Új hozzászólás Aktív témák
-
DJS
tag
Igazából lehet érvelni az MS megoldása mellett és ellen is.
Az, hogy a létező jelszavak effektíve ovlashatók lesznek külső emberek számára is ("kérlek, ne válaszd a dajkopali"-t, mert azt már ötszázan használják), alapvetően új típusú biztonsági kockázatot jelent. Eddig a rossz jelszóról max. anyni visszajelzés volt, hogy rossz, sőt sok oldalon azt írták, hogy "a név/jelszó páros nem megfelelő", találd ki, hogy melyikben volt a hiba. Most már az is kiderül, hogy ez létező jelszó, sőt nem is egy ember használja, hanem 500. Azaz ha mondjuk a Facebooknak van 500 millió a felhasználója, akkor ők eddig 500 millió külön kihívást jelentettek, de a nagy részük elég buta jelszavakat használt. Most, ha az új módszert használják, akkor a jelszófeltörők minden egyes feltört jelszóval hozzájutnak 500 fiók jelszavához, de maximum csak 500-hoz. Ez az egész portálra nézve a biztonság növelését jelenti.
Viszont a captcha-s meg ilyen bot-tiltó rendszerek a regisztrációnál (hogy bottal ne lehessen bruteforceolni) nem lesznek elegendőek. Mert ekkora tét esetén már megéri kínai feketemunkásokat bérelni, akik lelkesen írogatják a capchákat befele, és jegyzik, hogy mire adott a gép "már 500-an használják" jelzést.
Viszont még emberek bevonása esetén is ott a probléma, hogy nem tudod, milyen felhasználónév tartozik hozzá (ezért a lehetséges kombinációk száma az egekbe nő), és hogy a brute-force folyamat lassul. Legalább az emberi munka sebességére.
A kérdés ezután az, hogy így, ilyen lassú és drága módszerrel megéri-e majd megfejteni. Ugye a trend az, hogy egyre több értékes adatot rakunk rá ezekre a hálózatokra.
-
orbano
félisten
a "létezik-e ilyen jelszó a rendszerben" információ kinyerése úgyanúgy egy elég masszív művelet, nem sokkal könnyebb, mint beletrafálni egy ember jelszavába. és ha bele is trafálsz egybe, 500 millió usernél kell bepróbálkoznod. amihez előbb meg kell szerezned a teljes felhasználólistát, és valahogy meg kell oldanod, hogy a szolgáltató ne vegye észre, hogy 500 millió próbálkozásod volt mindig más userre.
kínai munkásokkal meg nem fogsz beletrafálni 10 év múlva sem használható számú jelszóba.A vér nem válik VAZZE!™
-
auth.gabor
tag
Szóval regisztrációkor kipróbálok pár tucatjelszót, amelyre majd azt mondja a szolgáltató, hogy már van legalább egy ilyen, és akkor csak annyi a dolgom, hogy rápróbáljam erre a jelszóra a szolgáltatónál lévő 1-2 millió login nevet (gyakorlatilag email címet)...
Sokkal nagyobb könnyebbség, mint egy login névre rápróbálni félmillió jelszót és akkor még csak a négybetűs kis angol betűk variációt próbáltuk ki...
https://iotguru.cloud
-
orbano
félisten
válasz auth.gabor #54 üzenetére
a cikkben írva vagyon, hogy a nagy solgáltatókhoz találták ki a rendszert. 1-2 millió usernél picivel több kell ehhez a titulushoz
A vér nem válik VAZZE!™
-
auth.gabor
tag
Ezt értem, de ha megnézel egy angol kisbetűkből és számokból álló jelszókombinációt, az 6 karakteres kombinációknál már eléri a 2 milliárd jelszót. Továbbá a jelszavak eddig is -- legalábbis minden rendes helyen -- hash formában voltak jelen, amely nem jelentette a jelszó ismeretét, de a felhasználónevek nem voltak kódolva. Most kódolni kell a felhasználó neveket is... különben egy adatszivárgás csúnya következményekkel tud járni...
Én sokkal jobbnak tartanám, ha a mobil eszközökbe kerülne OTP generátor, és azzal a jelszóval tudsz belépni. Legtöbb esetben a mobil már kéznél van.
https://iotguru.cloud
-
orbano
félisten
válasz auth.gabor #56 üzenetére
értelmes 6 betűs angol szóból aligha van 2 milliárd. az egész dolog pedig erről, a szótár-alapú törésről szól. azzal meg senki sem megy semmire, hogy a rendszer megmondja: igen, a "jesus" jelszót használják. eddig is tudta statisztikai alapon a támadó, hogy jó eséllyel talál bele, így ezzel a lekérdezési lehetőséggel nem sokra megy. viszont a statisztikája romlani fog, mert sokkal homogénebb lesz a jelszavak eloszlása, az 500-as limit igen hatékonyan fogja egy többtíz/százmilliós felhasználói adatbázisban az előfordulási valószínűséget rontani és ennek okaként az összesen használt jelszavak számát növelni.
A vér nem válik VAZZE!™
Új hozzászólás Aktív témák
- MICROSOFT XBOX SERIES X - EXTRÁKKAL
- ASUS X409FL - ezüst 14"iPS FHD, i5-8265, 16ddr4/256 nvme, nVIDIA MX250-2 Magyar-LED, type-C SZLA+GAR
- Apple iPad Pro 12.9 2022 128GB, asztroszürke (GPS, Paperlike tok +fólia): iCentre gari 2027.02.23-ig
- Precision 5540 15.6" FHD IPS i7-9850H T1000 16GB 512GB NVMe magyarított vbill gar
- Playstation 5 lemezes (2DB kontroller)
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen