ugrás a tartalomhoz

GitHub Security Update: Reused password attack

MadBence · 2016. Jún. 17. (P), 23.15
Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk
 
1

TOTP automatizálás

szepe.viktor · 2016. Aug. 12. (P), 13.13
Ha az embernek nincs pénze titkárnőre, akkor KeePass-t használ, ami tárolja, és begépeli a jelszavakat és más adatokat.

Ez a plugin a kétfaktoros azonosító kódot is begépeli
https://bitbucket.org/devinmartin/keeotp/overview

Én ezt az Auto-type beállítást használom GitHub-hoz:
{DELAY 10}^a{DELAY 100}{UserName}{TAB}^a{Password}{ENTER}{DELAY 1500}{TOTP}{ENTER}
2

Mi a baj azzal, ha a böngésző

inf · 2016. Aug. 22. (H), 13.01
Mi a baj azzal, ha a böngésző tárolja a jelszót?
3

Az hogy a tobbseg

Greg · 2016. Aug. 23. (K), 22.31
Az hogy a tobbseg plaintextben tarolja.
4

Mire

janoszen · 2016. Aug. 24. (Sze), 16.23
Es ezt mire alapozod?
5

FF titkosítva tárolja db3

inf · 2016. Aug. 24. (Sze), 17.40
FF titkosítva tárolja db3 fájban, illetve be lehet állítani rá mesterjelszót is, ha nagyon félted. Melyik tárolja plain text-ben?
6

FF-bol pl ezzel a script-el

Greg · 2016. Aug. 24. (Sze), 23.29
FF-bol pl ezzel a script-el tudod kinyerni: https://github.com/Unode/firefox_decrypt/blob/master/firefox_decrypt.py
Ha van master password, egy fokkal nehezebb, de ha jol tudom nem hasznal salt-ot, igy nem tul nehez crack-elni.
7

És?

inf · 2016. Aug. 25. (Cs), 03.48
És?
8

Tegyuk fel, hogy van egy pdf

Greg · 2016. Aug. 25. (Cs), 11.54
Tegyuk fel, hogy van egy pdf reader serulekenyseg, es megnyitsz egy pdf-et ami ezt kihasznalja, nyit nekem egy remote shell-t, leszedem az FF jelszoadatbazist es megvannak a jelszavaid mindenhova. Vagy egy bongeszoserulekenysegen keresztul bejutok a gepedre, esetleg egy XSS-en keresztul. Eleg sok modszer van, es ha nem titkositva vannak a jelszavaid tarolva, akkor kb mindenedhez hozzaferek.
11

Sok sikert! :D

inf · 2016. Aug. 25. (Cs), 19.52
Sok sikert! :D

Szerintem egy kicsit túlliheged ezt a témát...
12

Szerintem egy kicsit

Greg · 2016. Aug. 25. (Cs), 20.24
Szerintem egy kicsit túlliheged ezt a témát...


persze :)
9

Master password

janoszen · 2016. Aug. 25. (Cs), 12.30
Ha eleg hosszu a mesterjelszo, akkor sok sikert a crackeleshez. Local exec ellen egyebkent csak nagyon mersekelten lehet vedekezni.
10

remote(RCE), nem local :)

Greg · 2016. Aug. 25. (Cs), 12.40
remote(RCE), nem local :) Vannak kreativ modszerek a crack-eleshez, de az valoban nehezebbe teszi, de nem lehetetlenne.
De igazabol mindenki ott tarolja a jelszavait ahol szeretne.
13

kész, passz, nem vagyok senki

Gixx · 2016. Szep. 22. (Cs), 11.29
Ha az embernek nincs pénze titkárnőre, akkor KeePass-t használ


Nem tartok titkárnőt és nem használok KeePass-t. Szenzitív szolgáltatásoknak nem tároltatom el a jelszavát sehol, mindenhol más jelszót használok (gmail, github, facebook, linkedin, xing, paypal, amazon, ebay, transferwise, netbank#1, netbank#2 csakhogy a legfontosabbakat említsem), és mégis meg tudom jegyezni.

Csak annyi kell, hogy le kell szokni az értelmetlen karakter sorozatokról, amiről azt hisszük, hogy bonyolult, pedig a gépek számára csupán egy karaktersorozat.

Ez pl egy nehezen feltörhető jelszó (az átlaghoz képest):

"3 Kicsi Indián, Gmail-t használ!"

... és neked csak a megfelelő szolgáltatást kell kicserélni benne, és simán meg tudod jegyezni, de mégis mindenhol különböző és elég bonyi is a gépek számára.

Ennyi... A KeePass a lustáknak való, akik nem szeretnek gépelni.
14

Mennyi

janoszen · 2016. Szep. 22. (Cs), 12.02
Attol fugg, mennyi jelszavad van. Az en jelszo-safemben jelenleg kozel 400 jelszo vagy egyeb kulcs van, a munkambol adodoan. Plusz jonehany jelszot nem en valasztok meg, mert ugy kapom mastol.
15

az komoly...

Gixx · 2016. Szep. 22. (Cs), 12.53
mondjuk én nemrég szabadultam meg vagy 20 szolgáltatástól, amit nem használok már és volt lehetőség az account törlését kérni, de azért a 400 az durva...
17

Munka

janoszen · 2016. Szep. 27. (K), 13.19
Rengeteg olyan van, hogy random ugyfel kuld egy jelszot valamilyen accounthoz hogy akkor ezzel kene dolgozni. Az idealis persze az lenne, ha a random penzugyi rendszer tamogatna user managementet, de bilibe log a kezem.
16

Nekem olyan 30 jelszó van,

inf · 2016. Szep. 22. (Cs), 20.22
Nekem olyan 30 jelszó van, amit felírtam egy cetlire. A pénzügyileg fontosakat én sem jegyeztetem meg a géppel, a gmail-t meg a facebook-ot igen, mert nem akarom napi ezerszer begépelni. Jelentős részük random karaktersorozat, de van közte olyan is, amit te csinálsz. Én még csavartam annyit rajta, hogy a magánhangzók egy részét kicserélem számokra. "3 K1cs1 Ind1án, Gmail-t h4sznál!" Nem igazán törhető dictionary attack-el, és amíg nincs AI, addig hiányozni fog a szükséges fantázia a botokból, hogy bármi hasonló mondatot alkossanak.