« nomd5(); »

Mióta amúgy egy picit otthon vagyok a webfejlesztésben, azóta egy picit nem szeretek jelszót használni. Mármint, a jelszó az jó, persze, csak ugye tisztában vagyok vele, hogy mennyire veszélyes dolog is: én például sokáig egy jelszót használtam mindenhol, ami nagyon jó is volt, mígnem »valaki feltörte a blogot«, aztán kénytelen voltam legalább itt más jelszót használni. És azóta úgy vagyok vele, hogy: a mindenit, hát mennyire egyszerű nem titkosítani a megadott jelszót. És vígan írod be, hogy felhasználónév: Géza jelszó: szeretemaszorosnoiLaBakAt1991, annak tudatában, hogy hát ezt biztosan titkosítják. Pedig nem biztos az.

És azóta van az, hogy minden oldalon más jelszóval regisztrálok. Igaz, ez kellemetlen, mikor régóta nem jelentkeztem be valahová, és néha öt-hat jelszóból kell tippelni, de megoldom. És legalább egy fokkal nagyobb biztonságban érzi magát az ember. Amire végül is ki akarok lyukadni, az nem más, mint hogy szép meg jó ez a sok technikai kütyü, de veszélyes dolog is.

Kommentek RSS ikon
A bejegyzéshez érkezett kommentek, amiket RSS csatornán is követhetsz.
#1
eF`k3_
enyhen kocsogseg, ha esetleges regisztracional az oldal nem valamilyen hash-ban tarolja a jelszot. szamomra alapveto dolog, hogy az ilyeneket igy kell tarolni. ennek ellenere en teljesen random jelszavakat hasznalok, mindenhol mast, „k5AS2sBB8s” ilyesmiket. elfelejtesnel gaz, de altalaban felirom valahova.
#2
b3ck
Az authentication service-eket erre találták ki, csak ugye kevés oldal támogatja, meg persze kérdéses, hogy mennyire biztonságosak. Jó-jó persze azok, de ha azt egyszer mégismegtörik, akkor aztán bajban lehet a fél web. :)
Már ha elterjedne, mert nem nagyon akar.
#3
b3ck
„(Még jó, hogy a blognak teljesen egyedülálló FTP-jelszava van, amit sehol máshol nem használok.)" ( http://mefi.be/muti/1257#15676 )

AHAH, most akkor mi ez.
#4
Jackson
Azt hittem, azért ezt mindenki megcsinálja, mármint a hashelést…
BTW, md5-öt nem tudják semmiképp visszafejteni amúgy? Mármint mintha úgy hallottam volna, hogy valakinek sikerült. Tudom, hogy hash és elméletileg nem lehet brute force nélkül, de…?
#5
Lin3Lord
és ha tudnád, hogy amit annó adtam neked blogom adminjához jelszó az még hány helyre jó ;)
és most megyek lecserélem őket, mert azt hiszem eFk3 is tudja. :D
#6
mcbuddha
Jackson: Brute force nélkül nem, de a brute force a mai gépekkel már elég sokra képes egy 64-128 bites hash-sel.
#7
Mao
Jackson: több dologhoz is tartozhat ugyanaz a hash. ennek az esélye mondjuk 16 a 32ediken, vagy 32 a 16odikon, nemtom, de lényeg h lehet. és nemtudhatod, hogy az egy szó, vagy egy duplarétegű DVD képfájl
#8
saxus
Mefi: onnantól kezdve, hogy egy-egy exploitot kurvára nem nehéz összeszedni google-ban, vagy hogy kb. 100 sorból C össze lehet ütni egy keyloggert, onnantól kezdve kurvamindegy, hogy mennyi különböző jelszót használsz.
#9
Ralesk
Jackson:, mcbuddha: Elvileg lehetetlen visszafejteni, mert nem tömörítésről van szó. Az más kérdés, hogy található-e olyan szó (ismert szótárból vagy valami random zagyvalék), aminek ugyanaz a hash-e. A válasz erre igen, az MD5 támadható (ha jól emlékszem akkor van rá jó gyors módszer, az SHA-1-hez nincs).
#10
Mefi
b3ck: A blognak ugye nem csak egy jelszava van; FTP, MySQL, és az admin – én az adminról beszélek, előbbi kettőnek nem is én adom a jelszót, hanem valami generált rondaságot kapok. :)

Lin3Lord: nem szoktam ilyenekkel visszaélni, már csak azért sem, mert nem emlékszem rá. ;)

saxus: persze, kurvamindegy, de a remény hal meg utoljára, tudod.

Jackson:mcbuddha: én egyébként hallottam már olyat, hogy a japánoknak sikerült egy md5 hash visszafejtése. Nem tudom a hírnek mennyi a valóságtartalma.

Jah, és bruteforce elleni védelem lesz a következő verziós blogban, hogy három próbálkozás után nem enged semmit csinálni az admin rész, és onnantól csak egy FTP-eléréssel lehet oldani, vagy hasonló. (Ezt majd még kiokoskodom.)
#11
Maerlyn
Ajánlom kipróbálásra a keepass n. progit, egy egyszerű, okos jelszómanager app. Régóta használom, mostanra szinte mindehol ezzel generált, random jelszavam van. Csak a db jelszavava legyen elég erős :)
#12
axaard
Maerlyn: Fx-hez is volt ilyen extension, már nem emlékszem a nevére pontosan, de ezekkel az a baj, hogy egy rendszerösszemolás esetén (ha nincsenek folyamatos backupok) igen gáz…
#13
moikboy
Na jó, szerintem hamarabb füstölne le a szerver, mintsem, hogy bruetforceolnák a szerveroldali cuccaidat. Egyébként pedig ezért nem bízok a „pistike első regisztrációs oldala” c. projektekben. Egy blogra ne kelljen jelszó ahoz, hogy kommentáljak.
#14
suexID
Dictionary attack.
#15
Haszprus
Mefi: „én egyébként hallottam már olyat, hogy a japánoknak sikerült egy md5 hash visszafejtése.”

lol :)

nagyon szép tömörítési eredmény lenne egy md5-ből mondjuk egy dvd tartalmát visszaállítani. biztos igaz lehet…
#16
mcbuddha
Haszprus:Nyilván egy kifejezett hash egyik lehetséges eredetijét sikerült megtalálni ütköztetéssel, szótárakkal. Amúgy az idevágó wikipédia szócikk linkjei között van egy elég szép szótárral rendelkező visszafejtő, akit érdekel, keresse meg.
#17
Haszprus
mcbuddha: jó hát szótárak vannak, ezt tudjuk…
#18
Maerlyn
axaard: de ez nem csak fx-hez jó, ráadásul megy win-linux-mac rendszereken egyaránt, ugyanazzal az adatbázissal.
#19
Haszprus
mcbuddha: ok valóban a wikipedia oldalán 1xű szótárazásnál többről írnak, egyelőre nem sikerült dekódolnom de ami késik nem múlik…
#20
mcbuddha
Haszprus:BTW a szótáras-ütköztetős linket az idők folyamán kivették, a historyban még megvan. Van egy olyan ami több adatbázisban is keres, egész jó.
#21
Mao
nekem sikerült, sőt. már így mentem ki a filmeket is. meg úgy töltök le netről, hogy megnézem a hash-t (általában az is fent van), aztán meg dekódolom, és ha találok olyat, aminek a mérete az ami nekem kéne akkor nyertem. titkos project, nem tudtok róla
#22
axaard
Mao:LoL!

Pls, a forrást add ide! Vagy csak a progit!
Forradalmasítaná a P2P hálózatok használóit, az biztos :-P
#23
maat
Mao: erre csak ennyit tudok mondani
#24
Max Logan
Lehet én vagyok a hülye, de nem igazán értem, hogy mi értelme van az MD5 hash -> jelszó szótáraknak. Ha a rendszered MD5-tel titkosított jelszavát megszerzik (ergó feltörték a DB-t), akkor már nem tök mind1 …
#25
Jackson
Max Logan: Mert attól még, mert a hash megvan, azt, hogy a jelszó mezőbe mit kell írni, nem tudod…
Egyébként hülyeség teljes értelmes szavakat használni jelszavakhoz.
#26
Max Logan
Jackson: Ha hozzájutsz az MD5-ös jelszóhoz, akkor jó esetben már meghackelted a rendszert (hozzáfértél a DB-hez), ergó felesleges visszakeresni a jelszót. Ha pedig hackelés nélkül meg tudod szereni az MD5-ös jelszót, akkor a rendszer halálra van ítélve …
#27
mcbuddha
Max Logan:Azért, ha van egy banki db-részleted az ügyfelek adataival és webes jelszavuk hash-ével, akkor nem rossz egy ilyen szótár.
#28
Jackson
Max Logan: Ja igen :)

mcbuddha: Igen, ha bűncselekményt akarsz elkövetni :P
#29
Max Logan
mcbuddha:OK. Én alapvetően gyakorlati szemléletű vagyok és nem tudom elképzelni, hogy ha hozzájutok egy rendszer jelszavainak MD5 (vagy más) hash-éhez, akkor ne férnék hozzá az egész DB-hez. Ekkor pedig rohadtul nem érdekel, hogy mi a régi jelszó, mert beírok bármint a jelsózhoz a users táblában és kész. Ha esetleg trükközés után kreálják a hast-t, akkor az oldal forrásából egyértelműen kiderül, hogy milyen módon kell képezni, tehát megint csak ott vagyunk, hogy nem kell a régi jelszót megfejteni. Egy támadás esetén kétlem, hogy csak DB részletet kapna az ember és ilyenkor azzal kellene tökölni, hogy vajon mi a user jelszava.

Én kicsit megkutyulom a jelszót amikor tárolom az adatbázisban, de most elgondolkodtam, hogy miért is teszem ezt. Ok, hogy nem lehet tudni, hogy mi a jelszó, de ennek mi a gyakorlati haszna azon kívül, hogy ha vki hozzáfér a DB-hez, akkor nem látja egyértelműen, hogy mi a jelszó. Mint írtam, ha hozzáfér, akkor meg nem érdeli, mert átírhatja bármire és be tud lépni a rendszerbe.

Tehát csak közvetett jelszólopás elleni védelemnek látom a hash-ként tárolt jelszavakat.
#30
Jackson
Max Logan: A lényeg: Kell és kész! :D
#31
Max Logan
Jackson:Ok :-) Csak kicsit átgondoltam, hogy miért is titkosítva tárolom a jelszavakat és egyetlen ok amit találok, hogy ha feltörik a DB-t, akkor nem kapják tálcán a user-ek jelszavait. Ez is inkább csak a közvetett felhasználás miatt érdekes, legalábbis másra nem tudok gondolni.
#32
mcbuddha
Max Logan:Látom, nem érted. Jelszó nem csak a blogod admin felületéhez van, hanem olyan helyeken is, ahol sokezer user adatait tárolják egy helyen. És ha valaki megszerzi mondjuk egy fórum adatbázisának egy részét, ahova be vagy regisztrálva a kedvenc jelszavaddal, akkor ott már nem mindegy, hogy plain text, vagy hash.
#33
moikboy
Max Logan: én az oldalak tulajdonosában sem bízok. Többek között ezért is jó a hash, mert nem kell attól tartani, hogy maga a tulaj él vissza a jelszóval.
#34
Mefi
moikboy: meg apropó bizalom: milyen jó is az, mikor a mélcímedet eladják…
#35
moikboy
Hát még mikor feltörik :D kukac7
#36
Max Logan
mcbuddha:Értem, de annak az esélye, hogy csak egy fél DB-t kapsz minimális. Ha már törnek, akkor megvan a DB jelszava, ergó nem érdekli a betöröt, hogy mi a te jelszavad, mert ott van minden adat.

Mint írtam a hash-ben tárolt jelszó (sztem) csak a közvetett visszaélés miatt érdekes (már ha feltételezzük, hogy a user máshol is azt a jelszót használja). Más indok van??? Engem ez érdekelne, mert én nem látok más indokot.

moikboy: Muszáj bíznod, vagy zárkózz be a lakásba és ki se menjél. Kölcsönös bizalomra épül minden (ha visszaélnek vele, akkor meg tenni a szükséges lépéseket). Ennyi erővel ne parkoljál sehol, mert bármikor lenyulhatják az autódat (persze ott van a riasztó, de hát az sem mindig véd meg a lopástól) …
#37
Max Logan
moikboy:Egyébként meg honnan tudod, hogy hash-ben tárolják a jelszavad?
#38
moikboy
Többek között onnan, hogy ismert/elismert rendszerekről ez köztüdomású: pl. phpBB, phpNuke, WordPress. Másrészt meg a meggyőző, corporate-oldalakban bízok. Azokban az oldalakban viszont, amik ilyenolyan kézzel barkácsolt engine-nel futnak, különböző ingyenes tárhelyeken, na azok miatt van bennem egy kis félsz.

És igen, kölcsönös bizalomra épül minden, feltéve, hogy én ezt a bizalmat megszavazom az adott körülmények között.
#39
mcbuddha
Max Logan:Nagyobb rendszereken nem tárolnak minden adatot egy helyen, pontosan ilyen okok miatt. És a „közvetett visszaélés” sem elhanyagolható, nem hiszem, hogy túl sokan használnának mindenhol más jelszót.
#40
Max Logan
moikboy:Egyrészt jogos, amit írsz, másrészt pedig még mindig a bizolom az uralkodó, mert nem tudhatod, hogy mi van a háttérben.

„És igen, kölcsönös bizalomra épül minden, feltéve, hogy én ezt a bizalmat megszavazom az adott körülmények között.”

Ez logikus :-)
Új komment

Itt az adott bejegyzésben elhangzottakhoz szólhatsz hozzá. Ha primitív, csúnya, vagy bunkó erkölcsről teszel tanúbizonyságot, tuti, hogy kimoderállak és rosszat mondok rólad. A hozzászólás nem kötelező, amit írsz vállald föl!

Ezeket az adatokat - ha a böngésződ kezeli a kukikat - csak egyszer kell megadnod, később módosíthatod.

Ha van gravatarod - és a gravataros e-mail-címeddel kommentálsz -, akkor az megjelenik. Ha nincs, vagy nem tudod miaz, akkor olvasd el az útmutatót és regisztrálj.

Neved: E-mail címed (nem jelenik meg): Webszájtod (ha van): Kommented: Mennyi öt és négy összege?
Ez védelmi célokat szolgál, szimplán írd be a fenti összeadás összegét!

A kommentedet írhatod nagyobb mezőbe vagy akár formázhatod is, de ha nem szalonképes, akkor moderálom!

Ajánló
Ebben a témában, esetleg ezen a napon voltak még ilyenek is:

MefiVC (2010. október 25., 02:47:47)
Apple Event 2010 - Bemutatták az iPad-et (2010. január 27., 06:48:18)
Google Chrome OS (2009. július 08., 12:06:31)

Érdekességek
Száraz számok, pusztán csak tények:

Ez a bejegyzés 1780 napja született, 229 szóból, és 1157 karakterből áll. Ajánlhatod bizonyos linkgyűjtő oldalaknak: