolog hattere, hogy megpalyaztak egy valag penzt, megnyertek, es elo kellett alni valami tanulmannyal
hat eloalltak egyel, ami ugyan nem jar messze a valosagtol, semmi olyat nem mond, ami eddig ne lett volna barki szamara - aki picit is jartas a temakorben (vagy akar csak erintette azt) - a napnal is vilagosabb
forras szokas szerint nincs megjelolve, igy pontosabbat nem tudni a hir eredetijerol, de en a fenti elkepzelest tartom legvaloszinubbnek -
#68
Paarthurnax
senior tag
Paarthurnax
senior tag
Ami erzekeny adat, azt mind egy TrueCrypt fajlban tarolom. 256 bites AES, Serpent, Twofish es ezek kombinacioit lehet hasznalni harom kulonbozo fajta hash-el. Egy tobb mint harminc karakteres jelszot valasztottam. Nem hiszem, hogy egyelore barki idot es penzt fektetne az en hulyesegeim feltoresere, ugyhogy relative biztonsagban erzem az adatokat, de persze egy keylogger kapasbol megdontene az egeszet.
-
#06658560
törölt tag
Nem tudom, akkor a jelek szerint nem random hosszú kifejezéseket kell végignyálazni, hanem az angol szótárból dolgozni, s ott a szavak tetszőleges permutációjával, karakterek cseréjével manipulálni. Miben lesz ez bonyolultabb, vagy sokkal tovább tartó? (Sokkal, több nagyságrend eltérés)
Anno TP-ben akartam írni kódoló progit, hogy bizonyos karaktercsoportokat cseréljen új elemre,most nem érzem azt, hogy marhára bonyolultabbá tettük a kódtörők életét. Csak kettővel több ősz hajszáluk lesz tőle. -
#64
julius666
addikt
MCBASSTION
#63
julius666
addikt
válasz
MCBASSTION
#63
üzenetére
hogy olyan utasításokat tudjál végrehajtani a GPU-dal, mint azt a CPU-dal tennéd
ha ezt még egy okos ember matekkal párosítja akkor még a jelmondatokat is 10 perc alatt fel fogják törni
és ez már a bankkártyák PIN kódjánál is bevált...
4 karakterből álló kódot valóban csöppet könnyebb törni mint 30 karakterből állót.
-
#63
MCBASSTION
aktív tag
adamssss
#31
MCBASSTION
aktív tag
nagyon egyszerű GPU-val jelszót feltörni. Van egy ún.OpenCL API hasonló mint az OpenGL, és lényege az, hogy olyan utasításokat tudjál végrehajtani a GPU-dal, mint azt a CPU-dal tennéd pl. a bruteforce használata, ha ezt még egy okos ember matekkal párosítja akkor még a jelmondatokat is 10 perc alatt fel fogják törni, és ez már a bankkártyák PIN kódjánál is bevált...
-
=Mentor=
őstag
Már megint egy óriásira fújt álprobléma... Egy repülőgép is bármikor/bárhol lezuhanhat, de kb annyii az esély rá mint arra, hogy a jelszavaimat feltörje valaki. Mellesleg már én is törtem fel jelszót brute force módszerrel, 5 betűs angol férfi nevet adott meg az illető a freemail fiókjának és pechjére benne volt a jelszóminta fájlba. Úgy 3 percbe telt a feltörése
De ebből is látszik, hogy ez csak igen triviális jelszónál működik, ráadásul azóta sokat fejlődött a védelem. Lásd próbálkozások korlátozása. -
priti
addikt
Jajj ezek a policy-k, nemtom, tök jó meg minden, csak amikor elmész egy telephelyre, átküzdöd magad a belvároson, odaérsz, leüsz a gép elé ...és... "baccameg mehetek vissza kijelentkezni" akkor úgy átgondolod, hogy jó e neked, hogy olyan kis szorgalmasan korlátozgatsz mindent
-
Rive
veterán
Szép, szép a chipkártyás (meg a biometrikus) azonosítás, csak van egy nagy gond. Ezeknek közös lényege, az általuk nyújtott biztonság alapja, hogy a személyt azonosítják. A közös nagy össznépi para meg épp a személyek netes azonosíthatóságára irányuló módszerek ellen dolgozik (lásd néhány topikkal odébb) akkor is, ha közben:
- meglehetősen nyilvánvaló, hogy előbb-utóbb máshogy nem megy
- a vonatkozó félelmek orvoslására inkább az állam korlátozásán, felügyeletén keresztül vezet(ne) az út, nem a módszerek gyakásán. -
moonman
titán
pontosan nem ismerem az összes lehetőséget, de tudtommal az ilyen PC-s szoftverek mind a felhasználói fiók jelszavát, mint egy mester jelszót használva működnek, tehát ha a jelszavad megszerzik, akkor az ujjlenyomat ki is lett kerülve.
a mindenhová más jelszót elv az természetesen követendő.
-
e=mc²
őstag
Tovabb gondolva vannak meg kerdeseim:
Az altalad felvazolt megoldas helyhez (pc) kotott jol gondolom? Mi van akkor, ha en egy adott szoglaltatast tobb helyrol tobb eszkoz hasznalatava lszeretnem elerni?
Jelszohoz rendelt ujjlenyomatnak addig van ertelme, amig a jelszot fel nem torik nemde?
Letezik-e olyan technika, ami eleve magat az ujjlenyomatot tarolja el es nem "konvertalja" at kodhalmazza? Vagy ehhez a szamitashechnikanak alapjaiban kene megvaltoznia (1,0) ?
Az a biztonsagos, ha nem egy jelszot hasznalunk, hanem tobbet, sot minden helyre mast. Ha meglesz biometrikus azonositas a mindennapjainkban ez nem lesz gond, hogy mindenhova ugyanaz az azonositonk?Lehet naiv/tudatlan vagyok ilyen szempontbol, ezert is kerdezek.
-
moonman
titán
az ujjlenyomat-leolvasót természetesen én is kényelemből használom, mivel meglehetősen hosszú (20+ karakter) és bonyolult a jelszavam.
a domain policy pedig három probálkozás után fél órára letiltja a belépést, úgyhogy annyira nem aggódom (ha bent vagyok és én rontom el, úgyis ki tudom lockolni magam).a smartcard viszont tényleg hatásos dolog és működik is.
-
priti
addikt
Az ősrégi R61i -men is van leolvasó, de a kényelmen kívül semmi értelme szerintem. Ha jelszóként hash-eli be akkor azért, ha nem akkor pláne. Ha most kipattanna a win7 titkosító algoritmusa, ahogy közvetve az XP-jé a szivárványtáblával -amikor nem fogyott a Vista- akkor ugyanott lenne az is aki fingerprint-et használ vezérlőpult ide-oda. Ebben én nem látok többet mint amikor feltolsz egy USB nyomit illesztőprogram nélkül, benne van, nagy kaland...
-
moonman
titán
a Vista óta van beépített biometric framework, erre lehet a 3rd party-knak programot és beléptetőt írniuk, pl. hp laptopomon az Authentec ujjlenyomat-leolvasóhoz is ilyen szoftver van, beépül vezérlőpultba. belépsz, bekéri a jelszavad, majd regisztrálhatsz ujjlenyomatokat, onnantól ezek a fiókodhoz vannak rendelve.
ha a rendszer működése közben hitelesítés szükséges, akkor a program igény szerint feldobhatja az azonosító ablakot, ahová vagy jelszót írsz be, vagy lehúzod az ujjad, de ez gyártónként, szoftverenként eltérhet.
-
moonman
titán
nem értem a problémát, megveszed a smartcard olvasót, igényelsz kártyát certificate-tel meg minden, rádugod, feltelepíted a programját, driverét és control panelben beállítod a bejelentkezést. nálunk is van egy XP, amibe így lehet csak belépni, és bár domain tag a gép, nem ahhoz van kötve, hanem pénzügyi tranzakciók folynak róla és ahhoz kellett.
-
priti
addikt
Nyilván, csak ez szerintem evidens, végtére is az algoritmus ismerete nélkül nem lehet mit kezdeni a hash-el, pont ezért találták ki. Szerintem a jelszavas védelem csak egy vizesárok, lassítás a feladata nem kizárás és így is kell kezelni. Én nem látom olyan ijesztőnek a helyzetet.
Bankot rabolni sem nehéz, akármilyen hülye meg tudja csinálni, viszont úgy rabolni, hogy utána ne kapjanak el, na az már más. Algoritmusokkal feketézni nem sokkal több, mint fegyvert fogni egy bankban. Az hogy valaki elkövet valami elektronikus pimaszságot kb. az a szint, mintha elcsenne egy kerékpárt a fagyizó elöl, csak a rendesen szocializálódott emberek értékelik túl. Ezzel persze nem azt mondom, hogy nem kell foglalkozni a jelszavakkal, csak szerintem egy picit túl van spirázva. Az igazán fontos dolgok előtt nem csak egy jelszó van. -
rt06
veterán
eppenhogy nem ugyanaz a ketto, es nem is az a gond, hogy nem ert hozza mindenki, hanem hogy emellett nyilatkozik rola
par alapveto kulonbseg akozott, amirol te irtal, s amirol en:
ha jelszot generalsz, s azt probalod megetetni a rendszerrel, annak elo rendszernek kell lennie, elerhetonek kell lennie. megakadalyozhatja a bejutast a mar tobbszor emlitett varakozasi ido a belepesi kiserletek kozott, de meg ennek hianyaban is lenyeges lassulast okozhat az alkalmazas valaszideje (foleg web-es alkalmazasnal)
ezek hash generalaskor es annak egy meglevo hash ertekkel valo osszehasonlitasakor egyertelmuen nincsenek - emellett ez utobbi lenyegesen konnyebben oszthato el tobb eroforras kozott
itt emlitenem meg pl a gi john nevu, magyar kiegeszitest a JtR-hez, mely kimondottan egy elosztott jelszotoro alkalmazas, ahol anelkul tudsz adott (nepszerubb) algoritmusokkal keszitet hash-eket tesztelni, hogy akar csak azt tudnad, milyen alkalmazashoz kell
tovabba hash osszehasonlitaskor, ha van egy rainbow table-od, megcsak a generalassal sem kell torodnod, mig a jelszavakat annak ellenere ki kell egyenkent probalnod, hogy felvitted a gepre a hetkotetes magyar ertelmezot.... -
rt06
veterán
Hi!
bar igazad van, en a masik oldalarol nezem a dolgot, legalabbis, ami a kovetkezmenyeket illeti
1: rengeteg helyen nem hasznalnak sozast, es emellett egyre tobb olyan site letezik szeret a neten, ami valamilyen nyilt rendszert hasznal, s ezek kombinacioja tokeletes lehetoseget biztosit egy hash visszafejtesevel tobb helyre valo bejarasra
2: pontosan emiatt - amit te is irsz masodik pontodban - van letjogosultsaga a rainbow tablaknak - sulyosbitva ezt azzal, hogy egyes alkalmazasok 2-3 alklaommal egyas utan futtatnak md5 hash eloallitast md5( md5( md5( pass ) ) ) , ami azt eredmenyezi, hogy meg ha a toldi elso kotetet is irtad be jelszonak, ok kvazi legyengitik azt egy 32 karakteres jelszo erossegere -
x123456
aktív tag
Ezt a példát csak azért hoztam, mert számomra ebből az következik, hogy egy chipkártyás pam plugint sem lehet nehezebb megírni és telepíteni... és ugye egy ilyet simán be lehetne tenni az alaprendszerbe úgy, hogy a kedves felhasználónak ne kelljen vele külön töketlenkednie.
-
Jester01
veterán
Szerintem hash brute-force visszafejtéssel csak egy jelszót kapsz, aminek a megadott érték lesz a hash kódja. Viszont semmi nem garantálja, hogy ez az lesz, amit a felhasználó ténylegesen megadott.
Ennek két következménye van:
1) más rendszerhez nem biztos, hogy ezáltal hozzáférhet a támadó, még ha a felhasználó ugyanazt az eredeti jelszót használja is (mert a másik rendszer hash leképezése már eredményezhet más kódot a visszafejtett jelszóhoz)
2) hiába használsz bárhány trillió karakter hosszú jelmondatot, ha pechedre a generált hash kódhoz van egyszerűen visszafejthető jelszó. -
e=mc²
őstag
Valaki vilagositson fel legyen szives, mert sok minden nem tiszta.
Azt meg ertem, hogy egy oprendszerbe 3rd-party programmal ujjlenyomatot lehet regisztralni, de ott is jelszohoz kotott!Adott egy(sok) honlap, ahova van regisztraciom. Maganak a szoftvernek(bongeszo/fingerprint manager) kene felismernie, hogy most egy bejelentkezes fog kovetkezni, es feldob egy "huzza le az ujjat" gombot? Vagy a honlapokon kell ezt megoldani valamilyen script/program meghivassal, vagy egyeb megoldassal?
Ez kinek a feladata? Adott oprendszer gyartojae, vagy a weboldal uzemeltetoje/keszitoje? Ennek fenyeben ki fogja ezt megvalositani? Megvalosithato-e egyaltalan?Szoval ilyenek jutottak eszembe.
Jelenelg pusztan mint otthoni felhasznalokent kerdem, napi hasznalathoz. Nem csak egy pc-n, nem csak lokalisan megoldva. -
lapa
veterán
azért a chipkártya meg a pendrive kicsit nemugyanaz, ugye az egyik kritérium, hogy egyedi legyen, azaz ne lehessen lemásolni.
persze értem, hogy a végeredmény közel ugyanaz, de ha már itt van egy olyan tech ezer éve, amit erre találtak ki, akkor minek szenvedünk utánzatokkal.
ne érts félre, a módszered még mindig ezerszer jobb, mint a jelszó. csak mégse az igazi.
#43: mutass linket, hogy beépített eszközökkel, otthon hogy csinálod meg w7-ig bezárólag. ne gyere te is dc telepgetéssel.
az ujjlenyomat az olyan, hogy nekem inkább jelszó. ha belegondolsz csak technika kérdése lemásolni akárhonnan.
-
priti
addikt
hash-nél nem generál csak komparál, pont emiatt gyorsabb, ezzel volt tele a sajtó amikor kijött a több GB-os méretű szivárványtábla XP-s jelszavakhoz, durva hogy előre le van generálva az összes variáció a választott karakterszámmal xy karakter hosszúságig és csak 1-2 DVD az egész mérete
-
lapa
veterán
már marha régen chipkártyával+pinnel kéne belépni mindenhova, de mindenki szarik rá. anno xp-re volt valami 3rd party csomag, aztán ennyi. beépített támogatás pedig elméletileg volt már tán w2k szerverben is (w2k3-ban tuti), de működő és reprodukálható leírást nem találtam eddig. w2k3 alatt is úgy kezdődött volna, hogy csináljak dc-t.
ubuntura se lehet logint csinálni, hacsak valaki nem ezzel foglalkozott 50 évig.
-
Szabesz
őstag
Kis sarkítással így:
-1?
-Nem
-2?
-Nem
.
.
.
-A?
-Nem
-A1?
-Nem
.
.
.
-111111111111111111111?
-NemS mivel másodpercenként kellően sokszor tudja így végigpróbálgatni, elég gyorsan elfogynak a lehetőségek, és előbb utóbb beletrafál. (Itt feltételeze, hogy a szerver végtelen próbálkozást tolerál)
-
#32
Silentfrog
veterán
Silentfrog
veterán
Én meg a Háboru és béke összes mondatát rakom akkkor jelszonak.
Ott meg az a baj,hogy nem tudom az egészet fejből.a könyv meg elég vaskos az állando cipeléshez.
Aki fel akarja törni a jelszavaimat az ugyis fel fogja,vagy nem? -
julius666
addikt
Ha erősen korlátos a megadható jelszó hossza, akkor az ideális jelszó egy megjegyezhető halandzsa
pl.: kóklerhopletymutrefklácsó
Hosszabb lehetőség esetén egy alig ismert, vagy még inkább saját(!) vers 1 strófája.
Persze biztos javítanak az elszórt számjegyek, kis-nagybetűk, meg spec karakterek, de olyan sokat már nem, viszont ezeket jegyezze meg akinek 2 anyja van.
A netes szolgáltatásoknál pedig akkor már régen rossz ha a hash a csúnyabácsik kezébe kerül, nem is értem miről beszélünk. Amúgy meg megnézném ha valaki kibrútforszolna egy freemail-fiókot, még ha csak 8 karakteres is a jelszó.
-
ntomka
nagyúr
"Én egy másikat használok, de gondolom a lényeg ugyanaz. Van egy nagy mesterjelszavad, amit nagyon komolyan vesznek, (nekem min 40 karakter kellett, hogy elfogadja) és ezzel kódol mindenedet kliens oldalon, ők csak a kódolt információt kapják/tárolják."
Ez rendben is van, ezt állítják ők is. De a kódolás mikéntje nem tiszta nekem. Gondolom a mesterjelszóval együtt kódolnak valahogy, ezért kell azt megadni, mielőtt bármilyen jelszavam tudnám módosítani a rendszerben. Ergo ezzel csak annyit érek el, hogy elég egyetlen egy jelszavam, a mesterjelszót megszerezni (ami teljesen nyilvánvalóan le van tárolva az ő szervereiken is), hogy az összes többit megszerezzék. Vagy rosszul látom?
-
x123456
aktív tag
1ébként hosszú jelszavakon problémázóknak: ha nem tudod megjegyezni a hosszú és bonyolult jelszavad, akkor fogsz egy könyvet, kiválasztasz belőle egy szimpatikus lapot és mondjuk a lap első húsz szavának az első betűit használod fel, kissé felturbózva mindezt, hogy egyik-másik betű helyett egy alakra hasonló számjegyet (A helyett 4, E helyett 3) vagy spec. karaktert (mondjuk l helyett !, c helyett ( stb) használsz.
De megteheted ugyanezt egy-két kedvenc verseddel is, amiket mondjuk ált. és középiskolában meg kellett tanulni.
Hm? -
x123456
aktív tag
Az egyik netbank egyik fejlesztője szerint ők azért, mert ez is része a rendszerük SQL injection és hasonló trükkök elleni védelmének. Mondjuk ilyen helyekre én eleve nem is engedném, hogy jelszóval lépjenek be a felhasználók. Kötelezném a bankokat valami csipkártyás beléptető rendszer használatára... de lehet, hogy csak nekem vannak túlzott elvárásaim.
-
x007
tag
Én egy másikat használok, de gondolom a lényeg ugyanaz. Van egy nagy mesterjelszavad, amit nagyon komolyan vesznek, (nekem min 40 karakter kellett, hogy elfogadja) és ezzel kódol mindenedet kliens oldalon, ők csak a kódolt információt kapják/tárolják.
A kérdés ugyanaz, amit általában a cloud rendszereknél teszünk fel: mi a valószínűbb? Feltörik az ottani szervereket, és visszafejtik a csomagodat, mielőtt te tudnál bármit tenni VAGY elkaptak rosszarcú emberek az utcán és kiverik belőled a jelszavadat, megszereznek mindent mielőtt cselekedni tudnál. Lehet naív vagyok, de én úgy gondolom, hogy az utóbbi
. -
priti
addikt
Ha valaki képtelen teljes biztossággal megállapítani, hogy vírusos e a gépe vagy nem és egy átlagos víruskereső üzenetére hagyatkozik annak nem tökmindegy milyen jelszava van most őszíntén? Hagyjuk már...
Ha annyira nagy a para offline gépen kell dolgozni rack-re amit utána be lehet tenni akármilyen banki vagy magán páncélba oszt jónapot. 100%-os biztonság nem létezik, eddig se létezett és a jövőben sem lesz.
-
rt06
veterán
ezeket nagyon gyorsan felejtsd el
azon tul, hogy semmilyen plusz vedelmet nem ad, kiadod a jelszavaidat harmadik felnek, amit ha ok maguk ugyan nem is hasznalnak fel, sokkal inkabb celpontjava valnak a tamadasoknak, mint te magad egyszeri user-kent, s igy inkabb csokkenti a biztonsagot, minthogysem novelne -
-
Ez a 7 karakteres jelszó feltörés annyira nem volt nagy durranás eddig sem
Mondjuk nem ártana a jelszó erősség mérők is komolyabbak lennének egyes oldalakon lévő regisztráláskor. -
rt06
veterán
itt nem az elo rendszerrel torteno authentikaciorol van szo, hanem tobbnyire egy megszerzett jelszo hash ujboli eloallitasarol, amely modszer lenyege, hogy az osszes lehetseges jelszohoz elkeszitjuk a hash-t (ehhez persze ismerni kell az algoritmust), es ha egyezes van, az eloallitashoz hasznalt jelszoval be tudunk lepni
abban viszont igazad van, hogy a hir annak emliteserol is megfeledkezik, hogy e modszerhez a betoronek valahogyan meg kell szerezni a jelszavunk hash-et (vagy fizikai hozzaferessel kell rendelkeznie, de akkor mar amugy is komoly baj van, vagy valamilyen sebezhetoseget kihasznalva kell tavolrol bejutnia a kornyezetbe, ekkor viszont mar nem feltetlen erdeklik a jeleszavak, hisz mar bent van)
[ Módosította: Erasmus ]
-
t72killer
titán
ha buta a rendszer, akkor kioperálható belőle a hash, ami a jelszavadat azonosítja (md5 vagy sha-1 szokott lenni, a windows ezt pl egy adott rendszerfileban tartja) - és a hash tudatában anélkül hajthatjuk végre a próbálkozásokat, hogy egy valódi belépési kísérletet tennénk.
Persze, ha a hash védve van valahogy, akkor nincs mese, nem lehet belépni.
#3: bizony, elég nagy baj, hogy sok oldal (bizonyos NETBANKOK!!) nem engednek spéci karaktert a jelszóba
) -
rt06
veterán
"Határozottan állíthatjuk, hogy ma egy hét karakterből álló jelszó reménytelenül kevés..."
egy het karakteres jelszo evekkel ezelott is keves volt, legtobb esetben 1-2 napon belul torheto egy mezei p4-essel"...de fontos az is, hogy vegyesen használjuk számokat, nagybetűket és különleges karaktereket..."
szamjegyeket - legalabb egy it site-on irjuk mar jol (vagy a hir szerzoje allitsa be nekem jelszonak az gyok kettot)"A billentyűzeten 95 karakter található, minden egyes karakter, amit hozzáadunk a jelszavunkhoz, exponenciálisan, 95-szörösére növeli a védettségünket"
amennyiben joggal feltetelezheto, hogy mind a 95 karaktert hasznal(hat)juk (pontosabban minden tipusbol valogatunk)
ha csak kisbetuzunk, akkor hiaba van 95 karakter, mindossze 26-szorosara no a lehetseges jelszavak szama (nem pedig a vedettsegunk) egy-egy karakter hozzaadasakor
Röhejes vagy öregem...
, viszont:
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
amit EmberXY kéredezett, az mindössze annyi, hogy a brute force kulcsok próbálgatásából áll. Rápróbál egy kulcsot a titkosított állományra, majd megnézi, hogy az eredményben van-e értelmesnek tűnő szó (feltételezve, hogy a kódolt anyagban van ilyesmi). Ha nincs, akkor jöhet a következő kulcs, ha van, akkor esetleg megtalálta amit keresett.
Új hozzászólás Aktív témák
- Végleg lemondott a régi gépekről a Steam
- exHWSW - Értünk mindenhez IS
- Építő/felújító topik
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Android szakmai topik
- Futás, futópályák
- Napelem
- A legrosszabb CPU-k – az ExtremeTech szerint
- Honor Magic5 Pro - kamerák bűvöletében
- World of Tanks - MMO
- További aktív témák...
- Iphone 17 Pro max 512gb silver, bontatlan.
- Garmin Fenix 7s Solar eladó! Valós állapot, műszakilag hibátlan, számlával!
- HP Pro 400 G9 SFF Új, 2 év helyszíni garancia! I5-13500 + Számla
- Add az iPhone-od a Mobile Sharknak!
- Panasonic CF-XZ6 AIO all-in-one laptop tablet 2k touch i5-7300u speciális ütésálló rugged
- í kilenc! AKCIÓS PRECÍZIÓS KÉSZÜLÉK! 7670 i9-12950HX 32GB RAM 1TB SSD Nvidia RTX A3000 12GB 1 év gar
- MacBook Air 15" (M3, 8 GB RAM, 512 GB SSD)
- Telefon felvásárlás!! iPhone 16/iPhone 16 Plus/iPhone 16 Pro/iPhone 16 Pro Max
- Bomba ár! Lenovo ThinkPad X280 - i7-8550U I 16GB I 512SSD I 12,5" I HDMI I Cam I W11 I Gari!
- REFURBISHED - HP USB-C Universal Dock G1 (DisplayLink)
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest