Pár hete kaptam egy e-mailt a Yahoo-tól, hogy elnézésemet kérik, de most jöttek rá, hogy ezelőtt 3 éve feltörték a rendszerüket és több tízmillió másik e-mail címmel együtt az én jelszavamat és e-mail címemet is ellopták.
Arra sem emlékeztem, hogy valaha is regisztráltam a Yahoo-nál, de biztos így volt.
Ma már minden weboldalra, de még mobilapplikációba is regisztrálni kell, hogy egyáltalán beléphess oda.
Mit csinálsz ilyenkor? Van egy gagyi e-mail címed, amit csak erre használsz és egy könnyen megjegyezhető jelszavad, mondjuk a kutyád neve és a születési éved.
Ezt adod meg úton-útfélen, minden weboldalon, webáruházban, online pizzarendelésnél, belépéshez a mobilszolgáltató oldalán, mindenhol. (Jó esetben legalább a bankszámládhoz és a paypal-hoz valami másik jelszót és e-mail címet használsz. De sokan még ezt sem teszik meg.)
Tudják ezt azok is, akik feltörték a Yahoo-t, a Linkedin-t, Myspace-t és a többi oldalt.
Ilyenkor mindenhová megpróbálnak belépni az e-mail cím/jelszó párossal. Első körben a bankokhoz. Aztán a levelezőrendszerekbe, hogy hozzáférjenek a levelezésedhez, hogy a nevedben vírusos leveleket és spameket küldjenek. Aztán jönnek az ismert webáruházak, ahol még a kártyaadataidat is legtöbbször elmentik, így a nevedben küldenek csomagokat a saját részükre, vagy valakinek, akinek előre eladták a terméket egy apróhirdetési oldalon. De ellopják a kuponjaidat és pontjaidat a mindenféle pontgyűjtő kártyákról is. Drága appokat vásárolnak a nevedre a telefonodra, ami után jutalékot kapnak. Esetleg viccből átrakják a tévéelőfizetésedet a legdrágább csomagra és hónapok múlva jössz csak rá. Hónapokon keresztül rendelnek pizzát utcai átvétellel a te számládra, mire átnézed a kártyás költéseidet és rájössz, mit csinálnak.
Sokkal többet tudsz bukni így, mint gondolnád. Á, mi bajom lehet abból, ha a gagyi jelszavamat megszerzik? Sokan fájdalmasan döbbentek rá, hogy mennyi káruk lett belőle.
Hogyan tudsz ez ellen védekezni?
Az első, hogy csinálsz egy normális jelszót. A születési dátumod, a jelszó1234 és a facebook123 nem az.
Vedd például a kedvenc versed vagy dalod első vagy második sorát:
A hatalmas szerelemnek. Legyen minden "a" betű 4-es és minden "e" 3-as és minden "s" $.
Így a jelszavad 4h4t4lm4$$z3r3l3mn3k. Könnyen megjegyzed, de senki ki nem találja. (Esetleg elég az egyik szó is a kettő közül, ha kellően hosszú.)
Ez azonban még kevés. Ehhez minden egyes oldalon fűzz valamit hozzá.
Mondjuk az amazonon írd elé, hogy konyv. A bankodnál, hogy rafi. A Linkedin-en, hogy link. A Facebook-on, hogy face, a twitteren hogy csipog, a levelezőrendszerben, hogy level.
Így minden oldalon más és más lesz a jelszavad, hiába törik fel az egyiket, nem tudják sehol máshol használni a kapott jelszót, még ha az e-mail cím ugyanaz is.
De lehetsz modernebb is és használhatsz direkt ilyen célra kitalált programokat is. Nemrég ingyenes lett a Lastpass, ami még IOS és Android alatt is használható, nézd meg, milyen egyszerűen tudod használni. A jelszavaidat kódolva tárolja. Már feltörték 2015-ben, de a hajukra kenhették a kapott adathalmazt.
Hasonló alkalmazások még a 1Password, Dashlane és a KeePass is és sok másik is.
Akár a manuális megoldást választod, akár programra bízod a jelszavaidat, fontos, hogy mielőbb meglépd, mert az eső után köpönyeg nagyon sokba fog kerülni mind anyagilag, mind időben. Amint látod, nekem is három évvel később szóltak, hogy ellopták a jelszavamat.
"4h4t4lm4$$z3r3l3mn3"
Nagyon jó jelszó, megjegyeztem, hasznàlni fogom, köszi...
Vonalakban, már most rosszul írtad, pedig csak bemásoltad. Szerintem keress egy másikat. 🙂
A Lastpass bizony jó.
Az első javaslatot kapásból dobnám.
A második elfogadható és persze egy erős jelszóval védve a jelszókezelő alkalmazást.
Ne kispályázz, dobd azt is kapásból.
Én egyszer úgy jártam, hogy a gmail-es jelszavakat lopták el, még a hírt is olvastam róla az Origón (akkor még olvasható volt), de legyintettem: " az én levelezésemre ugyan ki lenne kíváncsi?!" Aztán meg kb két hét múlva belépek, és egy olyan mail fogadott, hogy vki Los Angelesből próbált belépni a fiókomba. Még jó, hogy volt biztonsági kérdés. Na, azóta ezt komolyan veszem!
Amúgy jelszógenerálásra én egy olyan tippet kaptam, hogy találjak ki egy mondatot, amiben van szám és tulajdonnév, és csak a szavak kezdőbetűi írjam le és jegyezzem meg + vmi rövid jelzés, amitől weboldalanként egyedi lesz. Ez utóbbi szintén fontos.
Tudtommal ezeknek a csalásoknak a megtérítése már benne van az egyes bankok folyószámla árképzésébe és nem nagyon szoktak ezzel vacakolni. Élő példa 2 ismerősömnek is külföldön ellopták a hitelkártya adatait és vásároltak vele illetéktelenül, de statisztikailag kimutatható volt hogy illegális vásárlás történt így a bank zokszó nélkül magára vállalta a költséget. Ettől persze kellemetlen hogy utána kellet járni, de manapság ennek kivédése már alap egy modern banki rendszerben, persze ennek az árát a végfelhasználó fizeti meg 100 ft-al drágább banki költséggel havonta. Minden estre jó ötlet jelszó képzésben amit ajánlottál.
Köszi, az írást, küldöm a családnak 😉 Mondom én is nekik ezeket, de hátha olvasva jobban rögzül.
LastPass-t használok én is. A jelszó generáló funkciója is nagyon jó.
Bocsi ha komolytalannak tűnök de erről ez a vicc jutott eszembe:
2 rendszergazda beszélget:
- Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod jelszónak?
- Miért, mi a bajod azzal, hogy kc|43-a:w??
Kiszámoló, ha nem is emlékszel a yahoo-ra, milyen csatornán kaptál tőlük levelet?
A jelszavakkal kapcsolatos intelmekkel teljesen egyetértek.
Tudatlan, nyilván arra a címre írták, amivel regisztráltam.
Már vagy 10 éve az ingyenes KeePass-t használom.
Minden jelszavam teljesen random generált, nehezen feltörhető, nekem csak a KeePass mesterjelszavát kell fejben tartanom a belépéshez 🙂
És hogy maximális legyen a biztonság, a jelszóadatbázis megnyitásához nem elég az imént említett mesterjelszó bepötyögése, hanem egy kulcsfájlt is meg kell adni hozzá, amit elkülönítve tárolok.
Macerásnak hangzik, de egyáltalán nem az (2 kattintás + jelszó beírás), viszont így legalább tényleg biztonságban vannak azok a fránya jelszavak 🙂
Plusz pont, hogy mobilon is működik az alkalmazás.
Azért ebben is van valami: xkcd.com/936/
Aki jól gépel, annak ajánlom a diceware módszert: world.std.com/~reinhold/diceware.html Azt kell ellenőrizni előtte, hogy biztosan figyelembe veszi-e a rendszer a jelszó végén levő karaktereket is. Régebben előfordult, hogy például csak az első 8 karaktert vették figyelembe.
Én a munkahelyi szervereken, a webbankban és a leginkább használt email címemhez használok épkézláb jelszót (mert az az elfelejtett jelszó funkció miatt gyakorlatilag "nyit" minden mást), sőt cserélni is szoktam. Másutt nem, remélem, hogy a kártyaadataimat nem mentik el az explicit megkérdezésem nélkül.
És használjunk two factor vagy multi-factor authentikációt ahol lehet. Pl. a Lastpass-nál is lehet kismilió közül választani.
Egyébként egyszer már én is érintett voltam egy jelszólopási ügyben: az Adobe rendszerét törték fel és nyúlták le az ügyfelek adatait. Elég komoly ügy lehetett, mivel pár hét múlva kaptam egy levelet a bankomtól, hogy a kártyámat érvénytelenítették és fáradjak be a fiókba egy az új kártyáért. Nem sokkal később a postás(!) is hozott egy angol nyelvű levelet, amelyben az Adobe bocsánatot kért az okozott kellemetlenségekért.
Kíváncsi lennék, mennyibe fájhatott nekik az "akció", mivel világszerte több ezer user volt érintett az adatlopásban és gondolom a bankok nem pacsiért cserélték ki az ügyfelek kártyáit...
Van egyébként egy weboldal, ahol bárki beírhatja az e-mail címét és a rendszer kiírja, hogy az adott cím volt-e már érintett valamilyen adatlopási ügyben. Amelyiknél pirosan jelez, ott ajánlott jelszót cserélni...
haveibeenpwned.com/
A kétlépcsős azonosítást érdemes lenne beleírni, hogy mindenki kapcsolja be, ahol van (gmail, stb.) Bankszámlánál meg alapvető, hogy használni kell.
Az online jelszó-tárolók egyik hátránya az, hogy a hackerek tudják hova kell betörni (pl Lastpass), letöltik az adabázist és elmolyolnak a feltörésével.
Ezért egy fokkal talán jobb az offline, vagy saját privát számítógépen tárolt jelszó-adatbázis kezelők (pl KeePass), mert honnan is tudhatnák a hackerek, mi a géped IP címe, kvázi "nem látják" kívűlről... vagyis nehéz úgy odatalálni valahova, ha nem is tudjuk hova kell menni...
Persze ha vki olyan oldalakon jár, vagy telepít ezt-azt mindenféle megbízhatatlan helyről, ami website-ok/programok vírusosak, spyware-esek lehetnek, vagy épp a router-e default jelszót tartalmaz, azon már senki és semmi nem segít.
Másik dolog, hogy otthoni Wifi routeren be kell állítani MAC cím szűrést, vagyis CSAK azok az eszközök férhetnek a Wifi-hez, akiket felvettünk a routerre.
Vagyis a jó jelszó-védelemhez több nehezen áthatolható falat kell felépíteni.
@Böbe:
Görbüljek meg ha nem ugyanazt a linket akartam ide bemásolni 🙂
Megelőztél!
Egyébként errről jut eszembe a jelszavak körüli paranoia kapcsán kíváncsi lennék hányan ragasztják le a laptopjukon a kamerát vagy az okos telefonjukon. Snowden óta a laikusok is tudják hogy működik ez, vagy ez itt senkit nem zavar? Na tessék most ezt a hozzászólást is logokták rólam, hogy felépítsék a digitális profilomat 🙂
@Gz ne sajnáld az Adobe-t Bevan építve a budge-be az ilyen issue. Soha egyetlen cég sem fog tudni a hackerek előtt járni 1 egyszerű okból kifolyólag. A hackereknek van végtelen idejük kitalálni, hogy kell feltörni valamit, viszont a cégeknek meghatározott határidejük van lefejleszteni valamit. Ennyi az egész semmi több, nem teljesen az IQ-n múlik.
azért ezzel a “4h4t4lm4$$z3r3l3mn3” stílusú jelszóval nem szivatnám magam.
technikai szempontból nézve, amelyik oldal olyan komolytalan, hogy lehet rajta brute-force-al törni jelszót (akár szótár alapú, akár random generált), ott ki lehet bányászni bármit.
ergo az én tehcnikám: gagyi oldalaknál gagyi jelszót és nem fáj ha feltörik.
komoly oldalaknál már van tarsolyban erősebb jelszó... na itt lehet elszórakozni olykor-olykor, hogy "melyik verzió is volt az erősebbek közül"... mert ugye ezt is kell x naponta változtatni, a rendszer megköveteli ... 😀
a KHB-nál meg 2 lépcsős authentikáció van, szóval ahhoz le kell nyúlni az erős jelszavam, meg a telómat is... az se lehetetlen virtuálisan, de azért egész erős dolog ez így.
megsúgom, kispapírkán leírni a jleszavakat és azt a tárcádba beletenni, még mindig biztonságosabb, mint bármely mobil app.
ha hiszitek, hisztek, ha nem akkor Cassandra
+1 a Keepass-re. Platformfuggetlen, en Androidon es Ubuntun hasznalom, de van mindenfele masra is. Plusz ott a jelszogeneratora.
Egyebkent a Yahoo mar evekkel ezelott elindult a lejton, es Mayernek koszonhetoen nem maradt ott senki, aki tenylegesen ertene a technikai dolgokhoz (a gender studies persze mas teszta, abban nagyon profik). Alapigazsag, hogy jelszot NEM TAROLUNK! Nem is kell tarolni, eleg a "sozott" hash-et, es ha netan feltornek a gepet, es ellopnak a jelszoadatbazist, nem tudjak kinyerni belole az eredeti jelszavakat. Egyebkent ezert nem szoktak elkuldeni az elfelejtett jelszot, hanem felajanljak a cseret (bizonyos ellenorzes utan). Ha valahol megis el tudjak kuldeni (mert tartoljak), akkor nagyon ovatosan kell kezelni azt az oldalt (legjobb elkerulni).
Ha egy Yahoo szintu cegnel ennyire hulyek, ott nagyon nagy baj van.
@PG
LOLZ, nem kell mindenfele progit toltogetni meg gyanus weblapokra jarni es MAC cim szures. Lenyegeben csak hamis biztonsagerzetet ad.
A legtobb malware-t erdekes modon a download.com-os szarokbol lehet benyelni:
howtogeek.com/198622/heres-what-happens-when-you-install-the-top-10-download.com-apps/
A biztonsagos weblapokkal kapcsolatban az megvan, hogy a Kaspersky weblapjat is meghekkeltek? Pedig oda nem cicis nenikert jarkalnak az emberek.
A MAC cim csere meg kb. 2 perc. Gondolom az SSID-t is rejted. 🙂 De nyugi, vannak mar automata tool-ok is wi-fi toresre.
@PG
"Az online jelszó-tárolók egyik hátránya az, hogy a hackerek tudják hova kell betörni (pl Lastpass), letöltik az adabázist és elmolyolnak a feltörésével."
Tul sok CSI / NCIS-t nezel. Azert azt megneznem, ahogy egy AES256-ot brute force-olnak.
A titkosszolgalatok inkabb a "rubber hose password cracking" technikat hasznaljak, ha gyorsan akarnak jelszavat:
xkcd.com/538/
Ahhoz, hogy a nevedben spamet es virust kuldjenek, nincs szukseg a jelszavadra, eleg az email cimed tudni, ezert nem irjuk ki, foleg nem robot altal is ertheto formatumban sehol a mail cimunket a neten. Viruskuldeshet a cimjegyzekunk hasznos meg, hisz a barataink nagyobb esellyel nyitjak meg a tolunk kapott mailt, mint egy idegen. Ha ilyenre hasznaljak a cimed, annak egyertelmu jele, ha sikertelen kezbesitesrol szolo visszajelzeseket kapsz. (A cimedrol, de spam levelezszerverrol elmegy a mail, sokszor nem letezo cimzettnek, az NDR viszont hozzad jon vissza, nem a spam szerverhez)
Egyre több ilyen jelszavas szivárgás történik.
haveibeenpwned.com/PwnedWebsites#NetEase
tumblr, linkedin, yahoo, dropbox. A nagyok is elbuknak, mindenképp a jelszó specifikus oldal lenne a legjobb, de halandónak külön jelszavakat megjegyezni nem egyszerű dolog. 3rd partyra bízni a jelszavainkat még kevésbé tűnik okosnak.
@de legyintettem: ” az én levelezésemre ugyan ki lenne kíváncsi?!”
maganelet.hu
Ne legyunk naivak, az ilyen oldalak (haveibeenpwned.com) vagy az email cimeket gyujtik vagy nem 🙂
Nem tudom, ismeritek-e, hátha valakinek még új : ha olyan oldalhoz kell regisztráció, amin csak megnéznél valamit, vagy valami szavazáshoz (gyerek iskolája tudomisén mit nyerhet meg ilyenek), vagy effélékhez, akkor jó megoldás lehet az ledobható emailcím :
tanarblog.hu/cikk/onmegsemmisito-e-mail-cim-10-minute-mail
@reader:
"kétlépcsős azonosítást"
Engem ez marhára idegesít. Nincs számomra annál dühítőbb, hogy hülyének nézik a usert. Ha tudom a jelszavam akkor igenis csak én lehetek az aki be akar lépni, mindegy hogy épp Las Vegasból vagy Keréktelekiről, hogy Windows vagy Linux alól. Nem kell még egy idegesítő biztonsági funkció. Azt elfogadhatónak tartom, hogy legyen az ilyesmi választható, de az hogy egyre több oldal erőszakolja rám ezt a marhaságot, az nagyon nem tetszik. Értem én, hogy sok olyan felhasználó van aki még ahhoz is hülye hogy legeneráljon egy jó jelszót (vagy esetleg beírja a googleba hogy jelszógenerátor), de ne szívassanak mindenkit ezek miatt.
Plusz, had dönthessem el én, hogy milyen fontos nekem az adott fiók.
@Kiszamolo:
Az simán lehetett olyan mail is, amivel csak ki akarták csalni a jelszavad. Ha történetesen lenne yahoos címed, akkor van rá esély, hogy klikkelsz a levélben szereplő linkre és szépen megadod nekik a jelszavad (nem személy szerint rád gondolok, de sokan vannak akik megeszik az ilyet). Hisz a felhasználók egy része ott tart, hogy 2017 januárjában jön rá, hogy az 1234 nem biztonságos jelszó.
Felháborodott, azért ennyi eszem nekem is van. 🙂
Tényleg a Yahoo-tól jött és nem volt benne semmi link és semmi, csak egy viárverisori levél volt és hogy övék a felelősség, de azért cseréljem le a jelszavaimat.
Erdekes/erdemes megnezni az e-mail cimeteket ezen az oldalon: haveibeenpwned.com/
Az eddig nyilvanossagra kerult lopott felhasznalo/jelszo adatbazisokban nezi, hogy tartalmazza-e a beirt email cimet. Neha leirast is ad, hogy mikor es milyen modszerrel tortek fel az oldalt, es mennyire van veszelyben a jelszo. Ha valamit feltortek, akkor valtoztassatok jelszot, es lehetloleg mashol ne hasznaljatok.
@Expat "kíváncsi lennék hányan ragasztják le a laptopjukon a kamerát vagy az okos telefonjukon"
Amikor még egyetemista voltam leragasztottam a laptop-kamerát, de nem azért mert az NSA-tól féltem, hanem azért, mert a koliban több száz, minden hájjal megkent informatikus-hallgatóval voltam egy hálózaton, és nem mindenkivel volt felhőtlen a kapcsolatom... 🙂
Az alábbi oldal becslést ad arra, hogy kb mennyi ideig tartana brute force-szal feltörni a jelszavad, érdemes eljátszogatni vele:
howsecureismypassword.net
Azért én a Lastpassban sem bíznék....
hwsw.hu/hirek/54117/lastpass-jelszokezelo-biztonsag-tamadas.html
pcworld.hu/szoftver/sulyos-sebezhetosegek-a-lastpass-jelszokezeloben-214335.html
@Kiszamolo (" azért ennyi eszem nekem is van."):
Ezért is írtam: "nem személy szerint rád gondolok, de sokan vannak akik megeszik az ilyet". 😉
@GZ Köszi a linket. Az én email címem is piros. 🙁
Nem régen cseréltem jelszót, de ma újra.
@szocske Amíg lesznek olyan emberek, akik a Facebook-on is megnéznek és továbbküldenek minden olyan videót, képet, linket amiről messziről lerí, hogy vírus addig a jelszavak nagy része a becenév, kutya-macska neve és hasonlók. Aztán ha valakit legalább tízezres nagyságrendben lehúznak talán elkezd gondolkodni, hogy nem jó a jelszavam és talán nem mindenhol ugyanazt kellene használni.
@Kiszamolo A te technikáddal cseréltem jelszót, remélem, nem felejtem el. 🙂
Ildikó, írd fel egy papírra csak a kiegészítéseket. Aki megtalálja, az sem tudja semmire használni a papírt.
Mi a helyzet a céges gép login jelszóval? Hogy menedzselitek? Eleve a legtöbb helyen a policy miatt változtatni kell 1-2 havonta. Azon a képernyőn szerintem még semmilyen appot nem tudsz futtatni. Menedzseled mobilról?
Mi a helyzet a Facebook-kal, Gmail-lel összekötött loginokkal, ahova nem csinálsz külön fiókot? Tipikusan pl. Pinterest, Medium, RSS olvasók, Youtube stb. Inkább csináltok mindenhova új fiókot az email címmel?
A masik hogy barmennyire is kenyelmes, ne hagyjuk hogy amazon es tarsai eltaroljak a kartyaadatainkat (vagy plane a Chrome). Jobb raszanni fel percet ha kell es elovenni a kartyat, mint egyszer rafaragni.
Viszont nekem is van olyan funkciom, hogy biztositas teriti, ha a kartyat v adatait ellopjak, es a letiltas elott meg hasznalja valaki. Kerul kemeny havi 2 euroba, ennyi megeri.
yahoo-n nekem sms-t kell küldetnem ha idegen gépek lépek be. Így ha meg is van a jelszó, az még kevés.
De én is kaptam figyelmeztetést.
@Expat
Nekem le van ragasztva a kameram 😉
@blckwht
Nalunk RSA token van.
30 percig eleg megadni a Win jelszot, utana token kodot plusz Win jelszot.
Jelszocsere 6 havonkent.
Szerintem ez az egesz jelszo dolog rossz iranybol van megkozelitve.
Honlap oldalrol lehetne a legkonnyebben megoldani:
- Tetszoleges jelszo, akar 4 jegyu PIN
- Exponencialis visszatartas. (elso elrontott probalkozas, 1 sec varakozas, masodik: 10 sec varakozas, 3. 100 sec varakozas, utana tiltas 24 orara, vagy feloldasig)
- Tiltas feloldasa:
- masodik lepcso, (masodik email, SMS, telefonalas)
- Automatikus feloldas 24 ora mulva.
- Opcionalisan, ha megis hekkelni probalkoznak, 3 nap utan tiltani.
Ezzel lehetseges egyszeru PIN kodokkal vedeni a honlapot.
Ha valaki nem a trivialis 1234-et valasztja, akkor igencsak sokaig tart brute force-val bejutni.
Ugye, automatikusan csak 4 jelszot probalhat ki egy napon belul ami elegge feleslegesse teszi a probalkozast
Érdemes megjegyezni, hogy a szótáralapú jelszótörők jellemzően a világnyelvekre vannak kitenyésztve, és többnyire azt veszik alapul, hogy a jelszóban csak egyetlen szó található. Ezek alapján a "piros alma" valószínűleg nehezebben törhető jelszó, mint a "L3röv1D3bbít3ndő".
Egy többszavas magyar kifejezés vagy egy rövidebb mondat pedig kifejezetten nehéz jelszónak számít, különösen, ha teszünk bele 1-2 spéci karaktert is. Mondatokat pedig könnyebb megjegyezni, mint értelmetlen karaktersorozatokat. Az egyedi végződésekkel (fész, rafi, csipogó, link, stb) pedig nagyobb biztonsággal használhatjuk ugyanazt a mondatot több helyen is.
Pölö: gmail jelszóra: "It would take a computer about
19 SEPTILLION YEARS
to crack your password"
Az úgy elég hosszú idő? 😀
Web oldalakra javaslom jelszónak:
Fix kód amit megtanulunk: ez lehet a születési dátum is pl: 19700916 és első utolsó betű nagybetű
Mindig az aktuális oldal neve variálva a fix jelszavunkkal
pl.: amazon.com ebből lesz 19700916Amazon.coM
vagy variálva
1a9m7a0z0o9n1.6com
19700916kiszamolo.hu
havonta megváltoztatandó jelszónak javaslom az aktuális hónapot és valamilyen fix azonosítót
pl: 19700916JanuaR
19700916FebruaR
stb.
Még egy tipp az eldobható e-mail címre, nincsmail.hu, 24 óráig él, és meg is hosszabbítható végtelenszer.
@Nimfas Corporation: És megadtad az oldalnak a valódi jelszavadat, vagy csak egy hasonlót írtál be? 🙂
A saját algoritmussal generált jelszónak az a baja, hogy az egyik helynek kell minimum 2 speciális karakter, a másik legfeljebb 2 nem alfanumerikust fogad el, a harmadikon legfeljebb 8 karakter hosszú lehet a jelszó, a negyediken minimum 8 karakteresnek kell lennie - kénytelen lesz az ember egyedi(bb) jelszót használni, amit aztán persze el is felejt. Aztán ott van az a probléma is, hogy az egyik helyen 30, a másikon 45, a harmadikon meg 90 naponta cserélni kell a jelszót, persze lehet egy számlálót léptetni a jelszóban, de el fog csúszni (az egyiket már háromszor kellett léptetni, míg a másikat csak egyszer).
Szerintem is a biztonságos jelszavakra a generált jelszó alkalmazásban tárolása megoldás, én PasswordSafe-et használok, van Windowsra, Linuxra, Androidra, csak a jelszó file-t kell szinkronban tartani (pl. Google Drive vagy Dropbox). Az eldobható jelszavak maradhatnak böngészőben.
@Gyula: Ezzel a módszerrel, ha a fel nem is tudják törni a fiókodat, azért viszonylag egyszerűen és gyakran megszivathatnak a letiltással, nem?
saját domain. évi pár ezer ft, (gyakorlatilag) korlátlan mail cím. minden regisztráció sajátot kap, pisti.fb@, pisti.twi@, stb. és akkor a jelszó nem is annyira kritikus. ny. vagy é. európai domain regisztrátor, akinek angolul is létezik az oldala, és elfogad paypal-t. nem túl nagy, ergó nem célpont, nem túl kicsi, hogy azért holnap is létezzen.
ettől függetlenül nekem keepass is van, nem baj ha egy helyen összeszedve ott van minden.
@Peter
Lehet az is, meg lehet az is, hogy a rendszer szepen tiltolistara teszi az IP cimet, ahonnan a tomeges tamadas jon, mondjuk 12 orara.
Ha a tulajdonos akar beleni, neki ugyis masik IP cime lesz, es ha keri a feloldast, lesz 12 oraja beleni nyugalomban.
Szerintem a Gmail is letiltja a hozzaferest valami hekkernek, ha elkezd brute force megprobalni belepni akarkinek a fiokjaba.
Ez az ellen is ved, ha ezt az IP cimet tiltas utan megvaltoztatjak.
Gyakorlatilag pillanatok alatt le lehet egy IP-rol erkezett lekerest tiltani.
Az meg elegge elkepzelhetehlen, hogy valakit ilyennel trollkodjanak igy.
MIndenesetre ezzel csak annyit akartam mondani, hogy nem feltetlenul kell km hosszu jelszo egy biztonsagos rendszert kialakitani.
Azt szeretném kérdezni, hogy miként lehet jelszókat feltörni?
Azt hiszem a jelszókat nem kitalálják, hanem feltörik, valamilyen módon.
No mármost, miben különbözik egy "k" vagy "T" vagy "&" illetve "$ " esetleg "4" karakter egymástól, hiszen valójában mindegyik csak egy karakter, amit fel kell tárni valamilyen módon.
Egyszerűen ha valaki kitalálja a p betűt az ki találja a g betűt is.