Ideje átnézned a jelszavaidat
Pár hete kaptam egy e-mailt a Yahoo-tól, hogy elnézésemet kérik, de most jöttek rá, hogy ezelőtt 3 éve feltörték a rendszerüket és több tízmillió másik e-mail címmel együtt az én jelszavamat és e-mail címemet is ellopták.
Arra sem emlékeztem, hogy valaha is regisztráltam a Yahoo-nál, de biztos így volt.
Ma már minden weboldalra, de még mobilapplikációba is regisztrálni kell, hogy egyáltalán beléphess oda.
Mit csinálsz ilyenkor? Van egy gagyi e-mail címed, amit csak erre használsz és egy könnyen megjegyezhető jelszavad, mondjuk a kutyád neve és a születési éved.
Ezt adod meg úton-útfélen, minden weboldalon, webáruházban, online pizzarendelésnél, belépéshez a mobilszolgáltató oldalán, mindenhol. (Jó esetben legalább a bankszámládhoz és a paypal-hoz valami másik jelszót és e-mail címet használsz. De sokan még ezt sem teszik meg.)
Tudják ezt azok is, akik feltörték a Yahoo-t, a Linkedin-t, Myspace-t és a többi oldalt.
Ilyenkor mindenhová megpróbálnak belépni az e-mail cím/jelszó párossal. Első körben a bankokhoz. Aztán a levelezőrendszerekbe, hogy hozzáférjenek a levelezésedhez, hogy a nevedben vírusos leveleket és spameket küldjenek. Aztán jönnek az ismert webáruházak, ahol még a kártyaadataidat is legtöbbször elmentik, így a nevedben küldenek csomagokat a saját részükre, vagy valakinek, akinek előre eladták a terméket egy apróhirdetési oldalon. De ellopják a kuponjaidat és pontjaidat a mindenféle pontgyűjtő kártyákról is. Drága appokat vásárolnak a nevedre a telefonodra, ami után jutalékot kapnak. Esetleg viccből átrakják a tévéelőfizetésedet a legdrágább csomagra és hónapok múlva jössz csak rá. Hónapokon keresztül rendelnek pizzát utcai átvétellel a te számládra, mire átnézed a kártyás költéseidet és rájössz, mit csinálnak.
Sokkal többet tudsz bukni így, mint gondolnád. Á, mi bajom lehet abból, ha a gagyi jelszavamat megszerzik? Sokan fájdalmasan döbbentek rá, hogy mennyi káruk lett belőle.
Hogyan tudsz ez ellen védekezni?
Az első, hogy csinálsz egy normális jelszót. A születési dátumod, a jelszó1234 és a facebook123 nem az.
Vedd például a kedvenc versed vagy dalod első vagy második sorát:
A hatalmas szerelemnek. Legyen minden “a” betű 4-es és minden “e” 3-as és minden “s” $.
Így a jelszavad 4h4t4lm4$$z3r3l3mn3k. Könnyen megjegyzed, de senki ki nem találja. (Esetleg elég az egyik szó is a kettő közül, ha kellően hosszú.)
Ez azonban még kevés. Ehhez minden egyes oldalon fűzz valamit hozzá.
Mondjuk az amazonon írd elé, hogy konyv. A bankodnál, hogy rafi. A Linkedin-en, hogy link. A Facebook-on, hogy face, a twitteren hogy csipog, a levelezőrendszerben, hogy level.
Így minden oldalon más és más lesz a jelszavad, hiába törik fel az egyiket, nem tudják sehol máshol használni a kapott jelszót, még ha az e-mail cím ugyanaz is.
De lehetsz modernebb is és használhatsz direkt ilyen célra kitalált programokat is. Nemrég ingyenes lett a Lastpass, ami még IOS és Android alatt is használható, nézd meg, milyen egyszerűen tudod használni. A jelszavaidat kódolva tárolja. Már feltörték 2015-ben, de a hajukra kenhették a kapott adathalmazt.
Hasonló alkalmazások még a 1Password, Dashlane és a KeePass is és sok másik is.
Akár a manuális megoldást választod, akár programra bízod a jelszavaidat, fontos, hogy mielőbb meglépd, mert az eső után köpönyeg nagyon sokba fog kerülni mind anyagilag, mind időben. Amint látod, nekem is három évvel később szóltak, hogy ellopták a jelszavamat.
Nagyon jó jelszó, megjegyeztem, hasznàlni fogom, köszi…
A második elfogadható és persze egy erős jelszóval védve a jelszókezelő alkalmazást.
Amúgy jelszógenerálásra én egy olyan tippet kaptam, hogy találjak ki egy mondatot, amiben van szám és tulajdonnév, és csak a szavak kezdőbetűi írjam le és jegyezzem meg + vmi rövid jelzés, amitől weboldalanként egyedi lesz. Ez utóbbi szintén fontos.
LastPass-t használok én is. A jelszó generáló funkciója is nagyon jó.
2 rendszergazda beszélget:
– Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod jelszónak?
– Miért, mi a bajod azzal, hogy kc|43-a:w??
A jelszavakkal kapcsolatos intelmekkel teljesen egyetértek.
Minden jelszavam teljesen random generált, nehezen feltörhető, nekem csak a KeePass mesterjelszavát kell fejben tartanom a belépéshez 🙂
És hogy maximális legyen a biztonság, a jelszóadatbázis megnyitásához nem elég az imént említett mesterjelszó bepötyögése, hanem egy kulcsfájlt is meg kell adni hozzá, amit elkülönítve tárolok.
Macerásnak hangzik, de egyáltalán nem az (2 kattintás + jelszó beírás), viszont így legalább tényleg biztonságban vannak azok a fránya jelszavak 🙂
Plusz pont, hogy mobilon is működik az alkalmazás.
Aki jól gépel, annak ajánlom a diceware módszert: world.std.com/~reinhold/diceware.html Azt kell ellenőrizni előtte, hogy biztosan figyelembe veszi-e a rendszer a jelszó végén levő karaktereket is. Régebben előfordult, hogy például csak az első 8 karaktert vették figyelembe.
Én a munkahelyi szervereken, a webbankban és a leginkább használt email címemhez használok épkézláb jelszót (mert az az elfelejtett jelszó funkció miatt gyakorlatilag “nyit” minden mást), sőt cserélni is szoktam. Másutt nem, remélem, hogy a kártyaadataimat nem mentik el az explicit megkérdezésem nélkül.
Kíváncsi lennék, mennyibe fájhatott nekik az “akció”, mivel világszerte több ezer user volt érintett az adatlopásban és gondolom a bankok nem pacsiért cserélték ki az ügyfelek kártyáit…
Van egyébként egy weboldal, ahol bárki beírhatja az e-mail címét és a rendszer kiírja, hogy az adott cím volt-e már érintett valamilyen adatlopási ügyben. Amelyiknél pirosan jelez, ott ajánlott jelszót cserélni…
haveibeenpwned.com/
Ezért egy fokkal talán jobb az offline, vagy saját privát számítógépen tárolt jelszó-adatbázis kezelők (pl KeePass), mert honnan is tudhatnák a hackerek, mi a géped IP címe, kvázi “nem látják” kívűlről… vagyis nehéz úgy odatalálni valahova, ha nem is tudjuk hova kell menni…
Persze ha vki olyan oldalakon jár, vagy telepít ezt-azt mindenféle megbízhatatlan helyről, ami website-ok/programok vírusosak, spyware-esek lehetnek, vagy épp a router-e default jelszót tartalmaz, azon már senki és semmi nem segít.
Másik dolog, hogy otthoni Wifi routeren be kell állítani MAC cím szűrést, vagyis CSAK azok az eszközök férhetnek a Wifi-hez, akiket felvettünk a routerre.
Vagyis a jó jelszó-védelemhez több nehezen áthatolható falat kell felépíteni.
Görbüljek meg ha nem ugyanazt a linket akartam ide bemásolni 🙂
Megelőztél!
technikai szempontból nézve, amelyik oldal olyan komolytalan, hogy lehet rajta brute-force-al törni jelszót (akár szótár alapú, akár random generált), ott ki lehet bányászni bármit.
ergo az én tehcnikám: gagyi oldalaknál gagyi jelszót és nem fáj ha feltörik.
komoly oldalaknál már van tarsolyban erősebb jelszó… na itt lehet elszórakozni olykor-olykor, hogy “melyik verzió is volt az erősebbek közül”… mert ugye ezt is kell x naponta változtatni, a rendszer megköveteli … 😀
a KHB-nál meg 2 lépcsős authentikáció van, szóval ahhoz le kell nyúlni az erős jelszavam, meg a telómat is… az se lehetetlen virtuálisan, de azért egész erős dolog ez így.
megsúgom, kispapírkán leírni a jleszavakat és azt a tárcádba beletenni, még mindig biztonságosabb, mint bármely mobil app.
ha hiszitek, hisztek, ha nem akkor Cassandra
Egyebkent a Yahoo mar evekkel ezelott elindult a lejton, es Mayernek koszonhetoen nem maradt ott senki, aki tenylegesen ertene a technikai dolgokhoz (a gender studies persze mas teszta, abban nagyon profik). Alapigazsag, hogy jelszot NEM TAROLUNK! Nem is kell tarolni, eleg a “sozott” hash-et, es ha netan feltornek a gepet, es ellopnak a jelszoadatbazist, nem tudjak kinyerni belole az eredeti jelszavakat. Egyebkent ezert nem szoktak elkuldeni az elfelejtett jelszot, hanem felajanljak a cseret (bizonyos ellenorzes utan). Ha valahol megis el tudjak kuldeni (mert tartoljak), akkor nagyon ovatosan kell kezelni azt az oldalt (legjobb elkerulni).
Ha egy Yahoo szintu cegnel ennyire hulyek, ott nagyon nagy baj van.
LOLZ, nem kell mindenfele progit toltogetni meg gyanus weblapokra jarni es MAC cim szures. Lenyegeben csak hamis biztonsagerzetet ad.
A legtobb malware-t erdekes modon a download.com-os szarokbol lehet benyelni:
howtogeek.com/198622/heres-what-happens-when-you-install-the-top-10-download.com-apps/
A biztonsagos weblapokkal kapcsolatban az megvan, hogy a Kaspersky weblapjat is meghekkeltek? Pedig oda nem cicis nenikert jarkalnak az emberek.
A MAC cim csere meg kb. 2 perc. Gondolom az SSID-t is rejted. 🙂 De nyugi, vannak mar automata tool-ok is wi-fi toresre.
“Az online jelszó-tárolók egyik hátránya az, hogy a hackerek tudják hova kell betörni (pl Lastpass), letöltik az adabázist és elmolyolnak a feltörésével.”
Tul sok CSI / NCIS-t nezel. Azert azt megneznem, ahogy egy AES256-ot brute force-olnak.
A titkosszolgalatok inkabb a “rubber hose password cracking” technikat hasznaljak, ha gyorsan akarnak jelszavat:
xkcd.com/538/
haveibeenpwned.com/PwnedWebsites#NetEase
tumblr, linkedin, yahoo, dropbox. A nagyok is elbuknak, mindenképp a jelszó specifikus oldal lenne a legjobb, de halandónak külön jelszavakat megjegyezni nem egyszerű dolog. 3rd partyra bízni a jelszavainkat még kevésbé tűnik okosnak.
maganelet.hu
tanarblog.hu/cikk/onmegsemmisito-e-mail-cim-10-minute-mail
“kétlépcsős azonosítást”
Engem ez marhára idegesít. Nincs számomra annál dühítőbb, hogy hülyének nézik a usert. Ha tudom a jelszavam akkor igenis csak én lehetek az aki be akar lépni, mindegy hogy épp Las Vegasból vagy Keréktelekiről, hogy Windows vagy Linux alól. Nem kell még egy idegesítő biztonsági funkció. Azt elfogadhatónak tartom, hogy legyen az ilyesmi választható, de az hogy egyre több oldal erőszakolja rám ezt a marhaságot, az nagyon nem tetszik. Értem én, hogy sok olyan felhasználó van aki még ahhoz is hülye hogy legeneráljon egy jó jelszót (vagy esetleg beírja a googleba hogy jelszógenerátor), de ne szívassanak mindenkit ezek miatt.
Plusz, had dönthessem el én, hogy milyen fontos nekem az adott fiók.
Az simán lehetett olyan mail is, amivel csak ki akarták csalni a jelszavad. Ha történetesen lenne yahoos címed, akkor van rá esély, hogy klikkelsz a levélben szereplő linkre és szépen megadod nekik a jelszavad (nem személy szerint rád gondolok, de sokan vannak akik megeszik az ilyet). Hisz a felhasználók egy része ott tart, hogy 2017 januárjában jön rá, hogy az 1234 nem biztonságos jelszó.
Az eddig nyilvanossagra kerult lopott felhasznalo/jelszo adatbazisokban nezi, hogy tartalmazza-e a beirt email cimet. Neha leirast is ad, hogy mikor es milyen modszerrel tortek fel az oldalt, es mennyire van veszelyben a jelszo. Ha valamit feltortek, akkor valtoztassatok jelszot, es lehetloleg mashol ne hasznaljatok.
Amikor még egyetemista voltam leragasztottam a laptop-kamerát, de nem azért mert az NSA-tól féltem, hanem azért, mert a koliban több száz, minden hájjal megkent informatikus-hallgatóval voltam egy hálózaton, és nem mindenkivel volt felhőtlen a kapcsolatom… 🙂
howsecureismypassword.net
hwsw.hu/hirek/54117/lastpass-jelszokezelo-biztonsag-tamadas.html
pcworld.hu/szoftver/sulyos-sebezhetosegek-a-lastpass-jelszokezeloben-214335.html
Tényleg a Yahoo-tól jött és nem volt benne semmi link és semmi, csak egy viárverisori levél volt és hogy övék a felelősség, de azért cseréljem le a jelszavaimat.
Ezért is írtam: “nem személy szerint rád gondolok, de sokan vannak akik megeszik az ilyet”. 😉
Nem régen cseréltem jelszót, de ma újra.
A te technikáddal cseréltem jelszót, remélem, nem felejtem el. 🙂
Mi a helyzet a Facebook-kal, Gmail-lel összekötött loginokkal, ahova nem csinálsz külön fiókot? Tipikusan pl. Pinterest, Medium, RSS olvasók, Youtube stb. Inkább csináltok mindenhova új fiókot az email címmel?
Viszont nekem is van olyan funkciom, hogy biztositas teriti, ha a kartyat v adatait ellopjak, es a letiltas elott meg hasznalja valaki. Kerul kemeny havi 2 euroba, ennyi megeri.
De én is kaptam figyelmeztetést.
Nekem le van ragasztva a kameram 😉
Nalunk RSA token van.
30 percig eleg megadni a Win jelszot, utana token kodot plusz Win jelszot.
Jelszocsere 6 havonkent.
Szerintem ez az egesz jelszo dolog rossz iranybol van megkozelitve.
Honlap oldalrol lehetne a legkonnyebben megoldani:
– Tetszoleges jelszo, akar 4 jegyu PIN
– Exponencialis visszatartas. (elso elrontott probalkozas, 1 sec varakozas, masodik: 10 sec varakozas, 3. 100 sec varakozas, utana tiltas 24 orara, vagy feloldasig)
– Tiltas feloldasa:
– masodik lepcso, (masodik email, SMS, telefonalas)
– Automatikus feloldas 24 ora mulva.
– Opcionalisan, ha megis hekkelni probalkoznak, 3 nap utan tiltani.
Ezzel lehetseges egyszeru PIN kodokkal vedeni a honlapot.
Ha valaki nem a trivialis 1234-et valasztja, akkor igencsak sokaig tart brute force-val bejutni.
Ugye, automatikusan csak 4 jelszot probalhat ki egy napon belul ami elegge feleslegesse teszi a probalkozast
Egy többszavas magyar kifejezés vagy egy rövidebb mondat pedig kifejezetten nehéz jelszónak számít, különösen, ha teszünk bele 1-2 spéci karaktert is. Mondatokat pedig könnyebb megjegyezni, mint értelmetlen karaktersorozatokat. Az egyedi végződésekkel (fész, rafi, csipogó, link, stb) pedig nagyobb biztonsággal használhatjuk ugyanazt a mondatot több helyen is.
19 SEPTILLION YEARS
to crack your password”
Az úgy elég hosszú idő? 😀
Fix kód amit megtanulunk: ez lehet a születési dátum is pl: 19700916 és első utolsó betű nagybetű
Mindig az aktuális oldal neve variálva a fix jelszavunkkal
pl.: amazon.com ebből lesz 19700916Amazon.coM
vagy variálva
1a9m7a0z0o9n1.6com
19700916kiszamolo.hu
havonta megváltoztatandó jelszónak javaslom az aktuális hónapot és valamilyen fix azonosítót
pl: 19700916JanuaR
19700916FebruaR
stb.