2. Fórumok
  3. Infotech
  4. Még mindig sokan választják az 123456 jelszót
Keresés

Új hozzászólás Aktív témák

  • #32 samujózsi tag dabadab #30
    Új Válasz #32
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    samujózsi

    tag

    válasz dabadab #30 üzenetére

    Ami van linuxra is, az szinte biztosan megfelel az első pontnak. Megfelelően kódolt, jelszóvédett adatbázissal a szervernek nincs jelentősége.
    Keepass és variációi talán megfelelőek e célra.

    Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM

  • #39 0xmilan addikt dabadab #30
    Új Válasz #39
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    0xmilan

    addikt

    válasz dabadab #30 üzenetére

    Ha mar nyilt forrasu, akkor nem teljesen mindegy, hogy milyen szervert hasznal?
    A LastPass eseten pl. jelenleg 100100 iteracio a default a PBKDF2 algoritmushoz es ezen meg kezzel novelhetsz, ha szeretned. Ennyi hash-t kell kiszamolnod egyetlen probalkozashoz. Sok sikert a brute force jelszotoreshez.
    A biztonsag egy jelentos resze tehat nem abbol ered, hogy rajtad kivul senki nem fer hozza az encrypted vaulthoz (ez is adott persze), hanem abbol, hogy ha hozza is fer, nem tud vele mit kezdeni a kulcs nelkul. A kulcsot meg ugye az emlitett 100100 iteracios PBKDF2 generalja a jelszobol.

    "régebben már érte támadás és nem egyszer volt a biztonsággal problémájuk"
    Ez rosszul lett anno kommunikalva es nem teljesen ugy tortent, ahogy megirtak a mediaban, de ennel tobbet szerintem nem mondhatok.

    Tavis Ormandy amugy nemreg megdicserte a security csapatot. "If you really must use an online one, at least LastPass are responsive to researchers and have a competent security team, I would use them."

    [ Szerkesztve ]

  • #53 borg25 senior tag dabadab #30
    Új Válasz #53
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    borg25

    senior tag

    válasz dabadab #30 üzenetére

    Hát azért vannak ennél fontosabb kritériumok is. De igazad van, utoljára jó 10 éve láttam egy elemzést ami ezt részletesen vizsgálta.
    Ott olyanokat nézték, hogy ok, hogy AES titkosítással vannak védve a jelszók, de az AES-hez használt kulcs mennyire van védve? Egyszer vagy több százezerszer van a jelszó hashelve, lehetőleg, egy bonyolult matematikai algoritmussal, hogy egy mai gépen is ms-ban kifejezhető idő legyen egyetlen jelszópróbálás ideje is. A 11-12 karakteres jelszavakat (azt hiszem 96 írásjellel számolva) nap alatt törték AKKOR! Ok GPU-t is használtak.
    Sok elvérzett, próbáltam rákeresni az elemzésre, mert érdekes volt, talán otthon meglesz. :S

    Az önmagában kevés, hogy látod a szabadon elérhető kódból, hogy XOR-t használ.
    Keepass mellett szól, hogy akkor dicsérték, most is meg tudod adni a master kulcs hashelését és a ciklusok számát. Több faktoros azonosítást ismer. Én a kulcsfájl + jelszót használom. Így a jelszófájl hiába van fent a Google Driveon, az önmagában még kevés, mert egyrészt sok sikert a 15+ karakteres jelszóhoz de a kulcsfájl nélkül semmit se ér, s az ugye nem megy a felhőbe....
    Egyébként időközben a Keepassból is lehetett jelszót lopni: Ha működött és a régi típusú jelszó export plugin telepítve volt, akkor ki lehetett belőle szedni az adatokat. Megoldás: Ne telepítsd a jelszó exportot :D

Új hozzászólás Aktív témák