Fórum témák
» Több friss téma |
Fórum » Adatvédelem / Jelszóbiztonság
Sziasztok!
A Google riasztása ügyében értekez(het)né(n)k, mégpedig arról, hogy mit is jelent, ha ilyen értesítést kapunk: Idézet: „xxx jelszó, amelyhez illetéktelenül fértek hozzá” Felmerül, hogy ez hogy fordulhatott elő? Részletekbe nem avat be a Google. Az OK, hogy most minél előbb meg kell változtani a jelszavakat... Csak nem értem, hogy azt írja a google, hogy: van ahol 8 órája, máshol meg 2 napja, 8 napja 2 hete, 4 hónapja került nyilvánosságra a jelszavaim. Az sem tiszta, hogy törtek fel más azonosítók/emailcímeket az én jelszavaimmal, azaz egy "jelszófeltörő" adatbázisába bekerültek az általam használt jelszavak...avagy az én azonosítóimmal összefüggésben került mások karmaiba? Régebben is volt ilyen, de pl. a routerek admin/admin azonosítója/jelszava évtizeddek óta ismert... Most kérdésessé vált számomra a Googe jelszókezelésének használatát hanyagoljam...és egy inkább papíralapon tárolja a jelszavaimat (az asztalfiókomban), vagy maradjon a jelszókezelő? Nagyon kényelmes a Google jelszókezelő használata, de ha nem eléggé biztonságos, akkor lehet le kell róla mondani. Esetleg valami más jelszókezelő is említést érdemelni, ami sokkal biztonságosab, mint a "guglié"... Ujjlenyomat, meg a többszintő azonosítát egyenlőre kihagynám...de ahol megkövetelik, ott persze használom. Előre is köszönöm a hozzáértő javaslatitokat. U.I.: Még annyit, hogy miután módosítottam a jelszavamat egy nagyon erősre (többek közt a HE jelszavamat), továbbra is szerepel a "gugli" riasztási listájában....lehet, hogy kamu az egész, vagy porszem (BUG!) került a Google gépezetébe...!? A tegnap módosított új HE-es jelszavamra azt írja, hogy már 12 napja nyilvánosságra került...ez egy erős Google által generált jelszó. Örömhír, hogy a 267 mentett jelszavam közül "csupán" 148 került "veszélybe"... Üdv.: Uniman A hozzászólás módosítva: Feb 15, 2023
A legnagyobb probléma a képeiden az, hogy egy jelszót többször is felhasználtál, már ha ez valós adat.
Hol érdemes tárolni? Jó kérdés: Bővebben: Link. Idézet: „Nagyon kényelmes a Google jelszókezelő használata,” Valamit valamiért. Amit ottjon felirsz az a tied, amit megosztasz a guglival, az mindenkié Fórumoknak 1 jelszó Emailnak 1 jelszó Banknak 1 jelszó Alinak 1 jelszó 4 jelszóval vagyok fejben 15 éve. Akkor kerül nyilvánosságra ha....
267 jelszót még papírra leírni sem egyszerű...fejben meg tuti lehetetlen, ha mindegyik más.
Valahol már a gugli is javasolja, hogy 72 naponként cseréljünk jelszót...én van amelyiket évenként többször is megváltoztatom, de van ami 16 éve ugyanaz. Nos ezt utolsót nem sokszor használom. Pár napja egy ismerős laptopjában (legfrissebb Win11 !) néztem meg az emailjaimat...lehet abban lapulhatott valami féreg. Most online fut rajta a vizsgálat, 2 gyanús "objektumot" már jelzett a ellenőrzés (a végén majd kiderül mi az). Nos, ilyenre is jobban kéne figyelnünk... A többször felhasznált jelszó, vagyis ugyanaz a jelszó több helyen, az nálam gyakori... Lehet csupán ezzel van gondja a guglinak, fél, hogyha az egyik helyen feltörik, akkor a többi helyre is bejuthatnak vele... A hozzászólás módosítva: Feb 15, 2023
Soha eszembe nem jutna jelszókezelőt használni. Nekem úgy 40 körül van, ezek egy papírra vannak felírva ami a fiókomban van. Meg van a listából az az 5-6 amit folyamatosan használok, azt meg fejben tudom tartani. Meg vannak még ilyen "hóbortjaim", hogy bankolni, email-ezni sosem állnék neki idegen gépen, de még laptopon vagy telefonon se, kizárólag a saját asztali gépemen.
Aki 267 jelszóval müködik, annál rendszerszintü problémák vannak.
Idézet: „Felmerül, hogy ez hogy fordulhatott elő? Részletekbe nem avat be a Google.” Ez úgy fordulhatott elő, hogy feltörtek egy olyan weboldalt, ahol használtad ezt a jelszót és nem tárolták kellő gondossággal, vagy túl egyszerű volt, így vissza is lehetett fejteni a hashból, majd az így kinyert adatbázis kikerült azt internetre. Nem Te lettél meghekkelve és nem a Google, hanem egy független szolgáltatás amit használsz. Illetve nem csak kikerült, hanem több helyen is használod, a hekkerek első körben ilyen adatbázisokkal próbálkoznak belépni bárhová. A kétfaktor pedig hasznos tud lenni, kicsit tudom, hogy macera, de megéri. Idézet: „Most kérdésessé vált számomra a Googe jelszókezelésének használatát hanyagoljam...és egy inkább papíralapon tárolja a jelszavaimat (az asztalfiókomban), vagy maradjon a jelszókezelő?” Szólt a Google, hogy barátom, gond van, feltörtek egy oldalt amit használsz, változtass jelszót mert nyílvánosságra került és több helyen is ezt használod, ezért Te büntetésből le akarod cserélni papírra? Idézet: „Nagyon kényelmes a Google jelszókezelő használata, de ha nem eléggé biztonságos, akkor lehet le kell róla mondani.” Két dologtól függ a biztonsága, a Google jelszavadtól és a mesterjelszótól. Eléggé biztonságos, biztonságosabb, mint a papír, mert a papírt fizikailag el lehet lopni, ezt csak akkor és csakis akkor, ha két jelszót is ismersz. Ez a hátránya is egyben, ha elfelejted a mesterjelszót minden jelszavad ugrik. Szóval ettől nem kell félned, sem a Google, sem mások nem fogják megtudni a Googleban tárolt jelszavaidat a Googletől. Idézet: „Lehet csupán ezzel van gondja a guglinak, fél, hogyha az egyik helyen feltörik, akkor a többi helyre is bejuthatnak vele...” Ez (is) a gond pontosan, sőt a legnagyobb gond, és próbálkozni is fognak vele. Mindenhol ahol ezt a jelszót használod meg kell változtatni. Ezekből adatbázisok épülnek, robotok próbálnak velük éjjel nappal belépni mindenhová, fórumokra spamelni, email fiókokba, paypalra pénzt lopni, stb. Kb. bárhová be tudnak vele lépni azt fel tudják használni. @niedziela Idézet: „Amit ottjon felirsz az a tied, amit megosztasz a guglival, az mindenkié” Tudod, hogy hogyan tárolódnak a Google jelszavak? Dehogy tudod. Nézzük csak. Amikor rányomsz a böngészőben, hogy menteni akarod, akkor helyben a gépeden titkosításra kerülnek majd ezt a titkosított adatot kapja meg a Google és ezt tárolja el, fogalma sincs a jelszóról. Csak a mesterjelszóval lehet dekódolni. A papírra felírt jelszó meg, hát hagyjuk... Hogy akkor hogyan ellenőrzi, hogy nyílvánosságra került-e? Hát egyszerűen, nem a Google szervere ellenőrzni, hanem a géped. Most Te jössz, kérlek indokold, hogy miért mindenkié a Google jelszókezelőjében tárolt jelszó, had tanuljunk belőle! Köszönöm! Idézet: „Aki 267 jelszóval müködik, annál rendszerszintü problémák vannak.” Ha Te mondod. @Ge Lee Idézet: „Soha eszembe nem jutna jelszókezelőt használni. Nekem úgy 40 körül van, ezek egy papírra vannak felírva ami a fiókomban van. Meg van a listából az az 5-6 amit folyamatosan használok, azt meg fejben tudom tartani. Meg vannak még ilyen "hóbortjaim", hogy bankolni, email-ezni sosem állnék neki idegen gépen, de még laptopon vagy telefonon se, kizárólag a saját asztali gépemen.” 676 jelszavam van, de nincs asztali gépem, csak laptop. Viszont biztonságosan kezelem a jelszavakat (Googleval), ahol lehet ott kétfaktoros azonosítás van beállítva, van vírusírtóm, tűzfalam, nem telepítek megbízhatatlan programokat, nem csatlakozom ismeretlen vagy nyílvános wifire és szükség esetén VPN-t használok.
A legtöbb jelszót amit használok tudom fejből, de ha netán elfelejteném, egy fájlban is tárolom - viszont ez a fájl tömörítve és egy jó hosszú jelszóval titkosítva van. Nyilván ezt a hosszú jelszót nem célszerű elfelejteni mert ez nincs felírva sehová sem.
A hozzászólás módosítva: Feb 15, 2023
Amúgy Kínai és hasonszőrű hackerek ellen hatékony, ha valami "Magyaros jelszót" használunk, ami elég hosszú, de mégis könnyű megjegyezni, például:
"EjjMiAKőTyúkAnyóKend?" vagy mondjuk "HétszűnyűKapanyányimonyók" (Speciel ezt a kettőt történetesen nem használom sehol sem ) A hozzászólás módosítva: Feb 15, 2023
Azt leszámítva, hogy nem ajánlott ékezetes karatert használni jelszóban, és illik benne számnak is, meg speciális karakternek is lenne, a példa helyesebben:
7szunyuKapanyanyimonyok? A hozzászólás módosítva: Feb 15, 2023
Idézet: Gondolom, ezt csak valamiféle viccnek szántad. Hogy a világ másik végéből valaki kiveszi a fiókomból a cetlimet, amiről nem tudják még a családtagjaim sem hogy ott van, ráadásul ott is "elrejtve" van, tehát akkor is időbe telik idegennek megtalálni ha kifejezetten azt keresi, na ennél mindenféle elektronikusan akárhol tárolt jelszónak sokkal nagyobb esélye van az "ellopódásra". Vírusírtóm, tűzfalam nekem is van, de ugye a mai világban már az sem biztos hogy ad 100%-os biztonságot, legfeljebb 99,99-et. „biztonságosabb, mint a papír, mert a papírt fizikailag el lehet lopni,”
Nekem meg a papírra leírt jelszóval az a bajom, hogy amikor használom (beírom a PC-be) máris elektronikussá válik és akár abban a pillanatban "prédává" is válhat...illetéktelenek kezébe kerülhet. Persze kell hozzá egy jó kémprogi (vagy mi), de hát a netes "szakik" is egyre jobban fejlődnek.
Itt a hobbielektronika.hu jelszavam elkódolva úgy, ahogy a böngésző küldi a Googlenak és az tárolja:
Ha vissza tudod nyerni ebből a jelszót, akkor piszkosul gazdag ember leszel, mert feltörsz egy a jelenlegi számítási kapacitásokkal feltörhetetlennek számító titkosítási algoritmust. Te is meg mered mutatni a papírt amiről senki sem tudja, hogy a fiókban van elrejtve? @uniman Ezért kell csak biztonságos protokollokon (normális HTTPS) és megbízható hálózaton adatokat megadni. A HTTPS biztosítja, hogy ne tudjanak "lehallgatni", ahogy a megbízható hálózatok is. Persze, a kémprogramok és sok minden ellen ez nem véd, ez egy folyamatos macska-egér harc. A hozzászólás módosítva: Feb 15, 2023
Igen, pl. egy billentyűleütéseket figyelő program ellen biztosa nem véd meg a https....
Bizony, teljes védelem sajnos nincs, de ami van, azt legalább érdemes alkalmazni. A bejárati ajtót és az autót is be szoktuk zárni.
Idézet: Tudtommal a Firefox böngésző kizárólag offline kezeli az elmentett jelszavakat az adott számítógépen a felhasználói adatoknál. Hátránya, hogy másik eszközön nem férsz hozzá a jelszavaidhoz, hiába van ott is Firefox, legalább nem online tárolódnak valahol.„Nagyon kényelmes a Google jelszókezelő használata, de ha nem eléggé biztonságos, akkor lehet le kell róla mondani. Esetleg valami más jelszókezelő is említést érdemelni, ami sokkal biztonságosab, mint a "guglié"...” A képernyőképeidhez pedig annyit fűznék hozzá, hogy nem tudni, hogy mennyire valós az állításuk, de feltételezem, hogy így is akarják rávenni a felhasználókat arra, hogy bizonyos időközönként változtassák meg jelszavaikat a biztonság érdekében. Én ilyeneket eddig még nem kaptam. Nekem is van olyan, amit egyrészt több helyen is használok, másrészt pedig eddig egyedül a Freemail kötelezett jelszóváltásra, amúgy nincsen semmi gond.
Aki nem hisz a Googlenek, itt megnézhet azt is, hogy milyen oldalon, milyen incidens során szivárgott ki a jelszava: https://haveibeenpwned.com/
Egy példa általánosan használt jelszavakra, amiket nem igazán érdemes használni (sem a permutációjukat), mert ezekkel kezdenek a hackerek: https://github.com/josuamarcelc/common-password-list Idézet: „A képernyőképeidhez pedig annyit fűznék hozzá, hogy nem tudni, hogy mennyire valós az állításuk, de feltételezem, hogy így is akarják rávenni a felhasználókat arra, hogy bizonyos időközönként változtassák meg jelszavaikat a biztonság érdekében.” Sőt, az égen látni néha csíkot húzó repülőket, ezek sokszor érdekes formákat rajzolnak amikor keresztezik egymást ami egy pszichológiai trükk, mert, ha ilyen formát lát az emberiség 99%-a, akkor késztetést érez rá, hogy megváltoztassa a jelszavát. Van egy alapvető dolog, amibe sokan nem gondolnak bele. A Google és sok más nagy cég halálra keresi magát a felhasználókon. De nem úgy, hogy ellopja a jelszavaidat, vagy kárt okoz neked, vagy teljesen átver. A hírdetésekhez felhasználja bizonyos adataidat, DE, amint elkezd csalni, lopni, átverni, és elhagyják az emberek, abban a pillanatban milliárd dolláros üzletet kockáztat. Megéri neki ez a kockázat? Nem.
Egyik első alapvetés, hogy egy jelszót egy helyre szabad csak használni. Így ha kiszivárog, akkor biztos, hogy az adott oldal (általános esetben rendszer) a hibás. Ha egyetlen egyszer véletlenül beírod rossz helyre, akkor már meg kell változtatni.
Nem szabad "perturbálni" a jelszavakat: cica1 cica2, stb. bankCica, hobbielektronikaCica, ez sem jó, mert ha egy kiszivárog abból lehet következtetni a többire. Hány jelszó kell? Valaki írta, hogy ha sok jelszavad van akkor te rontasz el valamit: annyi kell, ahány helyre regisztrálnod kell. Például van akinek csak a munkája miatt kell több tíz jelszó. De sok helyen ha csak veszel valamit már regisztrálnod kell. Tehát ki fog jönni egy százas nagyságrend annak aki sokat van online. Számomra a fentiekből egyértelműen következik, hogy mindenképpen kell jelszókezelő alkalmazást használni. Amit én csinálok: * Helyi programot használok (keepassx), nem teszem fel online * A mesterjelszót csak ide használom és csak a saját gépemen írom be a program ablakába * Az adatbázist nem az Interneten keresztül másolom át, hanem helyi megoldással. Tehát: elvileg a kódolt adatbázist is nehéz volna megszerezni. Nehézség, hogy ha új regisztrációt csinálok, akkor azt szinkronban kell tartani az eszközeim között. Egyszerűen mindig csak egy gépen hozok létre újat, a többin pedig másolat van dátummal megjelölve. Ez például már kellemetlen egy online jelszókezelőhöz képest de hát valamit valamiért ugye. Látható, hogy a jelszókezelő is csak annyira biztonságos mint a gép amin fut. Ezért a legjobb volna offline hardveres jelszókezelőt használni, de sajnos idáig még nem nőttem fel. Az igazán fontos dolgoknak (péládul ha sok Bitcoinod van lehet erősebb megoldásokat csinálni. Két lényeges trükk: a jelszót ismerő gép sosem legyen online. Ha felírod a mester-jelszót, akkor több darabba írd fel, amit több fizikai helyre teszel. Így ha egyiket ellopják, akkor még mindig nem kompromittálódtál és van időd áttenni mindent egy másik mester jelszó alá. De a darabokat viszont többszöröznöd kell, ha biztosra akarsz menni... A végtelenségig lehet fokozni. A biztonság két aspektusa - hogy ne vesszen el és hogy ne kerüljön illetéktelen kezébe - sajnos konfliktusban van egymással. De a költségeket növelve egyszerre is lehet növelni a kétféle biztonságot.
Guglitól nem azért kapsz figyelmeztetést mert a goglitól szivárgott ki valami.
Hanem azért mert a gogli is megveszi(?) az ilyen piacra került kiszivárgott jelszó adatbázisokat. Ha más is ugyanazt a jelszót használta mint te és az övé szivárgott ki akkor te is kapsz figyelmeztetést. Én inkább azóta a chromera hagyom az erős jelszó generálást (ajánlott jelszó használata). Igaz külön jelszava van a fiókomnak és az adatszinkronizálásnak. Illetve kimentem pár havonta a chromeból a usernév jelszó listát titkosítatlan txt-be amit utána bezippelek jelszóval és offline tárolom.
Még jobb trükk:
Ahova nem érdemes megjegyezned a jelszót (pl. vásárláshoz kötelező regisztráció, amit említettél is), oda generálsz valami jelszót, amivel nem foglalkozol. Ha legközelebb be kell oda lépni, akkor meg kérsz tőlük új jelszót az elfelejtett jelszó használatával.
Pl kormányzati ügyfélkapu..?
Kissé macerás lesz mindig új jelszót kérni.
A Google ezt írja:
"Nem biztonságosak azon jelszavak és felhasználónevek kombinációi, amelyekhez illetéktelenül fértek hozzá, mivel az interneten közzétették őket." Továbbá ott van egy lista...amelyben ismerős, általunk is látogatott weboldal is szerepelhet. De gyanúm szerint nagyon kevesen néznek be oda, ahol ezt a google leellenőrzi. Furcsálom azt is, hogy ezidáig még a HE tagok közül senki nem írta le, hogy igen, nála is van/volt ilyen "incidens! Továbbá a Google hitelességét nálam azt is erősen csökkenti az, hogy míg az egyik PC-men belépve 145, míg a másikon 122 jelszavamat véli problémásnak. Pedig a "szinkronizálás"be van kapcsolva/frissítve. Meg miután 30-at megváltoztattam, továbbra sem változik ez a szám...1-2-3 nap múltán sem. Ráadásul a "have i been pwned" ellenőrzén OK az emailcímem, semmi problémát nem jelez... A hozzászólás módosítva: Feb 17, 2023
Ügyfélkapuba csakis személyesen igényelhető új jelszó...ha ne tudod a régit.
Nem hinném hogy ilyen sűrűn ellenőrizgetné, talán csak havonta vagy ritkábban..
Amúgy nekem is sok nem biztonságos jelszó párosom van pl admin/admin a régi routereimhez amik évek óta a szekrénben porosodnak kikapcsolva. Nem fogom se törölni se elővenni őket.
Bennem is felmerült ez, próbaképpen újraellenőriztem az emailjeim, de ugyanazt az eredményt adta...szóval következetes.
Nagyjából követhetetlen ez a jelszó mizéria. Ezek nem atomtitkok, ami fontos, arra úgyis jobban figyel a felhasználó és a szolgáltató is, pl. kettős, megerősítős beléptetés. Amitől agybajt kapok, az a feltöltő kártyás éves újra mittomén micsinálás. Huszonéve van nekem és a családtagjaimnak ilyen kártyájuk. De minden évben kell a hajcihő, mert nem képesek ezt elfogadni, hogy mi már nem fogunk terroristává válni... Legutóbb megjelent az applikációban, hogy ez is elintézhető, de nem működik, a weben legalább még igen...
Ez biztos? Szerintem a jelszó kérő linket gond nélkül küldik a regisztrált email címre. Szerintem már meg is kaptam a linket a fél perce igényelt módosításhoz...
Talán az első email cím regisztráláshoz kell a személyes jelenlét. Ezért veszélyes egy védetlen telefonra beállított email kliens. Ott minden jelszó gond nélkül módosítható. A hozzászólás módosítva: Feb 17, 2023
Néhány éve nem kell személyes jelenlét, csak megerősített e-mail cím.
Idézet: Nem kell személyes jelenlét hozzá. „az első email cím regisztráláshoz kell a személyes jelenlét.”
Ezt nem tudom, én amikor regisztráltam/ szüleimet beregisztráltattam, azt személyesen kellett. Azt hogy regisztrálás után lehet e email címet hozzárendelni, nem tudom ( módosítani lehet, azt már próbáltam) . Illetve lehet e regisztrálni email cím nélkül azt nem tudom. Gyanítom, ha megszűnik az email címem módosítás nélkül, újra be kell menni. Másképp hogyan azonosítanak.
|
Bejelentkezés
Hirdetés |