Törték már fel a fiókotokat pusztán abból adódóan mert a jelszó nem volt elég komplex?

"Törték már fel a fiókotokat pusztán abból adódóan mert a jelszó nem volt elég komplex?"

-.-' Sőt! Nem csak a komplexitáson múlik. Ebből egy 1.5 órás előadást is tudnék tartani, hogy miért.

- létezik olyan, hogy: szivárvány tábla, vagy angolul rainbow table

- minden embernek van egy jelszó használati szokása, ha nem generált jelszavakat használ

Az utóbbit kifejtem:

- biztos tapasztaltad, hogy elfelejtetted a jelszavad, de első próbálkozásra sikerült belépni. Ezek az úgy nevezett, default jelszavak per embernél.

- valami emlék vagy aktuális helyhez kötött komponenshez közöd a jelszavad. Biztos, hogy volt már olyan, hogy megadtál valamit, de másnapra elfelejtetted.

Tehát minden ami nem generált jelszó, az hozzád köthető. Azaz ha kifigyelnek téged:

- szokásaid

- családi hálód (hála van FB, Insta, stb. ami megegyszerűsíti)

- szakmád

- tartózkodási helyed

- születési éved, vagy másét

- házi állat nevét

- stb...

Felépíthető egy olyan potenciális jelszó lista, amiben valamekkora valószínűséggel szerepel a tiéd is vagy akár közelíti. Komplexitástól függetlenül.

Pl.: van egy házi állat, ami szeret le ugrálni helyekről, így a neve: kamikaze. Majd kitalálod, hogy ezek szerint ügynök, így 007. Csak, kell egy speciális karakter, ami a "." lesz. Szerinted mennyi a valószínűsége, hogy AltGR+7 azaz "`" adja? Szerintem te is érzed, hogy kevés.

Tehát a jelszó: Kamikaze007.

Ez a jelszó: gyenge, hiába van benne: nagy betű, szám, speciális karakter és a jelszó is hosszú.

1) ismert nevet tartalmaz: kamikaze. A nagy betű nem mentség, első karakter számítható, hogy nagy.

2) 007 annyira népszerű, mint a 1337. Ugyanide tartozik a közeli rokon évszáma is.

3) "." a végén, mert mondjuk kötelező és kell adni valamit. Ez triviális karakter, ahogy más írás jel is.

Egy ilyen jelszó könyvtárat könnyedén lehetne generálni egy ilyennel: [link]

Mindezek mellet, egy tetszőleges titkosított 8karakteres jelszó tartalmától függetlenül 8db RTX2080-al, 2.5óra alatt kipörgethető hashcattel. [link]

Minidezek mellet van GitHub-on jelszó gyűjtemények:

[link]

Tehát generálj jelszót, és mentsd le valami titkosított jelszó kezelőbe.

Windiws-on pl.: KeePass2 program

Linuxra is vannal alternatívák.

Tisztázzunk valamit. Épeszű ember ilyen karaktersort nem ad meg jelszónak(aki meg igen, arról az a véleményem, hogy annak meg úgy kell, így járt). A fiókakat meg nem feltörik, hanem a felhasználó adja meg önként és dalolva a jelszavát valami kamu oldalon, vagy keylogger van a gépépn és még egy nyomorult ingyenes vírusirtót sem hajlandó használni. Aztán meg jönnek ide, hogy "Feltörték a fiókomat, mi tévő legyek?". Egy frászt törték fel. Beléptek a saját jelszavával, amit ő adott meg. Egy megfelelő jelszót, ha csak a legegyszerűbb kombinációt nézzük(legalább 10 karakter kisbetű, nagybetű, szám vegyesen) brute force-al is évtizedekig tart feltörni. A kétlépcsős belépésről meg ne is beszéljünk, mert akkor a jelszó birtokában sincs semmi esélye sem a versenyzőnek, hacsak a telefonodat is el nem lopja.

Bocs, hogy így kiakadtam, de nem tudok szó nélül elmenni a téma mellett és a születési dátum, lakcím, párom neve , gyerekem neve, kutyuskám neve jelszavak mellett.

"Épeszű ember ilyen karaktersort nem ad meg jelszónak"

:D tudnék én cifrákat mesélni neked.

Épeszű ember nem egyenlő a kibertudatosággal.

Welcome:

[link]

#2 vagyok

Lényegében igen. Az, hogy profilozod az user-t úgy lényegében megtalálható az, ahol megüthető.

Tehát: kitudod találni a jelszavát.

Hogy szerver oldalt levédik, az már egy úgy nevezett behatolás csillapítás. Azért kell itt-ott kötelezően jelszót váltani X nap után, vagy blokkolják a user fiókját Y próbálkozás után, nem nézve a forrás címet. Így kvázi tudod DoS-olni a fiókot, így az adott user nem tud hozzáférni sose...

Ha forrás címet is figyelik, akkor lényegében kitudod kerülni a tiltást, hogy minden IP-ről 1x próbálkozol. Például.

Melyik a jobb? Ki tudja egy weblapnál. :)