Mutasd a passwordöd, megmondom, ki vagy

Régóta tervezek egy írást arról, milyen passwordöt érdemes, illetve ezekkel hogyan dolgozzunk. Egyáltalán, a felelős password management digitális világunkban.

Beleznay Dániel of CIB Lízing nekem egyszer azt mondta, hogy számára minden vitális információ megvan okosan kódolva, amihez ha hozzáférnék, se tudnám megmondani, mit kezdjek vele. Beleznay Dániel még azt is mondta, hogy mindenképpen oda fogja adni a Prison Break-et, mert kurva jó. Ezután a fapadra dőlt, mert benne volt pár Unicum. Ez egyébként a “Hullám” nevű diszkóban történt a Balatonnál még régebben, amikor a vitorlás vizsgára készültünk (én megbuktam szokás szerint a kresz-en, ő átment csont nélkül).

Eredetileg azt terveztem, hogy bemutatom, hogyan lehet három tier-re osztani a password hierarchiánkat, és akkor a gagyi site-okon a tier1-es, könnyebb passwordjeinket használjuk, végül a tier3-as, a legbonyolultabb, kizárólag a bankunk oldalán használatos megoldás.

Közben eltelt egy csomó idő. Ebben a postban nem fogok abba belemenni, hogy az ember hol és hogyan tárolja szenzitív információit, inkább egy megoldást mutatok arra, amire én végül kilyukadtam, mint két repülő szűzhártya a sivatagban, amikor az egyik megkérdi, hogy hol vannak.

Tehát felejtsük el a tier-eket, és azt, hogy vannak site-ok, ahol mindig ugyanazt a passwordöt használjuk. Ez a módszer elment úgy 1996 körül.

Hogy talál ki az ember jelszavat magának? Én sok éven keresztül fejből dolgoztam, amit pszeudó módszerekkel iteráltam. Például: 4PPL3, vagy 4pP13337, ilyesmi. Variáltam a passwördjeimet, de csak ezen a szinten.

Aztán megjelent az a probléma, hogy egy ilyen reusable passwordöt meg kellett osztanom pl munka miatt valakivel, ezért inkább megváltoztattam, aztán vissza akartam írni — bullshit.

Tézis: minden password legyen erős. Nehezen kitalálható, nehezen feltörhető, valósághoz nem közelíthető és teljesen egyedi.

Ha ennek megfelelően élünk, rohadtul mindegy, kinek mit adunk meg valamiért, ki mit talál ki, ki mit lát meg.

Ehhez kulcsfontosságú lépés, hogy kerítsünk egy jó password generáló szoftvert. Én Windows alatt többféle megoldással is próbálkoztam, de nem értem el jó eredményt. Aztán próbálkoztam Linuxon, de ott is feladtam valami miatt az egészet (már nem emlékszem miért, de nem is érdekes).

Mac-en a Tiger-ben viszont megjelent egy baromi hasznos kis program az operációs rendszer részeként, ami tökéletes erre a célra.

Gentlemen, meet the Password Assistant!

A hivatalos leírás erre. Sajnos csak akkor érhető el, ha pl új accountot csinálunk a gépre, holott ez egy nagyon jól használható eszköz. Éppen ezért le kell tölteni egy kis programot, ami nem csinál mást, mint azt, hogy megnyitja a Password Assistant dialógus ablakot. Én még egy custom ikont is ráaggattam, és beletettem a shortcutjaim közé.

Ezzel elég jó hatékonysággal tudunk egyedi jelszavakat készíteni magunknak, érdemes megnézni a menüket, van itt minden: numbers only — 856591016358, letters and numbers — MHrzpRdl73BO, memorable — epos8\quirts, random — oxz3Yvi*7Q:U, FIPS 181 compliantirfyatcakurd. Így kell megírni egy alkalmazást (figyelmeztet, ha angol szótári szavakat használunk, teszteléshez is használható például).

Semmi fancy, teszi a dolgát. Én általában egyfajta módszerrel, elég hosszú jelszavakat készítve indítom — és aztán copy paste-elem a dolgokat. A fontos jelszavakat meg megtanulom.

huwroicsidea

30 hozzászólás

fns

en jelenleg a tier-eknel tartok. Bonyolult mixed case with numbers jelszavakat talalok ki mindenfele – faradt oreg medva vagyok mar az 1 site 1 pass temahoz.
De konyorgom tventiforszt szencsori – mikor er mar ide a biometria? A sajat hazam bejarata az ujjammal nyilik, nehogymar a computerem ne legyen kepes erre magatol 2007-ben?!

Highlander

Csak akkor megy, ha vhova elmented 1 helyre, mai világban 88000 kódot kellene megjegyezni, és tényleg csak a legfontosabakat tudja megjegyezni az ember fia, de zaokat meg illik rotálni is, uh az sem végleges megoldás. A többi nem überfontos meg mind 1 helyen leledzenek vhol, amit vki vhol vhogy 1xcsak megtalál kitatál feltör ellop hiszti.

Én voltam a mai negatívember, ez van.

Takoca

ez szép meg jó meg én is megtanulom a passwordöket de pl ma kellett hozzá nyúlnom egy rendszerhez amit kb 1 éve csináltam…
ennyi idő alatt már gőzöm se volt a jelszavakról!

még szerencse hogy a górénak leadtam papíron

Zila

voodoopad-be írom a jelszavakat, titkosított oldalra. nem fontos siteokon keychains megjegyzi a jelszót. egyébként tényleg milyen jó lenne már, ha széria tartozék lenne a gépeken az újjlenyomat olvasó… Nekem elég ha csak az apple gépeken lenne széria tartozék 🙂

Highlander

Biometria gyerekcipőben jár commercial szinten. Az ujjlenyomat leolvasás egy kalap ka*i épp csak rágógumival nem lehet átejteni őket (hm, vagy azzal is :)) A legdurvább amikor kinyomtatott ujjlenyomatot is sikeresen azonosított és beengedett. A tényleg működő (hőmérséklet, pulzusérzékelős stb.) ujjlenyomat és az íriszes cuccok meg nem oly olcsók hogy csak úgy odacsapják egy széria géphez.

ton

Egy lehetséges megoldás:

Végy egy kellő bonyolultságú jelszót.
Fogd valamelyik karakterét, és minden egyes alkalommal, ha változtatni kell, emelj rajta egyet (szám, betű, akármi).

Fogj egy másik karakterét és kösd hozzá az oldalhoz:
oldal első karaktere, második, utolsó, stb…

Így egy kellő bonyolultságú, jól megjegyezhető jelszórendszerhez jutunk, ahol csak az emeléssel meghatározott karakter lehet esetleges egy tartományon belül.

fns

Highlander: http://www.ekey.at/products/default_e.asp?id=10
Valami 3-400 EUR kozott van a cucc, ismerem minden porcikajat, ha erdekel, meselek rola. Se gumiujjal, se levagott ujjal nem muxik, a kulso es a belso device-t ossze kell authentikalni (magyarul hiaba fersz hozza a drotokhoz kivulrol, xart nem er).
Beszeltem a fejlesztokkel es az ex magyar forgalmazoval is – ok meseltek, hogy hullahazban is teszteltek az eszkozt 🙂

_alesi_

Minap vettem egy Domino csomagot öcsémnek, persze be is próbáltam. SIM kártya be, PIN kód be, minden oké. Örülünk, csere vissza és ekkor jött a bazdmeg. Az a négy számjegy, amit max 4 másodpercig néztem úgy megmaradt, hogy két napig se a bankkártyámnak, se a rendes SIM kártyámnak nem tudtam felidézni a PIN kódját. Az a rohadék mindent felülírt.

Nekem amúgy legalább három helyen megvan minden password, ebből kettő a neten. Az a biztos, a gép -velem ellentétben- nem felejt és nem kavarja össze őket.

phnb

Van egy alap passwordom. Szigorúan véve elvileg nem biztonságos, de baromira nem is evidens. Ennek van x véges számú változata, tehát zárt a kör. Akárhova be tudok lépni, mert tudom, hogy x variáció lehetséges, évekre visszamenőleg minden passwordos siteon, alkalmazásban, stb. Ennyi.

PeBa

Mindenhová kb 2-3 féle alap módozatai mennek, kivéve Google account. Az túl fontos ahhoz, hogy gyenge jelszó védje. Pl Gmailben kaphaszt olyan leveleket, ami jelszavakat tartalmaz, stb. Oda furmányos jelszót használok, mondhatni kisregény.

misran

pin-t mozdulatra jegyzek mar, ha diktalni kell sokszor fingom sincs.
Jelszot meg karakter ami utal a helyre, meg par extra, meg szam, ezek valtoznak. Nem 100%-os de volt mar ra pelda hogy elfelejtettem, aztan kiprobaltam a modszerrel mit adnek es talalt.
Persze ez a gyengeje is, hiszen ha valaki kiismer, felterkepezi az asszociacios kapcsolatokat az agyamban, leszukitheti a brutforce listajat :).

deKata

na és vannak a dinamikus jelszavak, ami szerintem egy elég jó megoldás, pl. az adott pontos időt 4 jegyű számnak véve kell felszorozni egy személyenként változó állandóval, és az így kijött eredmény az adott percben érvényes password

CDColt

Angelday: mivel olvasod a blogomat, tudod, hogy crypt/sequrity parás vagyok… ezért már mindent kipróbáltam amit csak lehetett. Az egyik legjobb megoldás amit eddig találtam az a : 1passwd (1passwd.com). Kibaltázottan jó program, automatikusan generál jelszavakat (kisbetű, nagybetű, szám, symbol – változtatható length), számos beállított profilt lehet elmenteni formok kitöltéséhez és ami a legjobb, hogy a “tier1” oldalakhoz ha akarod automatikusan beloginol. Nem kell gépelni, nem kell megjegyezni – csak ha akarod.

A customer supportja csillagos 5-ös, a fejlesztő 3 órán belül 4 alkalommal is válaszolt a javítási ötleteimre, egyet be is tett a legutolsó frissítésbe – amit egyébként gyakran közzé is tesz (értsd kb havonta!). Pl. a Safari3 beta másnapján már kész is volt a kompatibilis update.

Nagyon ajánlom.

rog

en egy jelszot hasznalok mar 13 eve. ugyhogy vagy a loposok ilyen tehetsegtelenek, vagy az en szemelyen ily jelentektelen.. >D

alpi

’93 óta tolom a biteket és a következő módszer tisztult le nálam; 3 db passwordot használok, a következő módon:
1. Top secret pass, a bankkártya körüli és hasonló ügyekhez,
2. Közepes pass a megbízható, de nem olyan kritikus siteokhoz,
3. Harmadik pass a többihez, ha azt ellopják nem érdekel.

A megfontolás lényege, hogy az igazán biztonságos site-okról nem lopják el a jelszavad, megbízhatóan MD5-ben tárolják, jó a rendszerük, stb. Az ócskább rendszerekből viszont kikerülhet a jelszavad, akár anélkül is hogy te bármi hibát vétenél. A lényeg, hogy a 3 szintet ne keverd, és az első passwordot anyádnak se add meg.

Akit közelebbről az érdekel, hogy MI legyen a password, javaslom hogy a jelszó-törő programokat tanulmányozza, akkor ugyanis látni fogja, hogy mit NEM tudnak az ilyenek feltörni, helyesebben mi az amit meg sem próbálnak. A magyar szótári szó + még egy-két extra karakter például a csupa véletlenszerű karakterhez hasonló biztonságot ad, lévén hogy az életben nem lesz olyan bruteforce eszköz, ami a magyar szavakhoz még random karaktereket próbálna hozzá (példa: kutyabc, wjulcsiw)

Érdekes tény még, hogy valami statisztikák szerint a legtöbb jelszó-feltörést ismerősök és hozzátartozók követik el; ők azok, akik tudják, hogy a kutyádat Munyónak hívod, és ők azok, akik kíváncsiak is a pöcs kis dolgaidra.

alpi

Most, hogy magát a postot is elolvastam 😉 , látom hogy ugyanaz jött le mindkettőnknek: Tier1, Tier2, Tier3. Ez a lényeg mégiscsak, ezt kell felfogni emberek.

Seven_Of_Nine

Emélkszem amikor a középiskolában Te extra jogokat kaptál a rendszergazdától 🙂

aztán kitaláltuk a jelszavad: TRANCEMASTER :DDD LOl, s megváltoztattuk a jelszót, emlékszem milyen kétségbeesett voltál, nem tudtál belépni 😀

mi meg ott röhögtünk

bocsi ezért útólagosan is 😀

WishCow

Én megemlíteném a pwdhash-t: http://crypto.stanford.edu/PwdHash/

Ez egy firefox plugin ami annyit csinál hogy amikor te egy password mezőbe duplakukaccal kezded a jelszavad beírását akkor a jelszavadat encryptelni fogja, úgy hogy a site url-jét használja saltként. Ergo: mindenhol megadahatod ugyanazt az egy darab kódot amit meg tudsz könnyen jegyezni, és mindenhol mégis más jelszót fogsz használni mert a site url segítségével generálódik a tényleges kódod. Az a kód amit te beírtál soha nem fog kitudódni mert még kliens oldalon történik a titkosítás. (keyloggerrel persze ugyanúgy elkaphatják)
Hátulütő hogy csak firefox-al működik mivel egy plugin, viszont így crossplatform is, lightweight, nem zavaró, nem kell semmit configolni.

Másik cucc, KeePass: http://keepass.info/index.html

Ez egy jelszótároló, szintén crossplatform, csinálsz egy jelszóadatbázist amit levédessz egy igazán hosszú és bonyolult jelszóval amit valahogy megtanulsz, és ezzel egy jelszóval hozzáférsz a többihez. Keyloggerek ellen is hatásos, mivel ha el is kapja a jelszavadat, maga az adatbázis nélkül nem ér vele semmit.

Zila

1passwd tényleg jó, de mivel csak safarival böngészk netet (99%-ban) ezért a keychains-t tökéletesen elegendőnek érzem jelszótárolásra…

al

Linux alatt mi volt a gond?

*****@*******:~$ pwgen 12 -s
ENg62bXNTHC5 qybTm2gVpwwx 6KSZsAZsuaPF 5lleHP2iz4eT hK7hs6if00ob Cg1lzo04N4j8
GmvhdfGWvB5Y MbiRcwBWFn46 jQG7v6uHSBWH oWIiIgjrzz0E uVSPcHPmMNHY Dh3bH0gqACPn
aOPUlDqnlf7N Y1UW5xNe3fg6 NIOmeuQH2qEZ oTAb5TPgA3HR 2sBThxGBjdRu vItxJHKsChNs

mike11197

aki tud honlap feltörő programot az irjon ide linket és utmutatót