EPIC
[Re:] [crey:] Jelszavak az Ügyfélkapu rendszerben - BLOGOUT fórum
üzenetek
hozzászólások
Az ügyfélkapu jelszó mizériáját sikerült párommal átélni múlt héten.
Jött neki is az email, hogy ideje megváltoztatni. Emailben link, át is dobott a megfelelő felületre.
Mivel esélytelen, hogy a mai világban megjegyeznél ennyi jelszót, főleg ha sűrűn kell cserélni rányomott arra, hogy ajénljon neki egy jelszót. Ilyenkor egy pop-upban feldob 3 lehetőséget, ami közül tudsz választani egyet és azt be is írja neked. Igen ám, de amit felajánl jelszavakat azt nem fogadja el a rendszer! Kb 30 javaslatot próbáltunk de egyik sem volt jó. A pláne az, hogy amikor saját jelszót próbáltunk nekünk ki se írta, hogy mit kellene módosítani.
Összességében úgy sz*r az egész, ahogy van.
Nálam pont ezt játszotta el RobotCache.com fiók nyitásnál.
Már készültem hogy egy gagyi PC-s kliens gagyi oldala, de mikor nem engedett 12-15? karakternél hosszabb jelszót, de azt 2 számmal, nagy és kisbetűvel, 2 speciális karakterrel kellett kötelezően megfejelni, és ezt csak egyenként olvasta mind a fejemre, akkor kínomban már csak azt tudtam elképzelni, hogy ezek tényleg az XKCD stripet akarják élőben kifigurázni, nem lehetnek ennyire nyomik. 
lomposfarkas
(tag)
Nemrég szoptam ezt végig, hogy megnézzem az 1%-ot. Nem lehet belépni a Kaü-n, új jelszót csináltattam, azt meg nem veszi be. A lényeg, hogy a böngészőből törölni kell a kukikat, utána már jó (vagy inkognitót használni) De hogy a feljesztők kurvára csuklanak emiatt, az hétszentség. És meg is érdemlik.
Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó
Ez nem igaz. Ennyire brute force-olni nem lehet, mert akkor soha nem érne a végére, mindenki dictionaryket használ.
Keepass, keeweb, lastpass. A keeweb tetszik a legjobban a letisztult felületével.
Én mindig 15 - 20 karakteres random jelszavakat generálok, így esélytelen hogy megjegyezzem őket. Keeweb nálam szinkronizált drivera + megára így bármikor elérhetem a jelszavakat.
self-hosted jelszó manager?
elérem bárhonnan? van hozzá app?
mert akkor lehet hogy rápillantanék
Self-hosthoz nincs megbízható infrastruktúrám, úgyhogy marad a BW saját vaultja.
@Lenry: Keress rá a Bitwardenre: [link]. Van egyébként egy nemhivatalos forkja is self hostra, bitwarden_rs néven fut.
[ Szerkesztve ]
Teljesen nyílt forrású, nem csak a kliensek, de a szerver is.
Teljesen nyílt forrású, felteheted saját szerverre vagy használhatod az ő szerverüket is, van hozzá app meg chrome extension is.
[ Szerkesztve ]
AtHoS
(nagyúr)
A sok bitwarden ajánlás után ismét rá kell néznem erre a programra, milyen fejlesztésen ment keresztül 1,5 év alatt. Korábbi gyorsteszt tapasztalatok: [link]
A jelszavas témához kapcsolódva: nemrég facen olvastam jelszó változtatási történetet:
- jelszava lejárt, meg kell adnia új jelszót!
- mi van? áhh, mi is legyen az új jelszó? Megvan: f.szom
- Sajnáljuk, de túl rövid!
... és Firefox extension is.AtHoS
(nagyúr)
Rálestem az wines Bitwarden 1.17.2 portable verziójára és összehasonlítottam a linkelt korábbi tapasztalataimmal.
Ami változott, hogy a wines applikáció net nélkül is hajlandó elindulni és hozzá lehet férni a mentett adatokhoz ilyenkor is, de az adatok változtatása, új adat felvitele viszont net nélkül még mindig nem lehetséges
Auto kitöltés olyan bejelentkezési megoldással rendelkező oldalakon, mint a prohardver (oldal betöltése után kattintásra felugróban nyílik meg a login rész) nem működött és az auto mentés sem kínálta ilyenkor a bevitt adatok elmentését.
Átálltam LastPass-ről Bitwarden-re. Sokkal jobban tetszik, mint az előző, + 10 pont a self hosted verzióért.
[ Szerkesztve ]
Nekem gond nélkül megy PH-n a belépés. 2 site van, ahol problémák adódnak az automatikus kitöltéssel: PayPal és Epic. A többi mind problémamentesen működik.
[ Szerkesztve ]
Hogyne lenne igaz. Általánosságban tök igaza van.
Amúgy meg a közelmúltban törtünk fel brute force-szal egy wifi sérülékenység vizsgálatnál céges jelszót, mivel a policy megengedte a 8 karakter használatát. De te nyilván jobban tudod, hiszen egészen biztosan etikus hackerként dolgozol, netalántán ilyen csapatot vezetsz... 
Valami eszméletlen ostoba konstrukció lehet, ami miatt nem fogadja el a 11 karakteres jelszót - ugyanakkor a leet abc ugyanúgy szótárazható, én kifejezetten ellenzem a használatát jelszóképzésre.
AtHoS
(nagyúr)
A belépés nekem is gond nélkül megy csak nem töltötte ki automatán a bejelentkezési mezőket - a böngésző ikonján kattintva persze megtette - ezért gondolom azt, hogy felugrós bejelentkezési mezős oldalakon nem automata a kitöltés. Igaz, más ilyen stílusú oldalt nem néztem meg, mivel "csak" gyorsteszteltem mi változott a korábbiakhoz képest és közben ph!-n is változott a design, így ez tűnt még "újdonság"-nak, ami előző tesztnél biztosan kimaradt.
Persze aki napi szinten használja - mint pl. Te - gyorsan meg tudja cáfolni/erősíteni ezt a max fél óra alatt megszerzett tapasztalatomat 
Általánosságban a mostani hashek túl erősek a sima brute force-hoz. Nem tudom, hogy milyen jelszóra gondolsz, de gyorsan utanászámolva egy sima nyolckarakteres, csak betűket és számokat tartalmazó WPA2 jelszó feltörése se triviális, mert így is 62^8 lehetőség van, a hashcat meg legjobb GPU-kon is csak pár millió hash/secet hoz - ha kétmillióval számolok, az akkor is 3,5 év.
Ezen túl ráadásul egy csomó esetben amúgy is nem irányított támadás van, a támadók bőven megelégednek azzal, ha a berzett jelszavak egy részét fel tudják törni és a dictionarykkel meg mintákkal viszonylag gyorsan törhető 123456, p4ssw0rd, ItsASecret bőven elég nekik, nem fogják a KCGa4Ggu-t is megtörni, ahogy az látható az időnként előkerülő jelszóadatbázisokban is.
Rogue AP-t használtunk, Radius szerveres authentikáció volt, Windows-os, AD authentikált. NTLM v1 jelszó volt, egy jobb GPU 5-6 óra alatt megtörte (3 óra alatt lett kész Hashcat-tel). Egy teszt user lett megtörve a megállapodásnak megfelelően, direkt képzett jelszóval, ami teljesen random volt (kis- és nagybetűt, valamint számot is tartalmazott) - annyit "csaltunk", hogy csak a fenti 3 összetevőt állítottuk be a törő programba, speciális karaktert nem (mivel az adott cég vpn-je nem szerette a speciális karaktereket, ezért azt hanyagolták jelszóképzésnél).
Egyéb okoskodás?
Egyéb okoskodás?
Mármint azon túl, hogy az NTLMv1-nek az MD4 alapú hashe az így 2020 táján nagyjából annyira számít biztonságosnak, mint a ROT13? Azt persze, hogy meg tudtátok brute force-olni, de ennek bármi normális hashalgoritmust érintő revelanciája nincs.
[ Szerkesztve ]
Tudtam, hogy nem állod meg. 
1. Az számít, hogy mi fordul elő a gyakorlatban. Az elmélet meg egy másik dolog. Konkrét eseten talántunk a fenti konfigurációval, ami biztos vagyok benne, hogy nem egyedi.
2. Az alap állítás az volt, hogy "Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó". Ez általánosságban teljes mértékben igaz, hiszen brute force törés ugyanannyi idő alatt talál meg egy értelmes jelszót, mint egy értelmetlent. Ebbe az evidenciába sikerült belekötnöd. Az másodlagos, hogy hány karakterig van értelme így törni: az alap állítás általánosságban igaz volt (persze rontana a tévedhetetlen önimázsodon ezt beismerned - inkább kötöd az ebet a karóhoz, egyre jobban beégetve magad... 
).
3. Hány darab sérülékenység vizsgálatban vettél részt életedben? Én már túlvagyok páron...
Ez nagyon klassz teszt esetnek tűnik, de... egy rendes céges környezetben 3-5 sikertelen próbálkozás után lockolni kellene a logint (legalább ideiglenesen). Ezek után nem is igazán értem egy ilyen teszt életszerűségét.
Az NTLMv1-nek olyan remekül sikerült a handshake-e, hogy offline is lehet jelszót törni.
[ Szerkesztve ]
Ha fogalmad sincs, hogy miről szól egy ilyen történet, minek okoskodsz bele?
Jelszóhash törés történik, az ilyen ellen nem véd a próbálkozások számának csillapítása, csaxólok...
Szirtimorc
(aktív tag)
Ettől az egész jelszó ellenőrzéstől megvadulok. Ha én, mint felnőtt és gyámság alatt nem álló polgár úgy döntök, hogy a jelszavam egy darab egyes, akkor úgy döntöttem, és tessék elfogadni. Max egy igazolás kérése, hogy tudatában vagyok a jelszó gyengeségének, enyém a felelősség, bla bla bla...
