Nem tudni, hogy a kereskedelmi TV csatornák műsorszínvonala hozta-e az áttörést, vagy egyéb behatások is felelősök a szürkeállomány ipari méretű leépüléséért, mindenesetre a jelszóválasztási fantáziátlanság az emberek többségénél katasztrofális.
Az Errata Security vizsgálata alapján, amely több ezer, PhpBB felhasználó jelszava alapján történt, az alábbi képet festi elénk, következzen hát a siralmas, mítoszromboló valóság alant. Nem a fórumjelszavak kinyerésének módjára gondoltam, hanem a "talált" jelszavak minőségére.
Először is a nyertes lottószámokat ismertetjük: az "123456" és a "password" a leggyakoribb választott jelszó. Ennél azért talán már egy hintalónak vagy egy amőbának is több fantáziája van;-) És íme a Top10-es lista, a leggyakoribb találatokkal:
3.03% "123456"
2.13% "password"
1.45% "phpbb"
0.91% "qwerty"
0.82% "12345"
0.59% "12345678"
0.58% "letmein"
0.53% "1234"
0.50% "test"
0.43% "123"
Pedig hát egy jól kitalált karaktersorozat ingyen van, és nem "letudni" vagy "kipipálni" való nyűgnek, hanem adatainkat védő, minket szolgáló hűséges Ivanhoenak kellene felfogni a jelszóválasztási procedúrát. Alig pár napja csak, hogy a Conficker kapcsán (mostanában mindenről ez jut az eszünkbe...;-) a gyenge jelszavakról értekeztünk. Nyilván nem azt várja az ember, hogy mindenki atomtudós legyen, és a Harry Pottert sem tudná mindenki megálmodni, de ennél azért biztosan több kellene. Bár Muprhy szerint minden jó valamire, ha másra nem, hát elrettentő példának.
Biscione · http://axl-zizzenetek.blogspot.com/ 2009.02.13. 18:29:28
keszvagyok 2009.02.13. 18:32:53
serwer 2009.02.13. 18:33:36
ahol vissza is osztok, ott rendesen regelek
a netbanknál problémásabb a 123456 :D
Gyurma73 · https://plus.google.com 2009.02.13. 18:46:20
Amúgy mi az a"phpbb"???
kekeckecc 2009.02.13. 18:46:32
Kösz jól vagyok! Ne tessék aggódni! · http://tudtad.blog.hu 2009.02.13. 18:54:22
nyomasek_bobo · http://sopron.e-cafe.hu 2009.02.13. 18:59:28
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.02.13. 19:00:46
A Phpbb egy nyíltforráskodú közkedvelt fórumszoftver:
phpbb.hu/
WonderCsabo 2009.02.13. 19:08:42
Parajka 2009.02.13. 19:09:25
repecs 2009.02.13. 19:15:09
zsüber 2009.02.13. 19:16:42
Patreides · patreides.blog.hu 2009.02.13. 19:26:49
Csak úgy lenyúlják a jelszavakat, vizsgálgatják, majd közzéteszik azokat?
Most akkor én hülyültem meg vagy a világ? :)
amatőr 2009.02.13. 19:29:47
módszer: véletlenszám generátor, ascii kód táblázat, és csak egyszer kellett megtanulni, igaz vannak benne csak alt+numerikus billentyűzettel bevihető karakterek is :))
serwer 2009.02.13. 19:33:14
nem vagy hülye,de nem okos dolog minden fontos helyre ugyanazt használni
májkölnájt 2009.02.13. 19:35:31
Mat6:9-12
a miatyánk citátuma ugye, van benne nagy-/kisbetű, szám és spec karakter is, ő könnyen megjegyzi.
ponyvaregény fanok használhatják az Ez25:17 et jelszónak
papugaja 2009.02.13. 19:41:19
Meg a "topsecret"?
kutty 2009.02.13. 19:54:52
Lehetőleg keverve... :o)
BOB 2009.02.13. 19:55:29
Celtic 2009.02.13. 19:57:31
gothmog 2009.02.13. 20:01:24
"Tüze5en 5üt 1e a nyári nap sugára
az ég tetejérő1 a juhászb0jtárra
Fö1ö51eges d0l0g 5ütnie 01y nagy0n
Hiszen a juhásznak úgyis nagy me1ege vagy0n"
az vajon elég jó wifi jelszónak? Kicsit félek... :P
zsoltix 2009.02.13. 20:18:30
Vattamás (törölt) 2009.02.13. 20:19:33
Na most ha ugyanazt az erős jelszót kezdi el használni mindenütt, az kész digitális öngyilkosság.
Ha mindenütt mást, akkor úgysem tudja megjegyezni őket és ha mégis, akkor majd jönnek a lejáró - kötelezően megváltoztatandó - jelszavak, stb, stb.
Előbb utóbb ménkű nagy káosz lesz belőle....
Én csak a bankkártyám pin kódját és a jelszómanagerem jelszavát tudom fejből, de ez elég ahhoz, hogy mindenütt erős minősítésű jelszót használjak, de sehol sem kétszer ugyanazt.
zsoltix 2009.02.13. 20:31:27
Pomme 2009.02.13. 20:31:37
zsoltix 2009.02.13. 20:32:03
Laslow · http://laslow.hu/ 2009.02.13. 20:40:04
Így:
alapjelszó pl.: u7otVenone
algoritmus pl.: a 7-es után berakni a domain utolsó 2 karakterét.
freemail.hu jelszavad: u7ilotVenone
google.com jelszavad: u7leotVenone
stb.
Ha valaki meg is szerzi egy jelszavadat, az alapján sehova máshova nem tud belépni a nevedben.
2lkedő 2009.02.13. 20:44:04
- Mobil PIN kod 2x, mert ket SIM kartyat hasznalok.
- 2x bankkartya pinkod
- telefonos PIN kod a mobilszolgaltatiougyfelszolgalatahoz 2x (2 szolgaltato)+1 telebank pin kod
- 2 kulonbozo riasztokod
- belepesi jelszo a a ceges notebookra es asztali gepre valamint a ceges szerverre
- PGP disk jelszo 2x
- belepesi jelszo a ceges emailre
-belepesi jelszo a magan emailre
- belepesi jelszo vagy 5 fele Gmail accountra + legalabb 10 fele forumra
- belepesi jelszo eBayre + legalabb 20 fele online webshopba
- belepesi jelszo es alairasi kodszo az internetbankba, amit par havonta le kell cserelni
- belepesi jelszo PayPal-ra
Hirtelen ennyi ugrott be, de biztos van meg par... ha biztonsagosan akrja csinalni az ember, akkor az osszesnek kulonboznie kell. Ennyi kulonbozo kodot megjegyezni viszont atlagember szamara lehetetlen.
Vattamás (törölt) 2009.02.13. 20:46:01
dark future · http://www.andocsek.hu 2009.02.13. 20:52:59
Az nagyon rossz taktika, ha valaki mindenhol ugyanazt (vagy max. 2-3-at) használja, mert vannak olyan helyek, szituációk ill.átviteli csatornák és protokollok, amik nagyon nem biztonságosak (pl. netkávézóban telepített keylogger, szimpla ftp használata, weboldalakon használt jelszavak stb.).
dark future · http://www.andocsek.hu 2009.02.13. 20:58:20
"Ez most hogy is van?
Csak úgy lenyúlják a jelszavakat, vizsgálgatják, majd közzéteszik azokat?"
Nem muszáj lenyúlni (bár tény: egyszerűbb), hanem (leegyszerűsítve) összeírnak néhány száz "jónak ígérkező" jelszót, és megtesztelnek vele különféle rendszereket. Ha valamelyik bejön, akkor húznak mellé egy strigulát.
zRg 2009.02.13. 21:25:07
laccc 2009.02.13. 21:26:27
smartdrive 2009.02.13. 21:29:22
dark future · http://www.andocsek.hu 2009.02.13. 21:50:38
Magyar változatban:
engeggyébe!
gitáros 2009.02.13. 22:10:17
A Hannibal Lektűr-attitűd · http://hannibal.blog.hu/ 2009.02.13. 22:11:24
gitáros 2009.02.13. 22:14:44
naponta 3x 2009.02.13. 22:44:03
dark future · http://www.andocsek.hu 2009.02.13. 23:14:31
Jó szakember lehet; a legtöbb rendszer 15-20 karakternél csonkolja ill. nem is enged ennél hosszabbat beírni... Versszöveget is nagyon érdemes használni, főleg standard, szótári szavakkal...
2009.02.13. 23:17:28
kékféltégla 2009.02.13. 23:34:11
ja én is megnézném, hány oldalon tudja bevésni a versikéit jelszónak.. meg amúgyis kábé hamarabb fel lehet törni szótárból egy versikét, mint egy tényleg jól kitalált jelszót..
2009.02.13. 23:43:31
Nem olyan fontosnak szoktam használni a segg és a fasz szavakat.
Ha kicsit bonyolultabb akkor kap egy 1fasz9-t a password.
A legdurvább a 1F2a3s4Z! :D
Persze csak a módszer a szemléltetett! :D
2lkedő 2009.02.13. 23:48:02
Peldaul legyen a Toldi.
Egy csak egy legeny van talpon a videken->
1cs1Lvtav
Vagy legyen valami kulfoldi, amit fonetikus magyarra irunk at, hogy meg cifrabb legyen, a masodik es az utolso elotti nagybetu
Dire Straits: Sultans of swing
The band is blowing dixie double-four time you feel allright when you hear the music ring->
dBibd24tjfovjhdMr
na, szotarazza ezt valaki...
no mail, no problem 2009.02.14. 00:04:37
@naponta 3x: bocs, de már csak gyakorlati megfontolásokból sem hihető. egyrészt sok rendszer nem fogad el ennyire hosszú jelszót, másrészt az átlagos kétujjas gépelő ennyi szöveget minimum két, de inkább két és fel perc alatt ír be. ha nagyon jól nyomja, kicsivel több ujjal, akkor ez az idő levihető másfél percre. (bocs, de hazai felhozatalt ismerve nem feltélezem, hogy vakon gépel.) és ekkor még az kell feltételeznünk, hogy nem rontott, de az átlagos gépelő 250 karakteren már ront.
nitro1 2009.02.14. 00:07:11
És az milyen már, amikor a rendszer azt mondja új jelszónál, hogy az új jelszavad nem lehet az előző 10 közül egyik sem. :-S Na akkor jön a számozás...
boldiii 2009.02.14. 00:14:51
2lkedő: A szavak kezdőbetűit összegyűjteni arra a néhányezer versre és dalszövegre, ami esélyes, egy tippre kb. 1 milliós szótárat eredményez. Ha pl. kódolt jelszó alapján kell vizsgálódni és feltörni, nos, pár másodperc alatt elvérzik a profi jelszavad. Megint: erősít, de önmagában kevés. Ha a jelszó végéhez adsz legalább pár véletlen karaktert, az már sokkal erősebb!
laslow: a domain-specifikus jelszavad jó ötlet, de mi van, ha valaki le bírja hallgatni három-négy jelszavadat, de nem az összeset, mert modjuk azok nem ssl-en mennek át. Szerintem rövid úton meg fogja tippelni, hogy mi lehet a banki jelszavad, és szívsz.
Szóval ezek az ötletek mind aranyosak, de ha legalább 1-2 számot vagy véletlen betűt raktok be a jelszóba, sokkal erősebb lesz a valóságban. És egy-két véletlen jelszót megjegyezni nem a világvége. (egyébként szerintem az cirbrixa5 megjegyzése könnyebb mint a 05a50aaa5a, mert az ismétléseket nehezebb megjegyezni)
2lkedő 2009.02.14. 00:26:48
Ertem, es mekkora szotar kell a kulonbozo mas nyelvekrol fonetikusan atirt kezdobetukohoz, kulonos tekintettel arra, hogy mindenki ugy irja at, ahogy o maga hallja?
Ezert mondtam, hogy inkabb kulfoldi vers vagy zeneszam, es fonteikus atirassal, bizonyos szavak betuvel masok szammal, stb..
Nem hiszem el, hogy ez olyan egyszeru lenn, ahogy te mondod, mar csak azert sem, mert ahhoz tul sok dalszoveget es verset kene ismerni a vilag minden nyelven...
laccc 2009.02.14. 00:39:10
Vágom, csak annyira meglepett. :D
dark future · http://www.andocsek.hu 2009.02.14. 00:48:40
n3Furgy3_l3!!
dark future · http://www.andocsek.hu 2009.02.14. 00:56:24
no mail, no problem 2009.02.14. 00:59:33
szerintem kissé túlspilizták az egész jeszó kérdést a süket kockák, amikor elkezdték szuggerálni ezt a félkatonai stílusu erős jelszó mantrát. többnyire úgyis az a lényeg, hogy az egyik humán amatőr jelszavát minél nehezebben szerezze meg a másik humán amatőr. ehhez bőven elég, ha a jelszó nem a példákban szereplő kamu jelszó, és nem valakinek a neve a környezetedből, autód rendszáma, és hasonlók, továbbá elzavarod aki a jelszavad akarja megtudni. a többit intézze a szolgáltatás üzemeltetője, ez az ő dolga. .
a kockáknak azt is meg kellene érteni, hogy ha elég erős jelszóra kényszerítik a felhasználót, akkor annak az első dolga az lesz, hogy felírja egy cetlire. (szerintem ennél az 123456 is jobb.) vannak páran, akiknek a négyjegyű pin kód sem megy...
ha meg az nyomorult szolgáltató (pl. bank) annyira fontosnak érzi a jelszókérdést, ne tanácsot osztogasson az ügyfeleknek, hanem tanúsítványt, és tanítson meg szakszerűen kezelni. ne az én problémám legyen, hogyan törik fel más szutykát.
ave 2009.02.14. 01:17:33
theneverlate_Wizard 2009.02.14. 02:22:21
(nekem az opera mindig panaszkodik a hazai (net lock kft)-s oldalakra)
Rob67 2009.02.14. 06:20:40
Én Angliában élek, itt vannak kártyáim, netbankom, de egy még Magyarországon is.
5 Bankkártya + 6 netbank = 5 pinkód + 6 password
Ok, megjegyezhető.
Csakhogy van olyan bank amelyik időnként - mondjuk havonta - kér új jelszót. Ez egy idő mulva komoly permutációt okoz már.
Két év alatt kiszámolható...
Na most ehhez add hozzá ha tényleg elfogadható és nem játékjelszót használsz, mint én magam.
Mi lesz tíz év után?
Ronald 2009.02.14. 06:37:01
Más kérdés, hogy a bankom nem utal egy fillért sem - amig nem irom be az SMS-ben kapott kódot.
Ez a fontos - a többi csak lószar - vagy gyerekjáték.
zsoci 2009.02.14. 07:41:34
turif 2009.02.14. 08:27:32
Szürkemedve · http://www.medveutja.hu 2009.02.14. 08:31:45
Néhány dologra nem alkalmas (pl. windows logon). Lényege: egy titkosított adatbázisban, amit egy mesterjelszó véd (na ez legyen hosszú és bonyolult, az enyém 38 karakter, kisbetű, nagybetű, írásjel. Egy kedvenc mondatom, amit nem szoktam hangoztatni.), tárolja a jelszavaidat, amik innentől teljesen megjegyezhetetlen randomgenerált cuccok is lehetnek.
Fel lehet tenni jópár mobiltelefonra is és innentől mehetnek bele a bankkártyák pin kódjai.
A mobilomon viszont kikapcsoltam a PIN kérést. Nem kell el/otthagyni.
DeMarco 2009.02.14. 08:44:24
Nagykócsag 2009.02.14. 09:14:34
Súlyosbítva ez azzal, hogy mindenhol más a követelmény a usernévre és a jelszóra is.
Nemhogy a jelszavakat, de időnként a userneveimet sem tudom megjegyezni mindenhol, sőt azt sem, hogy hova kéne beírnom.
Fűszoknyás őstermelő a svéd Aldiból (törölt) 2009.02.14. 09:29:29
Fedor · http://fedor.blog.hu/ 2009.02.14. 10:08:00
:-)
blügy-blügy 2009.02.14. 10:11:49
ReWriter · http://miazhogy.blog.hu 2009.02.14. 10:16:25
payskin 2009.02.16. 03:31:22
Van egy jelszóval védett Word állományom, aminek sajnos elfelejtettem a jelszavát és rohadtul kéne a tartalma. Jellemzően 8-14 karakter hosszú jelszavakat használok kis-nagy betűk, számok és írásjelek. Kipróbáltam az összes fellelhető brute-force-os programot: ÉVEK. Majd kölcsönkérek egy Cray-2-t valamelyik múzeumtól. ;)
Fűszoknyás őstermelő a svéd Aldiból (törölt) 2009.02.16. 16:28:08
ha nagyon fontos, és megér 25 eurót, akkor:
www.decryptum.com/hu/index.html