Ideje átnézned a jelszavaidat
Pár hete kaptam egy e-mailt a Yahoo-tól, hogy elnézésemet kérik, de most jöttek rá, hogy ezelőtt 3 éve feltörték a rendszerüket és több tízmillió másik e-mail címmel együtt az én jelszavamat és e-mail címemet is ellopták.
Arra sem emlékeztem, hogy valaha is regisztráltam a Yahoo-nál, de biztos így volt.
Ma már minden weboldalra, de még mobilapplikációba is regisztrálni kell, hogy egyáltalán beléphess oda.
Mit csinálsz ilyenkor? Van egy gagyi e-mail címed, amit csak erre használsz és egy könnyen megjegyezhető jelszavad, mondjuk a kutyád neve és a születési éved.
Ezt adod meg úton-útfélen, minden weboldalon, webáruházban, online pizzarendelésnél, belépéshez a mobilszolgáltató oldalán, mindenhol. (Jó esetben legalább a bankszámládhoz és a paypal-hoz valami másik jelszót és e-mail címet használsz. De sokan még ezt sem teszik meg.)
Tudják ezt azok is, akik feltörték a Yahoo-t, a Linkedin-t, Myspace-t és a többi oldalt.
Ilyenkor mindenhová megpróbálnak belépni az e-mail cím/jelszó párossal. Első körben a bankokhoz. Aztán a levelezőrendszerekbe, hogy hozzáférjenek a levelezésedhez, hogy a nevedben vírusos leveleket és spameket küldjenek. Aztán jönnek az ismert webáruházak, ahol még a kártyaadataidat is legtöbbször elmentik, így a nevedben küldenek csomagokat a saját részükre, vagy valakinek, akinek előre eladták a terméket egy apróhirdetési oldalon. De ellopják a kuponjaidat és pontjaidat a mindenféle pontgyűjtő kártyákról is. Drága appokat vásárolnak a nevedre a telefonodra, ami után jutalékot kapnak. Esetleg viccből átrakják a tévéelőfizetésedet a legdrágább csomagra és hónapok múlva jössz csak rá. Hónapokon keresztül rendelnek pizzát utcai átvétellel a te számládra, mire átnézed a kártyás költéseidet és rájössz, mit csinálnak.
Sokkal többet tudsz bukni így, mint gondolnád. Á, mi bajom lehet abból, ha a gagyi jelszavamat megszerzik? Sokan fájdalmasan döbbentek rá, hogy mennyi káruk lett belőle.
Hogyan tudsz ez ellen védekezni?
Az első, hogy csinálsz egy normális jelszót. A születési dátumod, a jelszó1234 és a facebook123 nem az.
Vedd például a kedvenc versed vagy dalod első vagy második sorát:
A hatalmas szerelemnek. Legyen minden “a” betű 4-es és minden “e” 3-as és minden “s” $.
Így a jelszavad 4h4t4lm4$$z3r3l3mn3k. Könnyen megjegyzed, de senki ki nem találja. (Esetleg elég az egyik szó is a kettő közül, ha kellően hosszú.)
Ez azonban még kevés. Ehhez minden egyes oldalon fűzz valamit hozzá.
Mondjuk az amazonon írd elé, hogy konyv. A bankodnál, hogy rafi. A Linkedin-en, hogy link. A Facebook-on, hogy face, a twitteren hogy csipog, a levelezőrendszerben, hogy level.
Így minden oldalon más és más lesz a jelszavad, hiába törik fel az egyiket, nem tudják sehol máshol használni a kapott jelszót, még ha az e-mail cím ugyanaz is.
De lehetsz modernebb is és használhatsz direkt ilyen célra kitalált programokat is. Nemrég ingyenes lett a Lastpass, ami még IOS és Android alatt is használható, nézd meg, milyen egyszerűen tudod használni. A jelszavaidat kódolva tárolja. Már feltörték 2015-ben, de a hajukra kenhették a kapott adathalmazt.
Hasonló alkalmazások még a 1Password, Dashlane és a KeePass is és sok másik is.
Akár a manuális megoldást választod, akár programra bízod a jelszavaidat, fontos, hogy mielőbb meglépd, mert az eső után köpönyeg nagyon sokba fog kerülni mind anyagilag, mind időben. Amint látod, nekem is három évvel később szóltak, hogy ellopták a jelszavamat.
Szerintem is a biztonságos jelszavakra a generált jelszó alkalmazásban tárolása megoldás, én PasswordSafe-et használok, van Windowsra, Linuxra, Androidra, csak a jelszó file-t kell szinkronban tartani (pl. Google Drive vagy Dropbox). Az eldobható jelszavak maradhatnak böngészőben.
ettől függetlenül nekem keepass is van, nem baj ha egy helyen összeszedve ott van minden.
Lehet az is, meg lehet az is, hogy a rendszer szepen tiltolistara teszi az IP cimet, ahonnan a tomeges tamadas jon, mondjuk 12 orara.
Ha a tulajdonos akar beleni, neki ugyis masik IP cime lesz, es ha keri a feloldast, lesz 12 oraja beleni nyugalomban.
Szerintem a Gmail is letiltja a hozzaferest valami hekkernek, ha elkezd brute force megprobalni belepni akarkinek a fiokjaba.
Ez az ellen is ved, ha ezt az IP cimet tiltas utan megvaltoztatjak.
Gyakorlatilag pillanatok alatt le lehet egy IP-rol erkezett lekerest tiltani.
Az meg elegge elkepzelhetehlen, hogy valakit ilyennel trollkodjanak igy.
MIndenesetre ezzel csak annyit akartam mondani, hogy nem feltetlenul kell km hosszu jelszo egy biztonsagos rendszert kialakitani.
Azt hiszem a jelszókat nem kitalálják, hanem feltörik, valamilyen módon.
No mármost, miben különbözik egy “k” vagy “T” vagy “&” illetve “$ ” esetleg “4” karakter egymástól, hiszen valójában mindegyik csak egy karakter, amit fel kell tárni valamilyen módon.
Egyszerűen ha valaki kitalálja a p betűt az ki találja a g betűt is.
A wifin lévő MAC szűrés semmit nem ér, csak a laikusok ellen ér valamit.
Ez nem igy mukodik. Amit irtal az a Cezar algoritmus, de az mar a masodik vilaghaboruban is konnyen torhetonek szamitott.
De nem ez a lenyeg, a jelszokat a szerveren nem titkositjak, hanem un. fix hosszusagu hash-t csinalnak pl. MD5 Mondjukra a jelszavad “kiskutya” ebbol meg kijon egy ilyen krixkrax:
f40c14ef90b348274466a696b4d6e9ab
Mondjukra megvaltoztatod az utolso karaktert “b”-re, jelszavad “kiskutyb” ebbol ez lesz:
2dfcb860f5471419d00bb48342a78398
Hagyjuk el az utolso karaktert. Arra, hogy “kiskuty” szinten egy ugyanolyan hosszu krix-kraxot kapunk.
50bd5adb608a8b0d9ae850e69d7bd557
Persze a csunyabacsik egy szuperszamitogeppel kigeneralhatjak az osszes jelszra a hash-t “aaaaaaaaa”-tol “zzzzzzzzz”-ig. Ez az ugynevezett szivarvanytablas tamadas. A Win XP juzerek jelszavat 5-10 percen meg lehet torni ezzel. Tudom, mert egyszer elfelejtettem a jelszavam es meg kellett tornom…
És persze feledékeny vagyok.
Az ügyeimet csak a számítógépemről intézem, nincs okos telefonom.
Van egy jelszóval védett zip file-om. Nem az a neve, hogy passwords.txt 🙂
Ebbe írok minden adatot ami bankokkal, netes vásárlással, stb kapcsolatos.
Pl számlaszám, telefonszám a telefonos szolgáltatáshoz, milyen e-mail címet adtam meg, usernév, stb.
Ez eddig nem nagyon titkos információ.
A jelszavakat nem írom be, csak áttételesen. Megjegyeztem 2 számot, egyiket a fontosabb, másikat a kevésbé fontos helyekre.
A jelszót úgy rögzítem, hogy pl.
Város szám = a kedvenc városom+a kedvenc számom.
VÁros fordított szám2 = a kedvenc városom (az első két betű nagy)+a 2. kedvenc számom fordítva
De erre is van megoldas “salt” es “pepper” formajaban, de errol majd a kovetkezo oran lesz szo. 🙂
Vagy valaki mas leirja.
Ezt még valahogy értem is, hogy krixkrax meg egyebek, de mitől lesz bonyolultabb egy “Ktthv34Sx$4g” jelszó, mint a “kiskutya”?
2017-01-19 at 20:20
“mitől lesz bonyolultabb egy “Ktthv34Sx$4g” jelszó, mint a “kiskutya”?”
Egyes kódtörő programok nem véletlenszerű jelszavakat generálnak, hanem előtte végigfuttatják egy szótár szavait. Ez mondjuk 100 ezer próbálkozás.
Ha kb. 60 féle karakterből készítünk egy 8 betűs szót, abból
60^8=167 961 600 000 000 változat van.
Amugy meg semmi nem akadalyozza meg a hackereket h magyar szotarat hasznaljanak. Kerdeztek errol egy biztonsagtechnikust. O rohogve kozolte h valami eldugott indiai dialektusban hasznalt szavakat is hasznalhatsz, nem akadaly.
Ígérem nem kérdezek többet, de az még érdekelne, hogy a fentiek szerint a szótáras szavaknál erősebb jelszónak tekinthető a random karaktersor.
Ugyanakkor mindenkit óva intenek a név+születési dátum párostól, noha elmondható hogy olyan szó nincs és vélhetően nem is lesz a szótárban, hogy “Zita1976”
Tehát eszerint az analógia szerint a “Zita1976” ugyanolyan erős jelszó lehet, mint a “Ktthv34Sx$4g”
a Zita egy “értelmes” szó. tételezzük fel, hogy valaki összeszedte az összes olyan szavat, ami magyar nyelven “értelmes”. ez az összes lehetséges variáció töredékét teszi ki. viszont hogy a “k$XMsJz/5whZ” jelszót feltörjék, végig kell próbálják az összes lehetséges variációt eddig a jelszóig. és már ez is sokkal több, mint az összes “értelmes” szó.
az IP tiltás önmagában nem elég. meglepődnél, hogy egy pár bitcoinnal milyen botnetet tudnál bérelni osztott támadáshoz (érdekesség: mirai botnet, az “okos”, internetre kötött, TV, led lámpa, fridzsider, kamera végzi a támadást)
…Tehát eszerint az analógia szerint a “Zita1976” ugyanolyan erős jelszó lehet, mint a “Ktthv34Sx$4g”…
Elvileg igen, de ha ismerik a celpontot, akkor semeddig nem tart megtudni a nevet es a szuletesi datumat.
Innentol kezdve ezeknek az osszes kombinaciojaval kezdeni kb 1-2 mp-cel noveli meg a toresi idot, ha nem azt hasznalta, es napokkal leroviditi, ha ezt hasznalta, es sikerul eltalaniuk.
Alapszabaly, hogy nem hasznalun SEMMIT, ami barmilyen modon kotheto hozzank .
(Kutya-macska-gyerek neve, szuletesi datuma, stb)
2017. január 20., 6:24:47
” …Ígérem nem kérdezek többet…
Tehát eszerint az analógia szerint a “Zita1976” ugyanolyan erős jelszó lehet, mint a “Ktthv34Sx$4g” ”
Szerintem kérdezz nyugodtan. A kérdéseid a cikk témájával kapcsolatosak. 🙂
A kódtörő programok nem csak a fentebb írt két módszert használják, hanem kihasználnak minden szabályosságot, ami csökkenti a lehetőségek számát.
A “Zita1976” azért gyenge jelszó mert nagybetű van az elején és utána kisbetűk. Ez a szavak szokásos írásmódja.
Egy szóval kezdünk és utána számjegyek jönnek: ez is kedvelt forma. Ugyanannyi betű van, mint amennyi számjegy: szimmetria. Születési év 19..
Ha elsőre ezeket a szabályosságokat a program kipróbálja, akkor az csak 24*24*24*24*1*1*10*10=33 177 600 próbálkozás.
De a “név+születési év” kombinációt még egy kolléga is eltalálhatja, ha be akar jutni a számítógépedbe.
Hat, ha valaki raallit egy komplett botnetet arra, hogy bejusson a Gmail fiokomba, az elegge agyuval verebre esetnek tunik nekem.
Plusz, ahogy irtam, en nem tartom eletszerunek azt, hogy valakivel direkt igy trollkodjanak.
Szoval, kulon kell valasztani a dolgokat.
En arrol beszeltem, hogy egy exponencialis visszatartast implementalva nem feltetlenul szukseges az eros jelszo.
A betoresvedelem egy cel, de tobb uton is el lehet jutni oda.
Az egyik, amit irtam,
A masik pedig, hogy egyre erosebb jelszavakat varunk el az ugyfelektol.
Mindket ut ugyanugy jarhato.
Habar, mivel ismerjuk a humanoidok fiziologiai es szellemi hatarait, az elso modszer nekem sokkal inkabb ugyfel/felhasznalo baratnak tunik.
A masodik modszert meg olcsobb megvalositani, mivel az ugyfelre tolja a felelosseget.
Es, ettol teljesen fuggetlen, hogyha valakit megtamadnak, es blokkolni akarjak a hozzafereset.
(Bocs többiek az OFFért, csak pont stimmel a születésnap :D)
Hasonló módszert alkalmazok, annyi kitétellel, hogy a minden oldalon egyedi részt a domain név bizonyos betűiből formálom meg, így minden oldalon tudni fogom az egyedi azonosítót.
Pl. A domain név első és utolsó betűjét teszed a jelszó első és utolsó betűjének. Így ha valaki el is lopja a jelszavadat és megpróbál vele bárhova is belépni, valószínűleg nem fog neki sikerülni.
Ezt cifrázhatod persze még tovább a lényeg szerintem, hogy ha mindenhova random szavakat írsz, akkor folyamatosan új jelszó emlékeztetőket kell kérned majd, ezért a “konyv” szerintem kevésbé megjegyezhető.
Legyen egy struktóra, ami alapján minden jelszavadat azonnal ki tudod következtetni.
Aztán meg, ha ez nem emailcím-halász oldal, akkor nyilván csak azokra az email címekre tudja jelezni, hogy feltörték, amelyekről ez már KIDERÜLT.
Úgyhogy talán fölösleges is ez az oldal, úgyis az a legjobb, ha rendszeres időközönként cseréled a jelszót.
Magyarázat:
xkcd.com/936/
world.std.com/~reinhold/diceware.html